Windows 2000的安全維護

    計算機安全不僅包括保護計算機的本地數據，還要保護網絡上的數據安全。優秀的操作系統可以對試圖訪問計算機資源的人員進行身份識別，防止特定資源被用戶不適當地訪問，并且提供用戶簡單有效的方法來設置和維護計算機的安全。

　　目前PC用戶常用的還是Windows，比較以前的版本，基于NT平臺技術的 Windows 2000在穩定性和安全性上有很大的改善。下面以Windows 2000 Professional 為例進行說明，并順便介紹一個應用問題的解決。

    一、 Windows 2000安全功能

　　1．用戶帳戶和帳戶組功能

　　確保只有有權用戶才能訪問計算機，同時有效地管理用戶的特定任務權利和權限，如文件夾訪問權限等。系統內置組可以使大多數用戶獲得執行各自任務所需的全部用戶權利和權限。管理界面在“控制面板”中的“用戶和密碼”。

　　2．共享文件夾權限

　　通過給任何文件夾賦予共享文件夾權限，您可以限制或允許通過網絡訪問這些文件夾。通過項目的屬性菜單設置。默認情況下，在Windows 2000中新增一個共享目錄時，操作系統會自動將EveryOne這個用戶組添加到權限模塊當中，由于這個組的默認權限是完全控制，結果使得任何人都可以對共享目錄進行讀寫。因此，在新建共享目錄之后，要立刻刪除EveryOne組或者將該組的權限調整為讀取。

    3． 比FAT和FAT32更安全的NTFS文件系統的功能：

　　磁盤限額服務，可以控制每個用戶允許使用的磁盤空間大��；

　　支持設置文件或文件夾的權限，限制或允許用戶或組的訪問，規定訪問類型，就是說可以將每個用戶允許讀寫的文件限制在磁盤目錄下的任何一個文件夾內。如果要共享位于 NTFS 驅動器的文件夾無需特別設置，NTFS 文件夾訪問權限在本機和網絡上均有效；

　　NTFS還支持所有者加密文件和文件夾，更好地保護信息。

　　推薦使用NTFS磁盤分區。

　　4．打印機權限

　　通過指派打印機權限來限制用戶訪問。分打印文檔、管理文檔、管理打印機三種權限。通過項目的屬性菜單設置。

　　5．審核

　　可以使用審核跟蹤用于訪問文件或其他對象的帳戶，以及用戶登錄嘗試、關閉或重新啟動系統及其它指定的事件。在審核發生之前，您必須使用“組策略”指定要審核的事件類型。例如，要審核文件夾，首先要啟用“組策略”中“審核策略”的“審核對象訪問”。下一步，您可以象設置權限那樣來設置審核：選擇對象（例如文件或文件夾），然后選擇要審核其操作的用戶和組。最后，選擇想要審核的操作，例如，試圖打開或刪除受限制的文件夾�？梢詫徍顺晒�和失敗的嘗試。通過使用“事件查看器”來查看“安全”日志可以跟蹤審核活動。對于磁盤訪問的審核機制只能應用在NTFS文件系統之上。應對所有需要審核的用戶使用審核機制。

　　6．用戶權利

　　用戶權利是確定用戶可以在計算機上所執行操作的規則。此外，用戶權利控制用戶是否可以直接（在本地）或通過網絡登錄到計算機、將用戶添加到本地組、刪除用戶，等等。內置組具有已指派的用戶權利集合。通常情況下，管理員通過向一個內置組添加用戶帳戶，或者通過創建新組并為該組指派特定用戶權利來指派用戶權利。隨后添加到組中的用戶自動獲得指派給組帳戶的所有用戶權利。用戶權利是通過“組策略”管理的。

    7．其它本地安全設置

　　允許安全管理員配置指派給“組策略”對象或本地計算機策略的安全等級。本地安全策略是用于配置本地計算機的安全設置。這些設置包括密碼策略、賬戶鎖定策略、審核策略、IP 安全策略、用戶權限指派、加密數據的恢復代理以及其他安全選項。由于本地安全策略主要是針對本地用戶設置的，因此只有在不是域控制器的 Windows 2000 計算機上才可用。

　　以上前四點功能常用且易于設置，而審核與用戶權利等安全設置使用較為復雜，但是功能確實非常強大，用戶可對系統的操作參數進行深入細致的微調，直至完全滿足個人需求。比如：

　　* 防止來自局域網內部的惡意攻擊，用戶可以得到某賬戶被人遠程嘗試登錄的機器位置和次數的記錄，取消某賬號遠程登錄的權利等，這非常有用。

　　* 可以在策略上控制你所擁有的資源，比如禁止從網絡訪問本地的軟驅或光驅，無論是否被設置為共享權限。

　　* 使用安全策略保護數據，讓攻擊者破解困難或根本不可能。算法和密鑰的組合用于保護信息。Windows 2000通過使用基于加密的算法和密鑰獲得高安全級。

　　Windows 2000的安全設置主要在“本地安全策略”中進行。使用時單擊“開始”，指向“程序”，指向“管理工具”，然后單擊“本地安全策略”就行了。 它的設置包括：

　　* 帳戶策略：密碼和帳戶鎖定策略

　　* 本地策略：審核、用戶權利和安全選項策略

　　* 公鑰策略（IP 安全策略）： Internet 協議安全性 (IPSec) 管理。IPSec 策略為與別的計算機進行安全通訊的管理策略。

　　使用它最好有高級管理員的指導。

    二、本地安全策略設置出錯一例解決及進一步建議

　　1．本地安全策略設置過程中不注意的話，會產生比較大的麻煩。一個例子：

　　單位一臺運行 Windows 2000 Professional的機器，用戶設置時出錯，在“本地策略”中，把“用戶權利分配”的“拒絕本地登錄”項目設為“Users,Guests,EveryOne”。導致注銷后用戶無法再次登錄，系統提示“無法進行交互式會話”。設置項包含“EveryOne”使得所有賬號都被禁止登錄。 

解決辦法：Windows 2000將當前本地安全設置的數據記錄存放在Windows系統目錄system32下的config目錄中，文件名SECURITY，只有將它修改正確才能正常登錄。為簡單起見，用系統初始配置覆蓋它。由于機器使用FAT32格式，采用干凈的Win98軟盤啟動，將Windows目錄repair子目錄下的SECURITY文件拷貝到config下覆蓋出錯文件。登錄正常。正確設置如下圖：

 

　　如果機器使用了NTFS格式，就必須用Windows 2000 安裝軟盤或者安裝光盤啟動。為了防止類似故障發生后一時找不到啟動盤，難以快速解決問題，可以應用Windows 2000 故障恢復控制臺特性。

　　2．Windows 2000故障恢復控制臺

　　Windows 2000 故障恢復控制臺是命令行控制臺，可以從 Windows 2000 安裝程序啟動。使用故障恢復控制臺，無需從硬盤啟動 Windows 2000 就可以執行許多任務，可以啟動和停止服務，格式化驅動器，在本地驅動器上讀寫數據（包括被格式化為 NTFS的驅動器），執行許多其他管理任務。如果需要通過從軟盤或 CD-ROM 復制一個文件到硬盤來修復系統，或者需要對一個阻止計算機正常啟動的服務進行重新配置，故障恢復控制臺將特別有用。由于故障恢復控制臺非常強大，只有通曉 Windows 2000 的高級用戶才能使用。此外必須是管理員才有權使用故障恢復控制臺。 

可以從 Windows 2000 安裝磁盤或者 Windows 2000 Professional CD 運行故障恢復控制臺。作為備用選擇，可以在計算機上安裝故障恢復控制臺，以便在不能重新啟動 Windows 2000 時解決問題。這時只需從引導菜單上選中 Windows 2000 故障恢復控制臺選項即可。在啟動故障恢復控制臺后，必須選擇要登錄的驅動器（如果有雙重引導或者多重引導系統）且必須用管理員密碼登錄。

　　故障恢復控制臺提供了一個命令行，這樣在 Windows 2000 不啟動時，就可以更改系統。一旦運行故障恢復控制臺，在命令提示符下鍵入“help”可獲得關于可用命令的幫助。要重新啟動計算機，鍵入 exit 關閉命令提示符窗口。

　　將故障恢復控制臺安裝為一個啟動選項，以便在計算機無法重新啟動時，可以運行。安裝為啟動選項的方法：以管理員或具有管理員權限的用戶登錄 Windows 2000。將 Windows 2000 Professional 光盤插入 CD-ROM 驅動器。如果提示升級到 Windows 2000，單擊“否”。 從命令提示符下（或從 Windows 2000 的“運行”命令框內）鍵入指向相應 Winnt32.exe 文件（在Windows 2000 光盤內）的路徑，后跟一個空格和 /cmdcons 開關選項。例如：

　　　　e:\\i386\winnt32.exe /cmdcons

　　遵循出現的提示操作。

　　故障恢復控制臺安裝在根文件夾下 \Cmdcons 文件夾內，包括根文件夾中的Cmldr 文件。Boot.ini 文件內包含故障恢復控制臺的啟動條目。

　　在Windows 2000的安全性無疑很高，但是，如果日常使用中不加注意的話，漏洞仍然存在，比如那些源自用戶自己的問題。對于一般用戶，筆者建議將控制面板的管理工具中的本地安全策略隱去，以免發生使用不當的問題。確實需要時可以從命令行[命令格式：c:\winnt\system32\secpol.msc /s]啟動本地安全策略設置。


 
 

文章來源于領測軟件測試網 http://www.kjueaiud.com/