¿A qué nivel de seguridad pertenece Windows 2000? Por favor, consulte a los expertos.
Según los Criterios de evaluación de sistemas informáticos confiables (TCSEC) desarrollados por el Centro Nacional de Seguridad Informática (NCSC), Win 2000 pertenece al nivel de seguridad C2. Sin embargo, si Win 2000 se instala de forma predeterminada sin instalar parches ni realizar configuraciones de seguridad, no se puede decir que sea de nivel C2. Este artículo describe la gestión de seguridad de Win 2000 desde los aspectos de instalación del sistema operativo Win 2000, gestión de seguridad de cuentas, gestión de seguridad de servicios de red, gestión de seguridad de archivos de datos, etc., para que el sistema Win 2000 del usuario alcance el nivel de seguridad especificado. 1. Instale Win 2000 correctamente 1. Particiones del disco duro Al instalar Win 2000, si las condiciones lo permiten, se deben crear al menos dos particiones lógicas, una para la partición del sistema y la otra para la partición de la aplicación. Intente modificar las ubicaciones de carpetas predeterminadas de aplicaciones como "Mis documentos" y "Outlook Express" para que sus ubicaciones no estén en la partición del sistema. Para las máquinas que brindan servicios web, las particiones se pueden configurar de la siguiente manera: Partición 1: Partición del sistema, donde se instalan el sistema y los archivos de registro importantes. Partición 2: proporcionada a IIS. Partición 3: proporcionada para uso FTP. Partición 4: coloque algunos otros archivos de información. 2. Personalización de componentes No instale componentes de forma predeterminada en Win 2000. De acuerdo con el principio de seguridad de "servicios mínimos, permisos mínimos = seguridad máxima", seleccione sólo los servicios que realmente necesita instalar. Los componentes mínimos requeridos por un servidor web típico son: archivos públicos, administrador de servicios de Internet y servidor WWW. 3. Es hora de conectarse a la red Cuando el sistema operativo Win 2000 esté instalado, no conecte el servidor a la red inmediatamente, porque el servidor aún no ha sido parcheado y tiene varias vulnerabilidades, lo que hace que sea muy fácil infectarse con virus e invadirlo. El parche debe instalarse después de instalar todas las aplicaciones, porque los parches a menudo reemplazan o modifican ciertos archivos del sistema. Si instala el parche primero y luego la aplicación, es posible que el parche no tenga el efecto deseado. HotFix para IIS requiere una reinstalación cada vez que cambia la configuración de IIS. 2. Gestión de seguridad de la cuenta 1. Debe haber la menor cantidad de cuentas posible y algunas herramientas de escaneo deben usarse con frecuencia para verificar las cuentas del sistema, los permisos de las cuentas y las contraseñas. Elimina las cuentas que ya no utilizas. 2. Desactive la cuenta de Invitado y agregue una contraseña compleja al Invitado. 3. Cambie el nombre de la cuenta de administrador del sistema e intente disfrazarla como un usuario normal. No utilice la palabra Administrador en el nombre. 4. Para evitar que el sistema muestre el último nombre de usuario que inició sesión, las operaciones específicas son las siguientes: Modifique el valor clave del registro "HKLM\Software\Microsoft\ WindowsNT\ Current Version\Winlogon\Dont Display Last User Name" y cambie el valor clave de REG_SZ a 1 . 3. Gestión de seguridad del servicio de red 1. Cierre los servicios innecesarios. Algunos servicios pueden traer vulnerabilidades de seguridad al sistema, como los Servicios de Terminal (Terminal Services) de Win 2000, IIS y RAS (Servicios de acceso remoto). 2. Cierre los puertos innecesarios Cuando el servidor solo proporciona funciones relativamente únicas, considere abrir solo ciertos puertos. El método específico es: Abra "Entorno de red → Propiedades → Conexión de área local → Propiedades → Protocolo de Internet (tcp/ip) → Propiedades → Avanzado → Opciones → filtrado tcp/ip → Propiedades", abra el filtrado Tcp/Ip y agregue lo requerido Tcp, el protocolo Udp es suficiente. 3. Prohibir el establecimiento de conexiones vacías De forma predeterminada, cualquier usuario puede conectarse al servidor a través de una conexión vacía, enumerar cuentas y adivinar contraseñas. Puede prohibir el establecimiento de conexiones vacías mediante los dos métodos siguientes.
(1) Modifique el valor del registro Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous a 1. (2) Modifique la política de seguridad local de Win 2000 y establezca RestrictAnonymous (restricciones adicionales en conexiones anónimas) en "Política de seguridad local → Política local → Opciones" en "No permitir la enumeración de cuentas SAM y recursos compartidos ***". 4. Configuración de seguridad del servicio de red 1. Servicio de terminal (1) Modificar el puerto predeterminado El puerto predeterminado del servicio de terminal es 3389. Puede considerar cambiarlo a otro puerto. El método de modificación es: Lado del servidor: abra el registro, busque una subclave similar a RDP-TCP en "HKLM\SYSTEM\Current ControlSet\Control\Terminal Server\Win Stations" y modifique el valor de PortNumber. Cliente: siga los pasos normales para crear una conexión de cliente. Seleccione esta conexión y seleccione Exportar en el menú "Archivo". Se generará un archivo con el sufijo .cns en la ubicación especificada. Abra el archivo y modifique el valor "Puerto del servidor" al valor correspondiente al Número de puerto en el lado del servidor. Luego importe el archivo (Método: Menú→Archivo→Importar), para que el cliente modifique el puerto. (2) Para la auditoría de seguridad, vaya a "Herramientas de administración → Configuración del servicio de control remoto → Conexión", haga clic derecho en la conexión "RPD-TCP", seleccione "Propiedades", seleccione "Permisos" en su ventana, haga clic en "Avanzado" en en la esquina inferior derecha, seleccione "Auditar", agregue un grupo de "todos", audite su éxito y fracaso de "conexión", "desconexión", "cierre de sesión" e "inicio de sesión". El registro de auditoría se puede ver en "Herramientas de administración → Ver diario → Diario de seguridad". 2. Configuración de seguridad del Administrador de servicios de Internet (IIS) Configure la seguridad del servicio IIS de la siguiente manera: (1) Cambie el directorio de inicio del servicio web. Haga clic con el botón derecho en "Sitio web predeterminado → Propiedades → Directorio de inicio → Ruta local" y señale "Ruta local" a otro directorio. (2) Elimine el directorio Inetpub instalado por defecto original. (3) Elimine los siguientes directorios virtuales: _vti_bin, IISSamples, Scripts, IIShelp, IISAdmin, IIShelp, MSADC. (4) Elimine la asignación de extensión IIS innecesaria. El método es: haga clic con el botón derecho en "Sitio web predeterminado → Propiedades → Directorio de inicio → Configuración", abra la ventana de la aplicación y elimine las asignaciones de aplicaciones innecesarias. Si no se necesita ningún otro mapeo, simplemente mantenga .asp y .asa. (5) Haga una copia de seguridad de la configuración de IIS. Puede utilizar la función de copia de seguridad de IIS para realizar una copia de seguridad de todas las configuraciones de IIS establecidas, de modo que pueda restaurar la configuración de seguridad de IIS en cualquier momento. 5. Gestión de seguridad de archivos de datos 1. Copia de seguridad: siempre haga una copia de seguridad de los datos importantes en un servidor de respaldo dedicado. Una vez completada la copia de seguridad, el servidor de respaldo se puede aislar de la red. 2. Establecer permisos para compartir archivos Al configurar archivos compartidos, preste atención a cambiar los permisos de los archivos compartidos del grupo "todos" a "usuarios autorizados", incluido el uso compartido de impresión.
3. Desactive el uso compartido predeterminado *** Modifique el registro: HKEY-LOCAL-MACHINE\SYETEM\CurrentControlset\services\lanmanserver\parameters\Si es profesional, cree un DWORD: autoshareWKS. servidor autocompartido 4. Evitar la suplantación de nombres de archivos Configure las siguientes opciones para evitar la suplantación de nombres de archivos, como evitar que los archivos maliciosos con sufijos .txt o .exe se muestren como archivos .txt, lo que provoca que las personas abran el archivo accidentalmente: Haga doble clic en "Mi PC → Herramientas → Archivos" Vaya a Opciones de carpeta → Ver, seleccione la configuración de propiedad "Mostrar todos los archivos y carpetas" y elimine la configuración de propiedad "Ocultar extensiones para tipos de archivos conocidos".