Win2000绝版安全配置教程初级

前段时间中美互联网大战的时候，我看了一些被黑的服务器，发现大部分都是Nt/win2000的机器，真的很恐怖。Windows2000真的那么不安全吗？实际上，Windows2000包含许多安全功能和选项。如果你合理地配置它们，那么windows 2000将是一个非常安全的操作系统。我带空通过一些网站，翻译整理了一份清单。希望对win2000管理员有所帮助。这篇文章没有什么深刻的东西，所谓的列表也不完美。很多东西还得以后慢慢补充，希望能给管理员一个参考。

具体列表如下:

主要安全用品

1.人身安全

服务器应放置在安装有监视器的隔离房间内，监视器应保存15天以上的摄像头记录。另外，柜子、键盘、电脑桌抽屉都要上锁，确保别人即使进入房间也无法使用电脑，钥匙要放在另一个安全的地方。

2.停止客人帐户

在计算机管理的用户中禁用来宾帐户，任何时候都不允许来宾帐户登录系统。为了安全起见，给客人加一个复杂的密码。您可以打开记事本，输入一个包含特殊字符、数字和字母的长字符串，然后复制它作为来宾帐户的密码。

3.限制不必要用户的数量

删除所有重复的用户帐户、测试帐户、共享帐户、一般部门帐户等。用户组策略设置相应的权限，并经常检查系统的帐户，删除不再使用的帐户。很多时候，这些账号就是黑客入侵系统的突破口。系统中的账号越多，黑客获取合法用户权限的可能性就越大。对于国产nt/2000主机，如果有10个以上的系统账号，一般可以找到一到两个弱密码账号。我曾经发现一个主机的197个账号中有180个都是弱密码账号。

4.创建两个管理员帐户。

这一点虽然看起来和上面一点有些矛盾，但实际上是服从上面的规则的。创建一个有一般权限的账号接收邮件和处理一些日常事务，另一个有管理员权限的账号只在需要的时候使用。您可以让管理员使用“RunAS”命令来执行一些需要特权的任务，以便于管理。

5.重命名系统管理员帐户。

众所周知，windows 2000的管理员帐号是不能停用的，也就是说别人可以反复尝试这个帐号的密码。重命名管理员帐户可以有效地防止这种情况。当然，请不要用Admin之类的名字。改了就说明没改。尽量伪装成普通用户，比如改成:guestone。

6.创建陷阱帐户。

什么是陷阱账户？看啊！>创建一个名为“Administrator”的本地账号，将其权限设置为最低的不能做任何事情，并添加一个10位以上的超级复杂密码。这将使这些脚本忙碌一段时间，并可用于发现他们的入侵企图。或者对它的登录脚本做些什么。嘿，嘿，这已经够糟了！
7。将共享文件的权限从“所有人”组更改为“授权用户”

win2000中的“每个人”意味着任何可以访问您的网络的用户都可以获得这些共享资料。切勿将共享文件的用户设置为“任何人”组。包括打印分享，默认属性是“大家”组，别忘了改。

8.使用安全密码

一个好的密码对一个网络来说非常重要，但却是最容易被忽视的。前面说的可能已经说明了这一点。有些公司管理员在创建账号的时候，往往会使用公司名称、电脑名称，或者其他一些一开始就能猜到的东西，然后将这些账号的密码设置成n个简单的，比如“welcome”、“iloveyou”、“let mein”或者与用户名相同等等。这样的账号应该要求用户在第一次登录时更改复杂的密码，并注意经常更改密码。前几天我们在IRC和人讨论这个问题的时候，定义了一个好密码:在安全期内破解不了的密码就是好密码。也就是说，如果有人拿到你的密码文件，需要43天甚至更长的时间才能破解，而你的密码政策是42天内必须更改密码。

9.设置屏幕保护程序密码

这是非常简单和必要的。设置屏保密码也是防止内部人员破坏服务器的一道屏障。注意不要用OpenGL和一些复杂的屏保，浪费系统资源，让他黑屏就是了。还有一点，所有系统用户使用的机器也都加了屏保密码。

10.使用NTFS格式的分区

将服务器的所有分区更改为NTFS格式。NTFS文件系统比FAT、FAT32文件系统安全得多。不用说，大家的服务器都已经是NTFS了。

11.运行杀毒软件。

我从未见过任何安装了杀毒软件的Win2000/Nt服务器。其实这个很重要。一些好的杀毒软件不仅能查杀一些病毒，还能查杀大量的木马和后门程序。这样，“黑客”使用的著名木马就没用了。别忘了经常升级病毒库。

12.确保备份磁盘的安全。

一旦系统数据被破坏，备份磁盘将是您恢复数据的方法。备份数据后，将备份磁盘保存在安全的地方。不要在同一台服务器上备份数据。那样的话，还是不要备份的好。