Win 2000檢測系統安全清單(4)

　　dump文件在系統崩潰和藍屏的時候是一份很有用的查找問題的資料(不然我就照字面意思翻譯成垃圾文件了)。然而，它也能夠給黑客提供一些敏感信息比如一些應用程序的密碼等。要禁止它，打開 控制面板>系統屬性>高級>啟動和故障恢復 把 寫入調試信息 改成無。要用的時候，可以再重新打開它。

　　4．使用文件加密系統EFS

　　Windows2000 強大的加密系統能夠給磁盤，文件夾，文件加上一層安全保護。這樣可以防止別人把你的硬盤掛到別的機器上以讀出里面的數據。記住要給文件夾也使用EFS,而不僅僅是單個的文件。 有關EFS的具體信息可以查看www.microsoft.com/windows2000/techinfo/howitworks/security/encrypt.asp

　　5．加密temp文件夾

　　一些應用程序在安裝和升級的時候，會把一些東西拷貝到temp文件夾，但是當程序升級完畢或關閉的時候，它們并不會自己清除temp文件夾的內容。所以，給temp文件夾加密可以給你的文件多一層保護。

　　6．鎖住注冊表

　　在windows2000中，只有administrators和Backup Operators才有從網絡上訪問注冊表的權限。如果你覺得還不夠的話，可以進一步設定注冊表訪問權限，詳細信息請參考：

　　http://support.microsoft.com/support/kb/articles/Q153/1/83.asp

　　7．關機時清除掉頁面文件

　　頁面文件也就是調度文件，是win2000用來存儲沒有裝入內存的程序和數據文件部分的隱藏文件。一些第三方的程序可以把一些沒有的加密的密碼存在內存中，頁面文件中也可能含有另外一些敏感的資料。 要在關機的時候清楚頁面文件，可以編輯注冊表

　　HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management

　　把ClearPageFileAtShutdown的值設置成1。

　　8．禁止從軟盤和CD Rom啟動系統

　　一些第三方的工具能通過引導系統來繞過原有的安全機制。如果你的服務器對安全要求非常高，可以考慮使用可移動軟盤和光驅。把機箱鎖起來扔不失為一個好方法。

　　9．考慮使用智能卡來代替密碼

　　對于密碼，總是使安全管理員進退兩難，容易受到 10phtcrack 等工具的攻擊，如果密碼太復雜，用戶把為了記住密碼，會把密碼到處亂寫。如果條件允許，用智能卡來代替復雜的密碼是一個很好的解決方法。

　　10．考慮使用IPSec

　　正如其名字的含義，IPSec 提供 IP 數據包的安全性。IPSec 提供身份驗證、完整性和可選擇的機密性。發送方計算機在傳輸之前加密數據，而接收方計算機在收到數據之后解密數據。利用IPSec可以使得系統的安全性能大大增強。有關IPSes的詳細信息可以參考：http：//www.microsoft.com/china/tec.net/security/ipsecloc.asp

原文轉自：http://www.kjueaiud.com