由於Windows 2000漏洞較多,所以裝好之後,需要做以下幾件事情:
打補丁
微軟的作風就是三天一小補,五天一大補,漏洞太多,補一點就好一點,使用“開始→Windows Update”然後把所有的補丁都裝進去吧(《電腦報》第20期D12版曾有介紹)。
刪除默認共享
1.刪除IPC$共享
Windows 2000的缺省安裝很容易被***者取得賬號列表,即使安裝了最新的Service pack也是如此。在Windows 2000中有一個缺省共享IPC$,並且還有諸如admin$ C$ D$等等,而IPC$允許匿名用戶(即未經登錄的用戶)訪問,利用這個缺省共享可以取得用戶列表。要想防範這些,可將在“管理工具→本地安全策略→安全設置→本地策略→安全選項”中的“對匿名連接的額外限制”修改爲“不允許枚舉SAM賬號和共享”。就可以防止大部分此類連接,但是還沒完,如果使用NetHacker只要使用一個存在的賬號就又可以順利地取得所有的賬號名稱。所以,我們還需要另一種方法做後盾:
創建一個文件Startup.cmd,內容就是一行命令“net share ipc$ delete”(不包括引號)。
在Windows的計劃任務中增加一項任務,執行以上的startup.cmd,時間安排爲“計算機啓動時執行”,或者把這個文件放到“開始→程序→啓動”中讓它一啓動就刪除IPC$共享;
重新啓動服務器。
2.刪除admin$共享
修改註冊表HKEY_LOCAL_MACHIN
E\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters增加AutoShareWks子鍵(REG_DWORD),鍵值爲0。
3.清除默認磁盤共享C$、D$等
修改註冊表HKEY_LOCAL_MACHI
NE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters,增加AutoShareServer子鍵(REG_DWORD),鍵值爲0。
4.修改默認用戶名
在“管理工具→本地安全策略→安全設置→本地策略→安全選項”的“重命名來賓賬戶”將“guest”改成“abc”或者其他名字,下面機器登錄名字設爲名字,然後再把“重命名系統管理員賬戶”也改一下。有一次我掃描了一下我的IP段,就發現有多家網吧服務器的管理員名稱是默認的Administrator,並且是簡單密碼。這一點應該引起我們重視。
到此爲止,網吧的兩個服務器已經可以很安全穩定地運行下去了,當然別忘了每隔一兩天重啓一下服務器,以免服務器長時間超負荷運轉造成死機。