Windows 2000的12個安全防範對策

由於Win2000作業系統良好的網路功能，因此在網際網路中有部分網站伺服器開始使用的Win2000作為主作業系統的。但由於該作業系統是一個多使用者作業系統，駭客們為了在攻擊中隱藏自己，往往會選擇Win2000作為首先攻擊的對象。那麼，作為一名Win2000使用者，我們該如何通過合理的方法來防範Win2000的安全呢?下面筆者搜集和整理了一些防範Win2000安全的幾則措施，現在把它們貢獻出來，懇請各位網友能不斷補充和完善。

1、及時備份系統

為了防止系統在使用的過程中發生以外情況而難以正常運行，我們應該對Win2000完好的系統進行備份，最好是在一完成Win2000系統的安裝任務後就對整個系統進行備份，以後可以根據這個備份來驗證系統的完整性，這樣就可以發現系統檔案是否被非法修改過。如果發生系統檔案已經被破壞的情況，也可以使用系統備份來恢複到正常的狀態。備份資訊時，我們可以把完好的系統資訊備份在CD-ROM光碟片上，以後可以定期將系統與光碟片內容進行比較以驗證系統的完整性是否遭到破壞。如果對安全層級的要求特別高，那麼可以將光碟片設定為可開機並且將驗證工作作為系統啟動過程的一部分。這樣只要可以通過光碟片啟動，就說明系統尚未被破壞過。

2、設定系統格式為NTFS

安裝Win2000時，應選擇自訂安裝，僅選擇個人或單位必需的系統組件和服務，取消不用的網路服務和協議，因為協議和服務安裝越多，入侵者入侵的途徑越多，潛在的系統安全隱患也越大。選擇Win2000檔案系統時，應選擇NTFS檔案系統，充分利用NTFS檔案系統的安全性。NTFS檔案系統可以將每個使用者允許讀寫的檔案限制在磁碟目錄下的任何一個檔案夾內，而且Win2000新增的磁碟限額服務還可以控制每個使用者允許使用的磁碟空間大小。

3、加密檔案或檔案夾

為了防別人偷看系統中的檔案，我們可以利用Win2000系統提供的加密工具，來保護檔案和檔案夾。其具體操作步驟是，在“Win 資源管理員”中，用滑鼠右鍵單擊想要加密的檔案或檔案夾，然後單擊“屬性”。單擊“常規”選項卡上的“進階”，然後選定“加密內容以保證資料安全”複選框。

4、不共用目錄的EveryOne組

預設情況下，在Win2000中新增一個共用目錄時，作業系統會自動將EveryOne這個使用者組添加到許可權模組當中，由於這個組的預設許可權是完全控制，結果使得任何人都可以對共用目錄進行讀寫。因此，在建立共用目錄之後，要立刻刪除EveryOne組或者將該組的許可權調整為讀取。

5、建立緊急修複盤

如果系統一不小心被破壞而不能正常啟動時，就需要專用的Win2000系統啟動盤，為此我們一定要記得在Win2000安裝完好後建立一個緊急修複磁碟。在建立該啟動盤時，我們可以利用Win2000的一個名為NTBACKUP.EXE的工具來實現。運行NTBACKUP.EXE，從工具列中選擇“建立緊急修複盤Create an Emergency Repair Disk”在A：磁碟機中插入一張空白欄框式化的磁碟片，並點擊“確定”，點擊“確定”到達完成資訊，再點擊“確定”。修複盤不再可以用來恢複使用者帳號資訊等，而且您必須備份/恢複Active Directory，在備份中將被覆蓋。

6、改進登入伺服器

將系統的登入伺服器移到一個單獨的機器中會增加系統的安全層級，使用一個更安全的登入伺服器來取代Win2000自身的登入工具也可以進一步提高安全。在大的Win2000網路中，最好使用一個單獨的登入伺服器用於登入服務。它必須是一個能夠滿足所有系統登入需求並且擁有足夠的磁碟空間的伺服器系統，在這個系統上應該沒有其它的服務運行。更安全的登入伺服器會大大削弱入侵者透過登入系統竄改記錄檔的能力。

7、使用好安全機制

嚴格設計管理好Win2000系統的安全規則，其內容主要包括“密碼規則”、“帳號鎖定規則”、“使用者權限分配規則”、“審核規則”以及“IP安全規則”。對全部使用者都應按工作需要進行分組，合理對使用者分組是進行系統安全設計的最重要的基礎。利用安全規則可以限定使用者口令的有效期間、口令長度。設定登入多少次失敗後鎖定工作站，並對使用者備份檔案和目錄、關機、網路訪問等各項行為進行有效控制。

8、對系統進行追蹤記錄

為了能密切地監視駭客的攻擊活動，我們應該啟動Win2000的記錄檔，來記錄系統的運行情況，當駭客在攻擊系統時，它的蛛絲馬跡都會被記錄在記錄檔中的，因此有許多駭客在開始攻擊系統時，往往首先通過修改系統的記錄檔，來隱藏自己的行蹤，為此我們必須限制對記錄檔的訪問，禁止一般許可權的使用者去查看記錄檔。當然，系統中內建的日誌管理程式功能可能不是太強，我們應該採用專門的日誌程式，來觀察那些可疑的多次串連嘗試。另外，我們還要小心保護好具有根許可權的密碼和使用者，因為駭客一旦知道了這些具有根許可權的帳號後，他們就可以修改記錄檔來隱藏其蹤跡了。

9、使用好登入指令檔

制定系統策略和使用者登入指令檔，對網路使用者的行為進行適當的限制。我們可以利用系統策略編輯器和使用者登入指令檔為使用者設定工作環境，控制使用者在案頭上進行的操作，控制使用者執行的程式，控制使用者登入的時間和地點(如只允許使用者在上班時間、在自己辦公室的機器上登入，除此以外一律禁止訪問)，採取以上措施可以進一步增強系統的安全性。

10、經常檢查系統資訊

如果在工作的過程中突然覺得電腦工作不對勁時，彷彿感覺有人在遙遠的地方遙控你。這時，你必須及時停止手中的工作，立即按Ctrl+Alt+Del複合鍵來查看一下系統是否運行了什麼其他的程式，一旦發現有莫名其妙的程式在運行，你馬上停止它，以免對整個電腦系統有更大的威脅。但是並不是所有的程式運行時出現在程式列表中，有些程式例如Back Orifice(一種駭客的後門程式)並不顯示在Ctrl+Alt+Del複合鍵的進程列表中，最好運行“附件”/“系統工具”/“系統資訊”，然後雙擊“軟體環境”，選擇“正在運行任務”，在工作清單中尋找自己不熟悉的或者自己並沒有啟動並執行程式，一旦找到程式後應立即終止它，以防後患。

11、對病毒的襲擊要警惕

如今病毒在網際網路上傳播的速度越來越快，為防止主動感染病毒，我們最好不要在Win2000中上網訪問非法網站，不要貿然下載和運行不名真相的程式。例如如果你收到一封帶有附件的電子郵件，且附件是副檔名為EXE一類的檔案，這時千萬不能隨意運行它，因為這個不明真相的程式，就有可能是一個系統破壞程式。攻擊者常把系統破壞程式換一個名字用電子郵件發給你，並帶有一些欺騙性主題，騙你說一些：“這個東西將給您帶來驚喜”，“幫我測試一下程式”之類的話。你一定要警惕了!對待這些表面上很友好、跟善意的郵件附件，我們應該做的是立即刪除這些來曆不明的檔案。

12、設定好系統的安全參數

充分利用NTFS檔案系統的本地安全效能，設計好NTFS檔案系統中檔案和目錄的讀寫、存取權限，對使用者進行分組。對不同組的使用者分別授予拒絕訪問、讀取和更改許可權，一般只賦予所需要的最小的目錄和檔案的許可權。值得注意的是對完全控制許可權的授予應特別小心。對於網路資源共用，更要設計好檔案系統的網際網路共用許可權，對不應共用的檔案和目錄決不能授予共用許可權。對能夠共用的檔案和目錄，應對不同的組和使用者分別授予拒絕訪問、讀、更改和完全控制等許可權。