IIS4.0 安全检查清单-5

modico


把 Administrator 帐号改名
这使黑客多了一道确定管理员帐号的额外步骤。

可以考虑添加一个伪 Administrator 帐号,不要给它任

何权限,然后仔细审核它的使用。

注意:如果已经本地登录的话,nbtstat -a

或 nbtstat -A 可以查看实际的管理员帐号

为 Administrator 帐号允许 network-only 锁定
通常,Administrator 帐号不会被锁定,哪怕

攻击者正在试图猜密码。NT Resource Kit 里有一个

PASSPROP 的工具。在运行下列命令后,如果攻击者

试图用频繁或字典攻击的话,Administrator 帐号将

被锁定,但是管理员仍然可以本地登录到服务器:

passprop /adminlockout

检查用户帐号,用户组成员与特权
使服务器上的用户数与用户组数最少,保持用户组

的小型化。在管理员组及域管理员组里应该只有最信任的

帐号。另外要注意给予用户与组的超出默认范围的权限。

通过打开域用户管理器 | 规则 | 用户权限 可以访问特权

信息。注意,三个特殊的权限是:

- 调试特权 - 作为操作系统的一部分 - 备份特权

仔细检查有这些权限的帐号。

待续……

欲求无限
立地成佛
.
有时候
交谈变得空洞
沉默却像沟通