查看完整版本: Windows 安全配置的 12 条规则

Windows 安全配置的 12 条规则

一、物理安全
W"I @|$h6Ea$W
c,T+CI0f3uRG~ 　　 服务器应当放置在安装了监视器的隔离房间内，并且监视器应当保留15天以内的录像记录。另外，机箱、键盘、抽屉等要上锁，以保证旁人即使在无人值守时也无法使用此计算机，钥匙要放在安全的地方。5_7q KP:}ud
-B2~.E#d
D8L$f
　　二、停止Guest帐号1Q&z4_Fv$s(yq$X
#m"RV9i ]
　　在［计算机管理］中将Guest帐号停止掉，任何时候不允许Guest帐号登录系统。为了保险起见，最好给Guest帐号加上一个复杂的密码，并且修改Guest帐号属性，设置拒绝远程访问。
i'i5s)e l Gd]\2hp2B"f
　　三、限制用户数量
"l;Sv s+}V/o QR ^;K gm
　　去掉所有的测试帐户、共享帐号和普通部门帐号，等等。用户组策略设置相应权限、并且经常检查系统的帐号，删除已经不适用的帐号。
1p4[`sU #\+`rzz!cf
　　很多帐号不利于管理员管理，而黑客在帐号多的系统中可利用的帐号也就更多，所以合理规划系统中的帐号分配。
!Y"C2{ KG*ZS zGP;f (s^Ju!Vy.y
　　四、多个管理员帐号
"r,_]+s+b|!w
G;P)J:VN7~~ C6|
　　管理员不应该经常使用管理者帐号登录系统，这样有可能被一些能够察看Winlogon进程中密码的软件所窥探到，应该为自己建立普通帐号来进行日常工作。
m'{[IGD$BV %Qu)sWN/NEw0O
　　同时，为了防止管理员帐号一旦被入侵者得到，管理员拥有备份的管理员帐号还可以有机会得到系统管理员权限，不过因此也带来了多个帐号的潜在安全问题。k0K+yAY(w

Lc{)FJ Hb5z9p5hJ 　　五、管理员帐号改名
!UWg!IN
sv +Q QH rk(q/Vt
　　在Windows 2000系统中管理员Administrator帐号是不能被停用的，这意味着攻击者可以一再尝试猜测此帐户的密码。把管理员帐户改名可以有效防止这一点。
O^9MU)nR0P4v{ e;{@-_ya ?
　　不要将名称改为类似Admin之类，而是尽量将其伪装为普通用户。5])x` ROH6bRU
D4^z)@i`/@7N F
　　六、陷阱帐号'r&~.]$T-[n
6p9H#z ^8[`l-d
　　和第五点类似、在更改了管理员的名称后，可以建立一个Administrator的普通用户，将其权限设置为最低，并且加上一个10位以上的复杂密码，借此花费入侵者的大量时间，并且发现其入侵企图。/e jfz8vCd;H

.hM'b LX8O$K5N 　　七、更改文件共享的默认权限,R'}%HL2A!a6I
4O+oC_s6Q(o
　　将共享文件的权限从“Everyon“更改为“授权用户”，”Everyone“意味着任何有权进入网络的用户都能够访问这些共享文件。[i|(gt,u:ZfFFH
　　八、安全密码"l:K2QEa-S YK

C}F+]%V b"C8m'| 　　安全密码的定义是：安全期内无法破解出来的密码就是安全密码，也就是说，就算获取到了密码文档，必须花费42天或者更长的时间才能破解出来（Windows安全策略默认42天更改一次密码，如果设置了的话）。Q B|0i^yDn"Y

$IS9DkSn/cN Z:SK!i 　　九、屏幕保护 / 屏幕锁定 密码
Q&rS!EK.?3q "Y7LR4t*s#dKM
　　防止内部人员破坏服务器的一道屏障。在管理员离开时，自动加载。
(lI4{1p9p] k Nh5Qzv
　　十、使用NTFS分区'Pn!uCttF

y:sc/OrS(j2h 　　比起FAT文件系统，NTFS文件系统可以提供权限设置、加密等更多的安全功能。6u
OC1e/_8j/g-W1W|0Z,} q

ydn3yYf 　　十一、防病毒软件
1`u x&aw;l3D7Qs 0NU3];},z]Ui'e
　　Windows操作系统没有附带杀毒软件，一个好的杀毒软件不仅能够杀除一些病毒程序，还可以查杀大量的木马和黑客工具。设置了杀毒软件，黑客使用那些著名的木马程序就毫无用武之地了。同时一定要注意经常升级病毒库 ！
He`1["\Ku/g:WT!z)w XgkUa p3[_
　　十二、备份盘的安全_|KA%g-g\r

w6U p?o5q6N|/tW f 　　一旦系统资料被黑客破坏，备份盘将是恢复资料的唯一途径。备份完资料后，把备份盘放在安全的地方。不能把备份放置在当前服务器上，那样的话还不如不做备份。