Windows2000安全检查清单-高级篇(3)

　7.关机时清除掉页面文件

　　页面文件也就是调度文件，是win2000用来存储没有装入内存的程序和数据文件部分的隐藏文件。一些第三方的程序可以把一些没有的加密的密码存在内存中，页面文件中也可能含有另外一些敏感的资料。 要在关机的时候清楚页面文件，可以编辑注册表 HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management把ClearPageFileAtShutdown的值设置成1。

　　8.禁止从软盘和CD Rom启动系统

　　一些第三方的工具能通过引导系统来绕过原有的安全机制。如果你的服务器对安全要求非常高，可以考虑使用可移动软盘和光驱。把机箱锁起来扔不失为一个好方法。

　　9.考虑使用智能卡来代替密码

　　对于密码，总是使安全管理员进退两难，容易受到10phtcrack 等工具的攻击，如果密码太复杂，用户把为了记住密码，会把密码到处乱写。如果条件允许，用智能卡来代替复杂的密码是一个很好的解决方法。

　　10.考虑使用IPSec

　　正如其名字的含义，IPSec 提供 IP 数据包的安全性。IPSec 提供身份验证、完整性和可选择的机密性。发送方计算机在传输之前加密数据，而接收方计算机在收到数据之后解密数据。利用IPSec可以使得系统的安全性能大大增强。有关IPSes的详细信息可以参考http://www.microsoft.com/china/technet/security/ipsecloc.asp