4.账号策略
(1) 首先系统开的账号要尽可能的少,因为每多一个账号,就是增加了一分被暴力攻破的概率,严格控制账号的权限。
(2) 重命名administrator,改为一个不容易猜到的用户名,避免暴力破解
(3) 禁用guest 账号,并且重命名为一个复杂的名字,设置一个复杂的口令,并且从guest 组删除,防止黑客利用工具将guest提升到管理员组
(4) 建立健壮的口令,不要使用若口令如:zhangsan,iloveyou等等。
(5) 经常改变口令,检查账号。
5.安全日志
可以在2000的本地安全策略--审核策略中打开相应的审核,推荐如下:
账户管理 成功 失败
登陆事件 成功 失败
对象访问 失败
策略更改 成功 失败
特权使用 成功 失败
系统时间 成功 失败
目录服务访问 失败
账户登陆事件 成功 失败
在账户策略->密码策略中设定:
密码复杂性要求 启用
密码长度最小值 8位
强制密码历史 3次
最长存留期 30天
在账户策略->账户锁定策略中设定:
账户锁定 3次错误登录
锁定时间 15分钟
复位锁定计数 30分钟
作为一个管理员,要学会定期的查看日志,并且善于发现入侵者的痕迹。
6.目录文件权限
为了控制好服务器上用户的权限,同时也为了预防以后可能的入侵和溢出,我们必须设置目录和文件的访问权限。Windows NT的访问权限分为读取,写入,执行,修改列目录,完全控制。设置的时候注意以下原则:
1>权限是累计的:如果一个用户同时属于两个组,那么他就有了这两个组所允许的所有权限;
2>拒绝的权限要比允许的权限高(拒绝策略会先执行)如果一个用户属于一个被拒绝访问某个资源的组,那么不管其他的权限设置给他开放了多少权限,他也一定不能访问这个资源,所以请非常小心的设置,任何一个不当的拒绝都可能导致系统无法正常运行。
3>文件权限比文件夹权限高。
4>利用用户组来进行权限控制是一个成熟的系统管理员必须具有的优良习惯之一;
5>仅给用户真正需要的权限,权限的最小化原则是安全的重要保障;
