日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁(yè) > 云知道 > >

安全配置Windows2000服務(wù)器( 二 )

云知道


最后,為了保險(xiǎn)起見,可以使用IIS的備份功能,將剛剛的設(shè)定全部備份下來(lái),這樣就可以隨時(shí)恢復(fù)IIS的安全配置 。還有,如果怕IIS負(fù)荷過(guò)高導(dǎo)致服務(wù)器死機(jī),也可以在性能中打開CPU限制,如將IIS的最大CPU使用率限制在70% 。
三、 賬號(hào)安全
首先,WIN2K的默認(rèn)安裝允許任何用戶通過(guò)空用戶得到系統(tǒng)所有賬號(hào)和共享列表,這本來(lái)是為了方便局域網(wǎng)用戶共享資源和文件的,但是,同時(shí)任何一個(gè)遠(yuǎn)程用戶也可以通過(guò)同樣的方法得到你的用戶列表,并可能使用暴力法破解用戶密碼給整個(gè)網(wǎng)絡(luò)帶來(lái)破壞 。很多人都只知道更改注冊(cè)表Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous = 1來(lái)禁止空用戶連接,實(shí)際上WIN2K的本地安全策略里(如果是域服務(wù)器就是在域服務(wù)器安全和域安全策略里)就有這樣的選項(xiàng)RestrictAnonymous(匿名連接的額外限制),其中有三個(gè)值:
"0":None,Rely on default permissions(無(wú),取決于默認(rèn)的權(quán)限)
"1":Do not allow enumeration of SAM accounts and shares(不允許枚舉SAM賬號(hào)和共享)
"2":No access without explicit anonymous permissions(沒(méi)有顯式匿名權(quán)限就不允許訪問(wèn))
"0"這個(gè)值是系統(tǒng)默認(rèn)的,沒(méi)有任何限制,遠(yuǎn)程用戶可以知道你機(jī)器上所有的賬號(hào)、組信息、共享目錄、網(wǎng)絡(luò)傳輸列表(NetServerTransportEnum)等,對(duì)服務(wù)器來(lái)說(shuō)這樣的設(shè)置非常危險(xiǎn) 。"1"這個(gè)值是只允許非NULL用戶存取SAM賬號(hào)信息和共享信息 。"2"這個(gè)值只有WIN2K才支持,需要注意的是,如果使用了這個(gè)值,就不能再共享資源了,所以還是推薦把數(shù)值設(shè)為"1"比較好 。
四、 安全日志
這里需要注意:WIN2K的默認(rèn)安裝是不開任何安全審核的!那么就應(yīng)該到"本地安全策略→審核策略"中打開相應(yīng)的審核,這里需要說(shuō)明的是,審核項(xiàng)目如果太少的話,你萬(wàn)一想查看的時(shí)候發(fā)現(xiàn)沒(méi)有記錄那就一點(diǎn)辦法都沒(méi)有,但是審核項(xiàng)目如果太多,不僅會(huì)占用大量的系統(tǒng)資源,而且你也可能根本沒(méi)空去全部看完,這樣就失去了審核的意義 。推薦的審核如下:
"賬戶管理"、"登錄事件"、"策略更改"、"系統(tǒng)事件"、"賬戶登錄事件"需要把"成功"和"失敗"都打開;"對(duì)象訪問(wèn)"、"特權(quán)使用"、"目錄服務(wù)訪問(wèn)"就只打開"失敗" 。
與之相關(guān)的還有,在"賬戶策略→密碼策略"中設(shè)定:"密碼復(fù)雜性要求啟用","密碼長(zhǎng)度最小值6位","強(qiáng)制密碼歷史5次","最長(zhǎng)存留期 30天";在"賬戶策略→賬戶鎖定策略"中設(shè)定:"賬戶鎖定3次錯(cuò)誤登錄","鎖定時(shí)間20分鐘","復(fù)位鎖定計(jì)數(shù)20分鐘"等 。
Terminal Service的安全日志默認(rèn)也是不啟用的,可以在"Terminal Service Configration(遠(yuǎn)程服務(wù)配置)→權(quán)限→高級(jí)"中配置安全審核,一般來(lái)說(shuō)只要記錄登錄、注銷事件就可以了 。
五、 目錄和文件權(quán)限
為了控制好服務(wù)器上用戶的權(quán)限,同時(shí)也為了預(yù)防以后可能的入侵和溢出,還必須非常小心地設(shè)置目錄和文件的訪問(wèn)權(quán)限 。NT的訪問(wèn)權(quán)限分為:讀取、寫入、讀取及執(zhí)行、修改、列目錄、完全控制 。在默認(rèn)的情況下,大多數(shù)的文件夾對(duì)所有用戶(Everyone這個(gè)組)是完全敞開的(Full Control),你需要根據(jù)應(yīng)用的需要進(jìn)行權(quán)限重設(shè) 。在進(jìn)行權(quán)限控制時(shí),請(qǐng)記住以下幾個(gè)原則:
1. 權(quán)限是累計(jì)的,如果一個(gè)用戶同時(shí)屬于兩個(gè)組,那么他就有了這兩個(gè)組所允許的所有權(quán)限 。
2. 拒絕的權(quán)限要比允許的權(quán)限高(拒絕策略會(huì)先執(zhí)行) 。如果一個(gè)用戶屬于一個(gè)被拒絕訪問(wèn)某個(gè)資源的組,那么不管其他的權(quán)限設(shè)置給他開放了多少權(quán)限,他也一定不能訪問(wèn)這個(gè)資源 。
3. 文件權(quán)限比文件夾權(quán)限高 。
4. 利用用戶組來(lái)進(jìn)行權(quán)限控制是一個(gè)成熟的系統(tǒng)管理員必須具有的優(yōu)良習(xí)慣 。

推薦閱讀