华南俳烁实业有限公司

如果你曾經(jīng)配置過Windows NT Server或是Windows 2000 Server，你也許發(fā)現(xiàn)這些微軟的產(chǎn)品缺省并不是最安全的。雖然微軟提供了很多安全機(jī)制，但是依然需要你來實(shí)現(xiàn)它們。然而當(dāng)微軟發(fā)布Windows Server 2003的時候，改變了以往的哲學(xué)體系。新的理念是，服務(wù)器缺省就應(yīng)該是安全的。這的確是一個不錯的理念，不過微軟貫徹得還不夠徹底。雖然缺省的 Windows 2003安裝絕對比確省的Windows NT或 Windows 2000安裝安全許多，但是它還是存在著一些不足。下面讓我教大家如何讓W(xué)indows Server 2003更加安全。
　

　　第一步：修改管理員帳號和創(chuàng)建陷阱帳號：
　

　　修改內(nèi)建的用戶賬號多年以來，微軟一直在強(qiáng)調(diào)最好重命名Administrator賬號并禁用Guest賬號，從而實(shí)現(xiàn)更高的安全。在 Windows Server 2003中，Guest 賬號是缺省禁用的，但是重命名Administrator賬號仍然是必要的，因?yàn)楹诳屯�往會從Administrator賬號入手開始進(jìn)攻。方法是：打開 “本地安全設(shè)置”對話框，依次展開“本地策略”→“安全選項(xiàng)”，在右邊窗格中有一個“賬戶：重命名系統(tǒng)管理員賬戶”的策略，雙擊打開它，給 Administrator重新設(shè)置一個平淡的用戶名，當(dāng)然，請不要使用Admin之類的名字，改了等于沒改，盡量把它偽裝成普通用戶，比如改成：guestone 。然后新建一個名稱為Administrator的陷阱帳號“受限制用戶”，把它的權(quán)限設(shè)置成最低，什么事也干不了的那種，并且加上一個超過10位的超級復(fù)雜密碼。這樣可以讓那些 Scripts s忙上一段時間了，并且可以借此發(fā)現(xiàn)它們的入侵企圖�；蛘咴谒�的login scripts上面做點(diǎn)手腳。

　　第二步刪除默認(rèn)共享存在的危險

　　Windows2003安裝好以后，系統(tǒng)會創(chuàng)建一些隱藏的共享，你可以在cmd下打 net share 查看他們。網(wǎng)上有很多關(guān)于IPC入侵的文章，相信大家一定對它不陌生。所以我們要禁止或刪除這些共享以確保安全，方法是：首先編寫如下內(nèi)容的批處理文件：

　　@echo off

　　net share C$ /del

　　net share D$ /del

　　net share E$ /del

　　net share F$ /del

　　net share admin$ /del　

　　以上批處理內(nèi)容大家可以根據(jù)自己需要修改。保存為delshare.bat，存放到系統(tǒng)所在文件夾下的 system32\GroupPolicy\User\Scripts\Logon目錄下。然后在開始菜單→運(yùn)行中輸gpedit.msc，回車即可打開組策略編輯器。點(diǎn)擊用戶配置→Window設(shè)置→腳本(登錄/注銷)→登錄，在出現(xiàn)的“登錄 屬性”窗口中單擊“添加”，會出現(xiàn)“添加腳本”對話框，在該窗口的“腳本名”欄中輸入delshare.bat（如圖1），然后單擊“確定”按鈕即可。這樣就可以通過組策略編輯器使系統(tǒng)開機(jī)即執(zhí)行腳本刪除系統(tǒng)默認(rèn)的共享。

禁用IPC連接

　　IPC是Internet PRocess Connection的縮寫，也就是遠(yuǎn)程網(wǎng)絡(luò)連接。它是Windows NT/2000/XP/2003特有的功能，其實(shí)就是在兩個計(jì)算機(jī)進(jìn)程之間建立通信連接，一些網(wǎng)絡(luò)通信程序的通信建立在IPC上面。舉個例子來說，IPC 就象是事先鋪好的路，我們可以用程序通過這條“路”訪問遠(yuǎn)程主機(jī)。默認(rèn)情況下，IPC是共享的，也就是說微軟已經(jīng)為我們鋪好了路，因此，這種基于IPC的入侵也常常被簡稱為IPC入侵。建立IPC連接不需要任何黑客工具，在命令行里鍵入相應(yīng)的命令就可以了，不過有個前提條件，那就是你需要知道遠(yuǎn)程主機(jī)的用戶名和密碼。打開CMD后輸入如下命令即可進(jìn)行連接：

　　net use\\ip\ipc$ "passWord" /user:"usernqme"。我們可以通過修改注冊表來禁用IPC連接。打開注冊表編輯器。找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa中的restrictanonymous子鍵，將其值改為1即可禁用IPC連接。