3. 中止或者删除不必要的帐户、端口以及服务 在安装期间,可以自动创建三个当地的用户帐户——管理员、客户、以及Help-Assistant,Help-Assistant是用Remote Assistance安装的。管理员帐户拥有系统的密钥。它可以分配用户权限和访问控制。尽管不能删除这个主要的帐户,但为了使黑客更难访问该帐户,可以将其中止或者重新命名。
相反,你应该为单个用户或者组群目标分配管理权限。这使黑客更难确定哪个用户拥有管理权限。这一点在审计过程中也是关键的。设想一下:一个IT部门中,任何人都可以使用一个单一的管理账号和密码登录到该服务器中。
这就是主要的安全问题。最好的方法就是根本不要……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
3. 中止或者删除不必要的帐户、端口以及服务
在安装期间,可以自动创建三个当地的用户帐户——管理员、客户、以及Help-Assistant,Help-Assistant是用Remote Assistance安装的。管理员帐户拥有系统的密钥。它可以分配用户权限和访问控制。尽管不能删除这个主要的帐户,但为了使黑客更难访问该帐户,可以将其中止或者重新命名。相反,你应该为单个用户或者组群目标分配管理权限。这使黑客更难确定哪个用户拥有管理权限。这一点在审计过程中也是关键的。设想一下:一个IT部门中,任何人都可以使用一个单一的管理账号和密码登录到该服务器中。这就是主要的安全问题。最好的方法就是根本不要使用管理员帐户。
同样地,对于那些了解Server 2003操作方式的人来说,客户和Help-Assistant帐户为他们提供了易于攻击的目标。选择Computer Management选项,通过Administrative Tools菜单下的控制面板,中止这些帐户。右击你想要改变的用户帐户,然后单击属性。确保这些帐户在网络中和本地已经被中止。
开放的端口是高风险区。共有65535个端口可用,而且你的服务器并不都需要它们。防火墙,包括在SP1中,允许管理员中止不必要的TCP和UDP端口。这些端口可以分为三个不同的范围:众所周知的端口(0-1023),已注册的端口(1024-49151),以及动态/私有端口(49152-65535)。对于操作系统功能而言,熟知的端口是至关重要的。已注册的端口仅仅能够用于服务或者应用程序。剩余的端口是“西大荒”,有待开发使用。
获取一列端口,以及相关的服务和应用程序,管理员就可以确定哪些是主要性能所要求的。比如,为了防止任何远程登录或者FTP流量,可以阻断与这些应用程序相关的已知端口。类似地,已知的软件和恶意软件也有已知的相关端口,所有端口都可以阻断,进而创建一个更安全的服务器状态。最佳方式就是关闭所有不使用的端口。确认计算机上哪些端口是开放状态、哪些是监听与阻隔状态的最佳方法是,使用免费Nmap工具。SCW在默认状态下关闭了所有的端口,然后按照安全策略的设置再打开它们。
你可以在线获得有关端口职能的信息。
图3:使用Control Panel中的Administrative Tools菜单可以中止不需要的服务——本例中指远程登录。
强化服务器的最有效的方法就是不要安装任何与操作不相关的应用程序,并关闭不需要的服务。虽然服务器上安装有电子邮件客户机程序或者生产性工具,给管理员带来了方便,但是,如果它们与服务器的性能没有直接关系,就不应该安装。在Windows Server 2003中可以中止100多项服务。比如,DHCP是包含在基本安装之中的。然而,如果你不将系统作为DHCP服务器使用,那么中止tcpsvcs.exe会阻止服务初始化和运行。然而,要切记的是,并非所有的服务都可以被中止。比如,尽管Blaster蠕虫可以利用远程过程调用(RPC)服务,但是由于它允许其它系统进程内部之间以及跨网络通信,所以不能中止这个服务。通过控制面板下的“管理工具Admin- istrative Tools”菜单,访问Services界面,便可以关闭不需要的服务。双击service,打开属性对话框,选择Startup Type框中的Disabled(见上图3)。
相关推荐
-
15步强化Windows Server 2003
《Hardening Windows》的作者Jonathan Hassell进行了一次检查表式的网上直播,概述了用以强化Windows Server 2003功能的15个步骤,以更好的应对各种威胁。
-
Server系统账号密码设定原则
在网络中每一个用户都有一个自己的账号和密码,账号和密码的安全性就直接关系到用户的系统安全和数据安全。本文介绍了一些关于账号密码安全方面的知识。
-
防护方法 教你如何防范黑客扫描计算机
入侵大都从扫描开始,扫描软件首先会判断远程计算机是否存在,接着对其进行扫描,扫描结果会反馈目标主机打开的端口、服务等漏洞信息,因而防扫描非常重要……
-
引黑客入瓮-给Linux系统蒙上Windows面纱
黑客经常利用工具扫描用户机器,再针对找到的漏洞进行攻击。通过伪装Linux系统给黑客设置系统假象,可加大黑客对系统的分析难度,提高计算机系统的安全性……