Sécurité pour Windows 2000

On m'a demandé récemment d'aller à un concessionnaire d'automobiles et de faire une analyse de la sécurité de leur serveur Windows 2000.

C'est ce que je recommande de faire à toute machine Windows 2000, le cas échéant.

Assurez-vous que le compte invité est désactivé. Il est livré désactivée par défaut.

Un problème Je remarque attribuer, c'est quand je vais aux entreprises, beaucoup de comptes sont toujours actifs pour les employés qui ne travaillent là-bas. Ils doivent être retirés lorsque l'employé est licencié ou quitte de leur propre gré. Des employés mécontents ont été connus pour faire des ravages.

Les stratégies de groupe peuvent et doivent être mises en œuvre dans un environnement Windows 2000 et vérifiés pour s'assurer qu'il n'y ait pas de comptes supplémentaires ou des comptes avec des mots de passe faibles.

Mot de passe de sécurité est aussi important, si votre mot de passe est faible, il sera fissuré. J'ai été dans des entreprises où votre mot de passe vos initiales. C'est-à-simple. Mettre en œuvre des politiques de mots de passe et les lock-out de compte après plusieurs tentatives de connexion infructueuses. AVERTISSEMENT cela peut créer un déni de service. Créer plusieurs comptes admin et leur donner des droits différents. Une politique de mot de passe fort pour les tâches administratives.

Exécuter Résultat net part depuis la ligne de commande pour afficher les partages ouverts sur votre réseau et de fermer ceux d'en bas, sauf si nécessaire.

Allez dans le BIOS et un mot de passe utilisateur et désactiver la possibilité de démarrer depuis une disquette, USB ou CD. Les gens peuvent facilement récupérer le fichier SAM qui est un hash stocké sur votre système à partir d'un CD de démarrage Linux ou d'autres outils. Ensuite, tenter de casser le hachage.

Modifier le compte administrateur avec un nom différent. C'est généralement une tentative de craquelins premier. Renommez-le en quelque chose d'autre que root.

Utilisez le format NTFS sur toutes les partitions Cela vous donne plus de contrôle et de sécurité que l'utilisation du système de fichiers FAT.

Assurez-vous que le "Tout le monde" permission n'est pas accordée sur vos ressources, annuaires, etc

Ont le dernier utilisateur connecté éteint. Cela rend plus facile pour un attaquant de deviner les mots de passe. Il y avait déjà la moitié du chemin du avoir le nom d'utilisateur.

Appliquer des listes de contrôle d'accès.

Ne pas oublier les gens qui vous entourent et soit verrouiller votre poste de travail lorsque vous quittez ou qu'un économiseur d'écran activé avec un mot de passe fort. Les menaces internes sont une réalité.

Vous pouvez activer le cryptage du système de fichiers EFS, vous pouvez chiffrer des répertoires entiers ainsi. Je vous conseille si vous êtes vraiment paranoïaque ou intelligent de se pencher sur un utilitaire qui vous permet de choisir différents algorithmes de chiffrement. Je n'aime pas les normes de chiffrement qui sont fermés. Cela signifie que nous ne peux pas voir le code source. Je préfère l'open source est plus facile de chercher des trous et des attaques.

Faire des sauvegardes de tous vos fichiers importants. C'est la chose la plus importante que j'ai apprise en administration système. De sauvegarde, Backup, Backup à quelque chose qui ne peut pas être écrasé comme un CD-R.

Pour configurer les politiques de sécurité d'utiliser la trousse à outils de configuration de sécurité que vous pouvez faire votre travail plus simple d'attribuer à l'aide de composants logiciels enfichables.

J'ai visité le site de Microsoft pour voir tout ce qu'ils avaient, je dois dire qu'il ya beaucoup d'informations.

Arrêtez les services qui ne sont pas nécessaires. Les autres ports qui sont ouverts et les applications ouvertes soit les avenues plus d'attaque.

Restreindre l'accès aux autorité de sécurité locale seulement à l'admin.

Changer de vous connecter en garde à quelque chose comme. Personnel autorisé seulement », toutes les activités sont enregistrées et surveillées. Les contrevenants seront poursuivis avec toute la rigueur de la loi."

Arrêtez les différents ports, qui ne sont pas utilisés.

Personnellement, j'aime les cartes à puce pour l'authentification à deux formes. Je recommande RSA identité sécurisés pour les machines qui ont besoin de plus de sécurité.

Activez l'audit pour suivre ce que les utilisateurs et les intrusions possibles font sur votre système.

Tout, depuis les tentatives de connexion pour accéder à des objets peuvent être vérifiés dans Windows 2000.

Protéger le registre de l'accès anonyme.

Assurez-vous que les journaux d'audit sont verrouillés ne peuvent donc pas être effacé ou altéré. Seul l'administrateur doit avoir des droits sur ces fichiers.

Installer les Service Packs.

Assurez-vous que votre antivirus est à jour avec les dernières signatures.

Exécutez un utilitaire de spy-ware.

Vous pouvez également exécuter une vérification de vulnérabilité en ligne tels que les boucliers de Gibson Research.

Obtenez le logiciel automatisée des correctifs.

Rappelez-vous que la sécurité n'est pas quelque chose qui peut être fini. Tenir à jour....