访问 http://www.qqread.com/safe/u802502007.html
三、 账号安全
首先,WIN2K的默认安装允许任何用户通过空用户得到系统所有账号和共享列表,这本来是为了方便局域网用户共享资源和文件的,但是,同时任何一个远程用户也可以通过同样的方法得到你的用户列表,并可能使用暴力法破解用户密码给整个网络带来破坏。很多人都只知道更改注册表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous = 1来禁止空用户连接,实际上WIN2K的本地安全策略里(如果是域服务器就是在域服务器安全和域安全策略里)就有这样的选项RestrictAnonymous(匿名连接的额外限制),其中有三个值:
“0”:None, Rely on default permissions(无,取决于默认的权限)
“1”:Do not allow enumeration of SAM accounts and shares(不允许枚举SAM账号和共享)
“2”:No access without explicit anonymous permissions(没有显式匿名权限就不允许访问)
“0”这个值是系统默认的,没有任何限制,远程用户可以知道你机器上所有的账号、组信息、共享目录、网络传输列表(NetServerTransportEnum)等,对服务器来说这样的设置非常危险。“1”这个值是只允许非NULL用户存取SAM账号信息和共享信息。“2”这个值只有WIN2K才支持,需要注意的是,如果使用了这个值,就不能再共享资源了,所以还是推荐把数值设为“1”比较好。
四、 安全日志
这里需要注意:WIN2K的默认安装是不开任何安全审核的!那么就应该到“本地安全策略→审核策略”中打开相应的审核,这里需要说明的是,审核项目如果太少的话,你万一想查看的时候发现没有记录那就一点办法都没有,但是审核项目如果太多,不仅会占用大量的系统资源,而且你也可能根本没空去全部看完,这样就失去了审核的意义。推荐的审核如下:
“账户管理”、“登录事件”、“策略更改”、“系统事件”、“账户登录事件”需要把“成功”和“失败”都打开;“对象访问”、“特权使用”、“目录服务访问”就只打开“失败”。
与之相关的还有,在“账户策略→密码策略”中设定:“密码复杂性要求启用”,“密码长度最小值6位”,“强制密码历史5次”,“最长存留期 30天”;在“账户策略→账户锁定策略”中设定:“账户锁定3次错误登录”,“锁定时间20分钟”,“复位锁定计数20分钟”等。
Terminal Service的安全日志默认也是不启用的,可以在“Terminal Service Configration(远程服务配置)→权限→高级”中配置安全审核,一般来说只要记录登录、注销事件就可以了。
五、 目录和文件权限
为了控制好服务器上用户的权限,同时也为了预防以后可能的入侵和溢出,还必须非常小心地设置目录和文件的访问权限。NT的访问权限分为:读取、写入、读取及执行、修改、列目录、完全控制。在默认的情况下,大多数的文件夹对所有用户(Everyone这个组)是完全敞开的(Full Control),你需要根据应用的需要进行权限重设。在进行权限控制时,请记住以下几个原则:
1. 权限是累计的,如果一个用户同时属于两个组,那么他就有了这两个组所允许的所有权限。
2. 拒绝的权限要比允许的权限高(拒绝策略会先执行)。如果一个用户属于一个被拒绝访问某个资源的组,那么不管其他的权限设置给他开放了多少权限,他也一定不能访问这个资源。
3. 文件权限比文件夹权限高。
4. 利用用户组来进行权限控制是一个成熟的系统管理员必须具有的优良习惯。
5. 只给用户真正需要的权限,权限的最小化原则是安全的重要保障。
6. 预防ICMP攻击:ICMP的风暴攻击和碎片攻击也是NT主机比较头疼的攻击方法,其实应付的方法也很简单,WIN2K自带一个Routing & Remote Access工具,这个工具初具路由器的雏形。在这个工具中,我们可以轻易地定义输入输出包过滤器。如设定输入ICMP代码255丢弃就表示丢弃所有的外来ICMP报文。
要注意
实际上,安全和应用在很多时候是矛盾的,因此,你需要在其中找到平衡点,毕竟服务器是给用户用的,如果安全原则妨碍了系统应用,那么这个安全原则也不是一个好的原则。
网络安全是一项系统工程,它不仅有空间的跨度,还有时间的跨度。很多朋友(包括部分系统管理员)认为进行了安全配置的主机就是安全的,其实这里有个误区,我们只能说一台主机在一定的情况下一定的时间内是安全的,随着网络结构的变化、新的漏洞的发现、管理员和用户的操作,主机的安全状况是随时随地变化着的,只有让安全意识和安全制度贯穿整个过程才能做到真正的安全。
更多内容请看路由安全配置专题、FTP服务器、刀片服务器专题专题,或进入讨论组讨论。
首先,WIN2K的默认安装允许任何用户通过空用户得到系统所有账号和共享列表,这本来是为了方便局域网用户共享资源和文件的,但是,同时任何一个远程用户也可以通过同样的方法得到你的用户列表,并可能使用暴力法破解用户密码给整个网络带来破坏。很多人都只知道更改注册表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous = 1来禁止空用户连接,实际上WIN2K的本地安全策略里(如果是域服务器就是在域服务器安全和域安全策略里)就有这样的选项RestrictAnonymous(匿名连接的额外限制),其中有三个值:
“0”:None, Rely on default permissions(无,取决于默认的权限)
“1”:Do not allow enumeration of SAM accounts and shares(不允许枚举SAM账号和共享)
“2”:No access without explicit anonymous permissions(没有显式匿名权限就不允许访问)
“0”这个值是系统默认的,没有任何限制,远程用户可以知道你机器上所有的账号、组信息、共享目录、网络传输列表(NetServerTransportEnum)等,对服务器来说这样的设置非常危险。“1”这个值是只允许非NULL用户存取SAM账号信息和共享信息。“2”这个值只有WIN2K才支持,需要注意的是,如果使用了这个值,就不能再共享资源了,所以还是推荐把数值设为“1”比较好。
四、 安全日志
这里需要注意:WIN2K的默认安装是不开任何安全审核的!那么就应该到“本地安全策略→审核策略”中打开相应的审核,这里需要说明的是,审核项目如果太少的话,你万一想查看的时候发现没有记录那就一点办法都没有,但是审核项目如果太多,不仅会占用大量的系统资源,而且你也可能根本没空去全部看完,这样就失去了审核的意义。推荐的审核如下:
“账户管理”、“登录事件”、“策略更改”、“系统事件”、“账户登录事件”需要把“成功”和“失败”都打开;“对象访问”、“特权使用”、“目录服务访问”就只打开“失败”。
与之相关的还有,在“账户策略→密码策略”中设定:“密码复杂性要求启用”,“密码长度最小值6位”,“强制密码历史5次”,“最长存留期 30天”;在“账户策略→账户锁定策略”中设定:“账户锁定3次错误登录”,“锁定时间20分钟”,“复位锁定计数20分钟”等。
Terminal Service的安全日志默认也是不启用的,可以在“Terminal Service Configration(远程服务配置)→权限→高级”中配置安全审核,一般来说只要记录登录、注销事件就可以了。
五、 目录和文件权限
为了控制好服务器上用户的权限,同时也为了预防以后可能的入侵和溢出,还必须非常小心地设置目录和文件的访问权限。NT的访问权限分为:读取、写入、读取及执行、修改、列目录、完全控制。在默认的情况下,大多数的文件夹对所有用户(Everyone这个组)是完全敞开的(Full Control),你需要根据应用的需要进行权限重设。在进行权限控制时,请记住以下几个原则:
1. 权限是累计的,如果一个用户同时属于两个组,那么他就有了这两个组所允许的所有权限。
2. 拒绝的权限要比允许的权限高(拒绝策略会先执行)。如果一个用户属于一个被拒绝访问某个资源的组,那么不管其他的权限设置给他开放了多少权限,他也一定不能访问这个资源。
3. 文件权限比文件夹权限高。
4. 利用用户组来进行权限控制是一个成熟的系统管理员必须具有的优良习惯。
5. 只给用户真正需要的权限,权限的最小化原则是安全的重要保障。
6. 预防ICMP攻击:ICMP的风暴攻击和碎片攻击也是NT主机比较头疼的攻击方法,其实应付的方法也很简单,WIN2K自带一个Routing & Remote Access工具,这个工具初具路由器的雏形。在这个工具中,我们可以轻易地定义输入输出包过滤器。如设定输入ICMP代码255丢弃就表示丢弃所有的外来ICMP报文。
要注意
实际上,安全和应用在很多时候是矛盾的,因此,你需要在其中找到平衡点,毕竟服务器是给用户用的,如果安全原则妨碍了系统应用,那么这个安全原则也不是一个好的原则。
网络安全是一项系统工程,它不仅有空间的跨度,还有时间的跨度。很多朋友(包括部分系统管理员)认为进行了安全配置的主机就是安全的,其实这里有个误区,我们只能说一台主机在一定的情况下一定的时间内是安全的,随着网络结构的变化、新的漏洞的发现、管理员和用户的操作,主机的安全状况是随时随地变化着的,只有让安全意识和安全制度贯穿整个过程才能做到真正的安全。
更多内容请看路由安全配置专题、FTP服务器、刀片服务器专题专题,或进入讨论组讨论。
相关图文阅读
频道图文推荐
健 康 咨 询
时 尚 咨 询
相关专题
- 路由安全配置专题 (11761篇文章)
- FTP服务器 (5903篇文章)
- 刀片服务器专题 (5455篇文章)
- 网吧服务器专栏 (5430篇文章)
- Windows操作系统安装 (15501篇文章)
- 系统安全设置 (23411篇文章)
- 电脑配置手册 (8308篇文章)
- 配置安全的操作系统 (9778篇文章)
- 服务器配置专栏 (10894篇文章)
- IIS服务器应用技巧 (6017篇文章)
- 路由器安全设置 详解 (338次浏览)
- U盘病毒auto.exe的手工清除方法 (211次浏览)
- 安全与速度的较量:VPN路由器大比拼 (198次浏览)
- gdwli32盗号木马清除方法及专杀工具 (185次浏览)
- 网络分析软件:ARP病毒爆发了谁干的? (92次浏览)
- 交换机及路由器如何更加安全 教你六大规则 (85次浏览)
- Javqhc木马清除方法及专杀工具 (85次浏览)
- 安全技巧:关于ARP病毒造成断网的处理方法 (81次浏览)
- ARP病毒新罪首 查杀处理有绝招 (80次浏览)
- 网络安全测试工具 为网络保驾护航 (77次浏览)
