computer 版 (精华区)

发信人: neverbw (浪子~期待黑色七月), 信区: network
标  题: 详解Win2000的安全设置(1)
发信站: 听涛站 (2001年09月23日00:31:36 星期天), 站内信件

随着Windows的不断升级，WinDWOS的安全性也越来越强，但时至今日的Win2000的安全性
如果不进行全面有效的设置，在网络社会的今天仍显得那么不堪一击。然而用过Win200
0系统的朋友都知道，Win2000是Windows系统的一次大升级，它变得不再是那么简单明了
了，要全面掌握了还真不容易，要谈到以前较少涉及的安全性设置问题那更是显得无从
下手。
　　其实Win2000的安全性设置在从我们安装Win2000时一开始就在一点一滴地进行，当
我们安装完Win2000软件重新启动后系统还会自动弹出一些设置项目，光这些就足以吓倒
一些新手了。下面我就我在应用和维护Win2000系统中积累的一些经验作一介绍，希望对
各位在应用Win2000中有些帮助，不敢讲按我下面所讲Win2000系统就万无一失，至少不
会千创百孔。
一、系统的安装
　　在上面我讲了，Win2000的安全设置其实早在一开始我们进行Win2000系统安装的同
时就开始了，我们千万不能以老眼光看待新事物，在Win2000安装完重启后系统会自动弹
出一个对话框，要求我们设置一大堆项目，在这一大堆项目中有相当一部分都与Win200
0的安全设置有关。这不要说对于以前用惯了Win9X系统的朋友觉得无从下手，就是象我
这样以前用NT的老朋友也一时难以接受。然而这些项目设置不好，轻则某些功能不能达
到目的，重则在系统网络中根本无法使用。
　　在系统安装过程中主要要注意以下几点：
　　1、硬盘的分区
　　至少建立两个逻辑分区，一个用作系统分区，另一个用作应用程序分区，现在的硬
盘是越来越大，一般最好分三个至四个分区，这样就可以把自己的文件单独放在一个分
区中。
　　再就是所有的分区应最好都是NTFS格式，因为这种文件格式的分区在安全性方面更
加有保障，至少是系统分区中应是如此。同时象微软的IIS、Outlook、Exchange Serve
r等软件经常会有漏洞，如果把软件与系统安装在同一个驱动器会导致系统文件的泄漏，
甚至让入侵者远程获取管理权。
2、系统版本的选择
　　我们知道在目前Windows系统中，都是先有英文版，然后才有各国其它语言的版本，
也就是说Windows系统的内核语言是英语，这样相对来说它的内核版本理应比它的编译版
本中的BUG少许多，事实也是如此，特别是在安全设置方面，不仅Win2000如此，原来的
NT，甚至Win9X同样存在这样的问题，只不过在NT4.0或Win9X中影响不是这么大，很少引
起人注意而已！这主要是由不同语言的兼容性引起的，这一点是很难克服的。
　　打个最简单的经喻，就象我们要翻译一篇英文文章一样，我们不可能做到百分百地
与原文意思一致，更何况这么大一个系统，不知要写多少行的程序！所以如果是在单位
网络中用Win2000，最好还是选用原英文版的，这样选择的好处还在于将来升级、加补丁
也远比其它语言版本快许多！
　　3、正确的网络接入时间
　　我们都有这样一个坏习惯，那就是在安装系统之前我们会把一切硬件都连接好，这
主要是方便系统的安装，但在安装Win2000系统时要注意，我们最好在系统未全部安装完
全之前不要连入网络，特别是Internet。因为Win2000在安装时有一个漏洞，就是在输入
用户管理员账号“Administrator”的密码后，系统会建立“$ADMIN”的共享账号码，但
是并没有用刚输入的密码来保护它，这种情况一直会持续到计算机再次启动。在此期间
，任何人都可以通过“$ADMIN”进入系统；同时，只要安装一完成，各种服务就会自动
运行，而这时的服务器还到处是漏洞，非常容易从外部侵入。
　　因此，在完全安装并配置好Win2000 Server之前，一定不要把主机接入网络。
　
二、 系统及应用软件安全设置
　　（一）、用户账号的安全设置
　　在一个局域网中，正确有效地设置各不同组用户账号的权限，是确保网络安全的首
要因素。至于如何设置用户访问权限我想大家都非常清楚，我不再多讲，我只是想说明
的一点就是，Win2000的默认安装允许所有用户通过空用户名和空密码得到系统所有账号
和共享列表，这本来是为了方便局域网用户共享资源和文件的，但是，同时任何一个远
程用户也可以通过同样的方法得到你的用户列表，并可能使用暴力法破解用户密码给整
个网络带来破坏，这是整个网络中的最大不安全因素之一。
当然我们不是没有办法来控制这一不安全因素所带来的负面影响，我们可以有以下方法
：
　　1、改注册表
　　在注册表中的HEKY_Local_Machine\System\CurrentControlSet\Control\Lsa中有一
个键值是用来禁止空用户连接的，那就是RestrictAnonymous （匿名登录的限制），如
果没有这个主键值我们可以自己添加，系统的默认值为“0”，如图1所示，
图1（点击放大）
我们只要把这个主键值设为“1”即可，这样Win2000系统就不能用空用户账号来进行登
录。
　　2、设置安全策略
　　Win2000的本地安全策略里（如果你已转换成域服务器就是在“域服务器安全和域安
全策略”里）也有RestrictAnonymous（匿名连接的额外限制）这样的选项，如下图2所
示，
图2（点击放大）
双击这个选项，即可看到在这个选项中我们可以有三个选项，如下图3所示，
图3（点击放大）
　　分别是：
　　1）、无，依赖于默认许可权限
　　2）、不允许枚举SAM账号和共享
　　3）、没有显式匿名权限就不允许访问
　　第一项是系统默认的，没有任何限制，远程用户可以以匿名账号登录到你的服务器
，知道你机器上所有的账号、组信息、共享目录、网络传输列表(NetServerTransportE
num)等，对服务器来说这样的设置非常危险。第二项是只允许非NULL（空）用户存取SA
M账号信息和共享信息。第三项只有Win2000才支持，需要注意的是，如果使用了这个值
，就不能再有共享资源了，所以还是推荐把数值设为“1”比较好。
　　其实在本地安全策略中我们还有许多安全选项可以设置，如下图4所示，
图3（点击放大）
　　相信多数对Win2000有一定认识人朋友都可以按照选取项的标题来有效设置所需要的
项。特别是要对上图标注的选项，有关Win2000的文件加密与数字签名可参考我的另一篇
稿件——《Win2000的文件加密与数字签名》, 另一个要注意的是在上图中我们只可对“
本地设置”进行设置，“有效设置”只有当设置完成后重启系统后由系统自己完成。

--
当爱情不再完美我宁愿选择无悔不管来生多么美丽我无法失去今生对你的记忆!

※ 来源:·听涛站 tingtao.dhs.org·[FROM: 匿名天使的家]