在用戶安全設置方面 1.禁用Guest賬號。不論工作組模式還是域模式,都應該禁用此賬號。惟一的例外就是極少數量(10台以下)的機器之間用網上鄰居互訪共享文件夾,且不和公網相連,可以繼續保持此賬號。 2.限制不必要的用戶。此時需注意: (1)在工作組模式中,默認賬號有Administrator、Guest。如果要用IIS(Internet Information Server)建設各類站點,則IUSER_computername和IWAM_computername也是默認賬號,不能停用。因前者是IIS匿名訪問賬號,後者是IIS匿名執行腳本的賬號。這兩個賬號默認有密碼,是由系統分配的,用戶不要更改其密碼,更不要刪除,否則IIS不能匿名訪問和執行腳本;如果有終端服務則TsInternetUser也是默認賬號,不能停用。 (2)在域模式中,Administrator組中會增加Domain Admins和Enterprise Admins兩個組中的成員,另外還會有Krbtgt賬號,默認是被禁用的,這個賬號是密鑰分發賬號。 3.開啟用戶策略。其中有用戶鎖定閥值設置,將它設置為多少才合適呢?用戶在登錄時,Windows會采用加密協議加密用戶的用戶名和密碼。在域環境中,如果只是單純的系統(即什麼軟件都不裝),用戶進行登錄時,Windows會嘗試用Kerbos協議驗證,不成功則會再用Ntlm驗證,此時的驗證的方式有兩種;如果該賬戶同時又是Outlook的用戶,驗證的方式將有6種之多,也就是說用戶在登錄時如果密碼輸入錯誤,,一次登錄就要浪費掉6次賬戶鎖定值。因此,微軟技術支持中心的工程師建議將這個鎖定值設置為13,這樣才可以實現錯誤輸入密碼3次再鎖定賬戶的目的。 在密碼安全設置方面 在給賬號設置密碼時,不是密碼位數越多越好,在符合密碼復雜性原則的基礎上,7位和14位的密碼是最好的。這個結論是微軟全球技術支持中心的工程師給出的,它是由密碼所采用的加密算法決定的。 有一點大家需注意:屏幕保護存在一個安全漏洞,即他人可以在不進入系統的情況下,利用DOS模式將Cmd.exe命令更名為你所選用的屏幕保護程序的名稱而將其替換掉。此後,只要這個“屏幕保護程序”一運行,Cmd窗口就會彈出且以系統身份運行,默認是最大權限。因此,采用設置屏幕保護密碼的做法並不安全,正確的做法應是網管員離開工位時要鎖定計算機(Windows 2000下,按Ctrl+Alt+Del,在彈出的“關機”菜單中選擇“鎖定計算機”即可)。 在系統安全設置方面 1.使用NTFS格式分區。NTFS分區要比FAT分區安全很多,且只有使用NTFS分區才能真正發揮Windows 2000的作用。Windows 2000自帶了轉換NTFS分區的工具Convert。在命令提示符下執行Convert x
