徹底杜絕IPC$攻擊
Windows 2000系統默認允許用戶通過IPC$連接獲得系統內所有賬號和共享資源列表�,它雖然為局域網用戶共享資源提供方便�����,但也可能被任何一個“心懷叵測”的人所利用�����,給Windows 2000系統帶來嚴重安全隱患����。即使通過修改“賬戶策略”增強系統安全�����,也是種“治標不治本”方法,還是不能杜絕IPC$入侵���。
1. 禁止IPC$空連接
在Windows 2000服務器端����,點擊“開始→運行”�,在運行對話框中輸入“Regedit”命令���,回車后,彈出注冊表編輯器窗口����,依次展開“HKEY_LOCAL_MACHINE/SYSTEM
/CurrentControlSet/Control/Lsa”,在右欄中找到“restrictanonymous” 項����,將其鍵值修改為“1”,重新啟動系統后就禁止IPC$空連接了��。
2. 禁用默認隱藏共享
Windows 2000系統默認情況下�,磁盤所有盤符的狀態都為隱藏共享,即使取消共享�����,下次重啟后所有盤符依然自動共享�����。這種共享給Windows 2000系統帶來安全隱患�����,因此要禁用默認隱藏共享��。
在注冊表編輯器左欄中���,依次展開“HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/
Services/LanmanServer/Parameters”�����,在右欄中找到“AutoShareServer(DWORD)”鍵����,將其鍵值改為“00000000”��。
如果上面AutoShareServer鍵不存在,我們可以進行手工創建����,在右欄空白處單擊右鍵�,選擇“新建→雙字節值”,然后修改主鍵名稱為“AutoShareServer”����,其鍵值為“00000000”��。最后重新啟動Windows 2000系統���,就取消了默認隱藏共享���。
慎用Guest賬號
在Windows工作組環境中���,一般情況下�����,用戶要使用Guest賬號訪問共享資源���。雖然Guest賬號為用戶訪問共享資源提供方便,但卻給服務器留下嚴重安全隱患����,因此建議禁用Guest賬號。
在Windows 2000系統中���,進入“控制面板→管理工具”,運行“計算機管理”工具��,然后依次展開“計算機管理(本地)→系統工具→本地用戶和組→用戶”��,找到Guest賬戶�。右鍵單擊該賬號�����,在Guest屬性對話框中���,選中“賬戶已停用”選項��,單擊“確定”后����,就禁用了Guest賬戶�,這時該賬號出現一個紅色的叉號�����。
此外��,還可以通過修改組策略不允許Guest賬號從網絡訪問本機����,達到禁用的目的�����。單擊“開始→運行”�,在運行框中輸入“gpedit.msc”,在組策略窗口中依次展開“本地計算機策略→計算機配置→Windows設置→安全設置→本地策略→用戶權力指派”(如圖)�����,在右欄中找到“拒絕從網絡訪問這臺計算機”項�����,打開后將Guest賬號添加到列表中,接著打開“從網絡訪問此計算機”項��,在屬性窗口中刪除Guest賬號�。
禁用了Guest賬號后,用戶如何訪問共享資源呢�����?對于規模較大的網絡�,使用域用戶賬號來控制對共享資源的訪問��。小規模的網絡中�,可以采用如下方法實現:在服務器端新建一個用戶賬號���,并指定該賬號的訪問權限。然后在客戶機中新建一個相同用戶名和密碼的賬號�,使用此賬號登錄客戶機后���,就能安全訪問該賬號所允許的共享資源,但這種方法要為網絡中的每個客戶機都要創建一個賬號���。如果大家感覺麻煩,也可以使用第三方文件共享軟件��。
我的“FSO”你別動
為了實現企業網絡化辦公���,需要啟用Windows 2000系統的IIS服務�����,它對ASP有良好的支持�,因此很多企業網的辦公系統、論壇�����、留言板都采用ASP編程���。但ASP中的FSO(FileSystemObject)對象卻有很大的安全隱患����,一旦被“不懷好意”者利用,會導致整個系統的癱瘓���,最簡單的方法就是禁用它�。單擊“開始→運行”����,在對話框中輸入“RegSvr32 /u scrrun.dll”命令��,回車后彈出信息對話框��,點擊“確定”按鈕后就禁用了FSO對象��。如果想再次使用FSO對象也很簡單����,在運行對話框中輸入“RegSvr32 scrrun.dll”即可����。
