1.物理安全

服務器必須安裝在安裝顯示器的隔離室，顯示器必須保留15天以上的相機記錄。另外，機箱、鍵盤、電腦桌抽屜要上鎖，這樣即使別人進入房間也不能使用電腦，鑰匙要放在其他安全的地方。

2.停止來賓

帳號

在計算機管理用戶中，禁用來賓帳戶，隨時不允許來賓帳戶登錄系統(tǒng)。為了保險，最好給客人

添加復雜密碼后，可以打開記事本，輸入包含特殊字符、數(shù)字和字符的長字符串，將其復制到來賓帳戶的密碼中。

3.不必要的限制

刪除所有duplicate user帳戶，使用測試帳戶。

共享賬戶、一般部門賬戶等。用戶組策略設置適當?shù)臋嘞?，?jīng)常檢查系統(tǒng)中的帳戶，刪除不再使用的帳戶。這些賬戶經(jīng)常有黑客侵入系統(tǒng)的突破，系統(tǒng)中的賬戶越多，黑客獲得合法用戶權限的可能性就越大。(威廉莎士比亞，黑客，黑客，黑客，黑客，黑客，黑客，黑客)在國內的nt/2000主機上，如果系統(tǒng)賬號超過10個，通?？梢哉业揭粌蓚€弱密碼賬號。我發(fā)現(xiàn)過197個主機賬戶中，180個賬戶都是弱密碼賬戶。

4.創(chuàng)建兩個

這一點看起來與上面有些矛盾，但實際上服從上面的規(guī)則。創(chuàng)建一般權限帳戶，處理接收和部分*日常事務，另一個擁有管理員

特權帳戶僅在需要時使用。管理員可以使用“RunAS”

為了便于管理，命令執(zhí)行一些需要特權的工作。

5.重命名系統(tǒng)管理員帳戶

你知道，windows 2000

無法禁用的管理員帳戶。也就是說，其他人可以反復嘗試該帳戶的密碼。更改管理員賬戶的名稱可以有效地防止這種情況。當然，請不要使用Admin這樣的名字，不要更改，盡量偽裝成普通用戶。例如：請換成guestone。

6.創(chuàng)建陷阱帳戶

什么是陷阱帳戶？Look！創(chuàng)建名為“”

“管理員”的本地帳戶將權限設置為最小，添加了什么都不能做的類型和10位以上的超復雜密碼。注：管理員、管理者、管理者、管理者、管理者、管理者、管理者、管理者、管理者、管理者、管理者、管理者)這樣就可以創(chuàng)建相應的腳本。

s忙了一段時間，由此可以發(fā)現(xiàn)他們的入侵企圖。或其登錄(login)

在“Scripts”上做手腳。嘿嘿，壞得夠多了！

7.將文件共享權限從“everyone”組更改為“特權用戶”

“everyone”

在Win2000中，這意味著所有能夠訪問網(wǎng)絡的用戶都可以使用這些共享材料。請勿將任何時間共享文件的用戶設置為“everyone”組。包括

好的密碼對網(wǎng)絡很重要，但最容易被忽略。前面說的應該已經(jīng)能說明這一點了。有些公司的管理員在創(chuàng)建帳戶時，通常會用公司名稱、計算機名稱或其他推測創(chuàng)建用戶名，然后將此帳戶的密碼設置為N。例如：

選擇Welcome" "iloveyou

與“l(fā)etmein”或用戶名相同。用戶第一次登錄時，必須將這些帳戶更改為復雜的密碼，并且必須經(jīng)常更改密碼。幾天前，IRC討論這個問題時，我們給出了安全期間無法破解的密碼是好密碼的定義。也就是說，別人收到你的密碼文件后，需要43天以上才能破解，你的密碼策略是要更改密碼42天。

9

設置簡單必要的屏幕保護密碼也是防止內部人員破壞服務器的屏障。注意不要使用OpenGL和復雜的屏幕保護程序，浪費系統(tǒng)資源，使其成為黑屏即可。此外，建議為所有系統(tǒng)用戶使用的系統(tǒng)添加屏幕保護密碼。

10.

使用NT

將服務器上的所有分區(qū)更改為NTFS格式。NTFS文件系統(tǒng)比FAT、FAT32的文件系統(tǒng)安全得多。這一點不用說，肯定每個人都已經(jīng)有NTFS了。

11.運營預防

我見過的Win2000/Nt服務器沒有安裝防病毒軟件。其實這很重要。一些好的殺毒軟件不僅能殺死一些著名的病毒，還能調查大量的木馬和后門程序。這樣，“黑客”們使用的那些著名木馬就會變得無用。不要忘記經(jīng)常升級病毒庫

12.保護備份磁盤的安全

殺毒軟件不僅能殺死著名的病毒，還能殺死大量的木馬和后門程序。在這種情況下，“黑客”使用的著名特洛伊木馬是

微軟提供了一套管理控制臺(MMC)安全配置和分析工具，使您能夠輕松配置服務器以滿足您的需求。請具體內容

參考微軟主頁

14．關閉不必要

windows 2000 的 Terminal Services（終端服務）,IIS

,和RAS都可能給你的系統(tǒng)帶來安全漏洞。為了能夠在遠程方便的管理服務器,很多機器的終端服務都是開著的,如果你的也開了,要確認你已經(jīng)正確的配置了終端服務。有些惡意的程序也能以服務方式悄悄的運行。要留意服務器上面開啟的所有服務,中期性(每天)的檢查他們。下面是C2級別安裝的默認

Computer Browser service TCP/IP NetBIOS Helper

Microsoft DNS server

Spooler

NTLM SSP Server

RPC Locator WINS

RPC serv

Netlogon Event log

15．關閉不必要

關閉端口意味著減少功能,在安全和功能上面需要你作一點決策。如果服務器安裝在防火墻的后面,冒的險就會少些,但是,永遠不要認為你可以高枕無憂了。用端口掃描器掃描系統(tǒng)所開放的端口,確定開放了哪些服務是黑客入侵你的系統(tǒng)的第一步。system32driversetcservices

文件中有知名端口和服務的對照表可供參考。具體方法為：

網(wǎng)上鄰居>屬性>本地連接>屬性>internet

協(xié)議(tcp/ip)>屬性>高級>選項>tcp/ip篩選>屬性

打開tcp/ip篩選,添加需要的tcp,udp,協(xié)議即可。

16．打開審核策略

有知名端口和服務的對照表可供參考。具體方法為：

網(wǎng)上鄰居>屬性>本地連接>屬性>internet

協(xié)議(tcp/ip)>屬性>高級>選項>tcp/ip篩選>屬性

打開tcp/ip篩選,添加需要的tcp,udp,協(xié)議即可。

16．打開審核策略

開啟安全審核

策略 設置

審核系統(tǒng)登陸事件 成功,失敗

審核帳戶管理 成功,失敗

審核登陸事件 成功,失敗

審核策略更改 成功,失敗

審核特權使用 成功,失敗

審核系統(tǒng)事件 成功,失敗

17.開啟密碼

密碼復雜性要求 啟用

密碼長度最小值 6位

強制密碼歷史 5 次

強制密碼歷史 42 天

18．開啟帳戶策略

策略

設置

復位帳戶鎖定計數(shù)器 20分鐘

帳戶鎖定時間 20分鐘

安全記錄在默認情況下是沒有保護的,把他設置成只有Administrator和系統(tǒng)帳戶才有權訪問。

20．把敏感文件存放在另外的文件

雖然現(xiàn)在服務器的硬盤容量都很大,但是你還是應該考慮是否有必要把一些重要的用戶數(shù)據(jù)(文件,數(shù)據(jù)表,項目文件等)存放在另外一個安全的服務器中,并且經(jīng)常備份它們。

21.不讓系統(tǒng)顯示上次登陸的

戶鎖定時間 20分鐘

帳戶鎖定閾值 3次

19．設定安全記

安全記錄在默認情況下是沒有保護的,把他設置成只有Administrator和系統(tǒng)帳戶才有權訪問。

20．把敏感文件存放在另外的文件服務器中

放在另外的文件服務器中

雖然現(xiàn)在服務器的硬盤容量都很大,但是你還是應該考慮是否有必要把一些重要的用戶數(shù)據(jù)(文件,數(shù)據(jù)表,項目文件等)存放在另外一個安全的服務器中,并且經(jīng)常

把 REG_SZ 的鍵值改成 1 .

22．禁止建立空連接

終端服務接入服務器時,登陸對話框中會顯示上次登陸的帳戶明,本地的登陸對話框也是一樣。這使得別人可以很容易的

Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous

的值改成”1”即可。

23.到微軟網(wǎng)站下載最新的補丁程序

24. 關閉 D

這是C2級安全標準對視頻卡和內存的要求。關閉DirectDraw可能對一些需要用到DirectX的程序有影響（比如游戲,在服務器上玩星際爭霸？我暈..$%$^%^&??）,但是對于絕大多數(shù)的商業(yè)站點都應該是沒有影響的。

修改注冊表 HKLMSYSTEMCurrentControlSetControlGraphicsDriversDCI 的Timeout(REG_DWORD)為

0 即可。

25.關閉默認共享

win2000安裝好以后,系統(tǒng)會創(chuàng)建一些隱藏的共享,你可以在cmd下打 net share

查看他們。網(wǎng)上有很多關于IPC入侵的文章,相信大家一定對它不陌生。要禁止這些共享 ,打開 管理工具>計算機管理>共享文件夾>共享

在相應的共享文件夾上按右鍵,點停止共享即可,不過機器重新啟動后,這些共享又會重新開啟的。

默認共享目錄 路徑和功能

C$ D$ E$

每個分區(qū)的根目錄。Win2000 Pro版中,只有Administrator

和Backup Operators組成員才可連接,Win2000

Server版本

Server Operatros組也可以連接到這些共享目錄

ADMIN$ %SYSTEMROOT%

遠程管理用的共享目錄。它的路徑永遠都

指向Win2000的安裝路徑,比如 c:winnt

FAX$ 在Win2000

Server中,FAX$在fax客戶端發(fā)傳真的時候會到。

IPC$ 空連接。IPC$共享提供了登錄到系統(tǒng)的能力。

NetLogon

這個共享在Windows 2000 服務器的Net Login 服務在處

理登陸域請求時用到

PRINT$

%SYSTEMROOT%SYSTEM32SPOOLDRIVERS

用戶遠程管理打印機

解決辦法：

打開注冊表編輯器。REGEDIT

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServi

dump文件在系統(tǒng)崩潰和藍屏的時候是一份很有用的查找問題的資料(不然我就照字面意思翻譯成垃圾文件了)。然而,它也能夠給黑客提供一些敏感信息比如一些應用程序的密碼等。要禁止它,打開

控制面板>系統(tǒng)屬性>高級>啟動和故障恢復 把 寫入調試信息 改成無。要用的時候,可以再重新打開它。

27使用文件加

Windows2000

強大的加密系統(tǒng)能夠給磁盤,文件夾,文件加上一層安全保護。這樣可以防止別人把你的硬盤掛到別的機器上以讀出里面的數(shù)據(jù)。記住要給文件夾也使用EFS,而不僅僅是單個的文件。

有關EFS的具體信息可以查看

<A

href=";

target=_blank>

一些應用程序在安裝和升級的時候,會把一些東西拷貝到temp文件夾,但是當程序升級完畢或關閉的時候,它們并不會自己清除temp文件夾的內容。所以,給temp文件夾加密可以給你的文件多一層保護。

29.鎖住

在windows2000中,只有administrators和Backup

Operators才有從網(wǎng)絡上訪問注冊表的權限。如果你覺得還不夠的話,可以進一步設定注冊表訪問權限,詳細信息請參考：

<A

href=";

target=_blank>

頁面文件也就是調度文件,是win2000用來存儲沒有裝入內存的程序和數(shù)據(jù)文件部分的隱藏文件。一些第三方的程序可以把一些沒有的加密的密碼存在內存中,頁面文件中也可能含有另外一些敏感的資料。

要在關機的時候清楚頁面文件,可以編輯注冊表

HKLMSYSTEMCurrentControlSetControlSession

ManagerMemory Management

把ClearPageFileAtShutdown的值設置成1。

31禁

一些第三方的工具能通過引導系統(tǒng)來繞過原有的安全機制。如果你的服務器對安全要求非常高,可以考慮使用可移動軟盤和光驅。把機箱鎖起來扔不失為一個好方法。

32.考慮使用智能卡來代

對于密碼,總是使安全管理員進退兩難,容易受到 10phtcrack

等工具的攻擊,如果密碼太復雜,用戶把為了記住密碼,會把密碼到處亂寫。如果條件允許,用智能卡來代替復雜的密碼是一個很好的解決方法。

33.考慮使

正如其名字的含義,IPSec 提供 IP 數(shù)據(jù)包的安全性。IPSec

提供身份驗證、完整性和可選擇的機密性。發(fā)送方計算機在傳輸之前加密數(shù)據(jù),而接收方計算機在收到數(shù)據(jù)之后解密數(shù)據(jù)。利用IPSe

anagerMemory Management

把ClearPageFileAtShutdown的值設置成1。

31禁止從軟盤和CD

一些第三方的工具能通過引導系統(tǒng)來繞過原有的安全機制。如果你的服務器對安全要求非常高,可以考慮使用可移動軟盤和光驅。把機箱鎖起來扔不失為一個好方法。

32.考慮使用智能卡來代

對于密碼,總是使安全管理員進退兩難,容易受到 10phtcrack

等工具的攻擊,如果密碼太復雜,用戶把為了記住密碼,會把密碼到處亂寫。如果條件允許,用智能卡來代替復雜的密碼是一個很好的解決方法。

33.考慮使

正如其名字的含義,IPSec 提供 IP 數(shù)據(jù)包的安全性。IPSec

提供身份驗證、完整性和可選擇的機密性。發(fā)送方計算機在傳輸之前加密數(shù)據(jù),而接收方計算機在收到數(shù)據(jù)之后解密數(shù)據(jù)。利用IPSec可以使得系統(tǒng)的安全性能大大增強

接收方計算機在收到數(shù)據(jù)之后解密數(shù)據(jù)。利用IPSec可以使得系統(tǒng)的安全性能大大增強