Win 2000のセキュリティ設定一覧

主なセキュリティ

1.物理的なセキュリティ

サーバーはモニターが設置された隔離された部屋に設置し、モニターは15日以上の記録を残すようにしてください。さらに、シャーシ、キーボード、およびコンピュータの机の引き出しは、部屋に入ってもだれもコンピュータを使用できないようにロックする必要があり、キーは別の安全な場所に配置する必要があります。

2. Guestアカウントを停止します。

コンピュータ管理ユーザーでguestアカウントを無効にします。また、guestアカウントによるシステムへのログインを許可しないでください。安全を期すには、ゲストに複雑なパスワードを追加するのが最善です｡メモ帳を開き、特殊文字、数字、および文字を含む長い文字列を入力して、それをゲストアカウントのパスワードとしてコピーできます。

3。不要なユーザーの数を制限する

重複するユーザーアカウント、テストアカウント、共有アカウント、一般部門アカウントなどをすべて削除します。ユーザーグループポリシーは適切なアクセス許可を設定し、使用されなくなったアカウントを削除するためにシステムのアカウントを確認することがよくあります。これらのアカウントは、ハッカーがシステムに侵入するための突破口となることが多く、アカウントが多いほど、ハッカーが正規のユーザーの権利を取得する可能性が高くなります。国内のNT /2000ホストでは、10を超えるシステムアカウントがある場合、1つまたは2つの弱いパスワードアカウントが見つかります。ホストの197アカウントのうち180アカウントが脆弱なパスワードアカウントであることがわかりました。

4。 2つの管理者アカウントを作成します。

これは上記とは多少矛盾するようですが、実際には上記の規則に従います。一般的な特権アカウントを作成して日常的なものを受け取り、処理します。管理者特権を持つ別のアカウントは、必要なときにのみ使用されます。管理者は、' RunAS'コマンドを使用して、管理を容易にするために特権を必要とする作業を実行できます。

5。システム管理者アカウントの名前を変更する

誰もがWindows 2000管理者アカウントを無効にできないことを知っています。つまり、他のユーザーがこのアカウントのパスワードを何度も試してみることができます。 Administratorアカウントの名前を変更すると、事実上これを防ぐことができます。もちろん、Adminという名前は使わないでください。変更しないことと同じです。通常のユーザーに見せかけてみてください。たとえば：guestoneに変更します。

6。トラップアカウントを作成する

トラップアカウントとは何ですか？見てください>' Administrator"というローカルアカウントを作成し、そのアクセス許可を最低に設定し、何もしないで追加10桁以上の超複雑なパスワード。これにより、それらのスクリプトはしばらくビジー状態になりますので、それらを使用して侵入の試みを発見することができます。あるいはそのログインスクリプトにいくつかのトリックを行います。ああ、それで十分です！

7。共有ファイルの権限を< Everyone>グループから「認証ユーザー」に変更します。<
< p"""> win2000では、ネットワークにアクセスできるすべてのユーザーがこれらの共有資料にアクセスできます。ファイルを共有しているユーザーをいつでも< Everyone>グループに設定しないでください。印刷の共有を含め、デフォルトの属性は' everyone'グループです。変更することを忘れないでください。

8。安全なパスワードを使用する

良いパスワードはネットワークにとって非常に重要ですが、無視するのが最も簡単です。私が以前に言ったことはすでにこれを説明するかもしれません。会社の管理者の中には、アカウントの作成時に会社名、コンピュータ名、または他の何かを使用してユーザー名を推測し、' welcome'のようにこれらのアカウントのパスワードをNに設定する場合があります。 Iloveyou'' letmein'またはユーザー名と同じです。このようなアカウントでは、最初にログインするときにユーザーは複雑なパスワードに変更する必要があり、また頻繁にパスワードを変更する必要があります。 IRCと人々が数日前にこの問題について話し合ったとき、私たちは良いパスワードの定義を与えました。セキュリティ期間中に解読できないパスワードは良いパスワードです。それを解読するために43日以上かかり、あなたのパスワードポリシーはパスワードを変更するために42日です。

9。スクリーンセーバーのパスワードを設定する

スクリーンセーバーのパスワードを設定することも、サーバーの内部的な損傷に対する障壁となります。 OpenGLやいくつかの複雑なスクリーンセーバーを使用しないように注意してください。システムリソースを浪費し、彼に黒い画面を表示させます。さらに、すべてのシステムユーザーが使用するマシンにスクリーンセーバーのパスワードを追加することをお勧めします。

10。 NTFSフォーマットのパーティションを使用する

サーバーのすべてのパーティションをNTFSフォーマットに変更します。 NTFSファイルシステムはFAT、FAT32ファイルシステムよりはるかに安全です。言うまでもなく、私は皆NTFSサーバーでなければならないと思います。

11。ウイルス対策ソフトウェアの実行

私が見たことのあるWin2000 /Ntサーバーには、ウイルス対策ソフトウェアがインストールされているのを見たことがありません。いくつかの良いアンチウイルスソフトウェアは、いくつかの有名なウイルスを殺すだけでなく、たくさんのトロイの木馬やバックドアを殺すことができます。この場合、ハッカーによって使用される有名なトロイの木馬は役に立ちません。ウイルスデータベースを頻繁にアップグレードすることを忘れないでください。

12。安全なバックアップディスク

システムデータが破損したら、バックアップディスクがデータを回復する唯一の方法になります。データをバックアップした後は、バックアップディスクを安全な場所に保管してください。データを同じサーバーにバックアップしないでください。

中級セキュリティ：

1。 win2000のセキュリティ設定ツールを使用してポリシーを設定します。

Microsoftは一連のMMC（管理コンソール）セキュリティ設定および分析ツールを提供しています。あなたの要件を満たすようにサーバーを簡単に設定できます。 。詳細については、Microsoftのホームページを参照してください。

2。不要なサービスを無効にする

Windows 2000のターミナルサービス、IIS、およびRASはすべて、システムにセキュリティホールをもたらす可能性があります。サーバーをリモートで便利に管理できるようにするために、多くのマシンのターミナルサービスが開いています。それを開く場合は、ターミナルサービスを正しく設定したことを確認してください。悪意のあるプログラムの中には、サービスとして静かに動作するものもあります。サーバー上で開いているすべてのサービスを監視し、中期的にそれらをチェックします（毎日）。 C2レベルでインストールされる既定のサービスは次のとおりです。

コンピュータブラウザサービスTCP /IP NetBIOSヘルパー

Microsoft DNSサーバースプーラ

NTLM SSPサーバー

RPCロケータWINS

RPCサービスワークステーション

Netlogonイベントログ

3。不要なポートをオフにする

ポートをオフにすると機能が低下するので、セキュリティと機能についていくつか判断する必要があります。サーバーがファイアウォールの内側に設置されている場合、リスクは少なくなりますが、座ってリラックスできるとは思わないでください。システムにハッキングする最初のステップとして、ポートスキャナーを使用してシステムに対して開いているポートをスキャンし、開いているサービスを特定します。 \\ system32 \\ drivers \\ etc \\ servicesファイルには、参考のために既知のポートとサービスのリストが含まれています。具体的な方法は次のとおりです。

ネットワークコンピュータ>属性>ローカル接続>属性>インターネットプロトコル（tcp /ip）>属性>詳細設定>オプション> tcp /ipフィルタ>属性開くTCP /IPスクリーニングは、必要なTCP、UDPを追加、契約がすることができます。
前へ12次へもっと読む