锁定Windows Server 2003
2008-09-10 12:41:04 来源:WEB开发网在安装期间,可以自动创建三个当地的用户帐户——管理员、客户、以及Help-Assistant,Help-Assistant是用Remote Assistance安装的。管理员帐户拥有系统的密钥。它可以分配用户权限和访问控制。尽管不能删除这个主要的帐户,但为了使黑客更难访问该帐户,可以将其中止或者重新命名。相反,你应该为单个用户或者组群目标分配管理权限。这使黑客更难确定哪个用户拥有管理权限。这一点在审计过程中也是关键的。设想一下:一个IT部门中,任何人都可以使用一个单一的管理账号和密码登录到该服务器中。这就是主要的安全问题。最好的方法就是根本不要使用管理员帐户。
同样地,对于那些了解Server 2003操作方式的人来说,客户和Help-Assistant帐户为他们提供了易于攻击的目标。选择Computer Management选项,通过Administrative Tools菜单下的控制面板,中止这些帐户。右击你想要改变的用户帐户,然后单击属性。确保这些帐户在网络中和本地已经被中止。
开放的端口是高风险区。共有65535个端口可用,而且你的服务器并不都需要它们。防火墙,包括在SP1中,允许管理员中止不必要的TCP和UDP端口。这些端口可以分为三个不同的范围:众所周知的端口(0-1023),已注册的端口(1024-49151),以及动态/私有端口(49152-65535)。对于操作系统功能而言,熟知的端口是至关重要的。已注册的端口仅仅能够用于服务或者应用程序。剩余的端口是“西大荒”,有待开发使用。
获取一列端口,以及相关的服务和应用程序,管理员就可以确定哪些是主要性能所要求的。比如,为了防止任何远程登录或者FTP流量,可以阻断与这些应用程序相关的已知端口。类似地,已知的软件和恶意软件也有已知的相关端口,所有端口都可以阻断,进而创建一个更安全的服务器状态。最佳方式就是关闭所有不使用的端口。确认计算机上哪些端口是开放状态、哪些是监听与阻隔状态的最佳方法是,使用免费Nmap工具。SCW在默认状态下关闭了所有的端口,然后按照安全策略的设置再打开它们。
更多精彩
赞助商链接