如何加强NT系统的安全性
NT 系统和其它系统一样也有自己的弱点,有它容易受到攻击的一面。由于NT系统十分容易操作,它成了许多公司首选的操作系统。既然用了这么广,那就有必要有加强这种系统的安全性,使它受攻击的可能性减少到最少。
我们首先来从 NT配置入手,看看在这里能够做些什么事情。当前攻击一个系统最有效的办法还是知道密码,那么设置密码的策略将是很关键的事情。在设置密码策略的时候要注意一点,就是让攻击者不容易得手,但是也不能让正常的用户觉得这种策略简直是无法忍受的烦琐。系统还是要让人用的,不使用的系统是最安全的。
90天,这使得用户每一个半月就要换一次密码,老用一个密码肯定能够被人知道,但如果三天两头让人换密码,我想员工肯定要造反。
密码有效的最短时间设置为1天,这使得用户在短时间内不能反复更换密码,防止用户换一个密码后,没几分钟就换回老密码了。
最小密码长度设置为8个字符,越长的密码越不容易被猜到,当然记起来也越讨厌,如果规定密码必须为20位,90天一换,有些人会索性把密码贴在显示器上。
保存的用户密码设置为5个,也就是说计算机记住了用户前五次设置的密码,用户在更改密码时不能与这5个重复。
帐户锁定次数设置为5次,如果用户5次错误地输入了密码,那就要等待一段时间后才能再进行登录过程。这个对力迫法获得密码是很有防范作用的。
锁定时间设置为15分钟,太短了起不到防范的效果,太长了会让员工觉得十分心烦,当然也可以设置此值为永远,那只有管理员才能够解除锁定,可是要小心,如果公司比较在,管理员会一天光给你解除锁定了。
下来的问题就是保护帐户了,我们用过 NT的人都知道管理员用户是最关键的,如果这个用户的密码被人搞到了,麻烦可就大了。下面是几个保护的方法:
- 对管理员的用户名进行重命名,这样别人想知道获得管理员密码就比较麻烦了;另外还可以设置一个假的
administrator用户,让人破去,破到的也是个假的。
让Guest帐户失效,有些第三方软件会要求使用这一帐户,但是除非是特殊情况,不要让人没事干乱用这个帐户。
对于共享的目录,不要在权限上加上Everyone这一项,要加上Authenticated Users这一项比较安全。
前面的两个我们或许经常使用,下面的几个方法可能你现在还没有注意到,首先是注册表,这个东西大家好象听到就比较头大,它里面有 Windows的所有配置信息,可马虎不得。
- 控制对注册表的远程访问,允许对注册表的远程管理可能这可能是
NT比较大的漏洞之一吧。
设置一个警告文本,让有这种企图的,但与你还不是深仇大恨的人心生退意。
不要显示上一次登录的用户名,这样可以保护系统的合法用户名不为外人所知。
保护事件日志的安全部分,这一部分在默认情况下是不受保护的,应该让这一日志只对系统的合法用户开放,不能对Guest用户开放。
随管理员和打印管理员外,不要让其它用户使用打印设备,不然你公司的费用可能就要在这上面大大上涨了,而且可能打印出公司的一些机密文件。
限制匿名登录,NT允许匿名登录者列出用户名,这样很不安全。
不要让除管理员外的其它用户有权限使用AT命令。
不要让匿名登录的用户访问注册表,让他们知道你机器的配置情况总不是件让人放心的事。
具体的配置请到的一问一答下的NT操作系统中的安全部分寻找寻找。
黑客通常通过网络进行你的系统,如果网络配置不当,则易受攻击。下面是一些建议:
FTP,RAS,IP Forwarding和GOPHER。
对于不需要的协议进行关闭,即使是TCP/IP,NetBIOS。
Server,Alerter和Messenger服务。
RPC端口135,中止nbname端口137,nbdatagram端口138和nbseesion端口139。
另外,请注意微软发布的补丁包,虽然这样的包也可以引入新的问题,但还是装上的好。在关键的服务器上对软驱和光驱的使用要注意。另外,不要使用 rollback.exe,这个文件,这个文件有问题。尽量使用NTFS分区,通常的FAT分区不能提供一些安全性的保证,因此会降低系统的安全性。
任何安全系统中最容易攻击的并不是系统本身,而是使用它的人员,我们可能把一切都想到了,但是有些员工的不经意却让我们功亏一馈。所以,最好采用下面的措施:
- 限制使用内置式的调制解调器,一定要确定这东西没有进行自动回复。
- 要求所有的机器进行屏幕保护,并设置密码,不要自己不在的时候让别人有机可乘。
- 为管理员创建两个帐户,一个帐户不能收发邮件,不能处理日常工作,而另一个可以进行日常管理。
- 不要随便运行下载的东西,让病毒无机可乘。
- 定时备份,每周要进行一次完全备份。
除此以外,还要保证你的机器在物理上是安全的,不要让人把你的服务器偷走了,那再安全的措施也白搭了。 |