如何设道安全防线

　　可见网络威胁的危害之大，为了更好地为企业或个人减少威胁，首先要建立自己的计算机安全系统，也应根据企业的实际情况来选择安全级别，选择相应的软硬件设施和资金投入。在互联网上实时地处理业务，所以会遇到各种复杂情况。

　　一、必须认真设置操作系统：值得注意的是，操作系统的许多缺省值都已被黑客利用来作为入侵系统的突破口，所以，尽量不要使用系统缺省值。具体地说，主要注意以下几点：

　　1、改变Administrator账户的名字，为系统管理员和备份操作员创建特殊账户。使黑客猜不到系统管理员和备份操作员的账户名。禁止所有具有Administrator和备份特权的账户浏览Web，以防黑客网上即时侦听。不要设置缺省的Guest账户。

　　2、限制远程管理员访问NT平台。因为任何一个用户都可以在命令行下，键入\\IPaddress\C$(或者\\IPaddress\D$，\\IPaddress\WINNT$)试图连接任意一个NT平台上管理系统的共享资源。

　　3、在域控制器上，修改Registry中Winlogon的设置为“OFF”。以免Windows NT在注册对话框中显示最近一次注册的用户名，给潜在的黑客提供信息。

　　4、严格限制NT域中Windows NT工作站上的管理员特权，决不用缺省值。因为任何人可能通过访问内存来获取加密的口令，以获得缺省管理员的访问权。

　　5、对于注册表Registry，严格限制为只可进行本地注册，不可远程访问。因为，Registry的缺省权限设置是对“所有人”“安全控制”(Full Control)和“创建”(Create)。这种设置可能引起Registry文件的删除或者替换。

　　6、在赋予打印操作员权限时，要限制人数。因为打印操作员组中的任何一个成员对打印驱动程序具有系统级的访问权，这会被黑客利用来在打印驱动程序中插入恶意病毒。

　　7、合理配置FTP，确保服务器必须验证所有FTP申请。因为FTP有一个设置选项，允许客户直接进入一个账户，使无需授权而访问用户的文件和文件夹成为可能。

　　二、加强计算机系统的安全管理工作：

　　1、关闭系统管理员的远程能力，只允许访问控制台直接访问。建立相对安全的VPN通道。

　　2、未经许可，不得重新安装Windows XXX软件。因为重新安装整个的操作系统，覆盖原来的系统，就可以获得Administrator特权。

　　3、及时清除与工作无关的软件，定期检测网络运行情况。

　　三、对安全性特别重要的系统应建立信息系统防火墙：

　　在防火墙上，应截止从端口135到142的所有TCP和UDP连接，这样有利于控制。最安全的方法是利用代理(Proxy)来限制或者完全拒绝网络上基于SMB的连接。SMB是指服务消息块(ServerMessageBlock)。SMB有很多尚未公开的“后门”，能不用授权就可以存取SAM和NT服务器上的其他文件。SMB协议允许远程访问共享目录，Registry数据库，以及其他一些系统服务。