在启动电脑后,立刻按下F2键,这样你就进入了进入BIOS设置页面 。你可以使用Alt-P在BIOS的各个设置标签上来回移动 。在启动顺序(Boot;Order)标签页上,设置服务器启动首选项为内部硬盘(Internal;HDD) 。在系统安全(Boot;Order)标签页上,硬盘密码有三种选项可供选择:Primary、Administrative;和Hard 。
同样,自动运行外部介质的功能包括光碟、DVD和USB驱动器,应该被禁用 。在注册表,进入路径;HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Cdrom(或其他设备名称)下,将;Autorun的值设置为0 。自动运行功能有可能自动启动便携式介质携带的恶意应用程序 。这是安装特洛伊安全(Trojan)、后门程序(Backdoor)、键盘记录程序(KeyLogger)、窃听器(Listener)等恶意软件的一种简单的方法(如图4所示); 。
下一道防线是有关用户如何登录到系统 。虽然身份验证的替代技术,比如生物特征识别、令牌、智能卡和一次性密码,都是可以用于Windows;Server;2003用来保护系统,但是很多系统管理员,无论是本地的还是远程的,都使用用户名和密码的组合作为登陆服务器的验证码 。不过很多时候,他们都是使用缺省密码,这显然是自找麻烦(请不要再使用确实的@55w0rd了!); 。
上面这些注意点都是很显然的 。但是,如果你非要使用密码的话,那么最好采用一个强壮的密码策略:密码至少8个字符那么长,包括英文大写字母、数字和非字母数字字符 。此外,你最好定期改变密码并在特定的时期内不使用相同的密码 。
一个强壮的密码策略加上多重验证(Multifactor;Authentication),这也仅仅只是一个开始 。多亏了NTFS提供的ACL功能,使得一个服务器的各个方面,每个用户都可以被指派不同级别的访问权限 。文件访问控制打印共享权限的设置应当基于组(Group)而不是“每个人(Everyone)” 。这在服务器上是可以做到的,或者通过;Active;Directory 。
确保只有一个经过合法身份验证的用户能访问和编辑注册表,这也很重要 。这样做的目的是限制访问这些关键服务和应用的用户人数 。;
4.禁用或删除不需要的帐户、端口和服务
在安装过程中,三个本地用户帐户被自动创建---管理员(Administrator)、来宾(Guest)、远程协助账户(Help-;Assistant,随着远程协助会话一起安装的) 。管理员帐户拥有访问系统的最高权限 。它能指定用户权限和访问控制 。虽然这个主帐户不能被删除,但是你应该禁用或给它重新命名,以防被轻易就被安全盗用而侵入系统 。正确的做法是,你应该为某个用户或一个组对象指派管理员权限 。这就使得安全更难判断究竟哪个用户拥有管理员权限 。这对于审计过程也是至关重要的 。想象一下,如果一个IT部门的每一个人都可以使用同一个管理员账户和密码登录并访问服务器,这是一个多么重大的安全隐患啊 。最好不要使用管理员帐户了 。
同样地,来宾账户和远程协助账户为那些攻击Windows;Server;2003的安全提供了一个更为简单的目标 。进入“控制面板”---“管理工具”---“计算机管理”,右键单击你想要改变的用户帐户,选择“属性”,这样你就可以禁用这些账户 。务必确保这些账户在网络和本地都是禁用的 。
开放的端口是最大的潜在威胁,Windows;Server;2003有65535个可用的端口,而你的服务器并不需要所有这些端口 。SP1中包含的防火墙允许管理员禁用不必要的TCP和UDP端口 。所有的端口被划分为三个不同的范围:众所周知的端口(0-1023)、注册端口(1024-49151)、动态/私有端口(49152-65535) 。众所周知的端口都被操作系统功能所占用;而注册端口则被某些服务或应用占用 。动态/私有端口则是没有任何约束的 。
推荐阅读
- 汽油机和柴油机的区别 简述汽油机和柴油机的区别
- 重庆新生儿医保办理流程 少儿医保参保的方式
- 轻松改变Win2003登录方式
- 上 打造安全的Windows 2003系统
- 直观行动思维活动的典型方式是
- 打造Win XP/2003万能GHOST
- 下 打造安全的Win 2003操作系统
- 正确的剃须刀剃须方法 剃须刀哪种剃须方式好
- 办理离婚手续费用是多少
- PS制作波浪线的两种操作方式