WEB开发网
开发学院操作系统windows 2008 Windows 2003安全性指南之强化域控制器二 阅读

Windows 2003安全性指南之强化域控制器二

 2008-09-08 12:41:27 来源:WEB开发网   
核心提示: 因此,本指南推荐在其定义的三种环境下,Windows 2003安全性指南之强化域控制器二(9),将域控制器中DNS服务日志文件的最大值至少配置为16MB,并且确保DNS服务中“必要时覆盖事件”(Overwrite events as needed)选项被选中,3.

因此,本指南推荐在其定义的三种环境下,将域控制器中DNS服务日志文件的最大值至少配置为16MB,并且确保DNS服务中“必要时覆盖事件”(Overwrite events as needed)选项被选中,以便尽可能多地保存日志信息。

保护众所周知账户的安全

Windows Server 2003拥有许多内置的用户账户,这些账户不能被删除,但可以重命名。Windows Server 2003中两个最常见的内置账户是 Guest 和 Administrator。

缺省情况下,在成员服务器和域控制器上的 Guest 账户被禁用。请不要改变该设置。内置的 Administrator 账户应当被重命名,而且改变描述以帮助防止攻击者使用该账户破坏远程服务器。

许多恶意代码的变种企图使用内置的管理员账户来破坏一台服务器。在近几年来,进行上述重命名配置的意义已经大大降低了,因为出现了很多新的攻击工具,这些工具企图通过指定内置 Administrator 账户的安全标识(SID)来确定该帐户的真实姓名,从而侵占服务器。SID是唯一能确定网络中每个用户、组、计算机账户以及登录会话的值。改变内置账户的SID是不可能的。您可以将本地管理员账户改变为唯一的名称,以方便您的操作人员监视对该账户的攻击企图。

完成以下步骤以保护域和服务器中众所周知账户的安全:

1. 重命名Administrator和Guest账户,并且将每个域和服务器上的密码更改为长而复杂的值。

2. 在每个服务器上使用不同的名称和密码。如果在所有的域和服务器上使用相同的账户名和密码,攻击者只须获得对一台成员服务器的访问,就能够访问所有其他具有相同账户名和密码的服务器。

3. 改变缺省的账户描述,以帮助防止账户被轻易识别。

4. 将这些变化记录一个安全的位置。

上一页  4 5 6 7 8 9 10  下一页

Tags:Windows 安全性 指南

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接