Windows 2000系列產(chǎn)品(包括高級服務(wù)器版、服務(wù)器版和專業(yè)版)是目前企事業(yè)單位局域網(wǎng)上占主導(dǎo)地位的操作系統(tǒng)，為了實現(xiàn)其安全性，微軟采取了很多安全技術(shù)措施，諸如基于Kerberos協(xié)議的身份驗證、基于NTFS的訪問控制、保護(hù)本地數(shù)據(jù)的加密文件系統(tǒng)(EFS)，以及基于IPSec協(xié)議的傳輸安全等。Windows 2000含有很多的安全功能和選項，如果我們對其進(jìn)行合理的設(shè)置，那么Windows 2000還是一個很安全的操作系統(tǒng)。請對照下面的安全選項進(jìn)行檢查，看你的Windows 2000網(wǎng)絡(luò)系統(tǒng)是否足夠安全。

1．“外科”：賬號和密碼設(shè)置

(1)環(huán)境安全。雖然嚴(yán)格講這與網(wǎng)絡(luò)系統(tǒng)無關(guān)，但為了保證計算機系統(tǒng)的安全，環(huán)境安全必須注意。比如設(shè)專門的計算機房，計算機房設(shè)置門禁系統(tǒng)和攝像監(jiān)視設(shè)備。有條件的用戶還可以采用屏蔽雙絞線、甚至光纖進(jìn)行網(wǎng)絡(luò)布線。

(2)不要開啟Guest賬號。默認(rèn)情況下，Windows 2000的Guest賬號是停用的，有些用戶為了方便使用而將它開啟，這樣容易帶來安全隱患。為了防止非法用戶以Guest賬號登錄系統(tǒng)，任何時候都不要開啟Guest賬號，甚至還可以給Guest加一個符合復(fù)雜性要求的密碼。

(3)刪除不必要的用戶賬號。刪除所有的重復(fù)的用戶賬號、測試用賬號、共享賬號、離職員工賬號等。用戶組策略設(shè)置相應(yīng)權(quán)限，并且經(jīng)常檢查系統(tǒng)的賬號，刪除已經(jīng)不再使用的賬號，因為這些賬號很可能會成為黑客們?nèi)肭窒到y(tǒng)的突破口。冗余賬號越多，黑客們得到合法用戶權(quán)限的可能性也就越大。

(4)創(chuàng)建一個非管理員權(quán)限的管理員用的賬號。管理員為自己創(chuàng)建一個一般權(quán)限賬號，用來處理一些日常事務(wù)，而系統(tǒng)默認(rèn)的系統(tǒng)管理員賬號Administrator只在需要的時候使用。

(5)將系統(tǒng)默認(rèn)的Administrator賬號改名。把Administrator賬號名改為其他不易猜到的普通用戶名，這樣可以有效地防止別人一遍又一遍地嘗試這個賬號的密碼。但請注意，某些系統(tǒng)程序或服務(wù)可能默認(rèn)使用Administrator賬號，隨意修改可能會引起某些程序出錯或服務(wù)暫停。建議修改工作在剛安裝完Windows 2000系統(tǒng)后且沒有安裝其他系統(tǒng)程序或服務(wù)軟件之前進(jìn)行。

(6)創(chuàng)建一個陷阱賬號。如果用戶已經(jīng)對Administrator進(jìn)行了改名，不妨再創(chuàng)建一個名為“Administrator”，的本地賬號，把它的權(quán)限設(shè)置成最低，不要將它加入任何組，并且加上一個超過10位的復(fù)雜密碼，可以借此發(fā)現(xiàn)黑客們的入侵企圖。

(7)使用安全密碼。為了安全起見，應(yīng)使用滿足復(fù)雜性要求的密碼。密碼長度應(yīng)不小于8位(最長可達(dá)127個字符)。不要用公司名、計算機名、用戶名、英文單詞、姓氏、易猜詞語或純數(shù)字作密碼。Windows 2000密碼復(fù)雜性的基本要求是，密碼中必須包含下面類別中至少三個類別的字符：

1)英語大寫字母A，B，C，…Z；

2)英語小寫字母a，b，c，…z；

3)西方阿拉伯?dāng)?shù)字0，1，2，…9；

4)非字母數(shù)字字符，如標(biāo)點符號、數(shù)學(xué)符號。

(8)設(shè)置屏幕保護(hù)密碼。這是個容易被忽視的問題，但很有必要。設(shè)置屏幕保護(hù)密碼也是防止內(nèi)部人員進(jìn)入服務(wù)器進(jìn)行非法操作的一個安全屏障。如果不設(shè)屏幕保護(hù)密碼，則離開機器時，應(yīng)立即注銷登錄。

2．“內(nèi)科”：安全策略和服務(wù)管理

(1)使用NTFS格式分區(qū)。NTFS是一個相對安全的文件系統(tǒng)格式，它要比FAT和FAT-32的文件系統(tǒng)安全得多。應(yīng)把服務(wù)器的所有分區(qū)都改成NTFS格式。

(2)把文件系統(tǒng)根目錄的訪問權(quán)限從“Everyone”改成“授權(quán)用戶”。默認(rèn)情況下，文件系統(tǒng)根目錄(C：＼，D：＼，E：＼)的訪問權(quán)限是“Everyone／完全控制”，這意味著任何有權(quán)進(jìn)入Windows系統(tǒng)的用戶都能夠讀寫甚至刪除其他用戶的數(shù)據(jù)。應(yīng)將文件系統(tǒng)根目錄的訪問權(quán)限設(shè)置成明確的授權(quán)用戶，至少應(yīng)改為“Everyone／只讀”。

(3)共享文件夾的權(quán)限從“Everyone”改成“授權(quán)用戶”。默認(rèn)情況下，共享文件夾的訪問權(quán)限也是“Everyone／完全控制”，這意味著任何有權(quán)進(jìn)入共享文件夾的用戶都能夠讀寫甚至刪除共享文件夾里的數(shù)據(jù)。要注意將共享文件夾的訪問權(quán)限設(shè)置成明確的授權(quán)用戶。

(4)運行防病毒軟件。由于現(xiàn)在各類病毒程序?qū)映霾桓F，安裝防病毒軟件(包括服務(wù)器版和單機版)至關(guān)重要。一些好的防病毒軟件可以有效地查殺一些著名的病毒、木馬及后門程序。請不要忘了經(jīng)常升級病毒庫，并及時更新掃描引擎。

(5)安全備份。備份的重要性不言而喻。需要注意的是，除了在本機的不同硬盤上進(jìn)行定期自動備份外，還應(yīng)定期作機外備份，并把備份盤放在安全的地方。另外，要備份的不僅僅是數(shù)據(jù)文件，系統(tǒng)文件也要作備份。不定期用Ghost等軟件作整個系統(tǒng)的克隆不失為一個好辦法。

(6)安全設(shè)置。根據(jù)所安裝的不同版本的Windows 2000系統(tǒng)，進(jìn)行安全設(shè)置

(7)打開審核策略。開啟安全審核是Windows 2000最基本的入侵檢測方法。當(dāng)有人嘗試對用戶的系統(tǒng)進(jìn)行某些方式(如嘗試用戶密碼、改變帳戶策略、未經(jīng)許可的文件訪問等等)入侵的時候，都會被安全審核記錄下來。這些審核記錄可在日后作為追溯的證據(jù)。




如果



執(zhí)行





正在域控制器上運行windows 2000 server，要修改所有域成員的安全設(shè)置。



“管理工具”→“域安全策略”





正在域控制器上運行windows 2000 server，只修改域控制器安全設(shè)置。



“管理工具”→“域控制器安全策略”





正在域控制器上運行Windows 2000 Server，要檢驗域控制器安全設(shè)置的有效性。



“管理工具”→“本地安全策略”





正在運行windows 2000專業(yè)版，要修改本地計算機安全設(shè)置或檢驗其有效性。



“管理工具”→“本地安全策略”



建議設(shè)置下面的這些審核策略：





策略



設(shè)置





審核策略更改



成功，失敗





審核登陸事件



成功，失敗





審核對象訪問



失敗





審核帳戶登陸事件



成功，失敗





審核帳戶管理



成功，失敗





審核目錄服務(wù)訪問



失敗





審核特權(quán)使用



失敗





審核系統(tǒng)事件



成功，失敗

(8)設(shè)置密碼策略，






策略



設(shè)置





密碼復(fù)雜性要求



啟用(滿足上述第7條)





密碼長度最小值



8位





強制密碼歷史



5個(防止循環(huán)使用)





密碼最長存留期



42天

(9)設(shè)置帳戶鎖定策略，


策略



設(shè)置





復(fù)位帳戶鎖定計數(shù)器



30分鐘





帳戶鎖定時間



300分鐘





帳戶鎖定閾值



5次

(10)備份系統(tǒng)日志和安全日志。系統(tǒng)日志和安全日志記錄可以幫助系統(tǒng)管理員分析入侵行為和當(dāng)時的狀態(tài)，因此，做好這些記錄的備份將有利于追查入侵者并發(fā)現(xiàn)系統(tǒng)的薄弱環(huán)節(jié)?？梢酝ㄟ^打開“事件查看器”，用“另存日志文件”的辦法來手工備份事件日志，或通過“計劃任務(wù)”自動保存以下事件日志文件：

C：＼WINNT＼System32＼config＼SecEvent．Evt(建議≤200MB)

C：＼WINNT＼sysetm132config＼SysEVent．Evt(建議≤20MB)

考慮到日志文件最終會很大，應(yīng)進(jìn)行定期清理或限定日志文件大小。

(11)限制來賓對系統(tǒng)日志和安全日志的訪問。默認(rèn)情況下，系統(tǒng)沒有限制來賓對系統(tǒng)日志和安全日志的訪問，修改方法是進(jìn)入域控制器安全策略／域安全策略的“事件日志”，設(shè)置“限制來賓對系統(tǒng)日志／安全日志的訪問”，將它們改為“已啟用”。

(12)不讓系統(tǒng)顯示上次登錄的用戶名。默認(rèn)情況下，終端服務(wù)接入服務(wù)器時，登錄對話框中會顯示上次登錄的帳戶名，本地的登錄對話框也是一樣。這使得別人可以很容易的得到系統(tǒng)的一些用戶名，進(jìn)而作密碼猜測。修改本地安全策略的“安全選項”中的相應(yīng)子項，即可以不讓對話框里顯示上次登錄的用戶名。

(13)禁止建立匿名連接。默認(rèn)情況下，任何用戶可通過匿名連接上服務(wù)器，進(jìn)而枚舉出賬號，進(jìn)行密碼猜測等。修改辦法是，進(jìn)入域控制器／域安全策略本地策略的“安全選項”，將子項“匿名連接的額外限制”(RestrictAnonymous)改為“不允許枚舉SAM賬號和共享”(注冊表鍵值=1)。

(14)禁止對軟盤和CD-ROM的非本地訪問。默認(rèn)情況下，Windows 2000 Server會對 CD-ROM自動共享，應(yīng)修改域控制器安全策略的“安全選項”中的相應(yīng)子項，以禁止對其進(jìn)行非本地訪問。

(15)關(guān)機時清除頁面文件。頁面文件也就是虛擬內(nèi)存調(diào)度文件，是Windows 2000用來存儲沒有裝入內(nèi)存的程序或數(shù)據(jù)的隱藏文件。頁面文件中可能含有一些敏感的資料，或某些第三方程序存在上面的一些未加密的密碼。要在關(guān)機時清除頁面文件，設(shè)置方法是進(jìn)入本地安全策略的“安全選項”，將子項“關(guān)機時清理虛擬內(nèi)存頁面交換文件”改為“已啟用”。

(16)禁用不必要的服務(wù)。根據(jù)所安裝的不同版本的Windows 2000系統(tǒng)，有些不必要的后臺服務(wù)可以禁用：

1)Automatic Updates(自動更新)。說明：自動連接Internet，下載Windows的更新組件。

2)ClipBook(剪貼板)。說明：通過Network DDE和Network DDE DSDM提供的網(wǎng)絡(luò)動態(tài)數(shù)據(jù)交換服務(wù)，查閱遠(yuǎn)程機器中的剪貼板，用于局域網(wǎng)中電腦來共享粘貼／剪貼的內(nèi)容。

3)Fax Service(傳真服務(wù))。說明：曾經(jīng)在Windows95中支持的傳真功能，現(xiàn)在Windows 2000重新予以支持。

4)FTP Publishing Service(FTP發(fā)布服務(wù))。說明：通過Internet信息服務(wù)(IIS)的管理單元提供FTP連接和管理。

5)IIS Admin Service(HS管理服務(wù))。說明：允許通過Internet信息服務(wù)(IIS)的管理單元管理Web和FTP服務(wù)。

6)Internet Connection Sharing(Internet連接共享)。說明：此服務(wù)為局域網(wǎng)計算機提供 Internet共享連接，為多臺聯(lián)網(wǎng)的電腦共享一個撥號網(wǎng)絡(luò)訪問Internet提供了捷徑。

7)NetMeeting Remote Desktop Sharing(NetMeeting遠(yuǎn)程桌面共享)。說明：該服務(wù)能通過NetMeeting，允許擁有權(quán)限的用戶遠(yuǎn)程訪問Windows桌面。

8)Network DDE(網(wǎng)絡(luò)動態(tài)數(shù)據(jù)交換)。

9)Network DDE DSDM。說明：此兩項服務(wù)和Clipbook一起使用。網(wǎng)絡(luò)動態(tài)數(shù)據(jù)交換服務(wù)是一種為DDE對話提供網(wǎng)絡(luò)傳輸和安全的服務(wù)。DDE(動態(tài)數(shù)據(jù)交換)是實現(xiàn)進(jìn)程通信的一種形式，它允許支持DDE的兩個或多個程序交換信息和命令。

10)Remote Registry Service(遠(yuǎn)程注冊表服務(wù))。說明：該服務(wù)能使用戶編輯另一臺計算機上的注冊表，可能帶來安全問題。

11)Routin and Remote Access(路由和遠(yuǎn)程訪問)。說明：在局域網(wǎng)及廣域網(wǎng)環(huán)境中為企業(yè)提供路由服務(wù)。

12)Run As Service(以其他用戶身份運行服務(wù)的服務(wù))。說明：當(dāng)以一般權(quán)限用戶身份登錄系統(tǒng)，而在使用中又需要修改只有系統(tǒng)管理員才能修改的系統(tǒng)設(shè)置項時，該服務(wù)提供了不用注銷用戶再以管理員身份登錄的捷徑。只需要在命令提示符下運行RunAs命令就可達(dá)到更改目的。

13)Telnet(遠(yuǎn)程登錄協(xié)議)。說明：遠(yuǎn)程控制計算機執(zhí)行控制臺命令，后臺運行時一般占用2M內(nèi)存。此服務(wù)允許從遠(yuǎn)程計算機上髓錄本系統(tǒng)，并日，使用命令行方式操作這臺計算機。

14)World Wide Web Publishing Service(萬維網(wǎng)發(fā)布服務(wù))。說明：通過Internet信息服務(wù)(IIS)的管理單元提供Web連接和管理。可能存在安全問題，如果一定要提供IIS服務(wù)，應(yīng)將它們安裝在另一臺專用的服務(wù)器上。

3．“預(yù)防科”：用安全工具協(xié)助安全防御

(1)到微軟網(wǎng)站下載最新的補r程序。由于Windows 2000具有數(shù)百萬行以上代碼，存在一些安全漏洞在所難免。微軟公司會不定期地將所發(fā)現(xiàn)的問題和安全漏洞進(jìn)行修補，發(fā)布在Service Pack中，所以最好經(jīng)常訪問微軟和一些安全站點，下載最新的Service Pack和漏洞補丁，以保障服務(wù)器長治久安。

(2)使用加密文件系統(tǒng)(EFS)。Windows 2000的加密文件系統(tǒng)(EFS)可以對本地計算機上的文件或文件夾加上一層額外的安全保護(hù)，未經(jīng)授權(quán)的人將無法讀取這些文件。而對用戶來說，操作是完全透明的，加密解密是自動進(jìn)行的，這樣可以防止別人把你的硬盤安裝到別的機器上以讀寫里面的數(shù)據(jù)。如果自己想這么做，必須使用MMC先導(dǎo)出你的安全證書和私鑰，到時再導(dǎo)入，才能正常訪問加密過的文件和文件夾。

(3)考慮使用智能卡。對于密碼字符串而言，設(shè)置簡單了，容易被人猜測或容易受到一些密碼破解工具的攻擊；如果強制使用復(fù)雜密碼，用戶為了記住密碼，會把密碼到處亂寫。所以，有條件的用戶，不妨用智能卡來代替復(fù)雜的密碼。智能卡所提供的抗篡改存儲能夠保護(hù)用戶的證書和私鑰，未經(jīng)授權(quán)的人將更難取得訪問網(wǎng)絡(luò)的權(quán)限。

(4)考慮使用IPSec。IPSec是一套Internet標(biāo)準(zhǔn)協(xié)議，允許兩臺計算機在不安全的嘲絡(luò)上進(jìn)行安全的、加密的通信。加密應(yīng)用于IP網(wǎng)絡(luò)層，亦即它對大部分使用特定網(wǎng)絡(luò)協(xié)議的應(yīng)用程序都是透明的。此外，IPSec提供端對端的安全性，意味著IP包由發(fā)送計算機加密，在途中不可讀取，只能由收件計算機解密。IPSec提供身份驗證、數(shù)據(jù)包的完整性和可選擇的機密性。利用IPSec可以使得系統(tǒng)的安全性能大大增強。但要注意，IPSec協(xié)議開銷較大，用戶的計算機和網(wǎng)絡(luò)系統(tǒng)要能承受得起。

(5)考慮使用安全配置模板。為了使網(wǎng)絡(luò)的安全性設(shè)置和管理更容易一些，Windows 2000 Server中包含了“安全模板”工具。MMC管理單元允許管理員定義標(biāo)準(zhǔn)模板；并將它以同樣的方式應(yīng)用于多個計算機或用戶。安全模板是安全配置的實際體現(xiàn)，換句話說，它是一個可以存儲一組安全設(shè)置的文件。Windows 2000包含一組標(biāo)準(zhǔn)安全模板，范圍從低安全性域客戶端的安全性設(shè)置到高安全性域控制器的安全性設(shè)置，以適應(yīng)不同的安全角色。這些模板可以用于提供、修改，也可以被當(dāng)作創(chuàng)建自定義安全模板的基礎(chǔ)。

(6)考慮使用防火墻軟件。防火墻軟件通常包括IP包過濾技術(shù)、應(yīng)用程序過濾技術(shù)、虛擬專用網(wǎng)(VPN)技術(shù)、入侵檢測(IDS)技術(shù)和網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)技術(shù)等，它可根據(jù)企業(yè)的安全策略控制(允許、拒絕、監(jiān)測)出入網(wǎng)絡(luò)或主機的信息流，具有較強的抵御攻擊的能力，有條件的用戶推薦使用。要抵御外部攻擊，必須配置網(wǎng)絡(luò)防火墻(邊界防火墻)。要抵御內(nèi)部攻擊，必須配置主機防火墻。

4．結(jié)語

    技術(shù)并不能解決一切安全問題。除了采用上述各種方法和其他技術(shù)措施外，必須有一個好的安全方案，一套好的訪問控制規(guī)則，一套嚴(yán)格的安全管理制度，定期進(jìn)行檢查、分析，及時發(fā)現(xiàn)問題、解決問題，才能防患于未然。