0:None. Rely on default permissions(无,取决于默认的权限)
1:Do not allow enumeration of SAM accounts and shares(不允许枚举SAM帐号和共享)
2:No access without explicit anonymous permissions(没有显式匿名权限就不允许访问)
0:系统默认的,什么限制都没有,远程用户可以知道你机器上所有的账号、组信息、共享目录、网络传输列表等等,对服务器来说这样的设置非常危险 。
1:只允许非NULL用户存取SAM账号信息和共享信息 。
2:在Win2000中才支持,不过会失去所有的共享,在企业中这基本上是不可能的 。
所以我建议大家选择1,另外还有最好把administrator 改名 。
4.安全日志:打开本地安全策略->审核策略中打开相应的审核,必须的审核是:
账户管理 成功 失败
登录事件 成功 失败
对象访问 失败
策略更改 成功 失败
特权使用 失败
系统事件 成功 失败
目录服务访问 失败
账户登录事件 成功 失败
与之相关的是:
在账户策略->密码策略中设定:
密码复杂性要求 启用
密码长度最小值 8位
强制密码历史 3次
最长存留期 30天
在账户策略->账户锁定策略中设定:
账户锁定 3次错误登录
锁定时间 30分钟
复位锁定计数 30分钟
6.目录和文件权限:
Windows 2000 Advance Serve的访问权限分为:读取、写入、读取及执行、修改、列目录、完全控制 。在默认的情况下,大多数的文件夹对所有用户(Everyone这个组)是完全敞开的(Full Control),你需要根据应用的需要进行权限重设 。
在进行权限控制时,请记住以下几个原则:
1>权限是累计的:如果一个用户同时属于两个组,那么他就有了这两个组所允许的所有权限;
2>拒绝的权限要比允许的权限高(拒绝策略会先执行)如果一个用户属于一个被拒绝访问某个资源的组,那么不管其他的权限设置给他开放了多少权限,他也一定不能访问这个资源;
3>文件权限比文件夹权限高(这个不用解释了吧?)
4>利用用户组来进行权限控制是一个成熟的系统管理员必须具有的优良习惯之一;
5>仅给用户真正需要的权限,权限的最小化原则是安全的重要保障;
6.预防Dos:
在注册表HKLMSYSTEMCurrentControlSetServicesTcpipParameters中更改以下值可以帮助你防御一定强度的DoS攻击
SynAttackProtect REG_DWord 2
EnablePMTUDiscovery REG_DWORD 0
NoNameReleaseOnDemand REG_DWORD 1
EnableDeadGWDetect REG_DWORD 0
KeepAliveTime REG_DWORD 300,000
PerformRouterDiscovery REG_DWORD 0
EnableICMPRedirects REG_DWORD 0
ICMP攻击:ICMP的风暴攻击和碎片攻击也是Windows 2000 Advance Serve比较头疼的攻击方法,其实应付的方法也很简单,Win2000自带一个Routing & Remote Access工具,这个工具初具路由器的雏形,在这个工具中,我们可以轻易的定义输入输出包过滤器 。
实际上,安全和应用在很多时候是矛盾的,所以你要对所涉及的各种折衷选择有比较深刻的认识,毕竟服务器是给用户用的,安全原则不能妨碍系统应用 。
网络安全是一项系统工程,它不仅有空间的跨度,还有时间的跨度 。部分系统/网络管理员认为进行了安全配置Windows 2000 Advance Serve是足够安全的,其实这其中有个误区:我们只能说一台服务器在一定的情况下,一定的时间内是安全的,随着网络结构的变化、新的漏洞的发现,管理员/用户的操作,安全状况是时刻改变的,我们要不断的对我们的网络进行有效的设置维护其安全和满足我们的应用,时刻关注新的发现,对安全的原则作出相应的修改,这样,才是系统/网络管理员工作的正确方向 。
推荐阅读
- Win 2000操作中Hosts文件的作用
- Win 2000中启用兼容性功能
- 用安全模板加强Windows的安全
- Win 2000的五则超酷技巧
- Windows自启程序十大藏身之所
- Win2000注册表编辑器装个地址栏
- 寻找Windows的自启动程序
- Win2000 SP4八大热点问题
- Win2000-Hosts文件的作用
- Windows2000磁盘扫描功能