谢谢。。
---------------------------------------------------------------
尽量少安装服务,装病毒防火墙,密码设置要注意安全性
---------------------------------------------------------------
安装上瑞星或者是金山毒霸!!就可以了,不要启动任何服务!!不设置共享!!
---------------------------------------------------------------
安装防火墙吧...
---------------------------------------------------------------
装防火墙!扫描系统的漏洞,打补丁!不设置共享,登陆系统要有密码!
如果是2000或是XP的话,把ADMINISTRATOR的名字改了!
其实我个认为,如果只是提供共享上网的话!一般注意查毒,经常更新病毒库就可以了!
---------------------------------------------------------------
强壮的密码!!这是最重要的。
对于个人用户,其实系统是很安全的,关键是使用习惯。
常检查进程,端口,对不熟悉的东西一定不能放过。
---------------------------------------------------------------
1.装win 2k Server系统,装好后在“添加删除程序”里删除多余的组件,象你这种情况可卸载全部组件,在“服务”里停用并禁用不必要的服务;
2.系统安全设置,添加帐户并设足够长的复杂密码,删除系统默认的共享:admin$,c$,d$....;做安全审计;
3.装杀毒软件推荐用norton av 8.0,调度它自动更新病毒库;
4.装上网代理软件,推荐用 sygate office network(简单点) 或 isa server 2000(复杂点),设置共享;
5.装防火墙,我用isa server 2000,并做适当的设置,禁用安全敏感的端口;
6.装些系统工具如查看进程的如taskinfo 2003,看端口的如Active Ports,搞优化的如WOM。。。随个人喜好。
7.上MS打系统补丁,并调度自动更新;
8.到MS下个Microsoft Baseline Security Analyzer,扫描自已的电脑,并做相应改进;再找些扫描软件扫描系统并做相应改进,如:sss;x-scan;languard;ent3......
9.重启n 遍,确认系统及各方面正常后,做系统备份,并调度定期备份,再ghost,以备不时之需.
10.每天查看各种日志,定期更改用户名和密码。
还有很多,一时说不上来。。。
---------------------------------------------------------------
装上杀毒软件和防火墙!!
对于2000,有以下配置供参考:
1.系统开放的帐号要尽可能的少。并且严格控制所有帐户权限,轻易不要给帐号特殊权限。
2.重命名Administrator帐户,改为一个不易被猜到的用户名,以绝暴力破解的后患。
3.设置傀儡帐户,如新建立一个名为Administrator用户,属于普通user组,不要忘了在描述栏里写上“管理计算机(域)的内置帐户”,并且配置一个尽量复杂的口令,越复杂越好,来诱惑攻击者,拖住进攻者的脚步,同时,为这个帐户设置重型的审核和报警,例如可以设置登录脚本,等有人企图登录时,发出报警。
4.除原Administrator外,再增加一个属于Administrator组的帐号,这样做的好处有两方面:一方面,如果你自己忘了一个帐号的密码,还可以用另一个来登录,避免自己被锁在系统外面的尴尬,另一方面,万一黑客得到了一个帐户并更改口令,你也可以利用备用帐号来登录,夺回控制权。
5.将Guest帐号禁用,并且重命名为一个复杂的名字,设置一个复杂的口令,并将它从Guest组删除,这样做主要是为了对付有些攻击者,利用一些工具,将Guest帐号从一般用户提升到管理员组。
6.给所有用户帐号设置复杂的口令。windows中用户口令最多可以达到128位,但是,在NT4中,最多只可以到14位,所以为了保证向后兼容性,一般密码长度应该在8位以上14位以下,且必须同时包含字母,数字,特殊字符。不要使用一些常用的如iloveyou等单词,词组,当然,也没有必要设置一个如:djkd%^344??>sdf33*这么复杂的口令,你自己记忆起来也很有困难,可能你就会想办法把它记到纸上或其他地方,又造成了一定的隐患,所以,应该在Security和Easy之间寻找最佳的平衡点。
7.必须定期更改口令,这一点很重要。
8.设置帐号锁定和复位,这样,可以防止攻击者对帐号的暴力攻击!~
9.对于运行IIS的服务器,建议不要使用帐户锁定策略,因为黑客可以通过对帐号的反复登录尝试使其锁定,其后果就是任何人都无法访问IIS服务器,目前还没有解决的办法。
10.在“本地策略”的“安全选项”里,把“Lan Manager 身份验证级别”改为“仅发送NTLM响应”,这样即使入侵者借助Sniffer得到口令的hash也很难破解;还可以避免直接传递值的进攻方法-尽管这是一种比较高级的技巧,但是已经有人写出了可以利用的程序。把“对匿名连接的对外限制”设置为“没有显示匿名权限就无法访问”;启用“在关机时清理虚拟内存交换页面”;启用“登录屏幕上不要显示上次登录的用户名”。
当然,平时还要养成查看日志的习惯!说句心里话,安全问题的确很复杂,而且很累!!!但别无选择!!!
---------------------------------------------------------------
打好补丁,关掉除internet共享以外的其他所有服务。