《《精编》win2k的网络安全》由会员分享,可在线阅读,更多相关《《精编》win2k的网络安全(39页珍藏版)》请在金锄头文库上搜索。
1、Windows系统尽管是在有些方面不尽人意,然而依旧是操作系统的主流,同时,在中小型网络中,使用WIN2K SERVER或WIN2K Advanced server 的依然很多. 在此开一贴,希望大家能在这一贴中把WIN2K的应用与安全设置做个了结( ),希望大家献策献宝,共同提高. 请大家把自己手中的资料,以及使用过程的经验奉献出来,以问答的形式整理出来.正如有位LUSER的签名一样网络,网聚人的力 量,HOHO希望在这儿能把大家网住,把WIN2K SERVER或ADVANCED SERVER的精华网住. 当然及时打好官方补丁是首要的.而打好之后,我们应做些什么呢 注册表的标准命名为你的电脑
2、免疫 相信每个上网者都有过被恶意代码修改过注册表的经历吧,恢复好了以后你会采取措施来保护你的注册表不再被修改吗? 1.备份注册表文件 2.用软件免疫 3.禁用js 显然这些方法都不怎么理想,其实有一招简单的方法是可以永远免疫的,就是在注册表中删除 恶意代码会用到的一个id就可以了,那就是F935DC22-1CF0-11D0-ADB9-00C04FD58A0B,只要把它删了, 那你以后碰到恶意代码,就再也不用担心注册表会再被修改了,它再注册表里面的路径 是HKEY_CLASSES_ROOTCLSIDF935DC22-1CF0-11D0-ADB9-00C04FD58A0B,找到后把整个项删掉就可以
3、了 ,这个项删掉不会对系统有任何影响,请放心删除. 这里再介绍几个对系统安全有隐患的ID HKEY_CLASSES_ROOTCLSID0D43FE01-F093-11CF-8940-00A0C9054228,网页代码可以利用 他在硬盘里面生成文件 HKEY_CLASSES_ROOTCLSIDF935DC22-1CF0-11D0-ADB9-00C04FD58A0B,可以生成命令格式, 比如格式化硬盘,执行任何程序. HKEY_CLASSES_ROOTCLSIDB83FC273-3522-4CC6-92EC-75CC86678DA4,这个好像是3721中 文网址的,我发现很多朋友都觉得3721很霸
4、道,删了就不用管它了. 呵呵,这是从网上来找来的文章,也试过没发现问题,假若大家在用的过程发现什么问题,可以接着讨论. - Win2000下修改注册表加强安全 - 1)设置生存时间 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128) 说明:指定传出IP数据包中设置的默认生存时间(TTL)值.TTL决定了IP数据包在到达目标前在 网络中生存的最大时间.它实际上限定了IP数据包在丢弃前允许通过的路由器数量.有时利用 此数值来探测远
5、程主机操作系统.。 2)防止ICMP重定向报文的攻击 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters EnableICMPRedirects REG_DWORD 0x0(默认值为0x1) 说明:该参数控制Windows 2000是否会改变其路由表以响应网络设备(如路由器)发送给它 的ICMP重定向消息,有时会被利用来干坏事.Win2000中默认值为1,表示响应ICMP重定向报文. 3)禁止响应ICMP路由通告报文 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesT
6、cpipParametersInter facesinterface PerformRouterDiscovery REG_DWORD 0x0(默认值为0x2) 说明:“ICMP路由公告”功能可造成他人计算机的网络连接异常,数据被窃听,计算机被用 于流量攻击等严重后果.此问题曾导致校园网某些局域网大面积,长时间的网络异常.因此 建议关闭响应ICMP路由通告报文.Win2000中默认值为2,表示当DHCP发送路由器发现选项时启用. 4)防止SYN洪水攻击 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters SynAtt
7、ackProtect REG_DWORD 0x2(默认值为0x0) 说明:SYN攻击保护包括减少SYN-ACK重新传输次数,以减少分配资源所保留的时间.路由缓 存项资源分配延迟,直到建立连接为止.如果synattackprotect=2,则AFD的连接指示一直延 迟到三路握手完成为止.注意,仅在TcpMaxHalfOpen和TcpMaxHalfOpenRetried设置超出范 围时,保护机制才会采取措施. 5)关于共享的问题,用net share 虽然可删除,但重启后又加载了. 禁止C$、D$一类的缺省共享 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetSe
8、rviceslanmanserverparameters AutoShareServer、REG_DWORD、0x0 6) 禁止ADMIN$缺省共享 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters AutoShareWks、REG_DWORD、0x0 7) 限制IPC$缺省共享 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa restrictanonymous REG_DWORD 0x0 缺省 0x1 匿名用户无法列举本机用户列表 0x2 匿名
9、用户无法连接本机IPC$共享 说明:不建议使用2,否则可能会造成你的一些服务无法启动,如SQL Server 8)不支持IGMP协议 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters IGMPLevel REG_DWORD 0x0(默认值为0x2) 说明:记得Win9x下有个bug,就是用可以用IGMP使别人蓝屏,修改注册表可以修正 这个bug.Win2000虽然没这个bug了,但IGMP并不是必要的,因此照样可以去掉.改 成0后用route print将看不到那个讨厌的224.0.0.0项了. 9)设置arp缓存
10、老化时间设置 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices:TcpipParameters ArpCacheLife REG_DWORD 0-0xFFFFFFFF(秒数,默认值为120秒) ArpCacheMinReferencedLife REG_DWORD 0-0xFFFFFFFF(秒数,默认值为600) 说明:如果ArpCacheLife大于或等于ArpCacheMinReferencedLife,则引用或未引用的ARP缓 存项在ArpCacheLife秒后到期.如果ArpCacheLife小于ArpCacheMinReference
11、dLife,未引用 项在ArpCacheLife秒后到期,而引用项在ArpCacheMinReferencedLife秒后到期.每次将出站 数据包发送到项的IP地址时,就会引用ARP缓存中的项。 10)禁止死网关监测技术 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices:TcpipParameters EnableDeadGWDetect REG_DWORD 0x0(默认值为ox1) 说明:如果你设置了多个网关,那么你的机器在处理多个连接有困难时,就会自动改用备份网 关.有时候这并不是一项好主意,建议禁止死网关监测. 11)不支持路由功能 HK
12、EY_LOCAL_MACHINESYSTEMCurrentControlSetServices:TcpipParameters IPEnableRouter REG_DWORD 0x0(默认值为0x0) 说明:把值设置为0x1可以使Win2000具备路由功能,由此带来不必要的问题. 12)做NAT时放大转换的对外端口最大值 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices:TcpipParameters MaxUserPort REG_DWORD 5000-65534(十进制)(默认值0x1388-十进制为5000) 说明:当应用程序从系统请求
13、可用的用户端口数时,该参数控制所使用的最大端口数.正常 情况下,短期端口的分配数量为1024-5000.将该参数设置到有效范围以外时,就会使用最接近 的有效数值(5000或65534).使用NAT时建议把值放大点. 13)修改MAC地址 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlClass 找到右窗口的说明为网卡的目录, 比如说是4D36E972-E325-11CE-BFC1-08002BE10318 展开之,在其下的0000,0001,0002.的分支中找到DriverDesc的键值为你网卡的说明, 比如说DriverDesc的值为Int
14、el 82559 Fast Ethernet LAN on Motherboard然后 在右窗口新建一字符串值,名字为Networkaddress,内容为你想要的MAC值,比如说 是004040404040然后重起计算机,ipconfig /all看看. - Windows2000 真的那么不安全么? 其实,Windows2000 含有很多的安全功能和选项,如果你合理的配置它们,那么windows 2000将会是一个很安全的操作系统。我抽空翻了一些网站,翻译加凑数的整理了一篇checklist出来,希望对win2000管理员有些帮助。 本文并没有什么高深的东西,所谓的清单,也并不完善,很多东西
15、要等以后慢慢加了,希望能给管理员作一参考。 具体清单如下: 初级安全篇 1.物理安全 服务器应该安放在安装了监视器的隔离房间内,并且监视器要保留15天以上的摄像记录。另外,机箱,键盘,电脑桌抽屉要上锁,以 确保旁人即使进入房间也无法使用电脑,钥匙要放在另外的安全的地方。 2.停掉Guest 帐号 在计算机管理的用户里面把guest帐号停用掉,任何时候都不允许guest帐号登陆系统。为了保险起见,最好给guest 加一个复杂的密码,你可以打开记事本,在里面输入一串包含特殊字符,数字,字母的长字符串,然后把它作为guest帐号的密码拷进去 。 3限制不必要的用户数量 去掉所有的duplicate user 帐户, 测试用帐户, 共享帐号,普通部门帐号等
