win2000系统服务安全与建议对照表

Windows 2000系统服务安全与建议对照表

系统安全概述

Windows 2000操作系统在设计之初就考虑到了安全性，通过TCSEC C2认证，并融入了通用标准Common Criteria (CC)的要求，达到了B级安全级别。以下是一些关键的安全特性：

安全登录工具

• 确保用户通过认证后才能以相应权限运行，防止黑客冒充高权限用户。

访问控制

• 允许用户自由设定访问控制策略，保护敏感信息和系统资源。

审计功能

• 安全子系统（如SRM）监控用户模式下的应用程序，记录并审核所有安全事件。

安全主体

• 将用户、组和计算机视为安全主体，每个主体都有其特定的权限。

系统内建账户和攻击手段

• LocalAdministrator和SYSTEM账户拥有最高权限，是攻击者的常见目标。

组管理

• 通过将用户放入特定组，更有效地控制权限分配。

安全措施

• 包括加密技术（如SSL/TLS协议）、防火墙、入侵检测系统、反病毒软件、安全更新和补丁管理、访问控制策略、数据备份和恢复计划等。

安全检查清单

关闭不必要的端口

• 使用端口扫描器扫描系统所开放的端口，确定开放了哪些服务是黑客入侵的第一步。

开启安全审核

• 开启安全审核是最基本的入侵检测方法，记录所有尝试入侵的行为。

存储敏感文件

• 把敏感文件存放在另外的文件服务器中，并经常备份它们。

修改注册表设置

• 修改注册表以防止显示上次登录的用户名和禁止建立空连接。

下载最新补丁程序

• 经常访问微软和安全站点，下载最新的service pack和漏洞补丁。

关闭DirectDraw和默认共享

• 关闭DirectDraw以满足C2级安全标准，并禁止默认共享以减少攻击面。

使用文件加密系统EFS

• 使用Windows 2000强大的加密系统给磁盘、文件夹、文件加上一层安全保护。

加密temp文件夹

• 加密temp文件夹以防止应用程序留下的敏感信息被未授权访问。

锁住注册表

• 只有administrators和BackupOperators才有从网络上访问注册表的权限。

安全配置建议

文件系统的选择

• 选择合适的文件系统对服务器的安全性有重要影响。

ADMIN$共享的安全问题

• 在完全安装并配置好Windows 2000 Server之前，避免将主机接入网络，以防止ADMIN$共享的安全漏洞。

服务自动运行的潜在风险

• 安装完成后，各种服务会自动运行，此时服务器可能满身漏洞，容易受到攻击。

通过以上措施和建议，可以显著提高Windows 2000系统的安全性，保护系统免受未授权访问和各种网络威胁。