在用户安全设置方面

　　1.禁用Guest账号。不论工作组模式还是域模式，都应该禁用此账号。惟一的例外就是极少数量(10台以下)的机器之间用网上邻居互访共享文件夹，且不和公网相连，可以继续保持此账号。

　　2.限制不必要的用户。此时需注意：

　　(1)在工作组模式中，默认账号有Administrator、Guest。如果要用IIS(Internet Information Server)建设各类站点，则IUSER＿computername和IWAM＿computername也是默认账号，不能停用。因前者是IIS匿名访问账号，后者是IIS匿名执行脚本的账号。这两个账号默认有密码，是由系统分配的，用户不要更改其密码，更不要删除，否则IIS不能匿名访问和执行脚本；如果有终端服务则TsInternetUser也是默认账号，不能停用。

　　(2)在域模式中，Administrator组中会增加Domain Admins和Enterprise Admins两个组中的成员，另外还会有Krbtgt账号，默认是被禁用的，这个账号是密钥分发账号。

　　3.开启用户策略。其中有用户锁定阀值设置，将它设置为多少才合适呢？用户在登录时，Windows会采用加密协议加密用户的用户名和密码。在域环境中，如果只是单纯的系统(即什么软件都不装)，用户进行登录时，Windows会尝试用Kerbos协议验证，不成功则会再用Ntlm验证，此时的验证的方式有两种；如果该账户同时又是Outlook的用户，验证的方式将有6种之多，也就是说用户在登录时如果密码输入错误，一次登录就要浪费掉6次账户锁定值。因此，微软技术支持中心的工程师建议将这个锁定值设置为13，这样才可以实现错误输入密码3次再锁定账户的目的。

　　在密码安全设置方面

　　在给账号设置密码时，不是密码位数越多越好，在符合密码复杂性原则的基础上，7位和14位的密码是最好的。这个结论是微软全球技术支持中心的工程师给出的，它是由密码所采用的加密算法决定的。

　　有一点大家需注意：屏幕保护存在一个安全漏洞，即他人可以在不进入系统的情况下，利用DOS模式将Cmd.exe命令更名为你所选用的屏幕保护程序的名称而将其替换掉。此后，只要这个“屏幕保护程序”一运行，Cmd窗口就会弹出且以系统身份运行，默认是最大权限。因此，采用设置屏幕保护密码的做法并不安全，正确的做法应是网管员离开工位时要锁定计算机(Windows 2000下，按Ctrl＋Alt＋Del，在弹出的“关机”菜单中选择“锁定计算机”即可)。

　　在系统安全设置方面

　　1.使用NTFS格式分区。NTFS分区要比FAT分区安全很多，且只有使用NTFS分区才能真正发挥Windows 2000的作用。Windows 2000自带了转换NTFS分区的工具Convert。在命令提示符下执行Convert x/FSNTFS(x为所要转换的盘符)，执行时如果转换的是非操作系统所在分区，则立即执行分区转换；如果转换的是操作系统所在分区，则重启后执行分区转换。注意：此转换过程是单向不可逆的，即只能由FAT转换至NTFS。虽然可用第三方工具做分区格式之间的转换，但这样做不能保证绝对安全，在某些情况下会导致分区不可用，所以建议只用Convert命令来转换分区格式；如果非要用第三方工具，一定要事先做好备份。另外，据我个人经验，并不需要将所有分区都做成NTFS分区，而应保留一个分区为FAT32，用于存放一些常用工具，并可方便Ghost备份。

　　2.到微软网站下载最新的补丁程序。强烈建议！这是每一个网络管理员都应该有的好习惯。这里说明一点：微软每隔一定时间推出的Servicespacks是针对近期推出的Hotfix的综合，如果你经常做Hotfix补丁，那么当后一版的Servicespacks推出后可能会和你的Hotfix冲突。因为Servicespacks也是要经过测试的，而测试阶段可能又有新的Hotfix推出，当你做了新的Hotfix补丁后再打旧版的Servicespacks补丁时就会产生冲突。

　　3.关闭默认共享。这里必须要修改注册表，否则每次重启之后默认共享还会出现。在注册表“HKEY＿LOCAL＿MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run”下，在右栏空白位置点击鼠标右键，选择“新建”，再选“字符串值”，名称中输入：“delipc＄”，这里的名字可以随便取，然后双击它就会弹出一个窗口来，输入：“net share ipc＄/del”，下次开机就可自动删掉默认共享。修改注册表后需要重新启动机器。同样的方法还可以删掉AMDIN＄。

　　4.锁住注册表。Windows 2000提供了一个叫Regedt32.exe的工具，它也是一个注册表编辑器。与Regedit.exe不同的是它有一个“安全”选项，可以给注册表的每一个键值设置权限。因此用户可以将许多敏感的键值赋权，例如设置成只有Administrator才能读取和修改，不给其他人可乘之机。

　　在服务安全设置方面

　　1.关闭不必要的端口。可惜Windows 2000并不支持关闭端口的选项，我们只好选用第三方工具，关闭一些关键端口，比如Telnet等。

　　2.设置好安全记录的访问。Windows 2000操作系统自带了审核工具，默认不开启。如果一旦开启了审核策略，用户可以在事件日志里查看安全日志，里面会有详细的审核记录，审核通常为成功和失败两种。不过，建议平时不要常开安全审核，因为审核量很大，通常一个错误的密码输入就可以在日志中记录一页多的条目，非常浪费系统资源。建议只在怀疑系统受到攻击时才开启审核。在“开始”菜单的“运行”中输入“Eventvwr.msc”查看安全日志，就可以看到审核的消息。注：具体如何实现请参见微软知识库文章“Microsoft Knowledge Base Article - 300549”(网址是：http://support.microsoft.com。

[1] [2] 下一页

上一篇:Windows XP自解压文件制作过程全面解析

下一篇:局域网IP地址的分配、管理和设置

从四个方面谈Win 2000的安全设置相关文章：

·局域网上网的安全防范与技巧

·如何进行局域网设置

·BIOS中E文對照表+BIOS的设置及其影响

从四个方面谈Win 2000的安全设置相关软件：

·2007网络安全黄皮书V1.0.0

·如何加固Windows XP 主机安全

·360安全卫士v3.2

·防骗安全教育片

·BIOS设置全过程视频精讲(配语音讲解)WMV格式

·BIOS设置教程 wma

·一步步学BIOS设置 WMV

·Opera通用设置工具 V070328

·注册安全工程师考试-安全管理模拟题

·2006年安全技术复习要点资料 (175页)

特别声明：本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载，但请务必注明出处和原始作者。文章版权归文章原始作者所有。对于被本站转载文章的个人和网站，我们表示深深的谢意。如果本站转载的文章有版权问题请联系编辑人员，我们尽快予以更正。
[打印本页] [关闭窗口] 转载请注明来源：http://www.vipcn.net

	\| 帮助(？) \| 版权声明 \| 友情连接 \| 关于我们 \| 信息发布
Copyright 2007 www.vipcn.net All Rights Reserved.	鄂ICP备05000083号Powered by:viphot