Windows2000合理配置和管理有方是比較安全的

　　安全安裝盡量減少后顧之憂

　　Windows 2000系統(tǒng)的安全應(yīng)該是從安裝時(shí)就一點(diǎn)一滴積累起來(lái)的，但這往往被人忽視。下面幾點(diǎn)是在安裝Windows 2000時(shí)需要注意的：

　　1、不要選擇從網(wǎng)絡(luò)上安裝

　　雖然微軟支持在線安裝，但這絕對(duì)不安全。在系統(tǒng)未全部安裝完之前不要連入網(wǎng)絡(luò)，特別是Internet!甚至不要把一切硬件都連接好來(lái)安裝。因?yàn)閃indows 2000安裝時(shí)，在輸入用戶管理員賬號(hào)“Administrator”的密碼后，系統(tǒng)會(huì)建立一個(gè)“$ADMIN”的共享賬號(hào)，但是并沒(méi)有用剛輸入的密碼來(lái)保護(hù)它，這種情況一直會(huì)持續(xù)到計(jì)算機(jī)再次啟動(dòng)。在此期間，任何人都可以通過(guò)“$ADMIN”進(jìn)入系統(tǒng);同時(shí)，安裝完成，各種服務(wù)會(huì)馬上自動(dòng)運(yùn)行，而這時(shí)的服務(wù)器還到處是漏洞，非常容易從外部侵入。

　　2、要選擇NTFS格式來(lái)分區(qū)

　　最好所有的分區(qū)都是NTFS格式，因?yàn)镹TFS格式的分區(qū)在安全性方面更加有保障。就算其他分區(qū)采用別的格式(如FAT32)，但至少系統(tǒng)所在的分區(qū)中應(yīng)是NTFS格式。

　　另外，應(yīng)用程序不要和系統(tǒng)放在同一個(gè)分區(qū)中，以免攻擊者利用應(yīng)用程序的漏洞(如微軟的IIS的漏洞，大家不會(huì)不知道吧)導(dǎo)致系統(tǒng)文件的泄漏，甚至讓入侵者遠(yuǎn)程獲取管理員權(quán)限。

　　3、系統(tǒng)版本的選擇

　　我們一般都喜歡使用中文界面的軟件，但對(duì)于微軟的東西，由于地理位置及市場(chǎng)因素，都是先有英文版，然后才有各國(guó)其他語(yǔ)言的版本。也就是說(shuō)Windows系統(tǒng)的內(nèi)核語(yǔ)言是英語(yǔ)，這樣相對(duì)來(lái)說(shuō)它的內(nèi)核版本理應(yīng)比它的編譯版本中的漏洞少很多，事實(shí)也是如此，Windows 2000的中文輸入法漏洞鬧得沸沸揚(yáng)揚(yáng)大家是有目共睹的。

　　上面所說(shuō)的安全安裝只能減少后顧之憂，千萬(wàn)別以為只做到這些就可以一勞永逸了，還有很多工作等著你去做的，請(qǐng)繼續(xù)往下看：
·保證Windows 2000安全的八招好秘籍（2） 
妥善管理系統(tǒng)使它更安全

　　系統(tǒng)不安全，不要老埋怨軟件的本身，多想想人為的因素吧！下面從管理員的角度來(lái)談?wù)勗诠芾磉^(guò)程中需要注意的幾點(diǎn)：

　　1、關(guān)注最新漏洞，及時(shí)打上補(bǔ)丁和安裝防火墻

　　管理員的職責(zé)是維護(hù)系統(tǒng)的安全，吸收最新的漏洞信息，及時(shí)打上相應(yīng)的補(bǔ)丁，這是維護(hù)系統(tǒng)安全最簡(jiǎn)單也是最有效的方法。我給大家推薦國(guó)外的一個(gè)很好的安全站點(diǎn)：ttp://www.eeye.com 。同時(shí)，安裝最新版的防火墻也是必須的，可以助你一臂之力。但是要記住：“道高一尺，魔高一丈”，沒(méi)有絕對(duì)的安全，補(bǔ)丁永遠(yuǎn)都是跟在漏洞公布之后，完全相信系統(tǒng)補(bǔ)丁和防火墻是不可行的！

　　2、禁止建立空連接，拒人于門外

　　黑客們經(jīng)常采用共享進(jìn)行攻擊，其實(shí)不是它的漏洞，只怪管理員的賬戶和密碼太簡(jiǎn)單，留著不放心，還是禁止掉的好！

　　這主要是通過(guò)修改注冊(cè)表來(lái)實(shí)現(xiàn)，主鍵及鍵值如下：

　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]

　　RestrictAnonymous = DWORD:00000001

　　3、禁止管理共享

　　除了上面的，還有這個(gè)一起禁止吧！　　

　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]

　　AutoShareServer = DWORD:00000000

　　4、精巧設(shè)計(jì)密碼，慎防入侵

　　呵呵，看了上面的第2點(diǎn)和第3點(diǎn)，有經(jīng)驗(yàn)的朋友自然會(huì)常想到這一點(diǎn)了。不錯(cuò)，這是老生常談的事情了，很多服務(wù)器被攻陷都是由于管理員密碼過(guò)于簡(jiǎn)單而造成的。

　　對(duì)于密碼的設(shè)置，我建議：①長(zhǎng)度超過(guò)8位為宜。②大小寫字母、數(shù)字、特殊符號(hào)的復(fù)雜組合，如：G1aLe^ ，避免“純單詞”或者“單詞加數(shù)字”型的密碼，如：gale、gale123等。

　　特別注意：MSSQL 7.0 中的SA密碼千萬(wàn)不能為空！默認(rèn)情況下“SA”密碼是空的，而它的權(quán)限是“admin”，想想后果吧。
·保證Windows 2000安全的八招好秘籍（3） 
5、限制管理員組的用戶數(shù)量

　　嚴(yán)格限制管理員組的用戶，時(shí)時(shí)刻刻保證只有一個(gè)Administrator(也就是你自己)是該組的用戶。至少每天檢查一次該組的用戶，發(fā)現(xiàn)多增加的用戶一律刪除!毫無(wú)疑問(wèn)，那新增的用戶一定是入侵者留下的后門！同時(shí)要注意Guest用戶，聰明的入侵者一般不會(huì)添加陌生用戶名，這樣容易被管理員發(fā)現(xiàn)行蹤，他們通常是先激活Guest用戶，然后是更改它的密碼，再放到管理員組，但Guest無(wú)端跑到管理員組來(lái)干嘛?停掉！

　　6、停止不必要的服務(wù)

　　服務(wù)開(kāi)的太多也不是個(gè)好事，將沒(méi)有必要的服務(wù)通通關(guān)掉吧！特別是連管理員都不知道是干什么的服務(wù)，還開(kāi)著干什么！關(guān)掉！免得給系統(tǒng)帶來(lái)災(zāi)難。

　　另外，管理員如果不外出，不需要遠(yuǎn)程管理你的計(jì)算機(jī)的話，最好將一切的遠(yuǎn)程網(wǎng)絡(luò)登錄功能都關(guān)掉。注意，除非特別需要，否則禁用“Task Scheduler”、“RunAs Service”服務(wù)！

　　關(guān)閉一項(xiàng)服務(wù)的方法很簡(jiǎn)單，運(yùn)行cmd.exe之后，直接 net stop servername 即可。

　　7、管理員安分守己，不用公司的服務(wù)器做私人用途

　　Windows 2000 Server 除了可以像服務(wù)器之外，同時(shí)還可以做個(gè)人用戶的計(jì)算機(jī)一樣，上網(wǎng)瀏覽網(wǎng)頁(yè)、收發(fā)E-mail 等等。作為管理員，應(yīng)該盡量少用服務(wù)器的瀏覽器來(lái)瀏覽網(wǎng)頁(yè)，避免因?yàn)g覽器的漏洞造成木馬感染和公司的隱私信息暴露。微軟IE漏洞多多，相信大家不會(huì)不知道吧?另外，也少在服務(wù)器上使用Outlook等工具來(lái)收發(fā)E-mail，避免染上病毒，給企業(yè)帶來(lái)?yè)p失。

　　8、注意本地安全

　　防止遠(yuǎn)程入侵很重要，但系統(tǒng)的本地安全也不容忽視，入侵者不一定在遠(yuǎn)處，有可能就在身邊！

　　(1)及時(shí)打上最新版的補(bǔ)丁，防止輸入法漏洞，這是不用再說(shuō)的了。輸入法漏洞不僅是導(dǎo)致本地入侵，如果開(kāi)了終端服務(wù)的話，系統(tǒng)之門就會(huì)大開(kāi)，一個(gè)裝了終端客戶端的機(jī)器就可以輕易闖進(jìn)來(lái)！

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]