我的编程空间,编程开发者的网络收藏夹
学习永远不晚

win2000服务器安全设置技巧

短信预约 -IT技能 免费直播动态提醒
省份

北京

  • 北京
  • 上海
  • 天津
  • 重庆
  • 河北
  • 山东
  • 辽宁
  • 黑龙江
  • 吉林
  • 甘肃
  • 青海
  • 河南
  • 江苏
  • 湖北
  • 湖南
  • 江西
  • 浙江
  • 广东
  • 云南
  • 福建
  • 海南
  • 山西
  • 四川
  • 陕西
  • 贵州
  • 安徽
  • 广西
  • 内蒙
  • 西藏
  • 新疆
  • 宁夏
  • 兵团
手机号立即预约

请填写图片验证码后获取短信验证码

看不清楚,换张图片

免费获取短信验证码

win2000服务器安全设置技巧

1.如何关闭Windows 2000下的445端口?
修改注册表,添加一个键值  

Hive: HKEY_LOCAL_MACHINE  

Key: System\Controlset\Services\NetBT\Parameters  

Name: SMBDeviceEnabled  

Type: REG_dwORD  

value: 0  

修改完后重启机器,运行“netstat -an”,你将会发现你的445端口已经不再Listening了。  

2.如何使用IPSec保护我的网络通信?
IPSec 术语
在执行以下指导步骤之前,确保您知道以下术语的含义:
身份验证:确定计算机的身份是否合法的过程。Windows 2000 IPSec 支持三种身份验证:Kerberos、证书和预共享密钥。只有当两个终结点(计算机)都位于同一个 Windows 2000 域时,Kerberos 身份验证才有效。这种类型的身份验证是首选方法。如果计算机位于不同的域中,或者至少有一台计算机不在某个域中,则必须使用证书或预共享密钥。只有当每个终结点中包含一个由另一个终结点信任的颁发机构签署的证书时,证书才有效。预共享密钥与密码有着相同的问题。它们不会在很长的时间段内保持机密性。如果终结点不在同一个域中,并且无法获得证书,则预共享密钥是唯一的身份验证选择。  

加密:使准备在两个终结点之间传输的数据难以辨认的过程。通过使用充分测试的算法,每个终结点都创建和交换密钥。该过程确保只有这些终结点知道密钥,而且如果任何密钥交换序列被拦截,拦截者不会得到任何有价值的内容。  

筛选器:对 Internet 协议 (IP) 地址和协议的描述,可触发 IPSec 安全关联的建立。  

筛选器操作:安全要求,可在通信与筛选器列表中的筛选器相匹配时启用。  

筛选器列表:筛选器的集合。  

Internet 协议安全策略:规则集合,描述计算机之间的通讯是如何得到保护的。  

规则:筛选器列表和筛选器操作之间的链接。当通信与筛选器列表匹配时,可触发相应的筛选器操作。IPSec 策略可包含多个规则。  

安全关联:终结点为建立安全会话而协商的身份验证与加密方法的集合。  

在 Microsoft 管理控制台中查找 IPSec
通过使用 Microsoft 管理控制台 (MMC) 配置 IPSec。Windows 2000 在安装过程中创建一个带有 IPSec 管理单元的 MMC。若要查找 IPSec,请单击开始,指向程序,单击管理工具,然后单击本地安全策略。在打开的 MMC 中的左窗格中,单击本地计算机上的 IP 安全策略。MMC 将在右窗格中显示现有的默认策略。  

更改 IP 地址、计算机名和用户名
为了此示例的目的,假设 Alice 是一个计算机用户,该计算机名为"Alicepc"、IP 地址为 172.16.98.231,Bob 的计算机名为"Bobslap",IP 地址为 172.31.67.244。他们使用 Abczz 程序连接他们的计算机。  

通过使用 Abczz 程序互相连接时,Alice 和 Bob 必须确保通信是被加密的。当 Abczz 建立其连接时,启动程序使用其本身上的随机高端口并连接(出于本示例中的目的)到 6667/TCP 或 6668/TCP 端口上的目标(其中,TCP 是"传输控制协议"的缩写)。通常,这些端口用作 Internet 多线交谈 (IRC)。因为 Alice 或 Bob 均可发起连接,所以该策略必须存在于两端。  

创建筛选器列表
通过在 MMC 控制台中右键单击 IP 安全策略,可访问用于创建 IPSec 策略的菜单。第一个菜单项是"创建 IP 安全策略"。尽管此菜单似乎是要开始的位置,但却不应从此位置开始。在可创建策略及其相关规则之前,您需要定义筛选器列表和筛选器操作,它们是任何 IPSec 策略的必需组件。单击管理 IP 筛选器表和筛选器操作开始工作。  

将显示带有两个选项卡的对话框:一个用于筛选器列表,另一个用于筛选器操作。首先,打开管理 IP 筛选器列表选项卡。已经有两个预先定义的筛选器列表,您不会使用它们。相反,您可以创建一个特定的筛选器列表,使其与要连接到的其他计算机对应。  

假设您在 Alice 的计算机上创建策略:
单击添加创建新的筛选器列表。将该列表命名为"Abczz to Bob's PC"。  

单击添加添加新筛选器。将启动一个向导。  

单击我的 IP 地址作为源地址。  

单击一个特定的 IP 地址作为目标地址,然后输入 Bob 的计算机的 IP 地址 (172.31.67.244)。或者,如果 Bob 的计算机已在域名系统 (DNS) 或 Windows Internet 名称服务 (WINS) 中注册,则可选择特定的 DNS 名,然后输入 Bob 的计算机名,Bobslap。  

Abczz 使用 TCP 进行通讯,因此单击 TCP 作为协议类型。  

对于 IP 协议端口,单击从任意端口。单击到此端口,键入:6667,然后单击完成完成该向导。  

重复上述步骤,但这次键入:6668作为端口号,然后单击关闭。  

您的筛选器列表中包含两个筛选器:一个在端口 6667 (属于 Bob)上用于从 Alice 到 Bob 的通讯,另一个在端口 6668 (属于 Bob)上。(Bob 在自己的计算机上设置了 6667 和 6668 两个端口:一个端口用于传出的通讯,另一个用于传入的通讯。)这些筛选器是镜像的,每次创建 IPSec 筛选器时通常都需要如此。对于已镜像的每个筛选器,该列表可包含(但不显示)与其正好相反的筛选器(即目标和源地址与其相反的筛选器)。如果没有镜像筛选器,IPSec 通讯通常不成功。  

创建筛选器操作
您已经定义了必须受到保护的通信的种类。现在,您必须指定安全机制。单击管理筛选器操作选项卡。列出三个默认操作。不要使用要求安全操作,您必须创建一个更严格的新操作。  

若要创建新操作,请:
单击添加创建新筛选器操作。启动一个向导。将该操作命名为"Encrypt Abczz"。  

对于常规选项,单击协商安全,然后单击不和不支持 IPsec 的计算机通讯。  

单击 IP 通信安全性为高选项,然后单击完成以关闭该向导。  

双击新的筛选器操作(前面命名的"Encrypt Abczz")。  

单击清除接受不安全的通讯,但总是用 IPSec 响应复选框。这一步骤确保计算机在发送 Abczz 数据包之前必须协商 IPSec。  

单击会话密钥完全向前保密以确保不重新使用密钥资料,单击确定,然后单击关闭。  

创建 IPSec 策略
您已经获得了策略元素。现在,您可以创建策略本身了。右键单击 MMC 的右窗格,然后单击创建 IP 安全策略。当向导启动时:
将该策略命名为"Alice's IPSec"。  

单击清除激活默认响应规则复选框。  

单击编辑属性(如果未选中的话),然后完成该向导。该策略的属性对话框将打开。  

为使 IPSec 策略有效,它必须至少包含一个将筛选器列表链接到筛选器操作的规则。  

若要在属性对话框中指定规则,请:
单击添加以创建新规则。启动向导后,单击此规则不指定隧道。  

单击局域网 (LAN) 作为网络类型。  

如果 Alice 和 Bob 的计算机位于同一个 Windows 2000 域中,单击 Windows 2000 默认值(Kerberos V5 协议)作为身份验证方法。如果不在一个域中,则单击使用此字串来保护密钥交换(预共享密钥),然后输入字符串(使用您可记住的长字符串,不要有任何键入错误)。  

选择前面创建的筛选器列表。在此示例中,该筛选器列表为"Abczz to Bob's PC"。然后,选择前面创建的筛选器操作。在此示例中,该筛选器操作为"Encrypt Abczz"。  

完成该向导,然后单击关闭。  

配置其他终结点
在 Bob 的计算机上重复上述应用于 Alice 的计算机的所有步骤。显然要进行一些必要的更改,例如,"Abczz to Bob's PC"必须更改为"Abczz to Alice's PC"。  

指派策略
您已经在两个端点上定义了策略。现在,必须指派它们:
在本地安全设置 MMC 中,右键单击策略(在此示例中为 Abczz )。  

单击指派。  

一次只能指派一个 IPSec 策略,但是一个策略可根据需要拥有多个规则。例如,如果 Alice 还需要通过使用不同的协议保护与 Eve 的通讯,则您必须创建相应的筛选器列表和操作,并向 IPSec (属于 Alice)添加一个规则,以便将特定的筛选器列表和筛选器操作链接起来。单击为此规则使用不同的共享密钥。Alice 的策略现在有两个规则:一个用于与 Bob 进行 Abczz 通讯,另一个用于与 Eve 进行通讯。因为 Bob 和 Eve 无需安全地互相通讯,所以 Bob 的策略中未添加任何规则,Eve 的策略中包含一个用于与 Alice 进行通讯的规则。  

疑难解答
使用 IPSecMon 测试策略
Windows 2000 包括一个实用程序 (IPSecMon.exe),它可用于测试 IPSec 安全关联是否已成功建立。若要启动 IPSecMon,请:
单击开始,然后单击运行。  

键入:ipsecmon,然后按 ENTER 键。  

单击选项。  

将刷新间隔更改为 1。  

必须在不同终结点之间建立通讯。可能会有一个延迟,这是由于终结点需要几秒钟时间来交换加密信息并完成安全关联。可在 IPSecMon 中观察此行为。当这两个终结点都建立了它们的安全关联,可在 IPSecMon 中观察到显示此行为的条目。  

如果期望的安全协商没有建立,则返回并检查每个终结点上的筛选器列表。在您方便地将源地址和目标地址或端口反向时,确保已经收到所使用协议的正确定义。您可能要考虑创建一个指定所有通信的新筛选器列表。同样,可向使用此筛选器列表的策略添加一个新规则,然后禁用现有的规则。在两个终结点上执行这些步骤。然后,可使用 ping 命令测试连接性。ping 命令在安全关联阶段可显示"Negotiating IP security"(正在协商 IP 安全),然后显示建立安全关联之后的正常结果。  

NAT 与 IPSec 不兼容
如果在两个终结点之间有任何网络地址转换 (NAT),则 IPSec 不起作用。IPSec 将终结点地址作为有效负载的一部分嵌入。在将数据包发送到电缆上之前进行数据包校验和计算时,IPSec 也使用源地址。NAT 可更改出站数据包的源地址,目标在计算自己的校验和时使用头中的地址。如果数据包中携带的用初始来源计算的校验和与用目标计算的校验和不符,则目标可丢弃这些数据包。不能将 IPSec 用于任何类型的 NAT 设备。  

参考
有关 Windows 2000 中 IPSec 的白皮书和详细的技术信息,请参阅以下 Microsoft Web 站点:
http://www.microsoft.com/windows2000/technologies/security/default.ASP  

3.如何更改Terminal Server的端口
该修改需要在服务器端和客户端同时修改,如果不知道该服务器的端口号,客户端将无法连接服务器。  

服务器端的修改:  

Key: HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp  

Name: PortNumber  

Type: DWORD  

Valus:任意值  

Key: HKLME\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp  

Name: PortNumber  

Type: DWORD  

value:和上面值一致  

注:需重启后生效。  

然后我们修改客户端,打开Terminal Server Client的客户端管理器,导出连接文件(后缀名为cns),用记事本打开该cns文件,搜索"Server Port",修改该值,与服务器保持一致即可(注意进制的转换)。最后导入该cns文件至Terminal Server的客户端管理器。  

4.如何禁止Guest访问事件日志?
在默认安装的Windows NT和Windows 2000中,Guest帐号和匿名用户可以查看系统的事件日志,可能导致许多重要信息的泄漏,建议修改注册表来禁止Guest访问事件日志。  

应用日志:  

Key: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application  

Name: RestrictGuestAccess  

Type: DWORD  

value: 1  

系统日志:  

Key: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\System  

Name: RestrictGuestAccess  

Type: DWORD  

value: 1  

安全日志:  

Key: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Security  

Name: RestrictGuestAccess  

Type: DWORD  

value: 1  

5.如何删除管理共享(C$,D$...)?
我们可以用Net Share命令来删除,但是机器重启后这个共享会自动出现,这时,我们可以修改注册表。  

对于服务器而言:  

Key: HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters  

Name: AutoShareServer  

Type: DWORD  

value: 0  

对于工作站而言:  

Key: HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters  

Name: AutoShareWks  

Type: DWORD  

value: 0  

修改注册表后需要重启Server服务或重新启动机器。  

注:这些键值在默认情况下在主机上是不存在的,需要自己手动添加。  

6.如何禁止恶意用户使用FileSystemObject?
常见的有3种方法:  

1、修改注册表,将FileSystemObject改成一个任意的名字,只有知道该名字的用户才可以创建该对象,  

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0D43FE01-F093-11CF-8940-00A0C9054228}\ProgID]
@="Scripting.FileSystemObject"  

2、运行Regsvr32 scrrun.dll /u,所有用户无法创建FileSystemObject。  

3、运行cacls %systemroot%\system32\scrrun.dll /d guests,匿名用户(包括IUSR_Machinename用户)无法使用FileSystemObject,我们可以对ASP文件或者脚本文件设置NTFS权限,通过验证的非Guests组用户可以使用FileSystemObject。  

7.如何禁止显示上次登陆的用户名?
我们可以通过修改注册表来实现:  

Key: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon  

Name: DontDisplayLastUserName  

Type: REG_DWORD  

value: 1  

8.如何禁止匿名用户连接你的IPC$共享?
我们可以通过修改注册表来实现  

Key:HKLM\SYSTEM\CurrentControlSet\Control\Lsa  

Name: RestrictAnonymous  

Type: REG_DWORD  

value: 1 | 2  

说明:把该值设为1时,匿名用户无法列举主机用户列表;  

把该值设为2时,匿名用户无法连接你的IPS$共享,不建议使用2,否则可能会造成你的一些服务无法启动,如SQL Server...

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

win2000服务器安全设置技巧

下载Word文档到电脑,方便收藏和打印~

下载Word文档

猜你喜欢

win2000服务器安全设置技巧

1.如何关闭Windows 2000下的445端口? 修改注册表,添加一个键值   Hive: HKEY_LOCAL_MACHINE   Key: System\Controlset\Services\NetBT\Parameters  
2023-05-23

windows服务器的安全配置技巧总结

下面我就结合自己的经验和教训总结一下服务器安全设置的一些技巧和方法。
2022-11-21

Linux服务器安全小技巧

Linux服务器安全小技巧,很多新手对此不是很清楚,为了帮助大家解决这个难题,下面小编将为大家详细讲解,有这方面需求的人可以来学习下,希望你能有所收获。如果你的Linux服务器被非受权用户接触到(如服务器放在公用机房内、公用办公室内),那么
2023-06-13

不一样的WIN2003服务器安全配置技巧

常规的如安全的安装系统,设置和管理帐户,关闭多余的服务,审核策略,修改终端管理端口, 以及配置MS-SQL,删除危险的存储过程,用最低权限的public帐户连接等等,都不说了!下面是Windows根目录的一些权限设置。 具体配置如下: w
2023-06-09

阿里云服务器登录账号和密码安全设置技巧

在使用阿里云服务器时,保护好登录账号和密码的安全至关重要。本文将介绍一些常用的阿里云服务器登录账号和密码安全设置技巧,帮助用户更好地保护自己的数据和隐私。1.设置强密码:首先,设置一个强密码是确保服务器登录安全的第一步。强密码应包含至少8个字符,包括大小写字母、数字和特殊字符。避免使用常见的密码,如生日、姓名或其
阿里云服务器登录账号和密码安全设置技巧
2024-01-21

dedecms 安全设置终极技巧补充(idc)

首先推荐大家看这篇文章 Dedecms(织梦)服务器网站目录安全设置经验分享 这里简单介绍DEDECMS安全设置。 1、以下目录:data、templets、uploads、a设置可读写不可执行权限。其中a目录为文档HTML默认保存路径,可
2022-06-12

WinXP 安全设置 操作系统的技巧

Windows XP以其稳定性、强大的个人和网络功能为大家所推崇,而它的“NT内核”,让我们不得不加强安全防护。  1. 常规的安全防护  所谓“常规的安全防护”即施行同Windows 98一
2023-05-24

设置服务器安全环境的4个Nginx小技巧分别是什么

这篇文章给大家介绍设置服务器安全环境的4个Nginx小技巧分别是什么,内容非常详细,感兴趣的小伙伴们可以参考借鉴,希望对大家能有所帮助。分享我们常用的WEB环境安全技巧,一般我们使用NGINX比较多的,对于一般的安全我们很少有去其他的操作,
2023-06-05

云服务器安全设置

云服务器安全设置非常重要,它关系到您的数据和应用程序的安全。以下是一些常见的云计算安全设置:访问控制:确保只有授权人员才能访问您的应用程序和数据。您可以使用浏览器或管理员工具来限制访问您的计算机。密码安全:创建强密码并定期更新密码。密码应该经常更改,包括强密码,以确保他人无法猜测您的密码。身份验证:确保您的账户只有您的授权人员才能访问,并且只能向授权人员提供访问您的应用程序和数据的权限。
2023-10-26

Windows服务器安全设置

一、取消文件夹隐藏共享在默认状态下,Windows 2000/XP会开启所有分区的隐藏共享,从&ldquowww.cppcns.com;控制面板/管理工具/计算机管理”窗口下选择“系统工具/共享文件夹/共享&rdqu
2023-05-23

Linux服务器安全小技巧有哪些

这篇文章主要介绍了Linux服务器安全小技巧有哪些,具有一定借鉴价值,感兴趣的朋友可以参考下,希望大家阅读完这篇文章之后大有收获,下面让小编带着大家一起了解一下。1. 物理系统的安全性配置BIOS,禁用从CD/DVD、外部设备、软驱启动。下
2023-06-13

云服务器安全设置器

云服务器安全设置器是一个简单但强大的工具,可以帮助您保护云服务器免受攻击和其他威胁的影响。以下是一些常用的安全设置选项:密码安全:将您的登录凭据和其他个人信息加密保存在服务器上,以防止其他人访问您的账户和其他敏感信息。SSL证书:确保您的网站使用的是SSL(安全套接字层)协议,以确保您的数据在传输过程中不会被中间人劫持。防病毒和反恶意软件:定期更新防病毒软件和反恶意软件程序以扫描网络并检
2023-10-26

维护Windows网络服务器安全的技巧

对网络服务器的恶意网络行为包括两个方面:一是恶意的攻击行为,如拒绝服务攻击,网络病毒等等,这些行为旨在消耗服务器资源,影响服务器的正常运作,甚至服务器所在网络的瘫痪;另外一个就是恶意的入侵行为,这种行为更是会导致服务器敏感信息泄露,入侵者更
2022-06-04

centos服务器的安全技巧有哪些你

centos服务器的安全技巧有哪些你,相信很多没有经验的人对此束手无策,为此本文总结了问题出现的原因和解决方法,通过这篇文章希望你能解决这个问题。有一些常识是每个系统管理员都应该烂熟于心的,所以下面的几点在本文将不会提及:务必保证系统是 最
2023-06-05

服务器安全维护的技巧是什么

定期更新操作系统和软件:确保服务器上安装的操作系统和软件都是最新版本,及时安装安全补丁和更新。加强访问控制:设置强密码、定期更改密码,限制用户权限,禁止使用默认用户名和密码。防火墙配置:配置防火墙规则,限制不必要的网络访问,阻止恶意流量进入
服务器安全维护的技巧是什么
2024-04-25

服务器安全防御的技巧有哪些

服务器安全防御的技巧有:1、定期检查并修复系统和程序的漏洞,避免漏洞被黑客利用攻击;2、对重要端口进行设置,如3389、21、80等端口,能降低服务器被攻击的几率;3、安装服务器安全防御软件,能有效预防恶意攻击,保证服务器运行效率。具体内容
2023-02-08

云服务器安全组设置

云服务器安全组是一个虚拟化安全环境,它提供了许多安全功能,以保护云服务器上的数据。以下是一些设置云服务器安全组的建议:访问控制(ACL):可以通过允许访问控制列表(ACL)来配置云服务器的安全组。例如,您可以设置一个只允许特定账户或者只允许授权的用户访问您的云服务器。这将确保只有您需要保护的数据和资源被允许访问。数据加密(DES):使用DES算法对数据进行加密,以确保数据不可否认。这种加密
2023-10-26

编程热搜

目录