我们该为千疮百孔的NT作些什么????(1) 如何配置一台NT对大家来说不是一件很困难的事,可是要配置一台安全性高的NT可就不那么容易了,作为一个好的系统管理人员,一定要学会怎么让你手中的NT 4达到真正的C2级。 最重要的一点,经常留意一些安全站点,使用最新的Service Pack并时常打一些小补丁。 硬盘必须Format 成NTFS格式,如果你现在使用的是FAT的文件格式,赶快用convert.exe转换成NTFS格式吧。 关闭NTFS的8.3格式文件识别,这需要在HKEY_LOCAL_MACHINE\SYSTEM \CurrentControlSet\Control\FileSystem 中将NtfsDisable8dot3NameCreation的值设为“1”。 系统启动的等待时间设置为0秒,控制面板->系统->启动/关闭,然后将列表显示的默认值“30”改为“0”。 将你的Web服务器设置为独立的服务器,也能提高不少安全级别。 Remove 你NT服务器上的其他系统OS/2,Linux……,以免他人从别的系统上修改你的NT系统。 删除你的网络共享,你可以使用这样的命令net share /d,那些为了管理而设置的共享就必须通过修改注册表的方法来实现了,HKEY_LOCAL_MACHINE\SYSTEM \CurrentControlSet\Control\Services\LanmanServer\Parameters 的 AutoShareServer改为0。 严格审核SUCcess/Failed Logon/Logoff日志,域用户管理器->规则->审核。 隐藏上次登陆用户名,修改注册表HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\Windows NT\Current Version\Winlogon 中的 DontDisplayLastUserName改为0。 在你的logon对话框中把”Shutdown”按钮移走,修改注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\Current Version\Winlogon 中的 ShutdownWithoutLogon改为0。 设定用户的口令长度,一般可以设到9位,密码位数到了这个数字再被猜出的可能性就很小了;关闭guest帐号,将Administrator帐号改名,并为管理员设置一个强壮的口令。 Windows NT 有这样一个特征,他允许未认证的用户进入网络列举域内用户,如果你要禁止这个功能,修改HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA 中的RestrictAnonymous ,将它的值改为1。 只有管理员能分配打印机和盘符,要完成这个功能必须使用Windows NT Resource Kit中的一个工具C2Conifg才可以完成。 注册表允许远程修改,这么做是危险的,最好是禁止。 最好不要绑定BetBIOS服务,以免被人使用Nbtstat等工具取得服务器的信息。 禁止IP转发,控制面板->网络->协议->TCP/IP协议->属性,使这个选框为空。 配置TCP/IP过滤,这样做你可能有很多服务被禁止,但可以减少许多许多不必要的麻烦,具体配置的方法是:控制面板->网络->协议-.TCP/IP协议->属性->高级->启用安全机制->配置,你可以这样配置TCP Ports 80和443(SSL的端口);不允许UDP端口;IP协议6,这是一个典型的安全配置,推荐使用。
