3。高级篇:NT/2000的高级安全设置
1.禁用空连接,禁止匿名获得用户名列表
Win2000的默认安装允许任何用户通过空用户得到系统所有账号/共享列表,这个本来是为了方便局域网用户共享文件的,但是一个远程用户也可以得到你的用户列表并使用暴力法破解用户密码。很多朋友都知道可以通过更改注册表Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous
=
1来禁止139空连接,实际上win2000的本地安全策略(如果是域服务器就是在域服务器安全和域安全策略中)就有这样的选项RestrictAnonymous(匿名连接的额外限制),这个选项有三个值:
0:None.Relyondefaultpermissions(无,取决于默认的权限1:Donotallowenumerationof
SAMaccountsandshares(不允许枚举SAM帐号和共享)2:Noaccesswithoutexplicitanonymous
permissions(没有显式匿名权限就不允许访问)
0这个值是系统默认的,什么限制都没有,远程用户可以知道你机器上所有的账号、组信息、共享目录、网络传输列表(NetServerTransportEnum等等,对服务器来说这样的设置非常危险。
1这个值是只允许非NULL用户存取SAM账号信息和共享信息。
2这个值是在win2000中才支持的,需要注意的是,如果你一旦使用了这个值,你的共享估计就全部完蛋了,所以我推荐你还是设为1比较好。
好了,入侵者现在没有办法拿到我们的用户列表,我们的账户安全了
2。禁止显示上次登陆的用户名HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionwinlogon项中的Don’t
DisplayLastUserName串数据改成1,这样系统不会自动显示上次的登录用户名。将服务器注册表HKEY_LOCAL_
MACHINESOFTWAREMicrosoft
WindowsNTCurrentVersionWinlogon项中的DontDisplayLastUser
Name串数据修改为1,隐藏上次登陆控制台的用户名。其实,在2000的本地安全策略中也存在该选项
Winnt4.0修改注册表:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogon
中增加DontDisplayLastUserName,将其值设为1。
2.预防DoS:
在注册表HKLMSYSTEMCurrentControlSetServicesTcpipParameters中更改以下值可以帮助你防御一定强度的DoS攻击
SynAttackProtectREG_DWORD2
EnablePMTUDiscoveryREG_DWORD0NoNameReleaseOnDemandREG_DWORD1
EnableDeadGWDetectREG_DWORD0KeepAliveTimeREG_DWORD300,000
浏览地址: http://www.qqread.com/network/server/a353313.html
更多内容请看路由安全配置专题、FTP服务器、服务器配件专题,或进入讨论组讨论。
相关专题
- AS3中与服务器交互 (0次浏览)
- 对Exchange 2007的数据库进行脱机碎片整理 (0次浏览)
- 自摧毁邮件出现 服务器上不留痕迹 (0次浏览)
- Exchange安装因错误0x80070422失败 (0次浏览)
- Exchange 2007中如何授予邮箱的代理发送权限 (0次浏览)
- 分析刀片与机架式服务器的选择问题 (0次浏览)
- 如何增强Exchange服务器的安全性 (0次浏览)
- 微软Windows试水高端企业级服务器市场 (0次浏览)
- XML入门教程:服务器上的XML (0次浏览)
- Ubuntu用Apache2管理Subversion控制系统 (0次浏览)
