Windows2000Server安全設置完全手冊

Windows 2000 Server是比較流行的服務器操作系統，如何安全地配置這個操作系統呢？本文試圖從用戶安全設置、密碼安全設置、系統安全設置、服務安全設置四個方面進行初步的探討。

用戶安全設置
1、禁用Guest賬號
在計算機管理的用戶里面把Guest賬號禁用。為了保險起見，最好給Guest加一個復雜的密碼。你可以打開記事本，在里面輸入一串包含特殊字符、數字、字母的長字符串，然后把它作為Guest用戶的密碼拷進去。

2、限制不必要的用戶
去掉所有的Duplicate User用戶、測試用戶、共享用戶等等。用戶組策略設置相應權限，并且經常檢查系統的用戶，刪除已經不再使用的用戶。這些用戶很多時候都是黑客們入侵系統的突破口。

3、創建兩個管理員賬號
創建一個一般權限用戶用來收信以及處理一些日常事物，另一個擁有Administrators 權限的用戶只在需要的時候使用。

4、把系統Administrator賬號改名
大家都知道，Windows 2000 的Administrator用戶是不能被停用的，這意味著別人可以一遍又一遍地嘗試這個用戶的密碼。盡量把它偽裝成普通用戶，比如改成Guesycludx。

5、創建一個陷阱用戶
什么是陷阱用戶?即創建一個名為“Administrator”的本地用戶，把它的權限設置成最低，什么事也干不了的那種，并且加上一個超過10位的超級復雜密碼。這樣可以讓那些 Hacker們忙上一段時間，借此發現它們的入侵企圖。

6、把共享文件的權限從Everyone組改成授權用戶
任何時候都不要把共享文件的用戶設置成“Everyone”組，包括打印共享，默認的屬性就是“Everyone”組的，一定不要忘了改。

7、開啟用戶策略
使用用戶策略，分別設置復位用戶鎖定計數器時間為20分鐘，用戶鎖定時間為20分鐘，用戶鎖定閾值為3次。

8、不讓系統顯示上次登錄的用戶名
默認情況下，登錄對話框中會顯示上次登錄的用戶名。這使得別人可以很容易地得到系統的一些用戶名，進而做密碼猜測。修改注冊表可以不讓對話框里顯示上次登錄的用戶名。方法為：打開注冊表編輯器并找到注冊表項“HKLM\Software\Microsoft\Windows T\CurrentVersion\Winlogon\Dont-DisplayLastUserName”，把REG_SZ的鍵值改成1。

密碼安全設置
1、使用安全密碼
一些公司的管理員創建賬號的時候往往用公司名、計算機名做用戶名，然后又把這些用戶的密碼設置得太簡單，比如“welcome”等等。因此，要注意密碼的復雜性，還要記住經常改密碼。

2、設置屏幕保護密碼
這是一個很簡單也很有必要的操作。設置屏幕保護密碼也是防止內部人員破壞服務器的一個屏障。

3、開啟密碼策略
注意應用密碼策略，如啟用密碼復雜性要求，設置密碼長度最小值為6位 ，設置強制密碼歷史為5次，時間為42天。

4、考慮使用智能卡來代替密碼
對于密碼，總是使安全管理員進退兩難，密碼設置簡單容易受到黑客的攻擊，密碼設置復雜又容易忘記。如果條件允許，用智能卡來代替復雜的密碼是一個很好的解決方法。

系統安全設置
1. 使用NTFS格式分區
最好把服務器的所有分區都改成NTFS格式，NTFS文件系統要比FAT、FAT32的文件系統安全得多。

2. 運行防毒軟件
殺毒軟件不僅能殺掉一些著名的病毒，還能查殺大量木馬和后門程序，因此要注意經常運行程序并升級病毒庫。

3. 到微軟網站下載最新的補丁程序
很多網絡管理員沒有訪問安全站點的習慣，以至于一些漏洞都出現很久了，還放著服務器的漏洞不補給人家當靶子用。經常訪問微軟和一些安全站點，下載最新的Service Pack和漏洞補丁，是保障服務器長久安全的惟一方法。

4. 關閉默認共享
Windows 2000安裝好以后，系統會創建一些隱藏的共享，你可以在Cmd下打“ Net Share” 查看他們。網上有很多關于IPC入侵的文章，都利用了默認共享連接。要禁止這些共享 ，打開“管理工具\計算機管理\共享文件夾\共享”在相應的共享文件夾上按右鍵，點[停止共享]即可。

5. 鎖住注冊表
在Windows 2000中，只有Administrators和Backup Operators才有從網絡上訪問注冊表的權限。如果你覺得還不夠的話，可以進一步設定注冊表訪問權限。

詳細信息請參考：
http://support.microsoft.com/suppor...s/Q153/1/83.asp ;

6. 禁止用戶從軟盤和光驅啟動系統
一些第三方的工具能通過引導系統來繞過原有的安全機制。如果你的服務器對安全要求非常高，可以考慮使用可移動軟盤和光驅。當然，把機箱鎖起來仍不失為一個好方法。

7. 利用Windows 2000的安全配置工具來配置安全策略
微軟提供了一套基于MMC（管理控制臺）安全配置和分析工具，利用它們你可以很方便地配置你的服務器以滿足你的要求。具體內容請參考微軟主頁：http://www.microsoft.com/windows2000/techinfo/ ;
howitworks/security/sctoolset.asp

服務安全設置
1. 關閉不必要的端口
關閉端口意味著減少功能，在安全和功能上面需要你做一點決策。如果服務器安裝在防火墻的后面，冒險就會少些。但是，永遠不要認為你可以高枕無憂了。用端口掃描器掃描系統已開放的端口，確定系統開放的哪些服務可能引起黑客入侵。在系統目錄中的\system32\drivers\etc\services 文件中有知名端口和服務的對照表可供參考。具體方法為：打開“ 網上鄰居/屬性/本地連接/屬性/inte.net 協議(TCP/IP)/屬性/高級/選項/TCP/IP篩選/屬性” 打開“TCP/IP篩選”，添加需要的TCP、UDP協議即可。

2. 設置好安全記錄的訪問權限
安全記錄在默認情況下是沒有保護的，把它設置成只有Administrators和系統賬戶才有權訪問。

3. 把敏感文件存放在另外的文件服務器中
雖然現在服務器的硬盤容量都很大，但是你還是應該考慮是否有必要把一些重要的用戶數據（文件、數據表、項目文件等）存放在另外一個安全的服務器中，并且經常備份它們。

4. 禁止建立空連接
默認情況下，任何用戶都可通過空連接連上服務器，進而枚舉出賬號，猜測密碼。我們可以通過修改注冊表來禁止建立空連接：即把“ Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous” 的值改成“1”即可。

此外，安全和應用在很多時候是矛盾的。因此，你需要在其中找到平衡點，如果安全原則妨礙了系統應用，那么這個安全原則也不是一個好的原則

原文轉自：http://www.kjueaiud.com