系統安全檢查清單 - 高級篇
關閉 DirectDraw
這是 C2 級安全標準對顯示卡和內存的要求。關閉 DirectDraw 可能對一些需要用到 DirectX 的程序有影響(比如遊戲,在服務器上玩星際爭霸?昏倒),但是對於絕大多數的商業站點都應該是沒有影響的。
修改注冊表 HKLMSYSTEMCurrentControlSetControlGraphicsDriversDCI 的Timeout(REG_DWORD)為 0 即可。
關閉默認共享
win2000 安裝好以後,系統會創建一些隱藏的共享,你可以在 cmd 下打 net share 查看他們。網上有很多關於 IPC 入侵的文章,相信大家一定對它不陌生。要禁止這些共享,打開 管理工具>電腦管理>共享資料夾>共享,在相應的共享資料夾上按右鍵,點停止共享即可,不過機器重新啟動後,這些共享又會重新開啟的。
默認共享目錄 路徑和功能,C$、D$、E$ 每個分區的根目錄。Win2000 Pro版中,只有 Administrator 和 Backup Operators 組成員才可連接,Win2000 Server 版本,Server Operatros 組也可以連接到這些共享目錄,ADMIN$ %SYSTEMROOT% 遠程管理用的共享目錄。它的路徑永遠都指向Win2000的安裝路徑,比如 c:winnt,FAX$ 在 Win2000 Server 中,FAX$ 在 fax 客戶端發傳真的時候會到。IPC$ 共享提供了登錄到系統的能力。NetLogon 這個共享在 Windows 2000 服務器的 Net Login 服務在處理登陸域請求時用到
PRINT$ %SYSTEMROOT%SYSTEM32SPOOLDRIVERS 用戶遠程管理印表機。
禁止 dump file 的產生
dump 文件在系統崩潰和藍屏的時候是一份很有用的查找問題的資料(不然我就照字面意思翻譯成垃圾文件了)。然而,它也能夠給黑客提供一些敏感信息比如一些應用程序的密碼等。要禁止它,打開 控制台>系統>進階>啟動及修復,把寫入撰寫偵錯資訊改成無。要用的時候,可以再重新打開它。
使用文件加密系統 EFS
Windows2000 強大的加密系統能夠給磁碟、資料夾、文件加上一層安全保護。這樣可以防止別人把你的硬碟掛到別的機器上以讀出裡面的數據。記住要給文件夾也使用 EFS,而不僅僅是單個的文件。
加密 temp 文件夾
一些應用程序在安裝和升級的時候,會把一些東西拷貝到 temp 資料夾,但是當程序升級完畢或關閉的時候,它們並不會自己清除 temp 資料夾的內容。所以,給 temp 資料夾加密可以給你的文件多一層保護。
鎖住注冊表
在 windows2000 中,只有 administrators 和 Backup Operators 才有從網絡上訪問注冊表的權限。如果你覺得還不夠的話,可以進一步設定注冊表訪問權限。
關機時清除掉頁面文件
頁面文件也就是調度文件,是 win2000 用來存儲沒有裝入內存的程序和數據文件部分的隱藏文件。一些第三方的程序可以把一些沒有的加密的密碼存在內存中,頁面文件中也可能含有另外一些敏感的資料。 要在關機的時候清楚頁面文件,可以編輯注冊表
HKLMSYSTEMCurrentControlSetControlSession ManagerMemory Management 把 ClearPageFileAtShutdown 的值設置成 1。
禁止從軟碟和 CD Rom 啟動系統
一些第三方的工具能通過引導系統來繞過原有的安全機制。如果你的服務器對安全要求非常高,可以考慮使用可移動軟碟和光碟。把機殼鎖起來仍不失為一個好方法。
考慮使用智能卡來代替密碼
對於密碼,總是使安全管理員進退兩難,容易受到 10phtcrack 等工具的攻擊,如果密碼太復雜,用戶把為了記住密碼,會把密碼到處亂寫。如果條件允許,用智能卡來代替復雜的密碼是一個很好的解決方法。
考慮使用 IPSec
正如其名字的含義,IPSec 提供 IP 數據包的安全性。IPSec 提供身份驗証、完整性和可選擇的機密性。發送方計算機在傳輸之前加密數據,而接收方計算機在收到數據之後解密數據。利用 IPSec 可以使得系統的安全性能大大增強。
文章定位:
