讓Win2000更安全 簧睅甯國國家計算機安全中心（NCSC）制定的可信任計算機系統評估標準（TCSEC）， Win 2000屬於C2級安全級別。但Win 2000如接預設安裝且不安裝補丁和進行安全配置時， 則談不上是C2級。本文從安裝Win 2000操作系統、帳號安全管理、網絡服務安全管理、 數據文件安全管理等幾個方面對Win 2000的安全管理進行描述，以使用戶的Win 2000系統 達到規定的安全級別。 瞻@、 正確安裝Win 2000 1．硬碟的分區 要選擇NTFS格式來分區，最好所有的分區都是NTFS格式，因為NTFS格式的分區在安全性方面更加有保障。另外，應用程序不要和系統放在同一個分區中，以免攻擊者利用應用程序的漏洞而導致系統文件的洩漏，甚至讓入侵者遠程獲取管理員權限，如條件許可，應至少建立兩個邏輯分區，一個用作系統分區，另一個 用作應用程序分區。盡量修改「我的文件匣」及「Outlook Express」等應用程序的預設文件 夾位置，使其位置不在系統分區。對提供Web服務的機器，可按如下設置分區: 瞻幫1：系統分區，安裝系統和重要日誌文件。 瞻幫2：提供給IIS使用。 瞻幫3：提供給FTP使用。 瞻幫4：放置其他一些資料文件。 2．組件的定制 瞻ㄜn按Win 2000的預設安裝組件，根據安全原則「最少的服務 最小的權限=最大的安全」， 只選擇確實需要的服務安裝即可。 穡憳柱eb服務器需要的最小組件是： 瞻膝峇憟鞳BInternet 服務管理器、WWW服務器。 3．接入網路時間點 礎b安裝完成Win 2000操作系統時，不要立即把服務器接入網路，因為這時的服務器還沒有打 上各種補丁，存在各種漏洞，非常容易感染病毒和被入侵。 繡氻B的安裝應該在所有應用程序安裝完之後，因為補丁程序往往要替換或修改某些系統文件 ，如果先安裝補丁再安裝應用程序有可能導致補丁不能起到應有的效果。IIS的HotFix要求 每次更改IIS的配置時都需要重新安裝。 瞻G、帳戶安全管理 1．帳戶要盡可能少，並且要經常用一些掃瞄工具檢查系統帳戶、帳戶權限及密碼。刪除已經不再使用的帳戶。 2．停用Guest帳號，並給Guest 加一個複雜的密碼。 3．把系統Administrator帳號改名，盡量把它偽裝成普通用戶，名稱不要帶有Admin字樣。 4.精巧設計密碼，慎防入侵 很多服務器被攻陷，都是由於管理員密碼過於簡單而造成的。對於密碼的設置，建議用長度超過8位，大小寫字母、數字、特殊符號的複雜組合。 特別注意：MSSQL 7.0 中的SA密碼千萬不能為空！預設情況下「SA」密碼是空的，而它的權限是「admin」，想想後果吧。 5．不讓系統顯示上次登錄的用戶名，具體操作如下： 簫蚹齔虪U表「HKLM\Software\Microsoft\ WindowsNT\ Current Version\Winlogon\Dont Display Last User Name」的鍵值，把REG_SZ 的鍵值改成1。 瞻T、網路服務安全管理 1．關閉不必要的服務 藏鶶洶ㄔ痍n的服務，一些服務可能會給系統帶來安全漏洞，如Win 2000的Terminal Services（終端服務）、IIS和RAS（遠程訪問服務）等。 2．關閉不必要的端口 繚磲A務器只提供較單一的功能時，可考慮只開放某些端口。 穡蒛擗隤k為： 竄鷇陽ォ普}「網上芳鄰→屬性→本地連接→屬性→internet 協議(tcp/ip)→屬性→高級→選項→tcp/ip篩選→屬性」，打開Tcp/Ip篩選，添加需要的Tcp、Udp協議即可。 3．禁止建立空連接 繒w設情況下，任何用戶可通過空連接連上服務器，枚舉帳號並猜測密碼。可以通過以下兩種方法禁止建立空連接。 癒]1）修改註冊表 黛ocal_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成1。 癒]2）修改Win 2000的本地安全策略 糧]置「本地安全策略→本地策略→選項」中的RestrictAnonymous（匿名連接的額外限制）為「不容許枚舉SAM帳號和共享」。 瞼|、網絡服務安全配置 1．終端服務 癒]1）修改預設端口 簡袟搌A務的預設端口為3389，可考慮修改為別的端口。修改方法為： 穠A務器端： 瞼普}註冊表，在「HKLM\SYSTEM\Current ControlSet\Control\Terminal Server\Win Stations」處找到類似RDP-TCP的子鍵，修改PortNumber值。 竄