Win 2000檢測系統安全清單(3)

4．打開審核策略

　　開啟安全審核是win2000最基本的入侵檢測方法。當有人嘗試對你的系統進行某些方式（如嘗試用戶密碼,改變帳戶策略，未經許可的文件訪問等等）入侵的時候，都會被安全審核記錄下來。很多的管理員在系統被入侵了幾個月都不知道，直到系統遭到破壞。下面的這些審核是必須開啟的，其他的可以根據需要增加：

　　策略 設置

　　審核系統登陸事件 成功，失敗

　　審核帳戶管理 成功，失敗

　　審核登陸事件 成功，失敗

　　審核對象訪問 成功

　　審核策略更改 成功，失敗

　　審核特權使用 成功，失敗

　　審核系統事件 成功，失敗

　　5．開啟密碼密碼策略

　　策略 設置

　　密碼復雜性要求 啟用

　　密碼長度最小值 6位

　　強制密碼歷史 5 次

　　強制密碼歷史 42 天

　　6．開啟帳戶策略

　　策略 設置

　　復位帳戶鎖定計數器 20分鐘

　　帳戶鎖定時間 20分鐘

　　帳戶鎖定閾值 3次

　　7．設定安全記錄的訪問權限

　　安全記錄在默認情況下是沒有保護的，把他設置成只有Administrator和系統帳戶才有權訪問。

　　8．把敏感文件存放在另外的文件服務器中

　　雖然現在服務器的硬盤容量都很大，但是你還是應該考慮是否有必要把一些重要的用戶數據(文件，數據表，項目文件等)存放在另外一個安全的服務器中，并且經常備份它們。

　　9.不讓系統顯示上次登陸的用戶名

　　默認情況下，終端服務接入服務器時，登陸對話框中會顯示上次登陸的帳戶明，本地的登陸對話框也是一樣。這使得別人可以很容易的得到系統的一些用戶名，進而作密碼猜測。修改注冊表可以不讓對話框里顯示上次登陸的用戶名，具體是： HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\DontDisplayLastUserName 把 REG_SZ 的鍵值改成 1 .

　　10．禁止建立空連接

　　默認情況下，任何用戶通過通過空連接連上服務器，進而枚舉出帳號，猜測密碼。我們可以通過修改注冊表來禁止建立空連接： Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成”1”即可。

　　11．到微軟網站下載最新的補丁程序

　　很多網絡管理員沒有訪問安全站點的習慣，以至于一些漏洞都出了很久了，還放著服務器的漏洞不補給人家當靶子用。誰也不敢保證數百萬行以上代碼的2000不出一點安全漏洞，經常訪問微軟和一些安全站點，下載最新的service pack和漏洞補丁，是保障服務器長久安全的唯一方法。

　　高級安全篇

　　1．關閉 DirectDraw

　　這是C2級安全標準對視頻卡和內存的要求。關閉DirectDraw可能對一些需要用到DirectX的程序有影響（比如游戲，在服務器上玩星際爭霸？我暈..$%$^%^&??），但是對于絕大多數的商業站點都應該是沒有影響的。 修改注冊表 HKLM\SYSTEM\CurrentControlSet\Control\GraphicsDrivers\DCI 的Timeout(REG_DWORD)為 0 即可。

　　2．關閉默認共享

　　win2000安裝好以后，系統會創建一些隱藏的共享，你可以在cmd下打.net share 查看他們。網上有很多關于IPC入侵的文章，相信大家一定對它不陌生。要禁止這些共享 ，打開 管理工具>計算機管理>共享文件夾>共享 在相應的共享文件夾上按右鍵，點停止共享即可，不過機器重新啟動后，這些共享又會重新開啟的。

　　默認共享目錄 路徑和功能

　　C$ D$ E$ 每個分區的根目錄。Win2000 Pro版中，只有Administrator

　　和Backup Operators組成員才可連接，Win2000 Server版本

　　Server Operatros組也可以連接到這些共享目錄

　　ADMIN$ %SYSTEMROOT% 遠程管理用的共享目錄。它的路徑永遠都

　　指向Win2000的安裝路徑，比如 c:\winnt

　　FAX$ 在Win2000 Server中，FAX$在fax客戶端發傳真的時候會到。

　　IPC$ 空連接。IPC$共享提供了登錄到系統的能力。

　　NetLogon 這個共享在Windows 2000 服務器的Net Login 服務在處

　　理登陸域請求時用到

　　PRINT$ %SYSTEMROOT%\SYSTEM32\SPOOL\DRIVERS 用戶遠程管理打印機

　　具體操作可以參考：去掉win2000中的c$共享

原文轉自：http://www.kjueaiud.com