如何保障Windows2000的安全

安全必須從整體上來考慮，就如一個木水桶，大多數木板都很高，只是有一塊或兩塊板子較低，那么這只木水桶也不能裝多少水。所以我們還需要從細微處考慮如何保障Windows 2000的安全。

    一、查漏洞

    當啟動Windows 2000進入到登錄驗證的提示界面時，任何用戶都可以打開輸入法的幫助欄，利用其中的一些功能訪問文件系統，這就是說我們可以繞過Windows 2000的用戶登錄驗證機制，以最高管理員權限訪問整個系統，這就是Windows 2000的輸入法漏洞。所以要養成經常訪問微軟和一些安全站點的習慣，掌握最新的漏洞信息。另外還需要打上應用程序的補丁，如IE、Office等應用程序，誰都知道IE的漏洞導致Nimda病毒的攻擊。

    Windows 2000的補丁下載點：

    http://www.microsoft.com/china/windows2000/downloads/sp3.htm

    IE 5的補丁下載地點：

    http://www.microsoft.com/china/ msdownload/internet/

    Office、Outlook的補丁下載點：

    http://www.microsoft.com/china/ msdownload/office/default.asp）

    補丁應該在所有應用程序安裝完之后再安裝，因為補丁程序往往要替換或修改某些系統文件，如果先安裝補丁的話可能無法起到應有的效果。

    二、筑防火墻

    雖然你可能在互聯網的接入處安裝了防火墻，但是仍然不能防范來自局域網內部的可能攻擊，所以安裝最新版的防火墻也是必須的，然后還要根據需要對防火墻的規則進行相應設置。如防御ICMP攻擊和IGMP攻擊，防止別人用Ping命令連接，禁止所有人連接等等規則，你都可以設置。這里推薦天網防火墻，諾頓安全特警，金山網鏢等。

    三、防病毒

    如今病毒在互聯網上傳播的速度越來越快，甚至瀏覽網頁都可能感染病毒，所以為防止感染病毒，最好安裝一種防病毒軟件進行實時監控，如諾頓、金山毒霸、瑞星等，并定期升級；另外不要隨意下載和運行不明真相的程序。對待陌生郵件，我們應該做的是先用病毒軟件掃描，再用木馬清除軟件掃描一下是否是木馬，確定安全之后再打開。

    四、撤共享

    默認情況下，在Windows 2000中新增一個共享目錄時，操作系統會自動將EveryOne這個用戶組添加到權限模塊當中，由于這個組的默認權限是完全控制，這樣任何人都可以對共享目錄進行讀寫。因此，在新建共享目錄之后，要立刻刪除EveryOne組或者將該組的權限調整為讀取。右擊“共享目錄”，選擇“屬性”，進入“安全”的標簽頁面，選中“EveryOne”，將其權限調整為讀取，或是點擊右側的［刪除］按鈕將其刪除。

    五、善用權限

    在默認的情況下，Windows 2000系統中大多數的文件夾對所有用戶（Everyone組）是完全開放的，我們必須根據用戶應用的需要進行權限重設。在所選擇的文件或文件夾的屬性窗口的“安全”頁面上可對各種用戶的權限進行限制。如果在上部的列表里沒有這個用戶名和用戶所在的組，那么你以這個用戶名登錄時，就無法訪問這個文件夾。

    在進行權限控制時，需遵循以下幾個原則：

    1. 利用用戶組來進行權限控制。

    2. 權限是累計的，如果一個用戶同時屬于兩個組，那么他就有了這兩個組所允許的所有權限。

    3. 拒絕的權限要比允許的權限高（拒絕策略會先執行）。

    4. 文件權限比文件夾權限高。

    5. 只給用戶真正需要的權限，權限的最小化原則是安全的重要保障。

    6. 訪問權限和共享權限的交叉時，取兩個權限的交集。

    需要說明的是：目錄和權限的設置只能是針對在NTFS文件格式的分區才行。

    安全是一項系統工程，它不僅有空間的跨度，還有時間的跨度。不要認為進行了安全配置的主機就是安全的，我們只能說一臺主機在一定的情況下、一定的時間內是安全的，隨著網絡結構的變化，新的漏洞的發現，管理員、用戶的操作，主機的安全狀況是隨時隨地變化著的，只有讓安全意識貫穿整個過程才能做到真正的安全。
（出處：中國電腦教育報）

原文轉自：http://www.kjueaiud.com