WindowsXP組策略操作

1、你可以在采用windows xp、2000和server 2003操作系統(tǒng)的本地計(jì)算機(jī)上使 用這些方法，或者在server 2003和2000中的ou域名級(jí)上使用這些方法。為 了簡(jiǎn)明扼要和提供最新的信息，我準(zhǔn)備介紹一下如何設(shè)置基于windows server 2003的域名。請(qǐng)記住，這些只是你在你的域名中能夠設(shè)置的組策略對(duì)象中最有 可能出現(xiàn)問(wèn)題的。按照我的觀點(diǎn)，這些設(shè)置可以保持或者破壞windows的安全。 而且由于設(shè)置的不同，你的進(jìn)展也不同。因此，我鼓勵(lì)你在使用每一個(gè)設(shè)置之前 都進(jìn)行深入的研究，以確保這些設(shè)置能夠兼容你的網(wǎng)絡(luò)。如果有可能的話，對(duì)這 些設(shè)置進(jìn)行試驗(yàn)（如果你很幸運(yùn)有一個(gè)測(cè)試環(huán)境的

2、話）。如果你沒(méi)有進(jìn)行測(cè)試，我建議你下載和安裝微軟的組策略管理控制臺(tái)（gpmc） 來(lái)做這些改變。這個(gè)程序能夠把組策略管理任務(wù)集中到一個(gè)單一的界面讓你更全 面地查看你的域名。要開(kāi)始這個(gè)編輯流程，你就上載gpmc,擴(kuò)展你的域名， 用鼠標(biāo)右鍵點(diǎn)擊“缺省域名策略”，然后選擇“編輯”。這樣就裝載了組策略對(duì)象編 輯器。如果你要以更快的速度或者“次企業(yè)級(jí)”的方式編輯你的域名組策略對(duì)象， 你可以在“開(kāi)始”菜單中運(yùn)行“gpedit.msc”。確定一個(gè)缺省的口令策略，使你的機(jī)構(gòu)設(shè)置位于“計(jì)算機(jī)配置/windows設(shè)置 /安全設(shè)置/賬號(hào)策略/ 口令策略”之下。2. 為了防止自動(dòng)口令破解，在“計(jì)算機(jī)配置/windows

3、設(shè)置/安全設(shè)置/賬號(hào)策略/ 賬號(hào)關(guān)閉策略”中進(jìn)行如下設(shè)置：賬號(hào)關(guān)閉持續(xù)時(shí)間（確定至少5-10分鐘）賬號(hào)關(guān)閉極限（確定最多允許5至10次非法登錄）隨后重新啟動(dòng)關(guān)閉的賬號(hào)（確定至少10-15分鐘以后）3在“計(jì)算機(jī)配i/windows設(shè)置/安全設(shè)置/本地策略/檢查策略”中啟用如下功檢查賬號(hào)管理檢查登錄事件檢查策略改變檢查權(quán)限使用檢查系統(tǒng)事件理想的情況是，你要啟用記錄成功和失敗的登錄。但是，這取決于你要保留什 么類型的記錄以及你是否能夠管理這些記錄。roberta bragg在這里介紹了一些 普通的檢查記錄設(shè)置。要記住，啟用每一種類型的記錄都需耍你的系統(tǒng)處理器和 硬盤(pán)提供更多的資源。4作為增強(qiáng)wind

4、ows安全的最佳做法和為攻擊者設(shè)置更多的障礙以減少對(duì) windows的攻擊，你可以在“計(jì)算機(jī)配置/windows設(shè)置/安全設(shè)置/本地策略/安全 選項(xiàng)”中進(jìn)行如下設(shè)置：賬號(hào):重新命名管理員賬號(hào)-不是要求更有效而是增加一個(gè)安全層（確定一個(gè) 新名字）賬號(hào):重新命名客戶賬號(hào)（確定一個(gè)新名字）交互式登錄:不要顯示最后一個(gè)用戶的名字（設(shè)置為啟用）交互式登錄:不需要最后一個(gè)用戶的名字（設(shè)置為關(guān)閉）交互式登錄：為企圖登錄的用戶提供一個(gè)消息文本（確定為讓用戶閱讀 banner text（旗幟文木），內(nèi)容大致為“這是專用和受控d勺系統(tǒng)。如果你濫用本系統(tǒng)，你將受到制裁。-首先讓你的律師運(yùn)行這個(gè)程序）交互式登錄：為企

5、圖登錄的用戶提供的消息題目-在警告!后面寫(xiě)的東西網(wǎng)絡(luò)接入:不允許sam賬號(hào)和共享目錄（設(shè)置為“啟用”）網(wǎng)絡(luò)接入:將“允許每一個(gè)人申請(qǐng)匿名用戶”設(shè)置為關(guān)閉網(wǎng)絡(luò)安全:“不得存儲(chǔ)局域網(wǎng)管理員關(guān)于下一個(gè)口令變化的散列值”設(shè)置為“啟 用”關(guān)機(jī)允許系統(tǒng)在沒(méi)有登錄的情況下關(guān)閉”設(shè)置為咲閉”關(guān)機(jī):“清除虛擬內(nèi)存的頁(yè)面文件”設(shè)置為“啟用”如果你沒(méi)有windows server 2003域名控制器，你在這里可以找到有哪些 windows xp本地安全設(shè)置的細(xì)節(jié)，以及這里有哪些詳細(xì)的windows 2000 server組策略的設(shè)置。要了解更多的有關(guān)windows server 2003組策略的信息, 請(qǐng)查看微軟的

6、專門(mén)網(wǎng)頁(yè)。卜一、如何設(shè)置ie中的安全設(shè)置選項(xiàng)按鈕? 問(wèn):我在windows 2000桌面右擊ie圖標(biāo)并選擇“屈性”，選擇了'安全”標(biāo)簽后， 發(fā)現(xiàn)“自定義級(jí)別”和“默認(rèn)級(jí)別”按鈕變成灰色不可選狀態(tài)，無(wú)法改變ie的安全等 級(jí)。請(qǐng)問(wèn)該如何解決？答:出現(xiàn)這個(gè)問(wèn)題的原因是系統(tǒng)在注冊(cè)表中添加了 一個(gè)“secchangesettings” 鍵進(jìn)行了限制。請(qǐng)打開(kāi)注冊(cè)表編輯器，找到hkey_current_usersoftwarepoliciesmicrosoftlnternet explorercontrol panel,將右側(cè)窗口屮的“secchangesettings”鍵刪除后，重啟 ie即可解決

7、問(wèn)題。十二、fat32轉(zhuǎn)換為ntfs如果要使用文件訪問(wèn)權(quán)限，文件述必須位于ntfs文件系統(tǒng)的分區(qū)上。跟fat 和fat32文件系統(tǒng)相比，ntfs文件系統(tǒng)可以在保持簇大小不變的情況下支持 更大的分區(qū)，還有一系列的安全特性，建議使用。不過(guò)dos和windows 9x操 作系統(tǒng)并不能支持這種文件系統(tǒng)。有兩種方法獲得ntfs文件系統(tǒng)的分區(qū)：創(chuàng) 建一個(gè)分區(qū)，然后格式化為ntfs文件系統(tǒng)；或者把現(xiàn)有的fat或者fat32文 件系統(tǒng)的分區(qū)在保留數(shù)據(jù)的前提下轉(zhuǎn)化為ntfs文件系統(tǒng)。這個(gè)轉(zhuǎn)化可以使用 windows自帶的convert.exe程序，在命令行狀態(tài)下輸入“convert c:/fs:ntfs”并回

8、車就可以把c盤(pán)轉(zhuǎn)換，其他盤(pán)需要替換c為相應(yīng)的盤(pán)符。另外要注意，轉(zhuǎn)換系 統(tǒng)盤(pán)可能需要你重啟動(dòng)系統(tǒng)才能完成。十三、用組策略從十大方面保護(hù)windows安全windows操作系統(tǒng)中組策略的應(yīng)用無(wú)處不在，如何讓系統(tǒng)更安全，也是一個(gè)常 論不休的話題，下面就讓我們一起來(lái)看看通過(guò)組策略如何給windows系統(tǒng)練就 一身金鐘罩。一、給我們的ip添加安全策略在“計(jì)算機(jī)配置”wndows設(shè)置“安全設(shè)置”->“ip安全策略，在本地訃算 機(jī)”下與有與網(wǎng)絡(luò)有關(guān)的幾個(gè)設(shè)置項(xiàng)目（如圖1）o如果大家對(duì)internet較為熟悉， 那也可以通過(guò)它來(lái)添加或修改更多的網(wǎng)絡(luò)安全設(shè)置，這樣在windows上運(yùn)行網(wǎng) 絡(luò)程序或者暢游i

9、nternet時(shí)將會(huì)更加安全。小提示：由于此項(xiàng)較為專業(yè)，其間會(huì)涉及到很多的專業(yè)概念，一般用戶用 不到，在這里只是給網(wǎng)絡(luò)管理員們提個(gè)醒，因此在此略過(guò)。二、隱藏驅(qū)動(dòng)器平時(shí)我們隱藏文件夾后，別人只需在文件夾選項(xiàng)里顯示所有文件，就可以看 見(jiàn)了，我們可以在組策略里刪除這個(gè)選項(xiàng)：選擇“用戶配置- 管理模板-windows 組件-windows資源管理器”。三、禁用指定的文件類型在“組策略”中，我們可以禁用shs、msi、bat、cmd、com、exe等程 序文件類型，而ii不影響系統(tǒng)的正常運(yùn)行。這里假設(shè)我們要禁用注冊(cè)表的reg 文件，不讓系統(tǒng)運(yùn)行reg文件，具體操作方法如下：1. 打開(kāi)組策略，點(diǎn)擊“計(jì)算機(jī)

10、配置-windows設(shè)置-安全設(shè)置-軟件限制策 略”，在彈出的右鍵菜單上選擇“創(chuàng)建軟件限制策略”，即牛成“安全級(jí)別”、“其他規(guī) 則”及“強(qiáng)制”、“指派的文件類型”、慢信任的出版商”項(xiàng)。2. 雙擊“指派的文件類型”打開(kāi)“指派的文件類型屬性”窗口，只留下reg文 件類型，將其他的文件全部刪除，如果還有其他的文件類型要禁用，可以再次打 開(kāi)這個(gè)窗口，在:文件擴(kuò)展名”空白欄里輸入要禁用的文件類型，將它添加上去。3. 雙擊“安全級(jí)別一不允許的”項(xiàng)，點(diǎn)擊“設(shè)為默認(rèn)”按鈕。然后注銷系統(tǒng)或者 重新啟動(dòng)系統(tǒng)，此策略即生效，運(yùn)行reg文件時(shí)，會(huì)提示“由于一個(gè)軟件限制策 略的阻止，windows無(wú)法打開(kāi)此程序”。4要

11、取消此軟件限制策略的話，雙擊“安全級(jí)別-不受限的”，打幵'不受限的 屈性”窗口，按“設(shè)為默認(rèn)值”即可。如果你鼠標(biāo)右鍵點(diǎn)擊“計(jì)算機(jī)配置-windows設(shè)置-安全設(shè)置-軟件限制策 略一其他規(guī)則”，你會(huì)看到它可以建立哈希規(guī)則、internet區(qū)域規(guī)則、路徑規(guī)則 等策略，利用這些規(guī)則我們可以讓系統(tǒng)更加安全，比如利用“路徑規(guī)則”可以為電 子郵件程序用來(lái)運(yùn)行附件的文件夾創(chuàng)建路徑規(guī)則，并將安全級(jí)別設(shè)置為“不允許 的”，以防止電子郵件病毒。提示：為了避免“軟件限制策略”將系統(tǒng)管理員也限制，我們可以雙擊“強(qiáng)制”, 選擇“除本地管理員以外的所有用戶”。如果用你的是文件類型限制策略，此選項(xiàng) 可以確保管理員有

12、權(quán)運(yùn)行被限制的文件類型，而其他用戶無(wú)權(quán)運(yùn)行。四、未經(jīng)許可，不得在木機(jī)登錄使用電腦時(shí)，我們有時(shí)要離開(kāi)座位一段時(shí)間。如果有很多正在打開(kāi)的文檔還 沒(méi)有處理完成或者正在下載東四、掛popo等等，為了避免有人動(dòng)用電腦，我 們一般會(huì)把電腦鎖定。但是在局域網(wǎng)中，為了方便網(wǎng)絡(luò)登錄，我們有時(shí)候會(huì)建立 一些來(lái)賓賬戶，如果對(duì)方利用這些賬戶來(lái)注銷當(dāng)前賬戶登錄到別的賬戶，那就麻 煩了。既然我們不能刪除或禁用這些賬戶，那么我們可以通過(guò)“組策略”來(lái)禁止一 些賬戶在本機(jī)上登錄，讓對(duì)方只能通過(guò)網(wǎng)絡(luò)登錄。在“組策略”窗口中依次打開(kāi)“計(jì)算機(jī)配置-windows設(shè)置一安全設(shè)置一本地 策略用戶權(quán)限分配”，然后雙擊右側(cè)窗格的“拒絕本地登

13、錄”項(xiàng)，在彈出的窗口屮 添加要禁止的用戶或組即可實(shí)現(xiàn)。如果我們想反其道而行之，禁止用戶從網(wǎng)絡(luò)登錄，只能從本地登錄，可以雙擊“拒 絕從網(wǎng)絡(luò)訪問(wèn)這臺(tái)計(jì)算機(jī)”項(xiàng)將用戶加上去。五、給“休眠”和“待機(jī)''加個(gè)密碼只有“屏幕保護(hù)，有密碼是遠(yuǎn)遠(yuǎn)不夠安全的，我們還要給“休眠”和“待機(jī),加上密 碼，這樣才會(huì)更安全。讓我們來(lái)給“休眠”和“待機(jī)”加上密碼吧。在“組策略”窗口屮 展開(kāi)“用戶配置-管理模板-系統(tǒng)-電源管理”，在右邊的窗格中雙擊“從休眠/掛 起恢復(fù)時(shí)提示輸入密碼”，將其設(shè)置為“已啟用”（圖5）,那么當(dāng)我們從“待機(jī)”或“休 眠”狀態(tài)返回時(shí)將會(huì)要求你輸入用戶密碼。六、自動(dòng)給操作做個(gè)記錄在“計(jì)算

14、機(jī)配置-windows設(shè)置一安全設(shè)置一木地策略一審核策略”上，我們 可以看到它可以審核策略更改、登錄事件、對(duì)象訪問(wèn)、過(guò)程追蹤、目錄服務(wù)訪問(wèn)、 特權(quán)使用等（圖6）o這些審核可以記錄下你某年某月某口某時(shí)某分某秒做過(guò)了什 么操作：幾時(shí)登錄、關(guān)閉系統(tǒng)或更改過(guò)哪些策略等等。我們應(yīng)該養(yǎng)成經(jīng)常在“控制面板一 管理工具一 事件查看器”里查看事件的好 習(xí)慣。比如，當(dāng)你修改過(guò)“組策略”后，系統(tǒng)就發(fā)生了問(wèn)題，此時(shí)“事件查看器”就 會(huì)及時(shí)告訴你改了哪些策略。在“登錄事件”里，你可以查看到詳細(xì)的登錄事件， 知道有人曾嘗試使用禁用的賬戶登錄、誰(shuí)的賬戶密碼已過(guò)期而要啟用哪些審 核，只要雙擊相應(yīng)的項(xiàng)目，選中“成功”和“失敗”

15、兩個(gè)選項(xiàng)即可。注意：windows xp home edition 沒(méi)有“組策略”，只有 windows xp professional版本才有“組策略”，這一點(diǎn)注意。七、限制ie瀏覽器的保存功能當(dāng)多人共用一臺(tái)計(jì)算機(jī)時(shí)，為了保持硬盤(pán)的整潔，需要對(duì)瀏覽器的保存功能進(jìn) 行限制使用，那么如何才能實(shí)現(xiàn)呢？具體方法為：選擇“用戶設(shè)置管理模 板 jwindows組件"-/internet explorer j瀏覽器菜單”分支。雙擊右側(cè)窗格中 的“'文件'菜單：禁用'另存為'菜單項(xiàng)”，在打開(kāi)的設(shè)置窗口中選中“已啟用”單選 按鈕（如圖7）。提示：我們述可以對(duì)“'

16、;文件'菜單：禁用另存為網(wǎng)頁(yè)菜單項(xiàng)”、“'查看'菜單：禁 用'源文件'菜單項(xiàng)”和“禁用上下文菜單”等策略項(xiàng)目進(jìn)行修改，這樣我們的ie將會(huì) 安全一些。八、禁止修改ie瀏覽器的主頁(yè)如果您不希望他人或網(wǎng)絡(luò)上的一些惡意代碼對(duì)自己設(shè)定的ie瀏覽器主頁(yè)進(jìn)行 隨意更改的話，我們可以選擇“用戶配置”-“管理模板”-“windows組 件"-/internet explorer*'分支，然后在右側(cè)窗格中，雙擊嗓用更改主頁(yè)設(shè)置”策略 啟用即可。(1) 在圖&述提供了更改歷史記錄設(shè)置、更改顏色設(shè)置和更改internet臨時(shí)文 件設(shè)置等項(xiàng)目的禁用功能。

17、如果啟用了這個(gè)策略，在ie瀏覽器的“internet選項(xiàng)” 對(duì)話框中，其“常規(guī)選項(xiàng)卡的“主頁(yè)”區(qū)域的設(shè)置將變灰。(2) 如果設(shè)置了位于“用戶配置j“管理模板"windows組件"internet explorer”internet控制面板”中的“禁用常規(guī)頁(yè)”策略，則無(wú)需設(shè)置該策略，因 為“禁用常規(guī)頁(yè)”策略將刪除界面上的“常規(guī)選項(xiàng)卡。(3) 逐級(jí)展幵'用戶設(shè)置管理模板”windows組伴'-/internet explorer”分 支，我們可以在其下發(fā)現(xiàn)“internet控制面板”、“脫機(jī)頁(yè)”瀏覽器菜單”、“工具欄”、 “持續(xù)行為”和“管理員認(rèn)可的控件”等策略

18、選項(xiàng)。利用它可以充分打造一個(gè)極有個(gè) 性和安全的ieo九、把a(bǔ)dministrator藏起來(lái)windows系統(tǒng)默認(rèn)的系統(tǒng)管理員賬戶名是administrator。因此，為了避免 有人惡意破解系統(tǒng)管理員administrator賬戶的密碼，我們可以將administrator 改為其他名字以加強(qiáng)安全。點(diǎn)擊“開(kāi)始一運(yùn)行”，輸入gpedit.msc,打開(kāi)“組策略”, 如圖9所示，選擇“計(jì)算機(jī)配置-windows設(shè)置一安全設(shè)置-本地策略一安全選 項(xiàng)”，在右邊窗格里雙擊“賬戶：重命名系統(tǒng)管理員賬戶”項(xiàng)，在上面輸入你想要的 用戶名。重新啟動(dòng)計(jì)算機(jī)后，輸入的新用戶名即刻生效。如果再新建一個(gè)guest 用戶，用

19、戶名為administrator,然后再加上十分復(fù)雜的密碼就更安全。提示：為了避免讓人在windows的登錄框中看到曾經(jīng)登錄過(guò)的用戶名，就 要雙擊“交互式登錄：不顯示上次的用戶名”子項(xiàng)，選擇“已啟用”將該策略啟用。 這樣上次登錄到計(jì)算機(jī)的用戶名就不會(huì)顯示在windows的登錄畫(huà)面中。十禁用ie組件自動(dòng)安裝選擇“計(jì)算機(jī)配置 j“管理模板"-/windows組件 j“l(fā)nternet explorer”項(xiàng)目， 雙擊右邊窗口中“禁用internet explorer組件的自動(dòng)安裝”項(xiàng)目，在打開(kāi)的窗口中 選擇“己?jiǎn)⒂谩眴芜x按鈕(如圖10),將會(huì)禁止internet explorer自動(dòng)安裝組

20、件。這 樣可以防止internet explorer在用戶訪問(wèn)到需要某個(gè)組件的網(wǎng)站時(shí)下載該組 件，篡改ie的行為也會(huì)得到遏制!相對(duì)來(lái)說(shuō)ie也會(huì)安全許多！小提示如果禁用該策略或不對(duì)其進(jìn)行配置，則用戶在訪問(wèn)需要某個(gè)組件的網(wǎng)站時(shí)，將 會(huì)收到一則消息，提示用戶下載并安裝該組件。有時(shí)用戶看也不看就選擇“安裝” 則往往會(huì)出問(wèn)題。網(wǎng)上的很多惡意代碼往往都是這樣工作的。十四、windows 2000安全檢查清單在網(wǎng)上偶爾看到這篇關(guān)于window 2000安全的問(wèn)題，雖然有點(diǎn)老了，但覺(jué)得還 是挺實(shí)用的，于是就轉(zhuǎn)過(guò)來(lái)了，希望大家有所幫助。注意：很多操作請(qǐng)不要在服 務(wù)器上直接嘗試，因?yàn)椴僮鞑划?dāng)可能會(huì)引起服務(wù)器很多功

21、能出錯(cuò)或無(wú)法使用，建 議您在個(gè)人的機(jī)器上操作成功后再試。51windows（海娃）前段時(shí)間，中美網(wǎng)絡(luò)大戰(zhàn)，我看了一些被黑的服務(wù)器，發(fā)現(xiàn)絕人部分被黑的服 務(wù)器都是nvwin2000的機(jī)器，真是慘不忍睹。windows2000真的那么不安全 么？其實(shí)，windows2000含有很多的安全功能和選項(xiàng)，如果你合理的配置它們, 那么windows 2000將會(huì)是一個(gè)很安全的操作系統(tǒng).我抽空翻了一些網(wǎng)站，翻譯 加湊數(shù)的整理了一篇checklist tb來(lái)。希望對(duì)win2000管理員有些幫助。木文并 沒(méi)有什么高深的東西，所謂的清單，也并不完善，很多東西要等以后慢慢加了， 希望能給管理員作一參考。具體清單如下

22、：初級(jí)安全篇1 物理安全服務(wù)器應(yīng)該安放在安裝了監(jiān)視器的隔離房間內(nèi)，并h監(jiān)視器要保留15天以上的 攝像記錄。另外，機(jī)箱,鍵盤(pán)，電腦桌抽屜要上鎖，以確保旁人即使進(jìn)入房間也 無(wú)法使用電腦，鑰匙要放在另外的安全的地方。2. 停掉guest帳號(hào)在計(jì)算機(jī)管理的用戶里面把guest帳號(hào)停用掉，任何吋候都不允許guest帳號(hào)登 陸系統(tǒng)。為了保險(xiǎn)起見(jiàn)，最好給guest加一個(gè)復(fù)雜的密碼，你可以打開(kāi)記事本, 在里面輸入一串包含特殊字符,數(shù)字，字母的長(zhǎng)字符串，然后把它作為guest帳 號(hào)的密碼拷進(jìn)去。3 限制不必要的用戶數(shù)量 去掉所有的duplicate user帳戶，測(cè)試用帳戶，共享帳號(hào)，普通部門(mén)帳號(hào)等等。 用戶組

23、策略設(shè)置相應(yīng)權(quán)限，并且經(jīng)常檢查系統(tǒng)的帳戶，刪除已經(jīng)不在使用的帳戶。 這些帳戶很多吋候都是黑客們?nèi)肭窒到y(tǒng)的突破口，系統(tǒng)的帳戶越多，黑客們得到 合法用戶的權(quán)限可能性一般也就越大。國(guó)內(nèi)的nt/2000主機(jī)，如果系統(tǒng)帳戶超過(guò) 10個(gè)，一般都能找出一兩個(gè)弱口令帳戶。我曾經(jīng)發(fā)現(xiàn)一臺(tái)主機(jī)197個(gè)帳戶中竟 然有180個(gè)帳號(hào)都是弱口令帳戶。4. 創(chuàng)建2個(gè)管理員用帳號(hào)雖然這點(diǎn)看上去和上面這點(diǎn)有些矛盾，但事實(shí)上是服從上面的規(guī)則的。創(chuàng)建一個(gè) 一般權(quán)限帳號(hào)用來(lái)收信以及處理一些日常事物，另一個(gè)擁有administrators權(quán) 限的帳戶只在需要的時(shí)候使用?？梢宰尮芾韱T使用“runas”命令來(lái)執(zhí)行一些 需要特權(quán)才能作的一些

24、工作，以方便管理。5. 把系統(tǒng)administrator帳號(hào)改名大家都知道，windows 2000的administrator帳號(hào)是不能被停用的，這意味著 別人可以一遍又一邊的嘗試這個(gè)帳戶的密碼。把a(bǔ)dministrator帳戶改名可以有 效的防止這一點(diǎn)。當(dāng)然，請(qǐng)不要使用admin z類的名字，改了等于沒(méi)改，盡量 把它偽裝成普通用戶，比如改成：guestone。6. 創(chuàng)建一個(gè)陷阱帳號(hào)什么是陷阱帳號(hào)？ look!創(chuàng)建一個(gè)名為” administrator”的本地帳戶，把它的權(quán)限 設(shè)置成最低，什么事也干不了的那種，并且加上一個(gè)超過(guò)10位的超級(jí)復(fù)雜密碼。 這樣可以讓那些scripts s忙上一段時(shí)

25、間了，并且可以借此發(fā)現(xiàn)它們的入侵企圖。 或者在它的login scripts上面做點(diǎn)手腳。嘿嘿，夠損！7. 把共享文件的權(quán)限從”everyone”組改成“授權(quán)用戶”“everyone”在win2000中意味著任何有權(quán)進(jìn)入你的網(wǎng)絡(luò)的用戶都能夠獲得這些 共享資料。任何時(shí)候都不要把共享文件的用戶設(shè)置成”everyone”組。包括打印共 享，默認(rèn)的屬性就是”everyone”組的，一定不要忘了改。&使用安全密碼一個(gè)好的密碼對(duì)于一個(gè)網(wǎng)絡(luò)是非常重要的，但是它是最容易被忽略的。前面的所 說(shuō)的也許已經(jīng)可以說(shuō)明這一點(diǎn)了。一些公司的管理員創(chuàng)建帳號(hào)的時(shí)候往往用公司 名，計(jì)算機(jī)名，或者一些別的一猜就到的東西做

26、用戶名，然后又把這些帳戶的密 碼設(shè)置得n簡(jiǎn)單，比如“welcome” “iloveyou” “l(fā)etmein”或者和用戶名相同等等。 這樣的帳戶應(yīng)該要求用戶首此登陸的時(shí)候更改成復(fù)雜的密碼，還要注意經(jīng)常更改 密碼。前些天在irc和人討論這一問(wèn)題的時(shí)候，我們給好密碼下了個(gè)定義：安 全期內(nèi)無(wú)法破解出來(lái)的密碼就是好密碼，也就是說(shuō)，如果人家得到了你的密碼文 檔，必須花43天或者更長(zhǎng)的時(shí)間才能破解出來(lái)，而你的密碼策略是42天必須 改密碼。9 設(shè)置屏幕保護(hù)密碼很簡(jiǎn)單也很有必要，設(shè)置屏幕保護(hù)密碼也是防止內(nèi)部人員破壞服務(wù)器的一個(gè)屏 障。注意不要使用opengl和一些復(fù)雜的屏幕保護(hù)程序，浪費(fèi)系統(tǒng)資源，讓他 黑屏就

27、可以了。還有一點(diǎn)，所有系統(tǒng)用戶所使用的機(jī)器也最好加上屏幕保護(hù)密碼。10. 使用ntfs格式分區(qū)把服務(wù)器的所有分區(qū)都改成ntfs格式。ntfs文件系統(tǒng)要比f(wàn)at,fat32的文 件系統(tǒng)安全得多。這點(diǎn)不必多說(shuō)，想必大家得服務(wù)器都己經(jīng)是ntfs的了。11. 運(yùn)行防毒軟件我見(jiàn)過(guò)的win2000/nt服務(wù)器從來(lái)沒(méi)有見(jiàn)到有安裝了防毒軟件的，其實(shí)這一點(diǎn)非 常重要。一些好的殺毒軟件不僅能殺掉一些著名的病毒，還能查殺大量木馬和后 門(mén)程序。這樣的話，“黑客”們使用的那些有名的木馬就毫無(wú)用武之地了。不要忘 了經(jīng)常升級(jí)病毒庫(kù)12. 保障備份盤(pán)的安全一旦系統(tǒng)資料被破壞，備份盤(pán)將是你恢復(fù)資料的唯一途徑。備份完資料后，把備

28、 份盤(pán)防在安全的地方。千萬(wàn)別把資料備份在同一臺(tái)服務(wù)器上，那樣的話，還不如 不要備份。中級(jí)安全篇：1. 利用win2000的安全配置工具來(lái)配置策略微軟提供了一套的基于mmc（管理控制臺(tái)）安全配置和分析工具，利用他們你可 以很方便的配置你的服務(wù)器以滿足你的要求。具體內(nèi)容請(qǐng)參考微軟主頁(yè)：2. 關(guān)閉不必要的服務(wù)windows 2000 的 terminal services （終端服務(wù)），iis ,和 ras 都可能給你的 系統(tǒng)帶來(lái)安全漏洞。為了能夠在遠(yuǎn)程方便的管理服務(wù)器，很多機(jī)器的終端服務(wù)都 是開(kāi)著的，如果你的也開(kāi)了，要確認(rèn)你已經(jīng)正確的配置了終端服務(wù)。有些惡意的 程序也能以服務(wù)方式悄悄的運(yùn)行。要留意

29、服務(wù)器上面開(kāi)啟的所有服務(wù)，中期性（每 天）的檢查他們。下面是c2級(jí)別安裝的默認(rèn)服務(wù)：computer browser service tcp/ip netbios helpermicrosoft dns server spoolerntlm ssp serverrpc locator winsrpc service workstation netlogon eve nt log3. 關(guān)閉不必要的端口關(guān)閉端口意味著減少功能，在安全和功能上面需要你作一點(diǎn)決策。如果服務(wù)器安 裝在防火墻的后面，冒的險(xiǎn)就會(huì)少些，但是，永遠(yuǎn)不要認(rèn)為你可以高枕無(wú)憂了。 用端口掃描器掃描系統(tǒng)所開(kāi)放的端口，確定開(kāi)放了哪些服務(wù)是黑客入侵你的系統(tǒng) 的第一步。system32driversetcservices文件中有知名端口和服務(wù)的對(duì)照表可 供參考。具體方法為：網(wǎng)上鄰居屬性木地連接屬性internet協(xié)議(tcp/ip)屬性高級(jí)選項(xiàng)tcp/ip 篩選屬性打開(kāi)tcp/ip篩選，添加需要的tcp,udp,協(xié)議即可。4. 打開(kāi)審核策略開(kāi)啟安全審核是win2000最基木的入侵檢測(cè)方法。當(dāng)有人