锁定Windows Server 2003
2008-09-10 12:41:04 来源:WEB开发网核心提示: 同样地,也应该中止外部设备的自动运行功能,锁定Windows Server 2003(5),包括CD-ROM、DVD和USB 驱动,在HKEY_LOCAL_MACHINESYSTEMCurrent ControlSetServicesCdrom(或者其它设备名称)下的注册表中,无法破碎时,
同样地,也应该中止外部设备的自动运行功能,包括CD-ROM、DVD和USB 驱动。在HKEY_LOCAL_MACHINESYSTEMCurrent ControlSetServicesCdrom(或者其它设备名称)下的注册表中, 将自动运行值设置为0。自动运行可以在便携式设备上自动启动恶意的应用程序。很容易便可以安装特洛伊木马、后门程序、按键记录器、监听设备等。
防御的下一步是关于用户如何登录到系统中的。尽管认证有许多相关技术,比如生物认证、令牌、智能卡和单用密码,这些选项都可以保护Windows Server 2003的安全,大多数管理员同时使用用户名和密码,从本地或者远程登录到服务器上。通常都是默认的密码,这样就会带来麻烦(而且,请不要将默认选项中的old替换为@55w0rd!)。
虽然这应该是不言而喻的,但是如果你使用的是密码,那么就应该使用一个功能强大的策略:最少8个字母,包括大写字母、数字、以及非文字字符的组合,每隔一定时间进行更改,在特定的时间段内不要使用相同的密码。
一个强大的密码策略,加上多因素认证,这仅仅是开始。幸亏NTFS提供了 ACLs,可以给每个用户分配不同等级的多方面使用服务器的权力。文件访问控制和打印共享许可的合理设置应该是基于组群配置的,而不是基于“每个人”。这可以在服务器上操作,或者通过活动目录实现。
同样重要的是确保仅经过合理认证的用户才允许访问并编辑注册表。底线是要限制用户仅可以访问要求的服务和应用程序。
5. 你的工作尚未完成
保护你的主要服务器是一个持续不断的过程。千万不要认为,只要已经将服务器强化的像坚果一样强硬,无法破碎时,你的工作就完成了。
按照下面的步骤进行,确保你的所有工作不会化为乌有:
更多精彩
赞助商链接