Win 2000檢測系統安全清單(2)

　　一個好的密碼對于一個網絡是非常重要的，但是它是最容易被忽略的。前面的所說的也許已經可以說明這一點了。一些公司的管理員創建帳號的時候往往用公司名，計算機名，或者一些別的一猜就到的東西做用戶名，然后又把這些帳戶的密碼設置得N簡單，比如 “welcome” “iloveyou” “letmein”或者和用戶名相同等等。這樣的帳戶應該要求用戶首此登陸的時候更改成復雜的密碼，還要注意經常更改密碼。前些天在IRC和人討論這一問題的時候，我們給好密碼下了個定義：安全期內無法破解出來的密碼就是好密碼，也就是說，如果人家得到了你的密碼文檔，必須花43天或者更長的時間才能破解出來，而你的密碼策略是42天必須改密碼。

　　9．設置屏幕保護密碼

　　很簡單也很有必要，設置屏幕保護密碼也是防止內部人員破壞服務器的一個屏障。注意不要使用OpenGL和一些復雜的屏幕保護程序，浪費系統資源，讓他黑屏就可以了。還有一點，所有系統用戶所使用的機器也最好加上屏幕保護密碼。

　　10． 使用NTFS格式分區

　　把服務器的所有分區都改成NTFS格式。NTFS文件系統要比FAT,FAT32的文件系統安全得多。這點不必多說，想必大家得服務器都已經是NTFS的了。

　　11．運行防毒軟件

　　我見過的Win2000/Nt服務器從來沒有見到有安裝了防毒軟件的，其實這一點非常重要。一些好的殺毒軟件不僅能殺掉一些著名的病毒，還能查殺大量木馬和后門程序。這樣的話，“黑客”們使用的那些有名的木馬就毫無用武之地了。不要忘了經常升級病毒庫

　　12．保障備份盤的安全

　　一旦系統資料被破壞，備份盤將是你恢復資料的唯一途徑。備份完資料后，把備份盤防在安全的地方。千萬別把資料備份在同一臺服務器上，那樣的話，還不如不要備份。

　　中級安全篇：

　　1．利用win2000的安全配置工具來配置策略

　　微軟提供了一套的基于MMC(管理控制臺)安全配置和分析工具，利用他們你可以很方便的配置你的服務器以滿足你的要求。具體內容請參考微軟主頁：

　　www.microsoft.com/windows2000/techinfo/howitworks/security/sctoolset.asp

　　2．關閉不必要的服務

　　windows 2000 的 Terminal Services（終端服務），IIS ,和RAS都可能給你的系統帶來安全漏洞。為了能夠在遠程方便的管理服務器，很多機器的終端服務都是開著的，如果你的也開了，要確認你已經正確的配置了終端服務。有些惡意的程序也能以服務方式悄悄的運行。要留意服務器上面開啟的所有服務，中期性(每天)的檢查他們。下面是C2級別安裝的默認服務：

　　Computer Browser service TCP/IP NetBIOS Helper

　　Microsoft DNS server Spooler

　　NTLM SSP Server

　　RPC Locator WINS

　　RPC service Workstation

　　Netlogon Event log

　　3．關閉不必要的端口

　　關閉端口意味著減少功能，在安全和功能上面需要你作一點決策。如果服務器安裝在防火墻的后面，冒的險就會少些，但是，永遠不要認為你可以高枕無憂了。用端口掃描器掃描系統所開放的端口，確定開放了哪些服務是黑客入侵你的系統的第一步。\system32\drivers\etc\services 文件中有知名端口和服務的對照表可供參考。具體方法為：

　　網上鄰居>屬性>本地連接>屬性>inte.net 協議(tcp/ip)>屬性>高級>選項>tcp/ip篩選>屬性 打開tcp/ip篩選，添加需要的tcp,udp,協議即可。

原文轉自：http://www.anti-gravitydesign.com