您的位置:首页技术文章
文章详情页

设置安全的Windows 2000操作系统

【字号: 日期:2023-08-27 18:36:02浏览:33作者:猪猪

Windows 2000 server含有很多的安全功能和选项,如果你合理的配置它们,那么Windows 2000 server将会是一个很安全的操作系统。首先我们应将Windows 2000 server服务器应该安放在安装了监视器的隔离房间内,并且监视器要保留15天以上的摄像记录。另外,机箱,键盘,电脑桌抽屉要上锁,以确保旁人即使进 入房间也无法使用电脑,钥匙要放在另外的安全的地方。我们可以停掉Guest 帐号、创建2个管理员用帐号、把系统administrator帐号改名、设置屏幕保护密码等确保安全,也可以利用win2000的安全配置工具来配置策 略、关闭不必要的服务、关闭不必要的端口、禁止建立空连接和安装 微软 最 新的补丁程序等措施来加强Windows 2000 Server安全。要攻击Windows 2000系统,首先需要知道帐号和密码,因此保障Windows 2000系统的安全中,保障其帐号和密码的安全是关键,但通常密码可以通过穷举法等方法破解,所以Windows 2000帐号的安全非常重要。下面几种方法可以有效保障Windows 2000系统中帐号的安全: 方法一:禁止枚举帐号     由于Windows 2000的默认安装允许任何用户通过空用户得到系统所有帐号和共享列表,这本来是为了方便局域网用户共享资源和文件的,但是,任何一个远程用户通过同样的 方法都能得到帐户列表,使用非法手段破解帐户密码后,对我们的电脑进行攻击,所以必须采用以下方法禁止这种行为。

1、通过修改 注册表 禁用空用户连接,操作步骤如下:单击'开始'->'运行'打开'运行'对话框;输入'Regedit'并单击确定打开注册表编辑器;在注册表编辑器中逐层进入[HKEY_LOCAL_MacHINESSYSTEMCurentControlSetcontrolLsa]; 将RestrictAnonymous的值设置为1,这样可以禁止空用户连接,如图1所示。

图 1 2、修改本地安全策略,操作步骤如下: 进入Windows 2000的'控制面板';单击'管理工具',单击'本地安全策略',进入'本地安全设置'对话框,如图2所示。

图 2

选择'安全设置'->'本地策略'->'安全选项';双击'对匿名连接的额外限制'项;并选择'本地策略设置'列表,列表中出现三个选项,如图3所示。

图 3

(1)'无,依赖于默认许可权限'选项:这是系统默认值,没有任何限制,远程用户可以知道你机器上所有的账号、组信息、共享目录、网络传输列表等,对服务器来说这样的设置非常危险。(2)'不允许枚举SAM账号和共享'选项:这个值是只允许非NULL用户存取SAM账号信息和共享信息,一般选择此项。 (3)'没有显式匿名权限就无法访问'选项:这个值是最安全的一个,但是如果使用了这个值,就不能再共享资源了,所以还是推荐设为'不允许枚举SAM账号和共享'比较好。我们选择'不允许枚举SAM账号和共享'项,并确定。 此时,我们就禁止了用户枚举帐号的操作。

方法二:Administrator账号更名 非法用户找不到用户列表,我们 的系统就一定安全吗?不一定。有经验的用户知道,Windows 2000系统的Administrator账号是不能被停用的,也不能设置安全策略,这样非法用户可以一遍又一遍地尝试这个账户的密码,直到破解,所以我 们可以在'计算机管理'中把Administrator账户更名来防止这一点。具体操作步骤如下: 进入系统'控制面板'->'计算机管理',进入'计算机管理'窗口,如图所示。选择'本地用户和组'->'用户';在窗口右面使用鼠标右键单击Administrator,在右键菜单中选择'重命名';重新输入一个名称,如图4所示。

图 4

最好不要使用Admin、Root之类的名字,如果使用改了等于没改。尽量把它伪装成普通用户,比如改成:Guestlll,别人怎么也想不到 这个帐户是超级用户。然后另建一个'Administrator'的陷阱帐号,不赋予任何权限,加上一个超过10位的超级复杂密码,并对该帐户启用审核。 这样那些非法用户忙了半天也可能进不来,或是即便进来了也什么都得不到,还留下我们跟踪的线索。

方法三:禁止登录屏幕上显示上次登录的用户名 非法用户也可以通过本地或者Terminal Service的登录界面看到用户名,然后去猜密码。 所以要禁止显示登录的用户名。操作步骤如下: 选择'控制面板'->'管理工具'->'本地安全策略'->'本地策略'->'安全选项',如图5所示。

图 5

在窗口右侧双击'登录屏幕上不要显示上次登录的用户名'一项;选中'已启用',如图6所示。

图 6

也可以通过修改注册表来实现,找到注册表HKEY_LOCAL_MACHINESOFTTWARE Microsoft WindowsNTCurrentVesionWinlogn项中的Don't Display Last User Name串,将其数据修改为1。

方法四:禁用Guest帐号 Guest帐号是一个非常危险的漏洞,因为非法用户可以使用这个帐号登录你的机器。禁用该帐号的操作步骤如下: 选 择'控制面板'->'管理工具'->'计算机管理';在计算机管理的'本地用户和组'项,选择'用户',用鼠标右键单击右侧列表里的 'Guest'帐号,如图7所示,在右键菜单中选择'属性'或是双击'Guest'帐号,在属性对话框中,在'帐户已停用'一项前打勾,如图8所示,这样 就无法用Guest帐号登录你的系统了。

图 7 图 8

如果还需要提供共享打印服务时,则需要在'本地安全策略'的'用户权利指派'中的'在本地登录'项里设置Guest帐号不能登录本机(去掉Guest项后面的勾,如图9所示)。

图 9

经常检查本地用户和组,删除不用的帐户,不要给非法用户和 黑客 留下可乘之机,经过以上的步骤,我们的系统应该相对安全了许多。

标签: Windows系统