Windows system >> Windowsの知識 >  >> Windows Serverシステムのチュートリアル >> サーバー2000 >> Win2000のシステムセキュリティ対策

Win2000のシステムセキュリティ対策

  
の詳細な説明、しかし、オペレーティングシステムはマルチユーザオペレーティングシステムであるため、攻撃の中に身を隠すためにハッカーは、しばしば攻撃の最初のターゲットとしてWin2000を選択します。それでは、Win2000ユーザーとして、合理的な方法でWin2000セキュリティをどのように防ぐことができますか?ここでは、Win2000セキュリティを防ぐためのいくつかの対策をまとめて整理し、それらに貢献しています。完璧です。 1.タイムリーなバックアップシステムシステムの使用中にシステムが正常に動作しないようにするためには、Win2000システムのバックアップを作成する必要があります。後でこのバックアップに基づいてシステムの整合性を検証できるため、システムファイルが不正に変更されたかどうかを確認できます。システムファイルが破損している場合は、システムバックアップを使用して通常の状態に復元することもできます。情報をバックアップするときは、そのままのシステム情報をCD-ROMにバックアップしてから、定期的にシステムとCDの内容を比較して、システムの整合性が損なわれていることを確認できます。セキュリティレベルが特に厳しい場合は、ディスクを起動可能に設定し、システム起動プロセスの一環として作業を確認できます。この方法では、CDから起動できる限り、システムは破壊されていません。 2、NTFSのシステムフォーマットを設定するWin2000をインストールするときは、カスタムインストールを選択し、個人またはユニットに必要なシステムコンポーネントとサービスのみを選択し、未使用のネットワークサービスとプロトコルをキャンセルします。潜在的なシステムセキュリティリスクが高ければ高いほど、その可能性も大きくなります。 Win2000ファイルシステムを選択するときは、NTFSファイルシステムのセキュリティを最大限に活用するためにNTFSファイルシステムを選択する必要があります。 NTFSファイルシステムでは、各ユーザーがディスクディレクトリ内の任意のフォルダに対して読み書きできるファイルを制限することができます。また、Win2000の新しいディスククォータサービスは、各ユーザーが許可するディスク容量を制御することもできます。 3.ファイルまたはフォルダの暗号化システム内のファイルを他人が覗くのを防ぐために、Win2000システムが提供する暗号化ツールを使用してファイルやフォルダを保護することができます。具体的な手順は、[Winエクスプローラ]で、暗号化するファイルまたはフォルダを右クリックし、[プロパティ]をクリックします。 [全般]タブの[詳細]をクリックし、[データをセキュリティで保護するためにコンテンツを暗号化する]チェックボックスをオンにします。 4、EveryOneグループの共有ディレクトリをキャンセルするデフォルトでは、Win2000で共有ディレクトリを追加すると、オペレーティングシステムはEveryOneユーザーグループを自動的にパーミッションモジュールに追加します。このグループのデフォルトパーミッションは完全に制御されているため、誰でも共有ディレクトリを読み書きできます。そのため、新しい共有ディレクトリを作成した後は、すぐにEveryOneグループを削除するか、グループの読み取り権限を調整してください。 5、システム修復ディスクを作成するシステムが誤って破壊されて正常に起動できない場合は、専用のWin2000システム起動ディスクが必要です。このため、Win2000のインストール後にシステム修復ディスクを作成する必要があります。ブートディスクを作成するときに、NTBACKUP.EXEというWin2000のツールを使用して実現できます。 NTBACKUP.EXEを実行し、ツールバーから[システム修復ディスクの作成]を選択し、A:ドライブに空のフォーマット済みフロッピーディスクを挿入して、[OK]をクリックし、[OK]をクリックします。完了メッセージを表示して、[OK]をクリックします。修復ディスクを使用してユーザーアカウント情報などを復元することはできなくなり、Active Directoryをバックアップ/復元する必要があります。これはバックアップで上書きされます。 6.ログインサーバの改善システムのログインサーバを別のマシンに移動すると、システムのセキュリティレベルが上がりますWin2000独自のログインツールの代わりに、より安全なログインサーバを使用すると、セキュリティがさらに向上します。大規模なWin2000ネットワークでは、サービスにログインするために別のログインサーバーを使用するのが最善です。すべてのシステムログイン要件を満たし、他のサービスを実行することができない十分なディスク容量があるサーバーシステムである必要があります。より安全なログインサーバは、ログインシステムを通して侵入者がログファイルを改ざんする能力を大幅に減らすことができます。 7.セキュリティメカニズムを使用して、Win2000システムのセキュリティルールを厳格に設計および管理しますコンテンツには、主に「パスワードルール」、「アカウントロックルール」、「ユーザー権利の割り当てルール」、「ユーザールール」、および「ルール」が含まれます。そして、<; IPセキュリティのルール<;すべてのユーザーは、作業ニーズに応じてグループ化する必要がありますシステムのセキュリティ設計においては、合理的なユーザーのグループ化が最も重要な基盤です。セキュリティルールを使用して、ユーザーのパスワードの有効期間とパスワードの長さを制限できます。ログイン失敗回数を設定してワークステーションをロックし、ユーザーのバックアップファイルとディレクトリ、シャットダウン、ネットワークアクセスなどの動作を効果的に制御します。 8.システムの追跡ハッカーの攻撃活動を綿密に監視するために、Win2000のログファイルを起動してシステムの実行状態を記録し、ハッカーがシステムを攻撃すると、その手がかりがログファイルに記録されます。そのため、多くのハッカーは、システムへの攻撃を開始するときにシステムのログファイルを変更することによって自分の痕跡を隠し、ログファイルへのアクセスを制限し、一般的な権限を持つユーザーがログファイルを閲覧できないようにする必要があります。もちろん、システムに組み込まれたログマネージャ機能はそれほど強力ではないかもしれません、我々はそれらの疑わしい複数の接続試行を観察するために特別なロギングプログラムを使用するべきです。また、ハッカーがこれらのアカウントをroot権限で知っていると、ログファイルを変更して自分の痕跡を隠すことができるため、パスワードとroot権限を持つユーザーを保護するように注意する必要があります。 9.ログインスクリプトを使用して、ネットワークユーザーの動作を適切に制限するためのシステムポリシーとユーザーログインスクリプトを作成します。システムポリシーエディタとユーザーログインスクリプトを使用して、ユーザーの作業環境を設定し、デスクトップ上のユーザーの操作を制御し、ユーザーが実行するプログラムを制御し、ユーザーログインの時間と場所を制御できます。すべてのアクセスを除いて、あなた自身の事務用機器にログインしてください。 10、頻繁にシステム情報を確認する作業中に突然コンピュータが正常に動作していないと感じた場合、誰かが遠隔地であなたを遠隔操作しているようです。現時点では、時間内に作業を停止する必要があり、すぐにCtrl + Alt + Delキーを押してシステムで他のプログラムが実行されているかどうかを確認します。システムはより大きな脅威を抱えています。 Back Orifice(ハッカーのバックドア)などのプログラムの中には、Ctrl + Alt + Del複合キーのプロセスのリストに表示されないものがあります。 [システムツール]、[システム情報]の順にクリックし、[ソフトウェア環境]をダブルクリックして[タスクの実行]を選択し、慣れていないプログラム、または実行していないプログラムを見つけます。プログラムが見つかったら、将来の問題を防ぐためにすぐに終了する必要があります。 11、ウイルスの攻撃に用心する最近、ウイルスはインターネット上でますます速く拡散していますアクティブな感染を防ぐために、我々はWin2000の違法ウェブサイトにアクセスしたくないし、プログラムのダウンロードと実行を急いではいません。たとえば、添付ファイル付きの電子メールを受信し、その添付ファイルが拡張子EXEのファイルである場合、このプログラムを誤って実行しないでください。 。攻撃者はしばしば詐欺的なテーマでシステム名を電子メールであなたに送ります、何かを言うためにあなたにうそをつく:「私はプログラムをテストするのを助けます」 'など。あなたは用心深くなければなりません!これらの一見友好的で意味のある電子メールの添付ファイルを処理するために、私たちがすべきことはこれらの未確認の文書を直ちに削除することです。 12、システムセキュリティパラメータを設定するNTFSファイルシステムのローカルセキュリティパフォーマンスを最大限に活用し、NTFSファイルシステムファイルとディレクトリの読み書きを設計し、アクセス権、グループユーザーを設計します。アクセスの拒否、読み取り、および変更の権限は、さまざまなグループのユーザーに付与されます。通常、最小限必要なディレクトリおよびファイルの権限のみが付与されます。完全な管理権限を付与するために特別な注意を払う必要があることは注目に値します。ネットワークリソースを共有するには、ファイルシステムのネットワーク共有権限を設計し、共有すべきでないファイルやディレクトリに共有権限を決して与えないでください。共有できるファイルとディレクトリの場合、異なるグループとユーザーにアクセス拒否、読み取り、変更、およびフルコントロールを許可する必要があります。
Copyright © Windowsの知識 All Rights Reserved