上面所介绍的只是方法,具体要设置那些行为的权限,就要看用户的具体情况了 。虽然这需要有较大的耐心一项一项的配置,但它却是一劳永逸的做法 。另外图26所示的每一项策略,都需要具体配置,这样才能打造出一道坚不可摧的系统防线 。
四、一些安全常识和注意事项
1.杜绝基于Guest帐户的系统入侵 。
很多文章中都介绍过如何利用Guest用户得到Admin权限的方法,思路和手段不局一格,看了让人不禁叫绝 。为什么会出现这样的问题呢?如何解决这个问题呢?
Guest用户作为一个来宾帐户,他的权限是很低的,而且默认密码为空,这就使得入侵者可以利用种种途径,通过Guest登录并最终拿到Admin权限 。如何做到这一点不在本文讨论的范围内,这里只介绍如何防御这种基于Guest的入侵 。通过对入侵者行为的分析,笔者发现进禁用或彻底删除Guest帐户是最好最根本的办法 。但在某些必须得使用到Guest帐户的情况下,就需要通过其他途径来做好防御工作了 。首先是要给Guest加一个强的密码,这一步可在“管理工具”----“计算机管理”----“本地用户和组”----“用户”里面设置 。然后,按照初级安全配置里面介绍的方法,详细设置Guest帐户对物理路径的访问权限 。
2.为Administrator用户改名,并设置复杂密码 。
Administrator帐户拥有最高的系统权限,一旦此帐户被人利用,后果不堪设想 。这就使得必须加强此帐户的管理,首先当然也是为其设置一个强大复杂的密码 。下来笔者介绍重新配置Administrator帐户欺骗入侵者的方法 。
打开“管理工具”----“本地安全设置”,打开其“本地策略”中的“安全选项”,在最后面可以看到有一项帐户策略:重命名系统管理员帐户,图29 。双击此策略进入其属性即可修改,图30 。这里修改为54master 。
打开“管理工具”----“计算机管理”----“本地用户和组”----“用户”,图31 。双击Administrator进入其属性,记下其描述,图32,并从新修改为其他描述 。然后在“用户”上单击右键,选择“新用户”,写上如图33所示资料后确定 。
回到“用户”,双击刚建立好的新帐户进入其属性,把默认的全名删除 。再在“隶属于”标签里把他从默认所属的Users组里删除后确定 。
看看图35,如果你是入侵者,你能分辨出来那个才是真正的系统管理员吗?谁能想到新建的帐户已经不是系统管理员,而成为不属于任何组的没有任何权限的新成员呢?入侵者会花无数的精力来想办法弄多它的密码的,呵呵 。让他去忙吧 。
3.其他需要注意的地方 。
随时警惕系统、安全、和应用程序的日志,警惕注册表启动项的变化、警惕用户帐户等敏感的地方是保证你系统安全的必要条件 。经常备份数据以应付灾难性事故 。用户和权限的分配应当本着最小权限原则,即在不影响用户正常使用的情况下,为其分配最小的权限 。感觉有时候也是很重要的,系统突然变慢就要先凭感觉判断一下是否感染了病毒等 。系统安全就如同计划生育,是个长期性的工作,就算你配置的再好的系统,也可能被人利用新的漏洞攻破,这就使得管理员必须随时学习 。
后记:通过笔者一段时间的使用,Windows Server 2003给人的总体感觉还是不错的 。它的启动速度比2000和XP都快,系统内新加了许多好用的Dos 新功能 。如使用Defrag命令进行磁盘碎片整理;使用Diskpart命令管理磁盘、分区或卷;使用Taskkill命令管理系统进程;使用Logman命令创建和管理时间跟踪会话日志和性能日志 。作为一个Server版本,Windows Server 2003新增的“分布式文件系统”(即DFS)可以将分布在域上多个服务器上的文件集中到一个逻辑名称的空间中,用户只需要访问一个驱动器即可访问到所有的共享文件 。Windows Server 2003还有许多其他的新功能等着用户的发掘 。有兴趣的用户可以到****下载使用版 。
推荐阅读
- 夏天配酒下饭太棒了 鱼籽鱼泡怎么做好吃
- 用Windows Server 2003搭建安全文件服务器
- 花呗这个月用的是下个月还吗
- 如何以安全模式启动计算机
- 暴雨为什么停水
- 怎样在windows 2003下使用USB便携存储器
- 小米11怎么关闭下面的搜索
- 来说说a500的几个小缺点
- 生活这杯酒谁喝都得醉下句怎么回答
- 华为p40支持屏下指纹解锁吗 华为p40是屏下指纹解锁吗