服務(wù)器安全設(shè)置_高級(jí)篇
發(fā)布時(shí)間:2025-07-15 點(diǎn)擊:17
1. 關(guān)閉 directdraw
這是c2級(jí)安全標(biāo)準(zhǔn)對(duì)視頻卡和內(nèi)存的要求。關(guān)閉directdraw可能對(duì)一些需要用到directx的程序有影響(比如游戲,在服務(wù)器上玩星際爭霸?我暈..$%$^%^&),但是對(duì)于絕大多數(shù)的商業(yè)站點(diǎn)都應(yīng)該是沒有影響的。 修改注冊(cè)表 hklm\system\currentcontrolset\control\graphicsdrivers\dci 的timeout(reg_dword)為 0 即可。
2.關(guān)閉默認(rèn)共享
win2000安裝好以后,系統(tǒng)會(huì)創(chuàng)建一些隱藏的共享,你可以在cmd下打 net share 查看他們。網(wǎng)上有很多關(guān)于ipc入侵的文章,相信大家一定對(duì)它不陌生。要禁止這些共享 ,打開 管理工具>計(jì)算機(jī)管理>共享文件夾>共享 在相應(yīng)的共享文件夾上按右鍵,點(diǎn)停止共享即可,不過機(jī)器重新啟動(dòng)后,這些共享又會(huì)重新開啟的。
默認(rèn)共享目錄 路徑和功能
c$ d$ e$ 每個(gè)分區(qū)的根目錄。win2000 pro版中,只有administrator 和backup operators組成員才可連接,win2000 server版本
server operatros組也可以連接到這些共享目錄admin$ %systemroot% 遠(yuǎn)程管理用的共享目錄。它的路徑永遠(yuǎn)都指向win2000的安裝路徑,比如 c:\winnt
fax$ 在win2000 server中,fax$在fax客戶端發(fā)傳真的時(shí)候會(huì)到。
ipc$ 空連接。ipc$共享提供了登錄到系統(tǒng)的能力。
netlogon 這個(gè)共享在windows 2000 服務(wù)器的net login 服務(wù)在處
理登陸域請(qǐng)求時(shí)用到
print$ %systemroot%\system32\spool\drivers 用戶遠(yuǎn)程管理打印機(jī)
解決辦法:
打開注冊(cè)表編輯器。regedit
hkey_local_machine\system\currentcontrolset\services\lanmanserver\parameters
在右邊建立一個(gè)名為autoshareserver的dword鍵。值為0
3.禁止dump file的產(chǎn)生
dump文件在系統(tǒng)崩潰和藍(lán)屏的時(shí)候是一份很有用的查找問題的資料(不然我就照字面意思翻譯成垃圾文件了)。然而,它也能夠給黑客提供一些敏感信息比如一些應(yīng)用程序的密碼等。要禁止它,打開 控制面板>系統(tǒng)屬性>高級(jí)>啟動(dòng)和故障恢復(fù) 把 寫入調(diào)試信息 改成無。要用的時(shí)候,可以再重新打開它。
4.使用文件加密系統(tǒng)efs
windows2000 強(qiáng)大的加密系統(tǒng)能夠給磁盤,文件夾,文件加上一層安全保護(hù)。這樣可以防止別人把你的硬盤掛到別的機(jī)器上以讀出里面的數(shù)據(jù)。記住要給文件夾也使用efs,而不僅僅是單個(gè)的文件。 有關(guān)efs的具體信息可以查看
http://www.microsoft.com/windows200...ity/encrypt.asp
5.加密temp文件夾
一些應(yīng)用程序在安裝和升級(jí)的時(shí)候,會(huì)把一些東西拷貝到temp文件夾,但是當(dāng)程序升級(jí)完畢或關(guān)閉的時(shí)候,它們并不會(huì)自己清除temp文件夾的內(nèi)容。所以,給temp文件夾加密可以給你的文件多一層保護(hù)。
6.鎖住注冊(cè)表
在windows2000中,只有administrators和backup operators才有從網(wǎng)絡(luò)上訪問注冊(cè)表的權(quán)限。如果你覺得還不夠的話,可以進(jìn)一步設(shè)定注冊(cè)表訪問權(quán)限,詳細(xì)信息請(qǐng)參考:
http://support.microsoft.com/suppor...s/q153/1/83.asp
7.關(guān)機(jī)時(shí)清除掉頁面文件
頁面文件也就是調(diào)度文件,是win2000用來存儲(chǔ)沒有裝入內(nèi)存的程序和數(shù)據(jù)文件部分的隱藏文件。一些第三方的程序可以把一些沒有的加密的密碼存在內(nèi)存中,頁面文件中也可能含有另外一些敏感的資料。 要在關(guān)機(jī)的時(shí)候清楚頁面文件,可以編輯注冊(cè)表
hklm\system\currentcontrolset\control\session manager\memory management
把clearpagefileatshutdown的值設(shè)置成1。
8.禁止從軟盤和cd rom啟動(dòng)系統(tǒng)
一些第三方的工具能通過引導(dǎo)系統(tǒng)來繞過原有的安全機(jī)制。如果你的服務(wù)器對(duì)安全要求非常高,可以考慮使用可移動(dòng)軟盤和光驅(qū)。把機(jī)箱鎖起來扔不失為一個(gè)好方法。
9.考慮使用智能卡來代替密碼
對(duì)于密碼,總是使安全管理員進(jìn)退兩難,容易受到 10phtcrack 等工具的攻擊,如果密碼太復(fù)雜,用戶把為了記住密碼,會(huì)把密碼到處亂寫。如果條件允許,用智能卡來代替復(fù)雜的密碼是一個(gè)很好的解決方法。
10.考慮使用ipsec
正如其名字的含義,ipsec 提供 ip 數(shù)據(jù)包的安全性。ipsec 提供身份驗(yàn)證、完整性和可選擇的機(jī)密性。發(fā)送方計(jì)算機(jī)在傳輸之前加密數(shù)據(jù),而接收方計(jì)算機(jī)在收到數(shù)據(jù)之后解密數(shù)據(jù)。利用ipsec可以使得系統(tǒng)的安全性能大大增強(qiáng)。
北京到白城物流專線
廣州到開原物流專線
上海到成都物流專線
大連到新鄉(xiāng)物流專線
讓網(wǎng)站制作更簡單的方法是什么?
一文看懂云服務(wù)器和主機(jī)的區(qū)別
成都到海東物流專線
外貿(mào)電子商務(wù)網(wǎng)站建設(shè)步驟
這是c2級(jí)安全標(biāo)準(zhǔn)對(duì)視頻卡和內(nèi)存的要求。關(guān)閉directdraw可能對(duì)一些需要用到directx的程序有影響(比如游戲,在服務(wù)器上玩星際爭霸?我暈..$%$^%^&),但是對(duì)于絕大多數(shù)的商業(yè)站點(diǎn)都應(yīng)該是沒有影響的。 修改注冊(cè)表 hklm\system\currentcontrolset\control\graphicsdrivers\dci 的timeout(reg_dword)為 0 即可。
2.關(guān)閉默認(rèn)共享
win2000安裝好以后,系統(tǒng)會(huì)創(chuàng)建一些隱藏的共享,你可以在cmd下打 net share 查看他們。網(wǎng)上有很多關(guān)于ipc入侵的文章,相信大家一定對(duì)它不陌生。要禁止這些共享 ,打開 管理工具>計(jì)算機(jī)管理>共享文件夾>共享 在相應(yīng)的共享文件夾上按右鍵,點(diǎn)停止共享即可,不過機(jī)器重新啟動(dòng)后,這些共享又會(huì)重新開啟的。
默認(rèn)共享目錄 路徑和功能
c$ d$ e$ 每個(gè)分區(qū)的根目錄。win2000 pro版中,只有administrator 和backup operators組成員才可連接,win2000 server版本
server operatros組也可以連接到這些共享目錄admin$ %systemroot% 遠(yuǎn)程管理用的共享目錄。它的路徑永遠(yuǎn)都指向win2000的安裝路徑,比如 c:\winnt
fax$ 在win2000 server中,fax$在fax客戶端發(fā)傳真的時(shí)候會(huì)到。
ipc$ 空連接。ipc$共享提供了登錄到系統(tǒng)的能力。
netlogon 這個(gè)共享在windows 2000 服務(wù)器的net login 服務(wù)在處
理登陸域請(qǐng)求時(shí)用到
print$ %systemroot%\system32\spool\drivers 用戶遠(yuǎn)程管理打印機(jī)
解決辦法:
打開注冊(cè)表編輯器。regedit
hkey_local_machine\system\currentcontrolset\services\lanmanserver\parameters
在右邊建立一個(gè)名為autoshareserver的dword鍵。值為0
3.禁止dump file的產(chǎn)生
dump文件在系統(tǒng)崩潰和藍(lán)屏的時(shí)候是一份很有用的查找問題的資料(不然我就照字面意思翻譯成垃圾文件了)。然而,它也能夠給黑客提供一些敏感信息比如一些應(yīng)用程序的密碼等。要禁止它,打開 控制面板>系統(tǒng)屬性>高級(jí)>啟動(dòng)和故障恢復(fù) 把 寫入調(diào)試信息 改成無。要用的時(shí)候,可以再重新打開它。
4.使用文件加密系統(tǒng)efs
windows2000 強(qiáng)大的加密系統(tǒng)能夠給磁盤,文件夾,文件加上一層安全保護(hù)。這樣可以防止別人把你的硬盤掛到別的機(jī)器上以讀出里面的數(shù)據(jù)。記住要給文件夾也使用efs,而不僅僅是單個(gè)的文件。 有關(guān)efs的具體信息可以查看
http://www.microsoft.com/windows200...ity/encrypt.asp
5.加密temp文件夾
一些應(yīng)用程序在安裝和升級(jí)的時(shí)候,會(huì)把一些東西拷貝到temp文件夾,但是當(dāng)程序升級(jí)完畢或關(guān)閉的時(shí)候,它們并不會(huì)自己清除temp文件夾的內(nèi)容。所以,給temp文件夾加密可以給你的文件多一層保護(hù)。
6.鎖住注冊(cè)表
在windows2000中,只有administrators和backup operators才有從網(wǎng)絡(luò)上訪問注冊(cè)表的權(quán)限。如果你覺得還不夠的話,可以進(jìn)一步設(shè)定注冊(cè)表訪問權(quán)限,詳細(xì)信息請(qǐng)參考:
http://support.microsoft.com/suppor...s/q153/1/83.asp
7.關(guān)機(jī)時(shí)清除掉頁面文件
頁面文件也就是調(diào)度文件,是win2000用來存儲(chǔ)沒有裝入內(nèi)存的程序和數(shù)據(jù)文件部分的隱藏文件。一些第三方的程序可以把一些沒有的加密的密碼存在內(nèi)存中,頁面文件中也可能含有另外一些敏感的資料。 要在關(guān)機(jī)的時(shí)候清楚頁面文件,可以編輯注冊(cè)表
hklm\system\currentcontrolset\control\session manager\memory management
把clearpagefileatshutdown的值設(shè)置成1。
8.禁止從軟盤和cd rom啟動(dòng)系統(tǒng)
一些第三方的工具能通過引導(dǎo)系統(tǒng)來繞過原有的安全機(jī)制。如果你的服務(wù)器對(duì)安全要求非常高,可以考慮使用可移動(dòng)軟盤和光驅(qū)。把機(jī)箱鎖起來扔不失為一個(gè)好方法。
9.考慮使用智能卡來代替密碼
對(duì)于密碼,總是使安全管理員進(jìn)退兩難,容易受到 10phtcrack 等工具的攻擊,如果密碼太復(fù)雜,用戶把為了記住密碼,會(huì)把密碼到處亂寫。如果條件允許,用智能卡來代替復(fù)雜的密碼是一個(gè)很好的解決方法。
10.考慮使用ipsec
正如其名字的含義,ipsec 提供 ip 數(shù)據(jù)包的安全性。ipsec 提供身份驗(yàn)證、完整性和可選擇的機(jī)密性。發(fā)送方計(jì)算機(jī)在傳輸之前加密數(shù)據(jù),而接收方計(jì)算機(jī)在收到數(shù)據(jù)之后解密數(shù)據(jù)。利用ipsec可以使得系統(tǒng)的安全性能大大增強(qiáng)。
北京到白城物流專線
廣州到開原物流專線
上海到成都物流專線
大連到新鄉(xiāng)物流專線
讓網(wǎng)站制作更簡單的方法是什么?
一文看懂云服務(wù)器和主機(jī)的區(qū)別
成都到海東物流專線
外貿(mào)電子商務(wù)網(wǎng)站建設(shè)步驟
上一篇:重慶到萊陽物流專線