您的位置:首页精文荟萃操作系统 → 从四个方面谈Win 2000的安全设置

从四个方面谈Win 2000的安全设置

时间:2004/10/15 2:52:00来源:本站整理作者:蓝点我要评论(0)






 在用户安全设置方面



  1.禁用Guest账号。不论工作组模式还是域模式,都应该禁用此账号。惟一的例外就是极少数量(10台以下)的机器之间用网上邻居互访共享文件夹,且不和公网相连,可以继续保持此账号。





  2.限制不必要的用户。此时需注意:



  (1)在工作组模式中,默认账号有Administrator、Guest。如果要用IIS(Internet Information Server)建设各类站点,则IUSER_computername和IWAM_computername也是默认账号,不能停用。因前者是IIS匿名访问账号,后者是IIS匿名执行脚本的账号。这两个账号默认有密码,是由系统分配的,用户不要更改其密码,更不要删除,否则IIS不能匿名访问和执行脚本;如果有终端服务则TsInternetUser也是默认账号,不能停用。



  (2)在域模式中,Administrator组中会增加Domain Admins和Enterprise Admins两个组中的成员,另外还会有Krbtgt账号,默认是被禁用的,这个账号是密钥分发账号。



  3.开启用户策略。其中有用户锁定阀值设置,将它设置为多少才合适呢?用户在登录时,Windows会采用加密协议加密用户的用户名和密码。在域环境中,如果只是单纯的系统(即什么软件都不装),用户进行登录时,Windows会尝试用Kerbos协议验证,不成功则会再用Ntlm验证,此时的验证的方式有两种;如果该账户同时又是Outlook的用户,验证的方式将有6种之多,也就是说用户在登录时如果密码输入错误,一次登录就要浪费掉6次账户锁定值。因此,微软技术支持中心的工程师建议将这个锁定值设置为13,这样才可以实现错误输入密码3次再锁定账户的目的。



  在密码安全设置方面



  在给账号设置密码时,不是密码位数越多越好,在符合密码复杂性原则的基础上,7位和14位的密码是最好的。这个结论是微软全球技术支持中心的工程师给出的,它是由密码所采用的加密算法决定的。



  有一点大家需注意:屏幕保护存在一个安全漏洞,即他人可以在不进入系统的情况下,利用DOS模式将Cmd.exe命令更名为你所选用的屏幕保护程序的名称而将其替换掉。此后,只要这个“屏幕保护程序”一运行,Cmd窗口就会弹出且以系统身份运行,默认是最大权限。因此,采用设置屏幕保护密码的做法并不安全,正确的做法应是网管员离开工位时要锁定计算机(Windows 2000下,按Ctrl+Alt+Del,在弹出的“关机”菜单中选择“锁定计算机”即可)。



  在系统安全设置方面



  1.使用NTFS格式分区。NTFS分区要比FAT分区安全很多,且只有使用NTFS分区才能真正发挥Windows 2000的作用。Windows 2000自带了转换NTFS分区的工具Convert。在命令提示符下执行Convert x/FSNTFS(x为所要转换的盘符),执行时如果转换的是非操作系统所在分区,则立即执行分区转换;如果转换的是操作系统所在分区,则重启后执行分区转换。注意:此转换过程是单向不可逆的,即只能由FAT转换至NTFS。虽然可用第三方工具做分区格式之间的转换,但这样做不能保证绝对安全,在某些情况下会导致分区不可用,所以建议只用Convert命令来转换分区格式;如果非要用第三方工具,一定要事先做好备份。另外,据我个人经验,并不需要将所有分区都做成NTFS分区,而应保留一个分区为FAT32,用于存放一些常用工具,并可方便Ghost备份。



  2.到微软网站下载最新的补丁程序。强烈建议!这是每一个网络管理员都应该有的好习惯。这里说明一点:微软每隔一定时间推出的Servicespacks是针对近期推出的Hotfix的综合,如果你经常做Hotfix补丁,那么当后一版的Servicespacks推出后可能会和你的Hotfix冲突。因为Servicespacks也是要经过测试的,而测试阶段可能又有新的Hotfix推出,当你做了新的Hotfix补丁后再打旧版的Servicespacks补丁时就会产生冲突。



  3.关闭默认共享。这里必须要修改注册表,否则每次重启之后默认共享还会出现。在注册表“HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run”下,在右栏空白位置点击鼠标右键,选择“新建”,再选“字符串值”,名称中输入:“delipc$”,这里的名字可以随便取,然后双击它就会弹出一个窗口来,输入:“net share ipc$/del”,下次开机就可自动删掉默认共享。修改注册表后需要重新启动机器。同样的方法还可以删掉AMDIN$。



  4.锁住注册表。Windows 2000提供了一个叫Regedt32.exe的工具,它也是一个注册表编辑器。与Regedit.exe不同的是它有一个“安全”选项,可以给注册表的每一个键值设置权限。因此用户可以将许多敏感的键值赋权,例如设置成只有Administrator才能读取和修改,不给其他人可乘之机。



  在服务安全设置方面



  1.关闭不必要的端口。可惜Windows 2000并不支持关闭端口的选项,我们只好选用第三方工具,关闭一些关键端口,比如Telnet等。



  2.设置好安全记录的访问。Windows 2000操作系统自带了审核工具,默认不开启。如果一旦开启了审核策略,用户可以在事件日志里查看安全日志,里面会有详细的审核记录,审核通常为成功和失败两种。不过,建议平时不要常开安全审核,因为审核量很大,通常一个错误的密码输入就可以在日志中记录一页多的条目,非常浪费系统资源。建议只在怀疑系统受到攻击时才开启审核。在“开始”菜单的“运行”中输入“Eventvwr.msc”查看安全日志,就可以看到审核的消息。注:具体如何实现请参见微软知识库文章“Microsoft Knowledge Base Article - 300549”(网址是:http://support.microsoft.com。



  3.把敏感文件存放在另外的文件服务器中。出于对性能和安全的双重考虑,建议有条件的用户将域控制器与Web服务器、数据库服务器等其他重要服务器分开,即不要用同一台服务器运行多种服务。同时,一定要进行及时、有效的备份,最好有一个详尽的备份计划。



  以上为我的个人观点,有不正确的地方,还请多多指正。



(中国电脑教育报 文/李鹏)

相关阅读 Windows错误代码大全 Windows错误代码查询激活windows有什么用Mac QQ和Windows QQ聊天记录怎么合并 Mac QQ和Windows QQ聊天记录Windows 10自动更新怎么关闭 如何关闭Windows 10自动更新windows 10 rs4快速预览版17017下载错误问题Win10秋季创意者更新16291更新了什么 win10 16291更新内容windows10秋季创意者更新时间 windows10秋季创意者更新内容kb3150513补丁更新了什么 Windows 10补丁kb3150513是什么

文章评论
发表评论

热门文章 没有查询到任何记录。

最新文章 Windows7怎么升级Wind安卓7.0系统怎么样好不 安卓7.0有哪些新功能 安卓7.0系统详细图文体Fuchsia是什么意思 Fuchsia系统怎么样u深度一键还原精灵电脑重装系统使用教程u深度一键ghost使用教程

人气排行 win7没声音怎么办?_win无7声音解决办法苹果笔记本装Win7教程 苹果笔记本怎么装Win电脑32位和64位怎么看 怎么看电脑支持64位安卓7.0系统怎么样好不好用 Android7.0综合checking file system on是什么意思 怎么解component 'MSINET.OCX'错误是什么意思?怎Windows系统运行库集合下载 - VC运行库,.NE虚拟机VMware Workstation配置方法图解