Lista de verificación de la configuración de seguridad de Win 2000

Seguridad primaria

1. Seguridad física

El servidor debe colocarse en una habitación aislada con un monitor instalado, y la pantalla debe mantenerse durante más de 15 días. Grabación de cámara. Además, los cajones del chasis, el teclado y el escritorio de la computadora deben cerrarse para garantizar que nadie pueda usar la computadora, incluso si entran en la habitación, y las llaves deben colocarse en otro lugar seguro.

2. Detenga la cuenta de invitado.

Desactive la cuenta de invitado en el usuario de administración de computadoras y no permita que la cuenta de invitado inicie sesión en el sistema en ningún momento. Para estar seguro, es mejor agregar una contraseña compleja al invitado. Puede abrir el Bloc de notas, ingresar una cadena de cadenas largas que contengan caracteres especiales, números y letras, y copiarlo como la contraseña de la cuenta del invitado.

3. Limite el número de usuarios innecesarios

Elimine todas las cuentas de usuario duplicadas, las cuentas de prueba, las cuentas compartidas, las cuentas del departamento general y más. La Política de grupo del usuario establece los permisos adecuados y, a menudo, verifica la cuenta del sistema para eliminar las cuentas que ya no están en uso. Estas cuentas son a menudo el punto de avance para que los piratas informáticos invadan el sistema. Cuantas más cuentas haya, más probable es que los piratas informáticos obtengan los derechos de los usuarios legítimos. Para los hosts nacionales nt /2000, si hay más de 10 cuentas de sistema, se pueden encontrar una o dos cuentas de contraseña débil. He encontrado que 180 de las 197 cuentas de un host son cuentas de contraseña débil.

4. Cree 2 cuentas de administrador.

Aunque esto parece ser algo contradictorio con lo anterior, de hecho está sujeto a las reglas anteriores. Cree una cuenta de privilegio general para recibir y manejar algunas cosas cotidianas, y otra cuenta con privilegios de administrador solo se usa cuando es necesario. Los administradores pueden usar el comando " RunAS " para realizar algún trabajo que requiera privilegios para facilitar la administración.

5. Cambiar el nombre de la cuenta de administrador del sistema

Todo el mundo sabe que la cuenta de administrador de Windows 2000 no se puede desactivar, lo que significa que otros pueden probar la contraseña de esta cuenta una y otra vez. Cambiar el nombre de la cuenta de administrador puede prevenir esto efectivamente. Por supuesto, no use el nombre de administrador, es igual a ningún cambio, intente disfrazarlo como un usuario normal, por ejemplo, cambie a: guestone.

6. Cree una cuenta de captura

¿Qué es una cuenta de captura? Busque! ≫ Cree una cuenta local llamada "Administrador", establezca sus permisos al más bajo, no haga nada y agregue Una contraseña super compleja de más de 10 dígitos. Esto mantendrá ocupados a esos Scripts por un tiempo, y puede usarlos para descubrir sus intentos de intrusión. O hacer algunos trucos en sus scripts de inicio de sesión. ¡Oh, es suficiente!

7. Cambie los permisos de los archivos compartidos de " everyone " group a "usuarios autorizados" "

" todos " en win2000, cualquier usuario con acceso a su red puede acceder a estos materiales compartidos. No configure el usuario que comparte el archivo en el grupo " everyone " en ningún momento. Incluyendo el uso compartido de impresión, el atributo predeterminado es "" todos" y "grupo", no olvide cambiar.

8. Usar una contraseña segura

Una buena contraseña es muy importante para una red, pero es la más fácil de ignorar. Lo que dije antes ya puede explicar esto. Algunos administradores de empresas a menudo utilizan el nombre de la empresa, el nombre de la computadora o alguna otra cosa para adivinar el nombre de usuario al crear la cuenta, y luego establecen la contraseña de estas cuentas en N, como " welcome " " Iloveyou " " letmein " o el mismo que el nombre de usuario. Dicha cuenta debe requerir que el usuario cambie a una contraseña compleja al iniciar sesión primero, y también que cambie la contraseña con frecuencia. Cuando IRC y las personas discutieron este tema hace unos días, dimos una definición de una buena contraseña: una contraseña que no se puede descifrar durante el período de seguridad es una buena contraseña, es decir, si alguien obtiene su documento de contraseña, debe pasar Se tarda 43 días o más para descifrarlo, y su política de contraseña es de 42 días para cambiar la contraseña.

9. Configurar una contraseña de protector de pantalla

También es muy simple y necesario. Configurar una contraseña de protector de pantalla también es una barrera contra los daños internos del servidor. Tenga cuidado de no usar OpenGL y algunos protectores de pantalla complicados, desperdiciando los recursos del sistema y dejándolo en pantalla negra. Además, es mejor agregar una contraseña de protector de pantalla a las máquinas utilizadas por todos los usuarios del sistema.

10. Use la partición de formato NTFS

Cambie todas las particiones del servidor al formato NTFS. El sistema de archivos NTFS es mucho más seguro que el sistema de archivos FAT, FAT32. No hace falta decir esto, creo que todo el mundo tiene que ser un servidor NTFS.

11. Ejecutando software antivirus

El servidor Win2000 /Nt que he visto nunca ha visto el software antivirus instalado. De hecho, esto es muy importante. Un buen software antivirus no solo puede matar algunos virus famosos, sino también muchos troyanos y puertas traseras. En este caso, los famosos troyanos utilizados por los hackers son inútiles. No olvide actualizar la base de datos de virus con frecuencia

12. Disco de respaldo seguro

Una vez que los datos del sistema estén dañados, el disco de respaldo será su única forma de recuperar datos. Después de realizar una copia de seguridad de los datos, mantenga el disco de copia de seguridad en un lugar seguro. No haga una copia de seguridad de sus datos en el mismo servidor. En ese caso, no haga una copia de seguridad.

Seguridad intermedia:

1. Use la herramienta de configuración de seguridad de win2000 para configurar políticas.

Microsoft proporciona un conjunto de herramientas de configuración y análisis de seguridad de MMC (Management Console), que puede configurar fácilmente su servidor para satisfacer sus requisitos. . Consulte la página de inicio de Microsoft para obtener más información:

2. Desactivar servicios innecesarios

Los Servicios de Terminal Server, IIS y RAS de Windows 2000 pueden presentar agujeros de seguridad en su sistema. Para poder administrar el servidor de forma remota y conveniente, los servicios de terminal de muchas máquinas están abiertos. Si lo abre, asegúrese de haber configurado el servicio de terminal correctamente. Algunos programas maliciosos también pueden ejecutarse silenciosamente como un servicio. Vigile todos los servicios que están abiertos en el servidor y revíselos a medio plazo (todos los días). Los siguientes son los servicios predeterminados instalados en el nivel C2:

Servicio de navegador de computadora TCP /IP NetBIOS Helper

Spooler del servidor DNS de Microsoft

NTLM SSP Server

RPC Locator WINS

Estación de trabajo del servicio RPC

Registro de eventos de Netlogon

3. Desactivar puertos innecesarios

Desactivar puertos significa reducir la funcionalidad, y debe tomar algunas decisiones sobre la seguridad y la funcionalidad. Si el servidor está instalado detrás de un firewall, habrá menos riesgo, pero nunca piense que puede sentarse y relajarse. Use un escáner de puertos para escanear los puertos abiertos al sistema y determinar qué servicios están abiertos como el primer paso para hackear su sistema. El archivo \\ system32 \\ drivers \\ etc \\ services contiene una lista de puertos y servicios conocidos como referencia. El método específico es:

Entorno de red> Atributos> Conexiones locales> Atributos> Protocolo de Internet (tcp /ip) > Atributos> Avanzado> Opciones> Filtro tcp /ip> Atributo Abrir Tcp /ip screening, agregue el tcp requerido, udp, el acuerdo puede ser.
Anterior12 Siguiente Leer más