服務器安全配置技巧--高級篇
1. 關閉 DirectDraw
這是C2級安全標準對視頻卡和內存的要求。關閉DirectDraw可能對一些需要用到DirectX的程序有影響(比如遊戲,在服務器上玩星際爭霸?我暈..$%$^%^&??),但是對於絕大多數的商業站點都應該是沒有影響的。 修改註冊表 HKLM/SYSTEM/CurrentControlSet/Control/GraphicsDrivers/DCI 的Timeout(REG_DWORD)爲 0 即可。
2.關閉默認共享
win2000安裝好以後,系統會創建一些隱藏的共享,你可以在cmd下打 net share 查看他們。網上有很多關於IPC入侵的文章,相信大家一定對它不陌生。要禁止這些共享 ,打開 管理工具>計算機管理>共享文件夾>共享 在相應的共享文件夾上按右鍵,點停止共享即可,不過機器重新啓動後,這些共享又會重新開啓的。
默認共享目錄 路徑和功能
C$ D$ E$ 每個分區的根目錄。Win2000 Pro版中,只有Administrator 和Backup Operators組成員纔可連接,Win2000 Server版本
Server Operatros組也可以連接到這些共享目錄ADMIN$ %SYSTEMROOT% 遠程管理用的共享目錄。它的路徑永遠都指向Win2000的安裝路徑,比如 c:/winnt
FAX$ 在Win2000 Server中,FAX$在fax客戶端發傳真的時候會到。
IPC$ 空連接。IPC$共享提供了登錄到系統的能力。
NetLogon 這個共享在Windows 2000 服務器的Net Login 服務在處
理登陸域請求時用到
PRINT$ %SYSTEMROOT%/SYSTEM32/SPOOL/DRIVERS 用戶遠程管理打印機
解決辦法:
打開註冊表編輯器。REGEDIT
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/lanmanserver/parameters
在右邊建立一個名爲AutoShareServer的DWORD鍵。值爲0
3.禁止dump file的產生
dump文件在系統崩潰和藍屏的時候是一份很有用的查找問題的資料(不然我就照字面意思翻譯成垃圾文件了)。然而,它也能夠給黑客提供一些敏感信息比如一些應用程序的密碼等。要禁止它,打開 控制面板>系統屬性>高級>啓動和故障恢復 把 寫入調試信息 改成無。要用的時候,可以再重新打開它。
4.使用文件加密系統EFS
Windows2000 強大的加密系統能夠給磁盤,文件夾,文件加上一層安全保護。這樣可以防止別人把你的硬盤掛到別的機器上以讀出裏面的數據。記住要給文件夾也使用EFS,而不僅僅是單個的文件。 有關EFS的具體信息可以查看
http://www.microsoft.com/windows200...ity/encrypt.asp
5.加密temp文件夾
一些應用程序在安裝和升級的時候,會把一些東西拷貝到temp文件夾,但是當程序升級完畢或關閉的時候,它們並不會自己清除temp文件夾的內容。所以,給temp文件夾加密可以給你的文件多一層保護。
6.鎖住註冊表
在windows2000中,只有administrators和Backup Operators纔有從網絡上訪問註冊表的權限。如果你覺得還不夠的話,可以進一步設定註冊表訪問權限,詳細信息請參考:
http://support.microsoft.com/suppor...s/Q153/1/83.asp
7.關機時清除掉頁面文件
頁面文件也就是調度文件,是win2000用來存儲沒有裝入內存的程序和數據文件部分的隱藏文件。一些第三方的程序可以把一些沒有的加密的密碼存在內存中,頁面文件中也可能含有另外一些敏感的資料。 要在關機的時候清楚頁面文件,可以編輯註冊表
HKLM/SYSTEM/CurrentControlSet/Control/Session Manager/Memory Management
把ClearPageFileAtShutdown的值設置成1。
8.禁止從軟盤和CD Rom啓動系統
一些第三方的工具能通過引導系統來繞過原有的安全機制。如果你的服務器對安全要求非常高,可以考慮使用可移動軟盤和光驅。把機箱鎖起來扔不失爲一個好方法。
9.考慮使用智能卡來代替密碼
對於密碼,總是使安全管理員進退兩難,容易受到 10phtcrack 等工具的攻擊,如果密碼太複雜,用戶把爲了記住密碼,會把密碼到處亂寫。如果條件允許,用智能卡來代替複雜的密碼是一個很好的解決方法。
10.考慮使用IPSec
正如其名字的含義,IPSec 提供 IP 數據包的安全性。IPSec 提供身份驗證、完整性和可選擇的機密性。發送方計算機在傳輸之前加密數據,而接收方計算機在收到數據之後解密數據。利用IPSec可以使得系統的安全性能大大增強。
服務器安全配置技巧--高級篇
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章
bat記錄遠程桌面連接登錄信息
jason1982
2019-02-24 12:57:09
Exchange Server 2010 POP3&IMAP設置詳解
lingping
2019-02-23 14:05:54
虛擬化技術--服務器虛擬化
dawei818
2019-02-23 14:05:39
windows 2008 全新仲裁模式
qyh282110204
2019-02-23 14:05:36
軟路由建立PPPOE服務器
ct19871125
2019-02-23 14:04:24
MySQL性能優化的21個最佳實踐
fdb2b
2019-02-23 14:01:03
centos下簡單實現日誌切割,並上傳至日誌服務器。
隨風上升
2019-02-23 13:59:02
如何[破解]觀看加密受保護的視頻文件
lichenjing9
2019-02-23 14:06:52
加密、解密的原理及Openssl創建CA和ssh的基礎應用
shang61511
2019-02-23 14:02:01
Python與家國天下
豌豆花下貓
2019-02-24 22:22:40
windows下配置php
jason1982
2019-02-24 12:57:09
windows2003+CA+S3300+802.1X
qyh282110204
2019-02-23 14:05:36
win7如何以管理員身份登錄
wwtwwttc
2019-02-23 14:05:22
[轉]SMTP&郵件系統常見錯誤代碼
lingping
2019-02-23 14:05:54
tortoisegit push 出錯 沒有生成puttykey
lftong
2019-02-23 14:00:30