Windows2000Server系統帳號安全設置技巧

　　Windows 2000 server含有很多的安全功能和選項，如果你合理的配置它們，那么windows 2000 server將會是一個很安全的操作系統。首先我們應將Windows 2000 server服務器應該安放在安裝了監視器的隔離房間內，并且監視器要保留15天以上的攝像記錄。另外，機箱，鍵盤，電腦桌抽屜要上鎖，以確保旁人即使進入房間也無法使用電腦，鑰匙要放在另外的安全的地方。我們可以停掉Guest 帳號、創建2個管理員用帳號、把系統administrator帳號改名、設置屏幕保護密碼等確保安全，也可以利用win2000的安全配置工具來配置策略、關閉不必要的服務、關閉不必要的端口、禁止建立空連接和安裝微軟最新的補丁程序等措施來加強Windows 2000 Server安全。要攻擊Windows 2000系統，首先需要知道帳號和密碼，因此保障Windows 2000系統的安全中，保障其帳號和密碼的安全是關鍵，但通常密碼可以通過窮舉法等方法破解，所以Windows 2000帳號的安全非常重要。

　　下面幾種方法可以有效保障Windows 2000系統中帳號的安全：

　　方法一：禁止枚舉帳號

　　由于Windows 2000的默認安裝允許任何用戶通過空用戶得到系統所有帳號和共享列表，這本來是為了方便局域網用戶共享資源和文件的，但是，任何一個遠程用戶通過同樣的方法都能得到帳戶列表，使用非法手段破解帳戶密碼后，對我們的電腦進行攻擊，所以必須采用以下方法禁止這種行為。

　　1、通過修改注冊表禁用空用戶連接，操作步驟如下：

　　單擊"開始"->"運行"打開"運行"對話框；輸入"Regedit"并單擊確定打開注冊表編輯器；在注冊表編輯器中逐層進入[HKEY_LOCAL_MACHINES\SYSTEM\CurentControlSet\control\Lsa]；

　　將RestrictAnonymous的值設置為1，這樣可以禁止空用戶連接，如圖1所示。

圖 1

　　2、修改本地安全策略，操作步驟如下：

　　進入Windows 2000的"控制面板"；單擊"管理工具"，單擊"本地安全策略"，進入"本地安全設置"對話框，如圖2所示。

圖 2

　　選擇"安全設置"->"本地策略"->"安全選項"；雙擊"對匿名連接的額外限制"項；并選擇"本地策略設置"列表，列表中出現三個選項，如圖3所示。

圖 3

　　(1)"無，依賴于默認許可權限"選項：這是系統默認值，沒有任何限制，遠程用戶可以知道你機器上所有的賬號、組信息、共享目錄、網絡傳輸列表等，對服務器來說這樣的設置非常危險。

　　(2)"不允許枚舉SAM賬號和共享"選項：這個值是只允許非NULL用戶存取SAM賬號信息和共享信息，一般選擇此項。

　　(3)"沒有顯式匿名權限就無法訪問"選項：這個值是最安全的一個，但是如果使用了這個值，就不能再共享資源了，所以還是推薦設為"不允許枚舉SAM賬號和共享"比較好。我們選擇"不允許枚舉SAM賬號和共享"項，并確定。

　　此時，我們就禁止了用戶枚舉帳號的操作。
　　方法二：Administrator賬號更名

　　非法用戶找不到用戶列表，我們的系統就一定安全嗎?不一定。有經驗的用戶知道，Windows 2000系統的Administrator賬號是不能被停用的，也不能設置安全策略，這樣非法用戶可以一遍又一遍地嘗試這個賬戶的密碼，直到破解，所以我們可以在"計慊?芾?中把Administrator賬戶更名來防止這一點。具體操作步驟如下：

　　進入系統"控制面板"->"計算機管理"，進入"計算機管理"窗口，如圖所示。選擇"本地用戶和組"->"用戶"；在窗口右面使用鼠標右鍵單擊Administrator，在右鍵菜單中選擇"重命名"；重新輸入一個名稱,如圖4所示。

圖 4

　　最好不要使用Admin、Root之類的名字，如果使用改了等于沒改。盡量把它偽裝成普通用戶，比如改成：Guestlll，別人怎么也想不到這個帳戶是超級用戶。然后另建一個"Administrator"的陷阱帳號，不賦予任何權限，加上一個超過10位的超級復雜密碼，并對該帳戶啟用審核。這樣那些非法用戶忙了半天也可能進不來，或是即便進來了也什么都得不到，還留下我們跟蹤的線索。
　　方法三：禁止登錄屏幕上顯示上次登錄的用戶名

　　非法用戶也可以通過本地或者Terminal Service的登錄界面看到用戶名，然后去猜密碼。

　　所以要禁止顯示登錄的用戶名。操作步驟如下：

　　選擇"控制面板"->"管理工具"->"本地安全策略"->"本地策略"->"安全選項"，如圖5所示。

圖 5

　　在窗口右側雙擊"登錄屏幕上不要顯示上次登錄的用戶名"一項；選中"已啟用"，如圖6所示。

圖 6

　　也可以通過修改注冊表來實現，找到注冊表HKEY_LOCAL_MACHINE\SOFTTWARE\Microsoft\WindowsNT\CurrentVesion\Winlogn項中的Don't Display Last User Name串，將其數據修改為1。
　　方法四：禁用Guest帳號

　　Guest帳號是一個非常危險的漏洞，因為非法用戶可以使用這個帳號登錄你的機器。禁用該帳號的操作步驟如下：
選擇"控制面板"->"管理工具"->"計算機管理"；在計算機管理的"本地用戶和組"項，選擇"用戶"，用鼠標右鍵單擊右側列表里的"Guest"帳號，如圖7所示，在右鍵菜單中選擇"屬性"或是雙擊"Guest"帳號，在屬性對話框中，在"帳戶已停用"一項前打勾，如圖8所示，這樣就無法用Guest帳號登錄你的系統了。

圖 7



圖 8

　　如果還需要提供共享打印服務時，則需要在"本地安全策略"的"用戶權利指派"中的"在本地登錄"項里設置Guest帳號不能登錄本機（去掉Guest項后面的勾，如圖9所示）。

圖 9

　　經常檢查本地用戶和組，刪除不用的帳戶，不要給非法用戶和黑客留下可乘之機，經過以上的步驟，我們的系統應該相對安全了許多。