服务器安全配置精华技巧(3)

　6．开启帐户策略

　　策略 设置

　　复位帐户锁定计数器 20分钟

　　帐户锁定时间 20分钟

　　帐户锁定阈值 3次 　　　

　　7．设定安全记录的访问权限

　　安全记录在默认情况下是没有保护的，把他设置成只有Administrator和系统帐户才有权访问。
　　
　　8．把敏感文件存放在另外的文件服务器中

　　虽然现在服务器的硬盘容量都很大，但是你还是应该考虑是否有必要把一些重要的用户数据(文件，数据表，项目文件等)存放在另外一个安全的服务器中，并且经常备份它们。
　　
　　9.不让系统显示上次登陆的用户名

　　默认情况下，终端服务接入服务器时，登陆对话框中会显示上次登陆的帐户明，本地的登陆对话框也是一样。这使得别人可以很容易的得到系统的一些用户名，进而作密码猜测。修改注册表可以不让对话框里显示上次登陆的用户名，具体是：

　　HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\DontDisplayLastUserName

　　把 REG_SZ 的键值改成 1 .　　　

　　10．禁止建立空连接

　　默认情况下，任何用户通过通过空连接连上服务器，进而枚举出帐号，猜测密码。我们可以通过修改注册表来禁止建立空连接：

　　Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成”1”即可。
　　
　　10.到微软网站下载最新的补丁程序

　　很多网络管理员没有访问安全站点的习惯，以至于一些漏洞都出了很久了，还放着服务器的漏洞不补给人家当靶子用。谁也不敢保证数百万行以上代码的2000不出一点安全漏洞，经常访问微软和一些安全站点，下载最新的service pack和漏洞补丁，是保障服务器长久安全的唯一方法。 　
　　
　　高级篇： 　　　

　　1. 关闭 DirectDraw

　　这是C2级安全标准对视频卡和内存的要求。关闭DirectDraw可能对一些需要用到DirectX的程序有影响（比如游戏，在服务器上玩星际争霸？我晕..$%$^%^&??），但是对于绝大多数的商业站点都应该是没有影响的。 修改注册表 HKLM\SYSTEM\CurrentControlSet\Control\GraphicsDrivers\DCI 的Timeout(REG_DWORD)为 0 即可。 　　　

　　2.关闭默认共享

　　win2000安装好以后，系统会创建一些隐藏的共享，你可以在cmd下打 net share 查看他们。网上有很多关于IPC入侵的文章，相信大家一定对它不陌生。要禁止这些共享 ，打开 管理工具>计算机管理>共享文件夹>共享 在相应的共享文件夹上按右键，点停止共享即可，不过机器重新启动后，这些共享又会重新开启的。

　　默认共享目录 路径和功能 　　　

　　C$ D$ E$ 每个分区的根目录。Win2000 Pro版中，只有Administrator

　　和Backup Operators组成员才可连接，Win2000 Server版本Server Operatros组也可以连接到这些共享目录ADMIN$ %SYSTEMROOT% 远程管理用的共享目录。它的路径永远都指向Win2000的安装路径，比如 c:\winntFAX$ 在Win2000 Server中，FAX$在fax客户端发传真的时候会到。IPC$ 空连接。IPC$共享提供了登录到系统的能力。

　　NetLogon 这个共享在Windows 2000 服务器的Net Login 服务在处理登陆域请求时用到

　　PRINT$ %SYSTEMROOT%\SYSTEM32\SPOOL\DRIVERS 用户远程管理打印机 　　

　　解决办法：

　　打开注册表编辑器。REGEDIT

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters

　　在右边建立一个名为AutoShareServer的DWORD键。值为0

　　3.禁止dump file的产生

　　dump文件在系统崩溃和蓝屏的时候是一份很有用的查找问题的资料(不然我就照字面意思翻译成垃圾文件了)。然而，它也能够给黑客提供一些敏感信息比如一些应用程序的密码等。要禁止它，打开 控制面板>系统属性>高级>启动和故障恢复 把 写入调试信息 改成无。要用的时候，可以再重新打开它。