|
|
安全必须从整体上来考虑,就如一个木水桶,大多数木板都很高,只是有一块或两块板子较低,那么这只木水桶也不能装多少水。所以我们还需要从细微处考虑如何保障Windows 2000的安全。
一、查漏洞
当启动Windows 2000进入到登录验证的提示界面时,任何用户都可以打开输入法的帮助栏,利用其中的一些功能访问文件系统,这就是说我们可以绕过Windows 2000的用户登录验证机制,以最高管理员权限访问整个系统,这就是Windows 2000的输入法漏洞。所以要养成经常访问微软和一些安全站点的习惯,掌握最新的漏洞信息。另外还需要打上应用程序的补丁,如IE、Office等应用程序,谁都知道IE的漏洞导致Nimda病毒的攻击。
Windows 2000的补丁下载点:
http://www.microsoft.com/china/windows2000/downloads/sp3.htm
IE 5的补丁下载地点:
http://www.microsoft.com/china/ msdownload/internet/
Office、Outlook的补丁下载点:
http://www.microsoft.com/china/ msdownload/office/default.asp)
补丁应该在所有应用程序安装完之后再安装,因为补丁程序往往要替换或修改某些系统文件,如果先安装补丁的话可能无法起到应有的效果。
二、筑防火墙
虽然你可能在互联网的接入处安装了防火墙,但是仍然不能防范来自局域网内部的可能攻击,所以安装最新版的防火墙也是必须的,然后还要根据需要对防火墙的规则进行相应设置。如防御ICMP攻击和IGMP攻击,防止别人用Ping命令连接,禁止所有人连接等等规则,你都可以设置。这里推荐天网防火墙,诺顿安全特警,金山网镖等。
三、防病毒
如今病毒在互联网上传播的速度越来越快,甚至浏览网页都可能感染病毒,所以为防止感染病毒,最好安装一种防病毒软件进行实时监控,如诺顿、金山毒霸、瑞星等,并定期升级;另外不要随意下载和运行不明真相的程序。对待陌生邮件,我们应该做的是先用病毒软件扫描,再用木马清除软件扫描一下是否是木马,确定安全之后再打开。
四、撤共享
默认情况下,在Windows 2000中新增一个共享目录时,操作系统会自动将EveryOne这个用户组添加到权限模块当中,由于这个组的默认权限是完全控制,这样任何人都可以对共享目录进行读写。因此,在新建共享目录之后,要立刻删除EveryOne组或者将该组的权限调整为读取。右击“共享目录”,选择“属性”,进入“安全”的标签页面,选中“EveryOne”,将其权限调整为读取,或是点击右侧的[删除]按钮将其删除。
五、善用权限
在默认的情况下,Windows 2000系统中大多数的文件夹对所有用户(Everyone组)是完全开放的,我们必须根据用户应用的需要进行权限重设。在所选择的文件或文件夹的属性窗口的“安全”页面上可对各种用户的权限进行限制。如果在上部的列表里没有这个用户名和用户所在的组,那么你以这个用户名登录时,就无法访问这个文件夹。
在进行权限控制时,需遵循以下几个原则:
1. 利用用户组来进行权限控制。
2. 权限是累计的,如果一个用户同时属于两个组,那么他就有了这两个组所允许的所有权限。
3. 拒绝的权限要比允许的权限高(拒绝策略会先执行)。
4. 文件权限比文件夹权限高。
5. 只给用户真正需要的权限,权限的最小化原则是安全的重要保障。
6. 访问权限和共享权限的交叉时,取两个权限的交集。
需要说明的是:目录和权限的设置只能是针对在NTFS文件格式的分区才行。
安全是一项系统工程,它不仅有空间的跨度,还有时间的跨度。不要认为进行了安全配置的主机就是安全的,我们只能说一台主机在一定的情况下、一定的时间内是安全的,随着网络结构的变化,新的漏洞的发现,管理员、用户的操作,主机的安全状况是随时随地变化着的,只有让安全意识贯穿整个过程才能做到真正的安全。
(出处:中国电脑教育报)
|
|
