從四個方面談Win2000的安全設置

在用戶安全設置方面

1.禁用Guest賬號。不論工作組模式還是域模式，都應該禁用此賬號。惟一的例外就是極少數量(10臺以下)的機器之間用網上鄰居互訪共享文件夾，且不和公網相連，可以繼續保持此賬號。


2.限制不必要的用戶。此時需注意：

(1)在工作組模式中，默認賬號有Administrator、Guest。如果要用IIS(Inte.net Information Server)建設各類站點，則IUSER＿computername和IWAM＿computername也是默認賬號，不能停用。因前者是IIS匿名訪問賬號，后者是IIS匿名執行腳本的賬號。這兩個賬號默認有密碼，是由系統分配的，用戶不要更改其密碼，更不要刪除，否則IIS不能匿名訪問和執行腳本；如果有終端服務則TsInternetUser也是默認賬號，不能停用。

(2)在域模式中，Administrator組中會增加Domain Admins和Enterprise Admins兩個組中的成員，另外還會有Krbtgt賬號，默認是被禁用的，這個賬號是密鑰分發賬號。

3.開啟用戶策略。其中有用戶鎖定閥值設置，將它設置為多少才合適呢？用戶在登錄時，Windows會采用加密協議加密用戶的用戶名和密碼。在域環境中，如果只是單純的系統(即什么軟件都不裝)，用戶進行登錄時，Windows會嘗試用Kerbos協議驗證，不成功則會再用Ntlm驗證，此時的驗證的方式有兩種；如果該賬戶同時又是Outlook的用戶，驗證的方式將有6種之多，也就是說用戶在登錄時如果密碼輸入錯誤，一次登錄就要浪費掉6次賬戶鎖定值。因此，微軟技術支持中心的工程師建議將這個鎖定值設置為13，這樣才可以實現錯誤輸入密碼3次再鎖定賬戶的目的。

在密碼安全設置方面

在給賬號設置密碼時，不是密碼位數越多越好，在符合密碼復雜性原則的基礎上，7位和14位的密碼是最好的。這個結論是微軟全球技術支持中心的工程師給出的，它是由密碼所采用的加密算法決定的。

有一點大家需注意：屏幕保護存在一個安全漏洞，即他人可以在不進入系統的情況下，利用DOS模式將Cmd.exe命令更名為你所選用的屏幕保護程序的名稱而將其替換掉。此后，只要這個“屏幕保護程序”一運行，Cmd窗口就會彈出且以系統身份運行，默認是最大權限。因此，采用設置屏幕保護密碼的做法并不安全，正確的做法應是網管員離開工位時要鎖定計算機(Windows 2000下，按Ctrl＋Alt＋Del，在彈出的“關機”菜單中選擇“鎖定計算機”即可)。

在系統安全設置方面

1.使用NTFS格式分區。NTFS分區要比FAT分區安全很多，且只有使用NTFS分區才能真正發揮Windows 2000的作用。Windows 2000自帶了轉換NTFS分區的工具Convert。在命令提示符下執行Convert x?/FS?NTFS(x?為所要轉換的盤符)，執行時如果轉換的是非操作系統所在分區，則立即執行分區轉換；如果轉換的是操作系統所在分區，則重啟后執行分區轉換。注意：此轉換過程是單向不可逆的，即只能由FAT轉換至NTFS。雖然可用第三方工具做分區格式之間的轉換，但這樣做不能保證絕對安全，在某些情況下會導致分區不可用，所以建議只用Convert命令來轉換分區格式；如果非要用第三方工具，一定要事先做好備份。另外，據我個人經驗，并不需要將所有分區都做成NTFS分區，而應保留一個分區為FAT32，用于存放一些常用工具，并可方便Ghost備份。

2.到微軟網站下載最新的補丁程序。強烈建議！這是每一個網絡管理員都應該有的好習慣。這里說明一點：微軟每隔一定時間推出的Servicespacks是針對近期推出的Hotfix的綜合，如果你經常做Hotfix補丁，那么當后一版的Servicespacks推出后可能會和你的Hotfix沖突。因為Servicespacks也是要經過測試的，而測試階段可能又有新的Hotfix推出，當你做了新的Hotfix補丁后再打舊版的Servicespacks補丁時就會產生沖突。

3.關閉默認共享。這里必須要修改注冊表，否則每次重啟之后默認共享還會出現。在注冊表“HKEY＿LOCAL＿MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run”下，在右欄空白位置點擊鼠標右鍵，選擇“新建”，再選“字符串值”，名稱中輸入：“delipc＄”，這里的名字可以隨便取，然后雙擊它就會彈出一個窗口來，輸入：“net share ipc＄/del”，下次開機就可自動刪掉默認共享。修改注冊表后需要重新啟動機器。同樣的方法還可以刪掉AMDIN＄。

4.鎖住注冊表。Windows 2000提供了一個叫Regedt32.exe的工具，它也是一個注冊表編輯器。與Regedit.exe不同的是它有一個“安全”選項，可以給注冊表的每一個鍵值設置權限。因此用戶可以將許多敏感的鍵值賦權，例如設置成只有Administrator才能讀取和修改，不給其他人可乘之機。

在服務安全設置方面

1.關閉不必要的端口?？上indows 2000并不支持關閉端口的選項，我們只好選用第三方工具，關閉一些關鍵端口，比如Telnet等。

2.設置好安全記錄的訪問。Windows 2000操作系統自帶了審核工具，默認不開啟。如果一旦開啟了審核策略，用戶可以在事件日志里查看安全日志，里面會有詳細的審核記錄，審核通常為成功和失敗兩種。不過，建議平時不要常開安全審核，因為審核量很大，通常一個錯誤的密碼輸入就可以在日志中記錄一頁多的條目，非常浪費系統資源。建議只在懷疑系統受到攻擊時才開啟審核。在“開始”菜單的“運行”中輸入“Eventvwr.msc”查看安全日志，就可以看到審核的消息。注：具體如何實現請參見微軟知識庫文章“Microsoft Knowledge Base Article - 300549”(網址是：http://support.microsoft.com。

3.把敏感文件存放在另外的文件服務器中。出于對性能和安全的雙重考慮，建議有條件的用戶將域控制器與Web服務器、數據庫服務器等其他重要服務器分開，即不要用同一臺服務器運行多種服務。同時，一定要進行及時、有效的備份，最好有一個詳盡的備份計劃。

以上為我的個人觀點，有不正確的地方，還請多多指正。

原文轉自：http://www.kjueaiud.com