Windows2000安全設定完全手冊

作者:王紀偉盧東祥

windows 2000 server是比較流行的伺服器作業系統，如何安全地配置這個作業系統呢？本文試圖從使用者安全設定、密碼安全設定、系統安全設定、服務安全設定四個方面進行初步的**。

使用者安全設定

1、禁用guest賬號

在計算機管理的使用者裡面把guest賬號禁用。為了保險起見，最好給guest加乙個複雜的密碼。你可以開啟記事本，在裡面輸入一串包含特殊字元、數字、字母的長字串，然後把它作為guest使用者的密碼拷進去。

2、限制不必要的使用者

去掉所有的duplicate user使用者、測試使用者、共享使用者等等。使用者組策略設定相應許可權，並且經常檢查系統的使用者，刪除已經不再使用的使用者。這些使用者很多時候都是黑客們入侵系統的突破口。

3、建立兩個管理員賬號

建立乙個一般許可權使用者用來收信以及處理一些日常事物，另乙個擁有administrators 許可權的使用者只在需要的時候使用。

4、把系統administrator賬號改名

大家都知道，windows 2000 的administrator使用者是不能被停用的，這意味著別人可以一遍又一遍地嘗試這個使用者的密碼。盡量把它偽裝成普通使用者，比如改成guesycludx。

5、建立乙個陷阱使用者

什麼是陷阱使用者?即建立乙個名為「administrator」的本地使用者，把它的許可權設定成最低，什麼事也幹不了的那種，並且加上乙個超過10位的超級複雜密碼。這樣可以讓那些 hacker們忙上一段時間，藉此發現它們的入侵企圖。

6、把共享檔案的許可權從everyone組改成授權使用者

任何時候都不要把共享檔案的使用者設定成「everyone」組，包括列印共享，預設的屬性就是「everyone」組的，一定不要忘了改。

7、開啟使用者策略

使用使用者策略，分別設定復位使用者鎖定計數器時間為20分鐘，使用者鎖定時間為20分鐘，使用者鎖定閾值為3次。

8、不讓系統顯示上次登入的使用者名稱

預設情況下，登入對話方塊中會顯示上次登入的使用者名稱。這使得別人可以很容易地得到系統的一些使用者名稱，進而做密碼猜測。修改登錄檔可以不讓對話方塊裡顯示上次登入的使用者名稱。方法為：開啟登錄檔編輯器並找到登錄檔項「hklmsoftwaremicrosoftwindows tcurrentversionwinlogondont-displaylastusername」，把reg_sz的鍵值改成1。

密碼安全設定

1、使用安全密碼

一些公司的管理員建立賬號的時候往往用公司名、計算機名做使用者名稱，然後又把這些使用者的密碼設定得太簡單，比如「welcome」等等。因此，要注意密碼的複雜性，還要記住經常改密碼。

2、設定螢幕保護密碼

這是乙個很簡單也很有必要的操作。設定螢幕保護密碼也是防止內部人員破壞伺服器的乙個屏障。

3、開啟密碼策略

注意應用密碼策略，如啟用密碼複雜性要求，設定密碼長度最小值為6位，設定強制密碼歷史為5次，時間為42天。

4、考慮使用智慧卡來代替密碼

對於密碼，總是使安全管理員進退兩難，密碼設定簡單容易受到黑客的攻擊，密碼設定複雜又容易忘記。如果條件允許，用智慧卡來代替複雜的密碼是乙個很好的解決方法。

系統安全設定

1. 使用ntfs格式分割槽

最好把伺服器的所有分割槽都改成ntfs格式，ntfs檔案系統要比fat、fat32的檔案系統安全得多。

2. 執行防毒軟體

防毒軟體不僅能殺掉一些著名的病毒，還能查殺大量木馬和後門程式，因此要注意經常執行程式並公升級病毒庫。

3. 到微軟****最新的補丁程式

很多網路管理員沒有訪問安全站點的習慣，以至於一些漏洞都出現很久了，還放著伺服器的漏洞不補給人家當靶子用。經常訪問微軟和一些安全站點，**最新的service pack和漏洞補丁，是保障伺服器長久安全的惟一方法。

4. 關閉預設共享

windows 2000安裝好以後，系統會建立一些隱藏的共享，你可以在cmd下打「 net share」檢視他們。網上有很多關於ipc入侵的文章，都利用了預設共享連線。要禁止這些共享，開啟「管理工具計算機管理\共享資料夾共享」在相應的共享資料夾上按右鍵，點[停止共享]即可。　　

5. 鎖住登錄檔

在windows 2000中，只有administrators和backu

p operators才有從網路上訪問登錄檔的許可權。如果你覺得還不夠的話，可以進一步設定登錄檔訪問許可權。

詳細資訊請參考：

6. 禁止使用者從軟盤和光碟機啟動系統

一些第三方的工具能通過引導系統來繞過原有的安全機制。如果你的伺服器對安全要求非常高，可以考慮使用可移動軟盤和光碟機。當然，把機箱鎖起來仍不失為乙個好方法。

7. 利用windows 2000的安全配置工具來配置安全策略

微軟提供了一套基於mmc（管理控制台）安全配置和分析工具，利用它們你可以很方便地配置你的伺服器以滿足你的要求。具體內容請參考微軟主

howitworks/security/sctoolset.asp

服務安全設定

1. 關閉不必要的埠

關閉埠意味著減少功能，在安全和功能上面需要你做一點決策。如果伺服器安裝在防火牆的後面，冒險就會少些。但是，永遠不要認為你可以高枕無憂了。用埠掃瞄器掃瞄系統已開放的埠，確定系統開放的哪些服務可能引起黑客入侵。在系統目錄中的system32driversetcservices 檔案中有知名埠和服務的對照表可供參考。具體方法為：開啟「網路上的芳鄰/屬性/本地連線/屬性/internet 協議(tcp/ip)/屬性/高階/選項/tcp/ip篩選/屬性」開啟「tcp/ip篩選」，新增需要的tcp、udp協議即可。

2. 設定好安全記錄的訪問許可權

安全記錄在預設情況下是沒有保護的，把它設定成只有administrators和系統賬戶才有權訪問。

3. 把敏感檔案存放在另外的檔案伺服器中

雖然現在伺服器的硬碟容量都很大，但是你還是應該考慮是否有必要把一些重要的使用者資料（檔案、資料表、專案檔案等）存放在另外乙個安全的伺服器中，並且經常備份它們。

4. 禁止建立空連線

預設情況下，任何使用者都可通過空連線連上伺服器，進而列舉出賬號，猜測密碼。我們可以通過修改登錄檔來禁止建立空連線：即把「 local_machinesystemcurrentcontrolsetcontrollsa-restrictanonymous」的值改成「1」即可。

此外，安全和應用在很多時候是矛盾的。因此，你需要在其中找到平衡點，如果安全原則妨礙了系統應用，那麼這個安全原則也不是乙個好的原則

Windows2000安全設定完全手冊

清空密碼進入WINDOWS2000

Windows 2000下許可權特性

關於如何註冊Windows2000服務

Windows2000安全設定完全手冊

清空密碼進入WINDOWS2000

Windows 2000下許可權特性

關於如何註冊Windows2000服務

相關推薦