其實,Windows2000 含有很多的安全功能和選項,如果你合理的配置它們,那麼windows 2000將會是一個很安全的操作系統. 具體清單如下: 初級安全篇 1.物理安全 服務器應該安放在安裝了監視器的隔離房間內,並且監視器要保留15天以上的攝像記錄。另外,機箱,鍵盤,電腦桌抽屜要上鎖,以確保旁人即使進入房間也無法使用電腦,鑰匙要放在另外的安全的地方。 2.停掉Guest 帳號 在計算機管理的用戶裡面把guest帳號停用掉,任何時候都不允許guest帳號登陸系統。為了保險起見,最好給guest 加一個復雜的密碼,你可以打開記事本,在裡面輸入一串包含特殊字符,數字,字母的長字符串,然後把它作為guest帳號的密碼拷進去。 3.限制不必要的用戶數量 去掉所有的duplicate user 帳戶, 測試用帳戶, 共享帳號,普通部門帳號等等。用戶組策略設置相應權限,,並且經常檢查系統的帳戶,刪除已經不在使用的帳戶。這些帳戶很多時候都是黑客們入侵系統的突破口,系統的帳戶越多,黑客們得到合法用戶的權限可能性一般也就越大。國內的nt/2000主機,如果系統帳戶超過10個,一般都能找出一兩個弱口令帳戶。我曾經發現一台主機197個帳戶中竟然有180個帳號都是弱口令帳戶。 4.創建2個管理員用帳號 雖然這點看上去和上面這點有些矛盾,但事實上是服從上面的規則的。 創建一個一般權限帳號用來收信以及處理一些日常事物,另一個擁有Administrators 權限的帳戶只在需要的時候使用。可以讓管理員使用 “ RunAS” 命令來執行一些需要特權才能作的一些工作,以方便管理。 5.把系統administrator帳號改名 大家都知道,windows 2000 的administrator帳號是不能被停用的,這意味著別人可以一遍又一邊的嘗試這個帳戶的密碼。把Administrator帳戶改名可以有效的防止這一點。當然,請不要使用Admin之類的名字,改了等於沒改,盡量把它偽裝成普通用戶,比如改成:guestone 。 6.創建一個陷阱帳號 什麼是陷阱帳號? Look!>創建一個名為” Administrator”的本地帳戶,把它的權限設置成最低,什麼事也干不了的那種,並且加上一個超過10位的超級復雜密碼。這樣可以讓那些 Scripts s忙上一段時間了,並且可以借此發現它們的入侵企圖。或者在它的login scripts上面做點手腳。嘿嘿,夠損! 7.把共享文件的權限從”everyone”組改成“授權用戶” “everyone” 在win2000中意味著任何有權進入你的網絡的用戶都能夠獲得這些共享資料。任何時候都不要把共享文件的用戶設置成”everyone”組。包括打印共享,默認的屬性就是”everyone”組的,一定不要忘了改。
