服务器安全配置精华技巧

Windows200 0 含有很多的安全功能和 选项，如果你合理的配 置它们，那么wind ows 2000将会是一个很 安全的操作系统。

　　初级安全篇 　　　

　　1.物理安全

　　服务器应该安放在 安装了监视器的隔离房 间内，并且监视器要保 留15天以上的摄像记 录。另外，机箱,键盘 ，电脑桌抽屉要上锁， 以确保旁人即使进入房 间也无法使用电脑，钥 匙要放在另外的安全的 地方。 　　　

　　2.停掉Gues t 帐号

　　在计算机管理的用 户里面把guest帐 号停用掉，任何时候都 不允许guest帐号 登陆系统。为了保险起 见，最好给guest 加一个复杂的密码，你 可以打开记事本，在里 面输入一串包含特殊字 符,数字，字母的长字 符串，然后把它作为g uest帐号的密码拷 进去。 　　　

　　3．限制不必要的 用户数量

　　去掉所有的dup licate user 帐户, 测试用帐户, 共享帐号，普通部门帐 号等等。用户组策略设 置相应权限，并且经常 检查系统的帐户，删除 已经不在使用的帐户。 这些帐户很多时候都是 黑客们入侵系统的突破 口，系统的帐户越多， 黑客们得到合法用户的 权限可能性一般也就越 大。国内的nt/20 00主机，如果系统帐 户超过10个，一般都 能找出一两个弱口令帐 户。我曾经发现一台主 机197个帐户中竟然 有180个帐号都是弱 口令帐户。 　　　

　　4．创建2个管理 员用帐号

　　虽然这点看上去和 上面这点有些矛盾，但 事实上是服从上面的规 则的。 创建一个一般权限帐号 用来收信以及处理一些 *常事物，另一个拥有 Administra tors 权限的帐户只在需要的 时候使用。可以让管理 员使用 “ RunAS” 命令来执行一些需要特 权才能作的一些工作， 以方便管理。 　　　

　　5．把系统adm inistrator 帐号改名

　　大家都知道，wi ndows 2000 的administr ator帐号是不能被 停用的，这意味着别人 可以一遍又一边的尝试 这个帐户的密码。把A dministrat or帐户改名可以有效 的防止这一点。当然， 请不要使用Admin 之类的名字，改了等于 没改，尽量把它伪装成 普通用户，比如改成： guestone 。 　　　

　　6．创建一个陷阱 帐号

　　什么是陷阱帐号? Look!>创建一个 名为” Administra tor”的本地帐户， 把它的权限设置成最低 ，什么事也干不了的那 种，并且加上一个超过 10位的超级复杂密码 。这样可以让那些 Scripts s忙上一段时间了，并 且可以借此发现它们的 入侵企图。或者在它的 login scripts上面做 点手脚。嘿嘿，够损！
　　
　　7.把共享文件的 权限从”everyo ne”组改成“授权用 户”

　　“everyon e” 在win2000中意 味着任何有权进入你的 网络的用户都能够获得 这些共享资料。任何时 候都不要把共享文件的 用户设置成”ever yone”组。包括打 印共享，默认的属性就 是”everyone ”组的，一定不要忘了 改。 　　　

　　8.使用安全密码

　　一个好的密码对于 一个网络是非常重要的 ，但是它是最容易被忽 略的。前面的所说的也 许已经可以说明这一点 了。一些公司的管理员 创建帐号的时候往往用 公司名，计算机名，或 者一些别的一猜就到的 东西做用户名，然后又 把这些帐户的密码设置 得N简单，比如 “welcome” “iloveyou” “letmein”或 者和用户名相同等等。 这样的帐户应该要求用 户首此登陆的时候更改 成复杂的密码，还要注 意经常更改密码。前些 天在IRC和人讨论这 一问题的时候，我们给 好密码下了个定义：安 全期内无法破解出来的 密码就是好密码，也就 是说，如果人家得到了 你的密码文档，必须花 43天或者更长的时间 才能破解出来，而你的 密码策略是42天必须 改密码。 　　　

　　9.设置屏幕保护 密码

　　很简单也很有必要 ，设置屏幕保护密码也 是防止内部人员破坏服 务器的一个屏障。注意 不要使用OpenGL 和一些复杂的屏幕保护 程序，浪费系统资源， 让他黑屏就可以了。还 有一点，所有系统用户 所使用的机器也最好加 上屏幕保护密码。 　　　

　　10． 使用NTFS格式分区

　　把服务器的所有分 区都改成NTFS格式 。NTFS文件系统要 比FAT,FAT32 的文件系统安全得多。 这点不必多说，想必大 家得服务器都已经是N TFS的了。