Hablando de la configuración de seguridad de Windows 2000 desde cuatro aspectos en términos de configuración de seguridad del usuario 1. Deshabilite la cuenta de Invitado. Esta cuenta debe deshabilitarse independientemente del modo de grupo de trabajo o de dominio. La única excepción es que una cantidad muy pequeña de máquinas (menos de 10) usan Sitios de red para acceder a carpetas compartidas y no están conectadas a la red pública. Puede continuar manteniendo esta cuenta. 2. Restringir usuarios innecesarios. En este momento, tenga en cuenta: (1) En el modo de grupo de trabajo, las cuentas predeterminadas son Administrador e Invitado. Si desea utilizar IIS (Internet Information Server) para crear varios sitios, IUSER_computername e IWAM_computername también son las cuentas predeterminadas y no se pueden desactivar. Porque la primera es una cuenta de acceso anónimo de IIS y la segunda es una cuenta de IIS que ejecuta scripts de forma anónima. Estas dos cuentas tienen contraseñas predeterminadas, que son asignadas por el sistema. Los usuarios no deben cambiar sus contraseñas, y mucho menos eliminarlas; de lo contrario, IIS no podrá acceder ni ejecutar scripts de forma anónima si hay un servicio de terminal, TsInternetUser también lo es. la cuenta predeterminada y no se puede desactivar. (2) En el modo de dominio, los miembros de los grupos Administradores de dominio y Administradores empresariales se agregarán al grupo Administrador, y también habrá una cuenta Krbtgt, que está deshabilitada de forma predeterminada. Esta cuenta es una cuenta de distribución de claves. 3. Habilite la política de usuario. Hay una configuración de umbral de bloqueo de usuario. ¿Cuál es la configuración adecuada para ello? Cuando un usuario inicia sesión, Windows utilizará un protocolo de cifrado para cifrar el nombre de usuario y la contraseña del usuario. En un entorno de dominio, si es solo un sistema simple (es decir, no hay ningún software instalado), cuando un usuario inicia sesión, Windows intentará usar el protocolo Kerbos para la autenticación. Si falla, usará Ntlm para la autenticación. En este momento, hay dos métodos de verificación; si la cuenta también es un usuario de Outlook, habrá hasta 6 métodos de verificación, es decir, si el usuario ingresa la contraseña incorrecta al iniciar sesión, habrá 6 valores de bloqueo de cuenta. se desperdiciará en un solo inicio de sesión. Por lo tanto, los ingenieros del Centro de soporte técnico de Microsoft recomiendan establecer el valor de bloqueo en 13, para que la cuenta pueda bloquearse después de ingresar la contraseña incorrectamente tres veces. En términos de configuración de seguridad de contraseñas, al configurar contraseñas para cuentas, cuantos más dígitos tenga la contraseña, mejor. Para cumplir con el principio de complejidad de la contraseña, las contraseñas de 7 y 14 dígitos son las mejores. Esta conclusión fue dada por ingenieros del Centro de soporte técnico global de Microsoft y está determinada por el algoritmo de cifrado utilizado en la contraseña. Una cosa a la que todos deben prestar atención: existe una vulnerabilidad de seguridad en el protector de pantalla, es decir, otros pueden usar el modo DOS para cambiar el nombre del comando Cmd.exe al nombre del protector de pantalla que elija sin ingresar al sistema y reemplazarlo. . Después de eso, mientras este "protector de pantalla" esté ejecutándose, aparecerá la ventana Cmd y se ejecutará como el sistema, con los permisos máximos de forma predeterminada. Por lo tanto, no es seguro establecer una contraseña para el protector de pantalla. La forma correcta es bloquear la computadora cuando el administrador de la red abandona la estación de trabajo (en Windows 2000, presione Ctrl+Alt+Supr y seleccione "Bloquear computadora" en la ventana emergente. Menú "Apagar". En términos de configuración de seguridad del sistema 1. Utilice la partición en formato NTFS. Las particiones NTFS son mucho más seguras que las particiones FAT, y sólo mediante el uso de particiones NTFS Windows 2000 realmente puede aprovecharlas. Windows 2000 viene con la herramienta Convertir para convertir particiones NTFS. En el símbolo del sistema, ejecute onvert x /FS NTFS (x es la letra de la unidad que se va a convertir durante la ejecución, si se está convirtiendo la partición donde no se encuentra el sistema operativo, la conversión de la partición se realizará inmediatamente; el sistema operativo se está convirtiendo, luego realice la conversión de partición después de reiniciar. Nota: Este proceso de conversión es unidireccional e irreversible, es decir, sólo se puede convertir de FAT a NTFS. Aunque se pueden utilizar herramientas de terceros para convertir entre formatos de partición, hacerlo no puede garantizar una seguridad absoluta. En algunos casos, la partición quedará inutilizable, por lo que se recomienda utilizar el comando Convertir sólo para convertir el formato de partición si es necesario. Utilice una herramienta de terceros, asegúrese de realizar una copia de seguridad con antelación.
Además, según mi experiencia personal, no es necesario convertir todas las particiones en particiones NTFS. En su lugar, se debe reservar una partición como FAT32 para almacenar algunas herramientas de uso común y facilitar la copia de seguridad de Ghost. 2. Vaya al sitio web de Microsoft para descargar el parche más reciente. ¡Muy recomendado! Este es un buen hábito que todo administrador de red debería tener. Aquí hay un punto: los Servicespacks lanzados por Microsoft a intervalos regulares son una síntesis de los Hotfixes lanzados recientemente. Si utiliza parches de Hotfix con frecuencia, la versión posterior de los Servicespacks puede entrar en conflicto con su Hotfix cuando se inicie. Debido a que los Servicespacks también deben probarse y es posible que se lancen nuevas revisiones durante la fase de prueba, se producirán conflictos al parchear la versión anterior de los Servicespacks después de realizar el nuevo parche de revisión. 3. Desactive el uso compartido predeterminado. El registro debe modificarse aquí; de lo contrario, el uso compartido predeterminado seguirá apareciendo después de cada reinicio. En el registro "HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run", haga clic derecho en el espacio en blanco en la columna de la derecha, seleccione "Nuevo", luego seleccione "Valor de cadena", ingrese: "delipc$" en el nombre, aquí Puede elegir el nombre que desee, luego haga doble clic en él y aparecerá una ventana Ingrese: "net share ipc$/del", y el recurso compartido *** predeterminado se eliminará automáticamente la próxima vez que encienda la computadora. . Debe reiniciar la máquina después de modificar el registro. AMDIN$ también se puede eliminar utilizando el mismo método. 4. Bloquee el registro. Windows 2000 proporciona una herramienta llamada Regedt32.exe, que también es un editor de registro. La diferencia con Regedit.exe es que tiene una opción de "seguridad" que puede establecer permisos para cada valor clave en el registro. Por lo tanto, los usuarios pueden autorizar muchos valores clave confidenciales, por ejemplo, configurándolos para que solo el Administrador pueda leerlos y modificarlos, evitando que otros se aprovechen de ellos. En términos de configuración de seguridad del servicio 1. Cierre los puertos innecesarios. Desafortunadamente, Windows 2000 no admite la opción de cerrar puertos, por lo que tenemos que utilizar herramientas de terceros para cerrar algunos puertos clave, como Telnet. 2. Configure el acceso a los registros de seguridad. El sistema operativo Windows 2000* viene con una herramienta de auditoría, que no está habilitada de forma predeterminada. Si la política de auditoría está habilitada, los usuarios pueden ver el registro de seguridad en el registro de eventos, que contendrá registros de auditoría detallados. La auditoría generalmente se divide en dos tipos: exitosa y fallida. Sin embargo, se recomienda no abrir auditorías de seguridad con frecuencia porque la cantidad de auditorías es muy grande. Por lo general, una entrada de contraseña incorrecta puede registrar más de una página de entradas en el registro, lo que supone un desperdicio de recursos del sistema. Se recomienda habilitar la auditoría sólo cuando sospeche que su sistema está bajo ataque. Ingrese "Eventvwr.msc" en "Ejecutar" del menú "Inicio" para ver el registro de seguridad y podrá ver los mensajes de auditoría. Nota: Para obtener detalles sobre cómo implementar esto, consulte el artículo de Microsoft Knowledge Base - 300549 (URL: . 3. Almacene archivos confidenciales en otro servidor de archivos. Para consideraciones duales de rendimiento y seguridad, se recomienda tener condiciones que los usuarios deben separar controladores de dominio de otros servidores importantes, como servidores web y servidores de bases de datos, es decir, no utilice el mismo servidor para ejecutar varios servicios al mismo tiempo, asegúrese de realizar copias de seguridad oportunas y efectivas, y es mejor tener una detallada. plan de respaldo.