組策略訪問網站
A. 如何利用組策略使瀏覽器只能游覽特定網站
右鍵IE瀏覽器,屬性,或者IE菜單上工具/internat選項,選擇安全,再選擇受限制的站點,然後把你要禁止的網站名輸入進去。
接著,打開組策略,用戶配置/管理模版/windows組件/Internet Explorer/Internet控制面版,禁用安全頁,選擇啟動,刷新組策略或者重啟後,就可以了,安全頁打不開了,人家就改不了了,不過遇到懂組策略的人,你要是不再做點限制,這招沒效,因為人家可以改回來
B. 怎麼通過組策略里的IP安全策略實現電腦只能訪問一個網站
組策略裡面的IP安全策略,只能對埠做策略,比如說,你禁止某台計算機訪問網路,那麼做策略時就要禁掉80埠,但是這樣所有的網站都不可以訪問,所以組策略是不能具體到對某個網站進行封堵的!
C. 組策略如何限制IE訪問網站
在本篇技術指南中,將概要介紹你如何修改最重要的組策略安全設置。
在本篇技術指南中,將概要介紹你如何修改最重要的組策略安全設置。
你可以在採用Windows XP、2000和Server 2003操作系統的本地計算機上使用這些方法,或者在Server 2003和2000中的OU域名級上使用這些方法。為了簡明扼要和提供最新的信息,我准備介紹一下如何設置基於Windows Server 2003的域名。請記住,這些只是你在你的域名中能夠設置的組策略對象中最有可能出現問題的。按照我的觀點,這些設置可以保持或者破壞Windows的安全。而且由於設置的不同,你的進展也不同。因此,我鼓勵你在使用每一個設置之前都進行深入的研究,以確保這些設置能夠兼容你的網路。如果有可能的話,對這些設置進行試驗(如果你很幸運有一個測試環境的話)。
如果你沒有進行測試,我建議你下載和安裝微軟的組策略管理控制台(GPMC)來做這些改變。這個程序能夠把組策略管理任務集中到一個單一的界面讓你更全面地查看你的域名。要開始這個編輯流程,你就上載GPMC,擴展你的域名,用滑鼠右鍵點擊「預設域名策略」,然後選擇「編輯」。這樣就裝載了組策略對象編輯器。如果你要以更快的速度或者「次企業級」的方式編輯你的域名組策略對象,你可以在「開始」菜單中運行「gpedit.msc」。
1.確定一個預設的口令策略,使你的機構設置位於「計算機配置/Windows設置/安全設置/賬號策略/口令策略」之下。
2.為了防止自動口令破解,在「計算機配置/Windows設置/安全設置/賬號策略/賬號關閉策略」中進行如下設置:
·賬號關閉持續時間(確定至少5-10分鍾)
·賬號關閉極限(確定最多允許5至10次非法登錄)
·隨後重新啟動關閉的賬號(確定至少10-15分鍾以後)
3.在「計算機配置/Windows設置/安全設置/本地策略/檢查策略」中啟用如下功能:
·檢查賬號管理
·檢查登錄事件
·檢查策略改變
·檢查許可權使用
·檢查系統事件
理想的情況是,你要啟用記錄成功和失敗的登錄。但是,這取決於你要保留什麼類型的記錄以及你是否能夠管理這些記錄。Roberta Bragg在這里介紹了一些普通的檢查記錄設置。要記住,啟用每一種類型的記錄都需要你的系統處理器和硬碟提供更多的資源。
4.作為增強Windows安全的最佳做法和為攻擊者設置更多的障礙以減少對Windows的攻擊,你可以在「計算機配置/Windows設置/安全設置/本地策略/安全選項」中進行如下設置:
·賬號:重新命名管理員賬號--不是要求更有效而是增加一個安全層(確定一個新名字)
·賬號:重新命名客戶賬號(確定一個新名字)
·互動式登錄:不要顯示最後一個用戶的名字(設置為啟用)
·互動式登錄:不需要最後一個用戶的名字(設置為關閉)
·互動式登錄: 為企圖登錄的用戶提供一個消息文本(確定為讓用戶閱讀banner text(旗幟文本),內容大致為「這是專用和受控的系統。
如果你濫用本系統,你將受到制裁。--首先讓你的律師運行這個程序)
·互動式登錄: 為企圖登錄的用戶提供的消息題目--在警告!!!後面寫的東西
·網路接入:不允許SAM賬號和共享目錄(設置為「啟用」)
·網路接入:將「允許每一個人申請匿名用戶」設置為關閉
·網路安全:「不得存儲區域網管理員關於下一個口令變化的散列值」設置為「啟用」
·關機:「允許系統在沒有登錄的情況下關閉」設置為「關閉」
·關機:「清除虛擬內存的頁面文件」設置為「啟用」
如果你沒有Windows Server 2003域名控制器,你在這里可以找到有哪些Windows XP本地安全設置的細節,以及這里有哪些詳細的Windows 2000 Server組策略的設置。要了解更多的有關Windows Server 2003組策略的信息,請查看微軟的專門網頁。
十一、如何設置IE中的安全設置選項按鈕?
問:我在Windows 2000桌面右擊IE圖標並選擇「屬性」,選擇了「安全」標簽後,發現「自定義級別」和「默認級別」按鈕變成灰色不可選狀態,無法改變IE的安全等級。請問該如何解決?
答:出現這個問題的原因是系統在注冊表中添加了一個「SecChangeSettings」鍵進行了限制。請打開注冊表編輯器,找到[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel],將右側窗口中的「SecChangeSettings」鍵刪除後,重啟IE即可解決問題。
十二、FAT32轉換為NTFS
如果要使用文件訪問許可權,文件還必須位於NTFS文件系統的分區上。跟FAT和FAT32文件系統相比,NTFS文件系統可以在保持簇大小不變的情況下支持更大的分區,還有一系列的安全特性,建議使用。不過DOS和Windows 9x操作系統並不能支持這種文件系統。有兩種方法獲得NTFS文件系統的分區:創建一個分區,然後格式化為NTFS文件系統;或者把現有的FAT或者FAT32文件系統的分區在保留數據的前提下轉化為NTFS文件系統。這個轉化可以使用Windows自帶的convert.exe程序,在命令行狀態下輸入「convert c:/fs:ntfs」並回車就可以把C盤轉換,其他盤需要替換C為相應的盤符。另外要注意,轉換系統盤可能需要你重啟動系統才能完成。
十三、用組策略從十大方面保護Windows安全
Windows操作系統中組策略的應用無處不在,如何讓系統更安全,也是一個常論不休的話題,下面就讓我們一起來看看通過組策略如何給Windows系統練就一身金鍾罩。
一、給我們的IP添加安全策略
在「計算機配置」→「Windows設置」→「安全設置」→「IP 安全策略,在本地計算機」下與有與網路有關的幾個設置項目(如圖1)。如果大家對Internet較為熟悉,那也可以通過它來添加或修改更多的網路安全設置,這樣在Windows上運行網路程序或者暢游Internet時將會更加安全。
小提示 :由於此項較為專業,其間會涉及到很多的專業概念,一般用戶用不到,在這里只是給網路管理員們提個醒,因此在此略過。
二、隱藏驅動器
平時我們隱藏文件夾後,別人只需在文件夾選項里顯示所有文件,就可以看見了,我們可以在組策略里刪除這個選項:選擇「用戶配置→管理模板→Windows組件→Windows資源管理器」。
三、禁用指定的文件類型
在「組策略」中,我們可以禁用SHS、MSI、BAT、CMD、COM、EXE等程序文件類型,而且不影響系統的正常運行。這里假設我們要禁用注冊表的REG文件,不讓系統運行REG文件,具體操作方法如下:
1. 打開組策略,點擊「計算機配置→Windows設置→安全設置→軟體限制策略」,在彈出的右鍵菜單上選擇「創建軟體限制策略」,即生成「安全級別」、「其他規則」及「強制」、「指派的文件類型」、「受信任的出版商」項。
2. 雙擊「指派的文件類型」打開「指派的文件類型屬性」窗口,只留下REG文件類型,將其他的文件全部刪除,如果還有其他的文件類型要禁用,可以再次打開這個窗口,在「文件擴展名」空白欄里輸入要禁用的文件類型,將它添加上去。
3. 雙擊「安全級別→不允許的」項,點擊「設為默認」按鈕。然後注銷系統或者重新啟動系統,此策略即生效,運行REG文件時,會提示「由於一個軟體限制策略的阻止,Windows無法打開此程序」。
4.要取消此軟體限制策略的話,雙擊「安全級別→不受限的」,打開「不受限的屬性」窗口,按「設為默認值」即可。
如果你滑鼠右鍵點擊「計算機配置→Windows設置→安全設置→軟體限制策略→其他規則」,你會看到它可以建立哈希規則、Internet 區域規則、路徑規則等策略,利用這些規則我們可以讓系統更加安全,比如利用「路徑規則」可以為電子郵件程序用來運行附件的文件夾創建路徑規則,並將安全級別設置為「不允許的」,以防止電子郵件病毒。
提示:為了避免「軟體限制策略」將系統管理員也限制,我們可以雙擊「強制」,選擇「除本地管理員以外的所有用戶」。如果用你的是文件類型限制策略,此選項可以確保管理員有權運行被限制的文件類型,而其他用戶無權運行。
四、未經許可,不得在本機登錄
使用電腦時,我們有時要離開座位一段時間。如果有很多正在打開的文檔還沒有處理完成或者正在下載東西、掛POPO等等,為了避免有人動用電腦,我們一般會把電腦鎖定。但是在區域網中,為了方便網路登錄,我們有時候會建立一些來賓賬戶,如果對方利用這些賬戶來注銷當前賬戶登錄到別的賬戶,那就麻煩了。既然我們不能刪除或禁用這些賬戶,那麼我們可以通過「組策略」來禁止一些賬戶在本機上登錄,讓對方只能通過網路登錄。
在「組策略」窗口中依次打開「計算機配置→Windows設置→安全設置→本地策略→用戶許可權分配」,然後雙擊右側窗格的「拒絕本地登錄」項,在彈出的窗口中添加要禁止的用戶或組即可實現。
如果我們想反其道而行之,禁止用戶從網路登錄,只能從本地登錄,可以雙擊「拒絕從網路訪問這台計算機」項將用戶加上去。
五、給「休眠」和「待機」加個密碼
只有「屏幕保護」有密碼是遠遠不夠安全的,我們還要給「休眠」和「待機」加上密碼,這樣才會更安全。讓我們來給「休眠」和「待機」加上密碼吧。在「組策略」窗口中展開「用戶配置→管理模板→系統→電源管理」,在右邊的窗格中雙擊「從休眠/掛起恢復時提示輸入密碼」,將其設置為「已啟用」(圖5),那麼當我們從「待機」或「休眠」狀態返回時將會要求你輸入用戶密碼。
六、自動給操作做個記錄
在「計算機配置→Windows設置→安全設置→本地策略→審核策略」上,我們可以看到它可以審核策略更改、登錄事件、對象訪問、過程追蹤、目錄服務訪問、特權使用等(圖6)。這些審核可以記錄下你某年某月某日某時某分某秒做過了什麼操作:幾時登錄、關閉系統或更改過哪些策略等等。
我們應該養成經常在「控制面板→管理工具→事件查看器」里查看事件的好習慣。比如,當你修改過「組策略」後,系統就發生了問題,此時「事件查看器」就會及時告訴你改了哪些策略。在「登錄事件」里,你可以查看到詳細的登錄事件,知道有人曾嘗試使用禁用的賬戶登錄、誰的賬戶密碼已過期……而要啟用哪些審核,只要雙擊相應的項目,選中「成功」和「失敗」兩個選項即可。
注意:Windows XP Home Edition沒有「組策略」,只有Windows XP Professional版本才有「組策略」,這一點注意。
七、限制IE瀏覽器的保存功能
當多人共用一台計算機時,為了保持硬碟的整潔,需要對瀏覽器的保存功能進行限制使用,那麼如何才能實現呢?具體方法為:選擇「用戶設置」→「管理模板」→「Windows組件」→「Internet Explorer」→「瀏覽器菜單」分支。雙擊右側窗格中的「『文件』菜單:禁用『另存為…』菜單項」,在打開的設置窗口中選中「已啟用」單選按鈕(如圖7)。
提示 : 我們還可以對「『文件』菜單:禁用另存為網頁菜單項」、「『查看』菜單:禁用『源文件』菜單項」和「禁用上下文菜單」等策略項目進行修改,這樣我們的IE將會安全一些。
八、禁止修改IE瀏覽器的主頁
如果您不希望他人或網路上的一些惡意代碼對自己設定的IE瀏覽器主頁進行隨意更改的話,我們可以選擇「用戶配置」→「管理模板」→「Windows 組件」→「Internet Explorer」分支,然後在右側窗格中,雙擊「禁用更改主頁設置」策略啟用即可。
(1)在圖8,還提供了更改歷史記錄設置、更改顏色設置和更改Internet臨時文件設置等項目的禁用功能。如果啟用了這個策略,在IE瀏覽器的「Internet 選項」對話框中,其「常規」選項卡的「主頁」區域的設置將變灰。
(2)如果設置了位於「用戶配置」→「管理模板」→「Windows 組件」→「Internet Explorer」→「Internet 控制面板」中的「禁用常規頁」策略,則無需設置該策略,因為「禁用常規頁」策略將刪除界面上的「常規」選項卡。
(3)逐級展開「用戶設置」→「管理模板」→「Windows組件」→「Internet Explorer」分支,我們可以在其下發現「Internet控制面板」、「離線頁」、「瀏覽器菜單」、「工具欄」、「持續行為」和「管理員認可的控制項」等策略選項。利用它可以充分打造一個極有個性和安全的IE。
九、把Administrator藏起來
Windows系統默認的系統管理員賬戶名是Administrator。因此,為了避免有人惡意破解系統管理員Administrator賬戶的密碼,我們可以將Administrator改為其他名字以加強安全。點擊「開始→運行」,輸入gpedit.msc,打開「組策略」,如圖9所示,選擇「計算機配置→Windows設置→安全設置→本地策略→安全選項」,在右邊窗格里雙擊「賬戶:重命名系統管理員賬戶」項,在上面輸入你想要的用戶名。重新啟動計算機後,輸入的新用戶名即刻生效。如果再新建一個Guest用戶,用戶名為Administrator,然後再加上十分復雜的密碼就更安全。
提示:為了避免讓人在Windows的登錄框中看到曾經登錄過的用戶名,就要雙擊「互動式登錄:不顯示上次的用戶名」子項,選擇「已啟用」將該策略啟用。這樣上次登錄到計算機的用戶名就不會顯示在Windows的登錄畫面中。
十.禁用IE組件自動安裝
選擇「計算機配置」→「管理模板」→「Windows組件」→「Internet Explorer」項目,雙擊右邊窗口中「禁用Internet Explorer組件的自動安裝」項目,在打開的窗口中選擇「已啟用」單選按鈕(如圖10),將會禁止 Internet Explorer 自動安裝組件。這樣可以防止 Internet Explorer 在用戶訪問到需要某個組件的網站時下載該組件,篡改IE的行為也會得到遏制!相對來說IE也會安全許多!
小提示
如果禁用該策略或不對其進行配置,則用戶在訪問需要某個組件的網站時,將會收到一則消息,提示用戶下載並安裝該組件。有時用戶看也不看就選擇「安裝」則往往會出問題。網上的很多惡意代碼往往都是這樣工作的。
十四、Windows 2000 安全檢查清單
在網上偶爾看到這篇關於Window 2000安全的問題,雖然有點老了,但覺得還是挺實用的,於是就轉過來了,希望大家有所幫助。注意:很多操作請不要在伺服器上直接嘗試,因為操作不當可能會引起伺服器很多功能出錯或無法使用,建議您在個人的機器上操作成功後再試。 ---51windows(海娃)
前段時間,中美網路大戰,我看了一些被黑的伺服器,發現絕大部分被黑的伺服器都是Nt/win2000的機器,真是慘不忍睹。Windows2000 真的那麼不安全么?其實,Windows2000 含有很多的安全功能和選項,如果你合理的配置它們,那麼windows 2000將會是一個很安全的操作系統.我抽空翻了一些網站,翻譯加湊數的整理了一篇checklist出來。希望對win2000管理員有些幫助。本文並沒有什麼高深的東西,所謂的清單,也並不完善,很多東西要等以後慢慢加了,希望能給管理員作一參考。
具體清單如下:
初級安全篇
1.物理安全
伺服器應該安放在安裝了監視器的隔離房間內,並且監視器要保留15天以上的攝像記錄。另外,機箱,鍵盤,電腦桌抽屜要上鎖,以確保旁人即使進入房間也無法使用電腦,鑰匙要放在另外的安全的地方。
2.停掉Guest 帳號
在計算機管理的用戶裡面把guest帳號停用掉,任何時候都不允許guest帳號登陸系統。為了保險起見,最好給guest 加一個復雜的密碼,你可以打開記事本,在裡面輸入一串包含特殊字元,數字,字母的長字元串,然後把它作為guest帳號的密碼拷進去。
3.限制不必要的用戶數量
去掉所有的plicate user 帳戶, 測試用帳戶, 共享帳號,普通部門帳號等等。用戶組策略設置相應許可權,並且經常檢查系統的帳戶,刪除已經不在使用的帳戶。這些帳戶很多時候都是黑客們入侵系統的突破口,系統的帳戶越多,黑客們得到合法用戶的許可權可能性一般也就越大。國內的nt/2000主機,如果系統帳戶超過10個,一般都能找出一兩個弱口令帳戶。我曾經發現一台主機197個帳戶中竟然有180個帳號都是弱口令帳戶。
4.創建2個管理員用帳號
雖然這點看上去和上面這點有些矛盾,但事實上是服從上面的規則的。創建一個一般許可權帳號用來收信以及處理一些日常事物,另一個擁有Administrators 許可權的帳戶只在需要的時候使用。可以讓管理員使用 「 RunAS」 命令來執行一些需要特權才能作的一些工作,以方便管理。
5.把系統administrator帳號改名
大家都知道,windows 2000 的administrator帳號是不能被停用的,這意味著別人可以一遍又一邊的嘗試這個帳戶的密碼。把Administrator帳戶改名可以有效的防止這一點。當然,請不要使用Admin之類的名字,改了等於沒改,盡量把它偽裝成普通用戶,比如改成:guestone 。
6.創建一個陷阱帳號
什麼是陷阱帳號? Look!>創建一個名為」 Administrator」的本地帳戶,把它的許可權設置成最低,什麼事也幹不了的那種,並且加上一個超過10位的超級復雜密碼。這樣可以讓那些 Scripts s忙上一段時間了,並且可以藉此發現它們的入侵企圖。或者在它的login scripts上面做點手腳。嘿嘿,夠損!
7.把共享文件的許可權從」everyone」組改成「授權用戶」
「everyone」 在win2000中意味著任何有權進入你的網路的用戶都能夠獲得這些共享資料。任何時候都不要把共享文件的用戶設置成」everyone」組。包括列印共享,默認的屬性就是」everyone」組的,一定不要忘了改。
8.使用安全密碼
一個好的密碼對於一個網路是非常重要的,但是它是最容易被忽略的。前面的所說的也許已經可以說明這一點了。一些公司的管理員創建帳號的時候往往用公司名,計算機名,或者一些別的一猜就到的東西做用戶名,然後又把這些帳戶的密碼設置得N簡單,比如 「welcome」 「iloveyou」 「letmein」或者和用戶名相同等等。這樣的帳戶應該要求用戶首此登陸的時候更改成復雜的密碼,還要注意經常更改密碼。前些天在IRC和人討論這一問題的時候,我們給好密碼下了個定義:安全期內無法破解出來的密碼就是好密碼,也就是說,如果人家得到了你的密碼文檔,必須花43天或者更長的時間才能破解出來,而你的密碼策略是42天必須改密碼。
9.設置屏幕保護密碼
很簡單也很有必要,設置屏幕保護密碼也是防止內部人員破壞伺服器的一個屏障。注意不要使用OpenGL和一些復雜的屏幕保護程序,浪費系統資源,讓他黑屏就可以了。還有一點,所有系統用戶所使用的機器也最好加上屏幕保護密碼。
10. 使用NTFS格式分區
把伺服器的所有分區都改成NTFS格式。NTFS文件系統要比FAT,FAT32的文件系統安全得多。這點不必多說,想必大家得伺服器都已經是NTFS的了。
11.運行防毒軟體
我見過的Win2000/Nt伺服器從來沒有見到有安裝了防毒軟體的,其實這一點非常重要。一些好的殺毒軟體不僅能殺掉一些著名的病毒,還能查殺大量木馬和後門程序。這樣的話,「黑客」們使用的那些有名的木馬就毫無用武之地了。不要忘了經常升級病毒庫
12.保障備份盤的安全
一旦系統資料被破壞,備份盤將是你恢復資料的唯一途徑。備份完資料後,把備份盤防在安全的地方。千萬別把資料備份在同一台伺服器上,那樣的話,還不如不要備份。
中級安全篇:
1.利用win2000的安全配置工具來配置策略
微軟提供了一套的基於MMC(管理控制台)安全配置和分析工具,利用他們你可以很方便的配置你的伺服器以滿足你的要求。具體內容請參考微軟主頁:
www.microsoft.com/windows2000/techinfo/howitworks/security/sctoolset.asp
2.關閉不必要的服務
windows 2000 的 Terminal Services(終端服務),IIS ,和RAS都可能給你的系統帶來安全漏洞。為了能夠在遠程方便的管理伺服器,很多機器的終端服務都是開著的,如果你的也開了,要確認你已經正確的配置了終端服務。有些惡意的程序也能以服務方式悄悄的運行。要留意伺服器上面開啟的所有服務,中期性(每天)的檢查他們。下面是C2級別安裝的默認服務:
Computer Browser service TCP/IP NetBIOS Helper
Microsoft DNS server Spooler
NTLM SSP Server
RPC Locator WINS
RPC service Workstation
Netlogon Event log
3.關閉不必要的埠
關閉埠意味著減少功能,在安全和功能上面需要你作一點決策。如果伺服器安裝在防火牆的後面,冒的險就會少些,但是,永遠不要認為你可以高枕無憂了。用埠掃描器掃描系統所開放的埠,確定開放了哪些服務是黑客入侵你的系統的第一步。\system32\drivers\etc\services 文件中有知名埠和服務的對照表可供參考。具體方法為:
網上鄰居>屬性>本地連接>屬性>internet 協議(tcp/ip)>屬性>高級>選項>tcp/ip篩選>屬性打開tcp/ip篩選,添加需要的tcp,udp,協議即可。
4.打開審核策略
開啟安全審核是win2000最基本的入侵檢測方法。當有人嘗試對你的系統進行某些方式(如嘗試用戶密碼,改變帳戶策略,未經許可的文件訪問等等)入侵的時候,都會被安全審核記錄下來。很多的管理員在系統被入侵了幾個月都不知道,直到系統遭到破壞。下面的這些審核是必須開啟的,其他的可以根據需要增加:
策略 設置
審核系統登陸事件 成功,失敗
審核帳戶管理 成功,失敗
審核登陸事件 成功,失敗
審核對象訪問 成功
審核策略更改 成功,失敗
審核特權使用 成功,失敗
審核系統事件 成功,失敗
5.開啟密碼密碼策略
策略 設置
密碼復雜性要求 啟用
密碼長度最小值 6位
強制密碼歷史 5 次
強制密碼歷史 42 天
6.開啟帳戶策略
策略 設置
復位帳戶鎖定計數器 20分鍾
帳戶鎖定時間 20分鍾
帳戶鎖定閾值 3次
7.設定安全記錄的訪問許可權
安全記錄在默認情況下是沒有保護的,把他設置成只有Administrator和系統帳戶才有權訪問。
8.把敏感文件存放在另外的文件伺服器中
雖然現在伺服器的硬碟容量都很大,但是你還是應該考慮是否有必要把一些重要的用戶數據(文件,數據表,項目文件等)存放在另外一個安全的伺服器中,並且經常備份它們。
9.不讓系統顯示上次登陸的用戶名
默認情況下,終端服務接入伺服器時,登陸對話框中會顯示上次登陸的帳戶明,本地的登陸對話框也是一樣。這使得別人可以很容易的得到系統的一些用戶名,進而作密碼猜測。修改注冊表可以不讓對話框里顯示上次登陸的用戶名,具體是: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\DontDisplayLastUserName 把 REG_SZ 的鍵值改成 1 .
10.禁止建立空連接
默認情況下,任何用戶通過通過空連接連上伺服器,進而枚舉出帳號,猜測密碼。我們可以通過修改注冊表來禁止建立空連接: Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成」1」即可。
11.到微軟網站下載最新的補丁程序
很多網路管理員沒有訪問安全站點的習慣,以至於一些漏洞都出了很久了,還放著伺服器的漏洞不補給人家當靶子用。誰也不敢保證數百萬行以上代碼的2000不出一點安全漏洞,經常訪問微軟和一些安全站點,下載最新的service pack和漏洞補丁,是保障伺服器長久安全的唯一方法。
D. 怎樣使用windows的組策略禁止訪問某一網站或IP
「網協」 = IP address
「域名」 = Domain name
網站通常由 地址(託管機房)、域名(主機空間)、備案(中國特色) 組成。
為預防一些已知的安全問題,通常用HOSTS文件屏蔽惡意網址[1]、用IP安全策略彌補HOSTS的不足[2]
封域名用HOSTS文件[C:WINDOWSsystem32driversetc]
封網協用IP安全策略[運行gpedit.msc組策略("本地計算機"策略)--計算機配置--Windows設置--安全設置--IP安全策略,在本地計算機---裡面的不難,自己去摸索]
[1]
最好的例子是:①防止自己誤點多特華軍廣告、②防止誤入黑窩點被盜用賬號、③屏蔽網路推廣及優酷廣告、④科學你懂的
[2]
比如裝有360流氓衛士的電腦,休想在HOSTS文件中放入「360自認為敏感的關鍵詞」,具體情況如下:
你向HOSTS文件加入【127.0.0.1 *.360.cn】、設屬性為「只讀」、「隱藏」、「系統」,呵呵,你廢了....
3分鍾之內你的HOSTS文件就會被SB篡改,更可氣的是,hosts.backup竟然不保留你的【編碼】及【換行方式】,
連DiskGenius也拿周鴻偉(中國互聯網界臭名昭著的頭號流氓,與方濱興的排名不相上下)沒辦法——無法恢復!
E. 怎樣使用 windows的組策略禁止訪問某一網站或IP
在IE的工具欄中選擇安全,然後選擇受限站點,然後點設置,再輸入你想限制的網址就好了。簡單。
F. 如何通過組策略訪問指定的網站
開始——設置(控制面板)——本地安全策略(用戶策略)然後把指定網站網址拖進去
補充回答:選擇internet
G. 如何讓區域網其他電腦通過IP直接訪問自己電腦的網站
方法如下:
1、查看自己ip 如果你是自動獲取ip的話 開始--運行--cmd--輸入ipconfig查看自己Ip
2、控制面板--網路和intelnet--查看網路狀態選項--更改高級共享設置--啟用網路發現
3、共享你的文件夾
如果還不行 需要進行組策略設置(家庭版系統這里不管用)
右擊我的電腦--管理--本地用戶和組--用戶--把guest賬戶打開
4、開始--運行--gpedit.msc--計算機配置--windows設置--安全設置--本地策略--用戶許可權分配--從網路訪問此計算機裡面添加用戶和組--高級--立即查找,把guest加進去,然後拒絕本地登錄里把guest刪掉,拒絕從網路訪問此計算機里把guest刪掉,允許本地登錄里把guest加上,重啟。
H. 通過組策略或注冊表限制上特定網站
有兩種方法可以達到這個目的:
1. 刪除TCP/IP協議的DNS伺服器,然後,修改windows\system32\drivers\etc目錄下的hosts文件,用記事本打開,在最下面添加一行:
(IP地址) (網址)
比如:
61.135.253.11 www.163.com
保存。這樣,就只有hosts文件裡面指定的網址可以訪問了。注意左邊的IP地址必須是右邊網址的正確的IP地址,用ping www.163.com 命令可以得到IP地址。
2. 用組策略裡面的IP安全策略,添加兩個篩選器,第一個篩選器是允許從本地訪問遠程指定的IP地址;第二個篩選器是禁止本地訪問遠程所有IP地址,兩個篩選器的順序不能錯。
至於IP安全策略,我空間有圖解。
I. 怎樣通過組策略限制某網站的瀏覽
在本篇技術指南中,將概要介紹你如何修改最重要的組策略安全設置。
在本篇技術指南中,將概要介紹你如何修改最重要的組策略安全設置。
你可以在採用Windows XP、2000和Server 2003操作系統的本地計算機上使用這些方法,或者在Server 2003和2000中的OU域名級上使用這些方法。為了簡明扼要和提供最新的信息,我准備介紹一下如何設置基於Windows Server 2003的域名。請記住,這些只是你在你的域名中能夠設置的組策略對象中最有可能出現問題的。按照我的觀點,這些設置可以保持或者破壞Windows的安全。而且由於設置的不同,你的進展也不同。因此,我鼓勵你在使用每一個設置之前都進行深入的研究,以確保這些設置能夠兼容你的網路。如果有可能的話,對這些設置進行試驗(如果你很幸運有一個測試環境的話)。
如果你沒有進行測試,我建議你下載和安裝微軟的組策略管理控制台(GPMC)來做這些改變。這個程序能夠把組策略管理任務集中到一個單一的界面讓你更全面地查看你的域名。要開始這個編輯流程,你就上載GPMC,擴展你的域名,用滑鼠右鍵點擊「預設域名策略」,然後選擇「編輯」。這樣就裝載了組策略對象編輯器。如果你要以更快的速度或者「次企業級」的方式編輯你的域名組策略對象,你可以在「開始」菜單中運行「gpedit.msc」。
1.確定一個預設的口令策略,使你的機構設置位於「計算機配置/Windows設置/安全設置/賬號策略/口令策略」之下。
2.為了防止自動口令破解,在「計算機配置/Windows設置/安全設置/賬號策略/賬號關閉策略」中進行如下設置:
·賬號關閉持續時間(確定至少5-10分鍾)
·賬號關閉極限(確定最多允許5至10次非法登錄)
·隨後重新啟動關閉的賬號(確定至少10-15分鍾以後)
3.在「計算機配置/Windows設置/安全設置/本地策略/檢查策略」中啟用如下功能:
·檢查賬號管理
·檢查登錄事件
·檢查策略改變
·檢查許可權使用
·檢查系統事件
理想的情況是,你要啟用記錄成功和失敗的登錄。但是,這取決於你要保留什麼類型的記錄以及你是否能夠管理這些記錄。Roberta Bragg在這里介紹了一些普通的檢查記錄設置。要記住,啟用每一種類型的記錄都需要你的系統處理器和硬碟提供更多的資源。
4.作為增強Windows安全的最佳做法和為攻擊者設置更多的障礙以減少對Windows的攻擊,你可以在「計算機配置/Windows設置/安全設置/本地策略/安全選項」中進行如下設置:
·賬號:重新命名管理員賬號--不是要求更有效而是增加一個安全層(確定一個新名字)
·賬號:重新命名客戶賬號(確定一個新名字)
·互動式登錄:不要顯示最後一個用戶的名字(設置為啟用)
·互動式登錄:不需要最後一個用戶的名字(設置為關閉)
·互動式登錄: 為企圖登錄的用戶提供一個消息文本(確定為讓用戶閱讀banner text(旗幟文本),內容大致為「這是專用和受控的系統。
如果你濫用本系統,你將受到制裁。--首先讓你的律師運行這個程序)
·互動式登錄: 為企圖登錄的用戶提供的消息題目--在警告!!!後面寫的東西
·網路接入:不允許SAM賬號和共享目錄(設置為「啟用」)
·網路接入:將「允許每一個人申請匿名用戶」設置為關閉
·網路安全:「不得存儲區域網管理員關於下一個口令變化的散列值」設置為「啟用」
·關機:「允許系統在沒有登錄的情況下關閉」設置為「關閉」
·關機:「清除虛擬內存的頁面文件」設置為「啟用」
如果你沒有Windows Server 2003域名控制器,你在這里可以找到有哪些Windows XP本地安全設置的細節,以及這里有哪些詳細的Windows 2000 Server組策略的設置。要了解更多的有關Windows Server 2003組策略的信息,請查看微軟的專門網頁。
十一、如何設置IE中的安全設置選項按鈕?
問:我在Windows 2000桌面右擊IE圖標並選擇「屬性」,選擇了「安全」標簽後,發現「自定義級別」和「默認級別」按鈕變成灰色不可選狀態,無法改變IE的安全等級。請問該如何解決?
答:出現這個問題的原因是系統在注冊表中添加了一個「SecChangeSettings」鍵進行了限制。請打開注冊表編輯器,找到[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel],將右側窗口中的「SecChangeSettings」鍵刪除後,重啟IE即可解決問題。
十二、FAT32轉換為NTFS
如果要使用文件訪問許可權,文件還必須位於NTFS文件系統的分區上。跟FAT和FAT32文件系統相比,NTFS文件系統可以在保持簇大小不變的情況下支持更大的分區,還有一系列的安全特性,建議使用。不過DOS和Windows 9x操作系統並不能支持這種文件系統。有兩種方法獲得NTFS文件系統的分區:創建一個分區,然後格式化為NTFS文件系統;或者把現有的FAT或者FAT32文件系統的分區在保留數據的前提下轉化為NTFS文件系統。這個轉化可以使用Windows自帶的convert.exe程序,在命令行狀態下輸入「convert c:/fs:ntfs」並回車就可以把C盤轉換,其他盤需要替換C為相應的盤符。另外要注意,轉換系統盤可能需要你重啟動系統才能完成。
十三、用組策略從十大方面保護Windows安全
Windows操作系統中組策略的應用無處不在,如何讓系統更安全,也是一個常論不休的話題,下面就讓我們一起來看看通過組策略如何給Windows系統練就一身金鍾罩。
一、給我們的IP添加安全策略
在「計算機配置」→「Windows設置」→「安全設置」→「IP 安全策略,在本地計算機」下與有與網路有關的幾個設置項目(如圖1)。如果大家對Internet較為熟悉,那也可以通過它來添加或修改更多的網路安全設置,這樣在Windows上運行網路程序或者暢游Internet時將會更加安全。
小提示 :由於此項較為專業,其間會涉及到很多的專業概念,一般用戶用不到,在這里只是給網路管理員們提個醒,因此在此略過。
二、隱藏驅動器
平時我們隱藏文件夾後,別人只需在文件夾選項里顯示所有文件,就可以看見了,我們可以在組策略里刪除這個選項:選擇「用戶配置→管理模板→Windows組件→Windows資源管理器」。
三、禁用指定的文件類型
在「組策略」中,我們可以禁用SHS、MSI、BAT、CMD、COM、EXE等程序文件類型,而且不影響系統的正常運行。這里假設我們要禁用注冊表的REG文件,不讓系統運行REG文件,具體操作方法如下:
1. 打開組策略,點擊「計算機配置→Windows設置→安全設置→軟體限制策略」,在彈出的右鍵菜單上選擇「創建軟體限制策略」,即生成「安全級別」、「其他規則」及「強制」、「指派的文件類型」、「受信任的出版商」項。
2. 雙擊「指派的文件類型」打開「指派的文件類型屬性」窗口,只留下REG文件類型,將其他的文件全部刪除,如果還有其他的文件類型要禁用,可以再次打開這個窗口,在「文件擴展名」空白欄里輸入要禁用的文件類型,將它添加上去。
3. 雙擊「安全級別→不允許的」項,點擊「設為默認」按鈕。然後注銷系統或者重新啟動系統,此策略即生效,運行REG文件時,會提示「由於一個軟體限制策略的阻止,Windows無法打開此程序」。
4.要取消此軟體限制策略的話,雙擊「安全級別→不受限的」,打開「不受限的屬性」窗口,按「設為默認值」即可。
如果你滑鼠右鍵點擊「計算機配置→Windows設置→安全設置→軟體限制策略→其他規則」,你會看到它可以建立哈希規則、Internet 區域規則、路徑規則等策略,利用這些規則我們可以讓系統更加安全,比如利用「路徑規則」可以為電子郵件程序用來運行附件的文件夾創建路徑規則,並將安全級別設置為「不允許的」,以防止電子郵件病毒。
提示:為了避免「軟體限制策略」將系統管理員也限制,我們可以雙擊「強制」,選擇「除本地管理員以外的所有用戶」。如果用你的是文件類型限制策略,此選項可以確保管理員有權運行被限制的文件類型,而其他用戶無權運行。
四、未經許可,不得在本機登錄
使用電腦時,我們有時要離開座位一段時間。如果有很多正在打開的文檔還沒有處理完成或者正在下載東西、掛POPO等等,為了避免有人動用電腦,我們一般會把電腦鎖定。但是在區域網中,為了方便網路登錄,我們有時候會建立一些來賓賬戶,如果對方利用這些賬戶來注銷當前賬戶登錄到別的賬戶,那就麻煩了。既然我們不能刪除或禁用這些賬戶,那麼我們可以通過「組策略」來禁止一些賬戶在本機上登錄,讓對方只能通過網路登錄。
在「組策略」窗口中依次打開「計算機配置→Windows設置→安全設置→本地策略→用戶許可權分配」,然後雙擊右側窗格的「拒絕本地登錄」項,在彈出的窗口中添加要禁止的用戶或組即可實現。
如果我們想反其道而行之,禁止用戶從網路登錄,只能從本地登錄,可以雙擊「拒絕從網路訪問這台計算機」項將用戶加上去。
五、給「休眠」和「待機」加個密碼
只有「屏幕保護」有密碼是遠遠不夠安全的,我們還要給「休眠」和「待機」加上密碼,這樣才會更安全。讓我們來給「休眠」和「待機」加上密碼吧。在「組策略」窗口中展開「用戶配置→管理模板→系統→電源管理」,在右邊的窗格中雙擊「從休眠/掛起恢復時提示輸入密碼」,將其設置為「已啟用」(圖5),那麼當我們從「待機」或「休眠」狀態返回時將會要求你輸入用戶密碼。
六、自動給操作做個記錄
在「計算機配置→Windows設置→安全設置→本地策略→審核策略」上,我們可以看到它可以審核策略更改、登錄事件、對象訪問、過程追蹤、目錄服務訪問、特權使用等(圖6)。這些審核可以記錄下你某年某月某日某時某分某秒做過了什麼操作:幾時登錄、關閉系統或更改過哪些策略等等。
我們應該養成經常在「控制面板→管理工具→事件查看器」里查看事件的好習慣。比如,當你修改過「組策略」後,系統就發生了問題,此時「事件查看器」就會及時告訴你改了哪些策略。在「登錄事件」里,你可以查看到詳細的登錄事件,知道有人曾嘗試使用禁用的賬戶登錄、誰的賬戶密碼已過期……而要啟用哪些審核,只要雙擊相應的項目,選中「成功」和「失敗」兩個選項即可。
注意:Windows XP Home Edition沒有「組策略」,只有Windows XP Professional版本才有「組策略」,這一點注意。
七、限制IE瀏覽器的保存功能
當多人共用一台計算機時,為了保持硬碟的整潔,需要對瀏覽器的保存功能進行限制使用,那麼如何才能實現呢?具體方法為:選擇「用戶設置」→「管理模板」→「Windows組件」→「Internet Explorer」→「瀏覽器菜單」分支。雙擊右側窗格中的「『文件』菜單:禁用『另存為…』菜單項」,在打開的設置窗口中選中「已啟用」單選按鈕(如圖7)。
提示 : 我們還可以對「『文件』菜單:禁用另存為網頁菜單項」、「『查看』菜單:禁用『源文件』菜單項」和「禁用上下文菜單」等策略項目進行修改,這樣我們的IE將會安全一些。
八、禁止修改IE瀏覽器的主頁
如果您不希望他人或網路上的一些惡意代碼對自己設定的IE瀏覽器主頁進行隨意更改的話,我們可以選擇「用戶配置」→「管理模板」→「Windows 組件」→「Internet Explorer」分支,然後在右側窗格中,雙擊「禁用更改主頁設置」策略啟用即可。
(1)在圖8,還提供了更改歷史記錄設置、更改顏色設置和更改Internet臨時文件設置等項目的禁用功能。如果啟用了這個策略,在IE瀏覽器的「Internet 選項」對話框中,其「常規」選項卡的「主頁」區域的設置將變灰。
(2)如果設置了位於「用戶配置」→「管理模板」→「Windows 組件」→「Internet Explorer」→「Internet 控制面板」中的「禁用常規頁」策略,則無需設置該策略,因為「禁用常規頁」策略將刪除界面上的「常規」選項卡。
(3)逐級展開「用戶設置」→「管理模板」→「Windows組件」→「Internet Explorer」分支,我們可以在其下發現「Internet控制面板」、「離線頁」、「瀏覽器菜單」、「工具欄」、「持續行為」和「管理員認可的控制項」等策略選項。利用它可以充分打造一個極有個性和安全的IE。
九、把Administrator藏起來
Windows系統默認的系統管理員賬戶名是Administrator。因此,為了避免有人惡意破解系統管理員Administrator賬戶的密碼,我們可以將Administrator改為其他名字以加強安全。點擊「開始→運行」,輸入gpedit.msc,打開「組策略」,如圖9所示,選擇「計算機配置→Windows設置→安全設置→本地策略→安全選項」,在右邊窗格里雙擊「賬戶:重命名系統管理員賬戶」項,在上面輸入你想要的用戶名。重新啟動計算機後,輸入的新用戶名即刻生效。如果再新建一個Guest用戶,用戶名為Administrator,然後再加上十分復雜的密碼就更安全。
提示:為了避免讓人在Windows的登錄框中看到曾經登錄過的用戶名,就要雙擊「互動式登錄:不顯示上次的用戶名」子項,選擇「已啟用」將該策略啟用。這樣上次登錄到計算機的用戶名就不會顯示在Windows的登錄畫面中。
十.禁用IE組件自動安裝
選擇「計算機配置」→「管理模板」→「Windows組件」→「Internet Explorer」項目,雙擊右邊窗口中「禁用Internet Explorer組件的自動安裝」項目,在打開的窗口中選擇「已啟用」單選按鈕(如圖10),將會禁止 Internet Explorer 自動安裝組件。這樣可以防止 Internet Explorer 在用戶訪問到需要某個組件的網站時下載該組件,篡改IE的行為也會得到遏制!相對來說IE也會安全許多!
小提示
如果禁用該策略或不對其進行配置,則用戶在訪問需要某個組件的網站時,將會收到一則消息,提示用戶下載並安裝該組件。有時用戶看也不看就選擇「安裝」則往往會出問題。網上的很多惡意代碼往往都是這樣工作的。
十四、Windows 2000 安全檢查清單
在網上偶爾看到這篇關於Window 2000安全的問題,雖然有點老了,但覺得還是挺實用的,於是就轉過來了,希望大家有所幫助。注意:很多操作請不要在伺服器上直接嘗試,因為操作不當可能會引起伺服器很多功能出錯或無法使用,建議您在個人的機器上操作成功後再試。 ---51windows(海娃)
前段時間,中美網路大戰,我看了一些被黑的伺服器,發現絕大部分被黑的伺服器都是Nt/win2000的機器,真是慘不忍睹。Windows2000 真的那麼不安全么?其實,Windows2000 含有很多的安全功能和選項,如果你合理的配置它們,那麼windows 2000將會是一個很安全的操作系統.我抽空翻了一些網站,翻譯加湊數的整理了一篇checklist出來。希望對win2000管理員有些幫助。本文並沒有什麼高深的東西,所謂的清單,也並不完善,很多東西要等以後慢慢加了,希望能給管理員作一參考。
具體清單如下:
初級安全篇
1.物理安全
伺服器應該安放在安裝了監視器的隔離房間內,並且監視器要保留15天以上的攝像記錄。另外,機箱,鍵盤,電腦桌抽屜要上鎖,以確保旁人即使進入房間也無法使用電腦,鑰匙要放在另外的安全的地方。
2.停掉Guest 帳號
在計算機管理的用戶裡面把guest帳號停用掉,任何時候都不允許guest帳號登陸系統。為了保險起見,最好給guest 加一個復雜的密碼,你可以打開記事本,在裡面輸入一串包含特殊字元,數字,字母的長字元串,然後把它作為guest帳號的密碼拷進去。
3.限制不必要的用戶數量
去掉所有的plicate user 帳戶, 測試用帳戶, 共享帳號,普通部門帳號等等。用戶組策略設置相應許可權,並且經常檢查系統的帳戶,刪除已經不在使用的帳戶。這些帳戶很多時候都是黑客們入侵系統的突破口,系統的帳戶越多,黑客們得到合法用戶的許可權可能性一般也就越大。國內的nt/2000主機,如果系統帳戶超過10個,一般都能找出一兩個弱口令帳戶。我曾經發現一台主機197個帳戶中竟然有180個帳號都是弱口令帳戶。
4.創建2個管理員用帳號
雖然這點看上去和上面這點有些矛盾,但事實上是服從上面的規則的。創建一個一般許可權帳號用來收信以及處理一些日常事物,另一個擁有Administrators 許可權的帳戶只在需要的時候使用。可以讓管理員使用 「 RunAS」 命令來執行一些需要特權才能作的一些工作,以方便管理。
5.把系統administrator帳號改名
大家都知道,windows 2000 的administrator帳號是不能被停用的,這意味著別人可以一遍又一邊的嘗試這個帳戶的密碼。把Administrator帳戶改名可以有效的防止這一點。當然,請不要使用Admin之類的名字,改了等於沒改,盡量把它偽裝成普通用戶,比如改成:guestone 。
6.創建一個陷阱帳號
什麼是陷阱帳號? Look!>創建一個名為」 Administrator」的本地帳戶,把它的許可權設置成最低,什麼事也幹不了的那種,並且加上一個超過10位的超級復雜密碼。這樣可以讓那些 Scripts s忙上一段時間了,並且可以藉此發現它們的入侵企圖。或者在它的login scripts上面做點手腳。嘿嘿,夠損!
7.把共享文件的許可權從」everyone」組改成「授權用戶」
「everyone」 在win2000中意味著任何有權進入你的網路的用戶都能夠獲得這些共享資料。任何時候都不要把共享文件的用戶設置成」everyone」組。包括列印共享,默認的屬性就是」everyone」組的,一定不要忘了改。
8.使用安全密碼
一個好的密碼對於一個網路是非常重要的,但是它是最容易被忽略的。前面的所說的也許已經可以說明這一點了。一些公司的管理員創建帳號的時候往往用公司名,計算機名,或者一些別的一猜就到的東西做用戶名,然後又把這些帳戶的密碼設置得N簡單,比如 「welcome」 「iloveyou」 「letmein」或者和用戶名相同等等。這樣的帳戶應該要求用戶首此登陸的時候更改成復雜的密碼,還要注意經常更改密碼。前些天在IRC和人討論這一問題的時候,我們給好密碼下了個定義:安全期內無法破解出來的密碼就是好密碼,也就是說,如果人家得到了你的密碼文檔,必須花43天或者更長的時間才能破解出來,而你的密碼策略是42天必須改密碼。
9.設置屏幕保護密碼
很簡單也很有必要,設置屏幕保護密碼也是防止內部人員破壞伺服器的一個屏障。注意不要使用OpenGL和一些復雜的屏幕保護程序,浪費系統資源,讓他黑屏就可以了。還有一點,所有系統用戶所使用的機器也最好加上屏幕保護密碼。
10. 使用NTFS格式分區
把伺服器的所有分區都改成NTFS格式。NTFS文件系統要比FAT,FAT32的文件系統安全得多。這點不必多說,想必大家得伺服器都已經是NTFS的了。
11.運行防毒軟體
我見過的Win2000/Nt伺服器從來沒有見到有安裝了防毒軟體的,其實這一點非常重要。一些好的殺毒軟體不僅能殺掉一些著名的病毒,還能查殺大量木馬和後門程序。這樣的話,「黑客」們使用的那些有名的木馬就毫無用武之地了。不要忘了經常升級病毒庫
12.保障備份盤的安全
一旦系統資料被破壞,備份盤將是你恢復資料的唯一途徑。備份完資料後,把備份盤防在安全的地方。千萬別把資料備份在同一台伺服器上,那樣的話,還不如不要備份。
中級安全篇:
1.利用win2000的安全配置工具來配置策略
微軟提供了一套的基於MMC(管理控制台)安全配置和分析工具,利用他們你可以很方便的配置你的伺服器以滿足你的要求。具體內容請參考微軟主頁:
www.microsoft.com/windows2000/techinfo/howitworks/security/sctoolset.asp
2.關閉不必要的服務
windows 2000 的 Terminal Services(終端服務),IIS ,和RAS都可能給你的系統帶來安全漏洞。為了能夠在遠程方便的管理伺服器,很多機器的終端服務都是開著的,如果你的也開了,要確認你已經正確的配置了終端服務。有些惡意的程序也能以服務方式悄悄的運行。要留意伺服器上面開啟的所有服務,中期性(每天)的檢查他們。下面是C2級別安裝的默認服務:
Computer Browser service TCP/IP NetBIOS Helper
Microsoft DNS server Spooler
NTLM SSP Server
RPC Locator WINS
RPC service Workstation
Netlogon Event log
3.關閉不必要的埠
關閉埠意味著減少功能,在安全和功能上面需要你作一點決策。如果伺服器安裝在防火牆的後面,冒的險就會少些,但是,永遠不要認為你可以高枕無憂了。用埠掃描器掃描系統所開放的埠,確定開放了哪些服務是黑客入侵你的系統的第一步。\system32\drivers\etc\services 文件中有知名埠和服務的對照表可供參考。具體方法為:
網上鄰居>屬性>本地連接>屬性>internet 協議(tcp/ip)>屬性>高級>選項>tcp/ip篩選>屬性打開tcp/ip篩選,添加需要的tcp,udp,協議即可。
4.打開審核策略
開啟安全審核是win2000最基本的入侵檢測方法。當有人嘗試對你的系統進行某些方式(如嘗試用戶密碼,改變帳戶策略,未經許可的文件訪問等等)入侵的時候,都會被安全審核記錄下來。很多的管理員在系統被入侵了幾個月都不知道,直到系統遭到破壞。下面的這些審核是必須開啟的,其他的可以根據需要增加:
策略 設置
審核系統登陸事件 成功,失敗
審核帳戶管理 成功,失敗
審核登陸事件 成功,失敗
審核對象訪問 成功
審核策略更改 成功,失敗
審核特權使用 成功,失敗
審核系統事件 成功,失敗
5.開啟密碼密碼策略
策略 設置
密碼復雜性要求 啟用
密碼長度最小值 6位
強制密碼歷史 5 次
強制密碼歷史 42 天
6.開啟帳戶策略
策略 設置
復位帳戶鎖定計數器 20分鍾
帳戶鎖定時間 20分鍾
帳戶鎖定閾值 3次
7.設定安全記錄的訪問許可權
安全記錄在默認情況下是沒有保護的,把他設置成只有Administrator和系統帳戶才有權訪問。
8.把敏感文件存放在另外的文件伺服器中
雖然現在伺服器的硬碟容量都很大,但是你還是應該考慮是否有必要把一些重要的用戶數據(文件,數據表,項目文件等)存放在另外一個安全的伺服器中,並且經常備份它們。
9.不讓系統顯示上次登陸的用戶名
默認情況下,終端服務接入伺服器時,登陸對話框中會顯示上次登陸的帳戶明,本地的登陸對話框也是一樣。這使得別人可以很容易的得到系統的一些用戶名,進而作密碼猜測。修改注冊表可以不讓對話框里顯示上次登陸的用戶名,具體是: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\DontDisplayLastUserName 把 REG_SZ 的鍵值改成 1 .
10.禁止建立空連接
默認情況下,任何用戶通過通過空連接連上伺服器,進而枚舉出帳號,猜測密碼。我們可以通過修改注冊表來禁止建立空連接: Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成」1」即可。
11.到微軟網站下載最新的補丁程序
很多網路管理員沒有訪問安全站點的習慣,以至於一些漏洞都出了很久了,還放著伺服器的漏洞不補給人家當靶子用。誰也不敢保證數百萬行以上代碼的2000不出一點安全漏洞,經常訪問微軟和一些安全站點,下載最新的service pack和漏洞補丁,是保障伺服器長久安全的唯一方法。