Windows2000安全设置清单

实验：在Windows 2000上实现操作系统安全配置方案实验环境1台带有活动网络连接（插有网卡且工作正常）、安装有VMware虚拟机软件的PC机，其中主机环境的配置如表5_1所示：表5_1 本环境：主机操作系统的配置操作系统Windows2000 三种版本均可，推荐Win XP SP3Telnet工具F-Term v2.3.0.724版FTP工具Cute FTP pro v30Web浏览器IE5.0，推荐IE6.0中文版IP地址192.168.6.201虚拟机环境的配置如下表5_2所示：表5_2 本环境：虚拟机操作系统的配置操作系统Windows 2000 Advance server SP0并且安装所有服务。

Web服务器IIS 5.0IP地址192.168.6.200具体本实验中，要求1人一组完成对操作系统的安全配置。

实验目的1、通过该实验，熟悉、了解网络环境中提高Windows系列操作系统安全性的配置方法，充分理解系统注册表的重要性，进一步加深对TCP／IP协议的理解和认识。

2、具体本实验中，要求能够在Windows XP / 2000 Professional / 2000 Server三种版本的Windows操作系统平台上进行初级、中级、高级安全配置方案的各项策略，掌握系统安全性的一般性防御技术。

实验步骤1、实验前先预习教师下发的指导幻灯片，写出详细的实验步骤；1.1在运行里输入MMC1.2控制台—添加∕删除管理单元—添加：IP安全策略管理，安全模板安全配置和分析，组策略，本地用户和组2、每个人在自己的虚拟机系统上，通过MMC管理控制台使用MS提供的安全模板（Security Template）和安全配置和分析（Security Configuration and Analysis）管理单元配置操作系统下述7个安全设置项目：先将setup security另存为hhm security①账户策略：密码策略：对密码必须符合复杂度要求，密码长度最小值，强制密码历史分别对他们的值进行修改：都是为了增加密码的强度：修改后得到如图所示的结果：账户锁定策略进行修改对如下几项进行修改（防止黑客不断的进行密码拆解）：修改后结果如图所示：②本地策略对本地策略进行如下修改：修改后结果如下图：修改用户指派权利：修改安全选项：③事件日志④受限制的组双击USERS⑤系统服务维护系统上计算机的最新列表以及提供这个列表：允许程序在制定时间运行：在局域网以及广域网环境中为企业提供路由服务：管理可移动媒体，驱动程序和库：允许远程注册表操作：将文件加载到内存中以后打印。

1.屏幕保护密码通过在桌面右击鼠标,进入“属性→显示属性→屏幕保护程序选项卡→密码保护”进行密码设置。

运行屏幕保护,除了设置时间外,还可以在桌面上建立它的快捷方式(找到“WINDOWS\\\\SYSTEM”目录下的.scr文件即可),还可以让它启动后自动运行(通过“启动”组实现并不安全)。

⑴启动注册表编辑器regedit;⑵展开HKEY_LOCAL_MACHINE\\\\SOFTWARE\\\\Microsoft\\\\Windows\\\\CurrentVersion \\\\Run分支;⑶在Run主键中新建一个名为“密码确认”的字符串值;⑷双击新建的“密码确认”的字符串,打开“编辑字符串”对话框;⑸在“编辑字符串”对话框的“键值”栏中输入相应的屏保程序名及所在路径。

通过这样的设置每次启动系统时屏保都会自动运行,按Ctrl键试图跳过和按“Ctrl+Alt+Del”试图关闭都无能为力,从而确保系统安全。

2.禁止光盘的自动运行功能Windows 2000的光盘的自动运行功能也是系统安全的隐患,光盘中只要存在autorun.inf文件,则系统会自动试图执行文件中 open 字段后的文件路径(市场上已经出现了破解屏保密码的光盘,如果不禁止光盘的自动运行功能,以上所做的设置都将是白费),步骤为:⑴展开HKEY_LOCAL_MACHINE\\\\SOFTWARE\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Policie s\\\\Explorer子键分支;⑵在Explorer主键中新建DWORD值NoDriveTypeAutoRun,改值为1。

对普通用户权限的设置对普通用户,我们一方面应根据工作需要赋予他们适当的权限,如启动计算机,打开相应的应用程序对自己的数据文件进行拷贝、删除与操作,以保证工作的正常开展;另一方面,为了防止他们对系统进行修改而破坏整个系统,必须对他们的权限进行必要的限制。

Windows 2000的12个平安防范对策电脑资料由于Win2000操作系统良好的网络功能，因此在因特网中有部分网站效劳器开始使用的Win2000作为主操作系统的，1、及时备份系统为了防止系统在使用的过程中发生以外情况而难以正常运行，我们应该对Win2000完好的系统进展备份，最好是在一完成Win2000系统的安装任务后就对整个系统进展备份，以后可以根据这个备份来验证系统的完好性，这样就可以发现系统文件是否被非法修改正。

假设发生系统文件已经被破坏的情况，也可以使用系统备份来恢复到正常的状态。

备份信息时，我们可以把完好的系统信息备份在CD-ROM光盘上，以后可以定期将系统与光盘内容进展比较以验证系统的完好性是否遭到破坏。

假设对平安级别的要求特别高，那么可以将光盘设置为可启动的并且将验证工作作为系统启动过程的一部分。

这样只要可以通过光盘启动，就说明系统尚未被破坏过。

2、设置系统格式为NTFS安装Win2000时，应选择自定义安装，仅选择个人或单位必需的系统组件和效劳，取消不用的网络效劳和协议，因为协议和效劳安装越多，入侵者入侵的途径越多，潜在的系统平安隐患也越大。

选择Win2000文件系统时，应选择NTFS文件系统，充分利用NTFS文件系统的平安性。

NTFS文件系统可以将每个用户允许读写的文件限制在磁盘目录下的任何一个文件夹内，而且Win2000新增的磁盘限额效劳还可以控制每个用户允许使用的磁盘空间大小。

3、加密文件或文件夹为了防别人偷看系统中的文件，我们可以利用Win2000系统提供的加密工具，来保护文件和文件夹。

其详细操作步骤是，在“Win 资源器”中，用鼠标右键单击想要加密的文件或文件夹，然后单击“属性”。

单击“常规”选项卡上的“高级”，然后选定“加密内容以保证数据平安”复选框。

4、取消共享目录的EveryOne组默认情况下，在Win2000中新增一个共享目录时，操作系统会自动将EveryOne这个用户组添加到权限模块当中，由于这个组的默认权限是完全控制，结果使得任何人都可以对共享目录进展读写。

终端模式下Windows 2000的安全设置前言微软的操作系统从最初的单任务、单用户的DOS，到多任务、单用户的Windows 3.1、Windows 95/98，到目前的多任务、多用户的Windows 2000操作系统，从原来的一台机器仅仅是一个用户运行单一的应用程序，到一个用户可以运行多个应用程序，再到目前一台机器可以由多个用户同时登陆使用，并且同时运行多个应用程序，微软在操作系统的领域，已经有了一系列的可以满足各种不同需求的从低到高的操作系统群了。

目前最新的操作系统Windows 2000服务器操作系统，便是一个多用户、多任务的操作系统，提供了一个战略性的功能，终端服务功能，用户通过Windows终端登陆到服务器上，共享服务器上的资源，在这样一个完全共享的使用环境中，安全问题便显得特别的重要了，如何搭建一个安全高效的服务器器，为每个用户分配不同的权限，便是系统管理员的一个重要的工作内容了。

终端服务可以在应用服务器模式或远程管理模式下在服务器上进行配置。

作为应用服务器，终端服务提供了一种有效而可靠的方式，通过网络服务器分发基于 Windows 的程序。

在应用服务器模式下，终端服务为可能无法正常运行 Windows 的计算机显示 Windows 2000 的桌面以及目前基于 Windows 的大多数应用程序。

在远程管理模式下使用时，终端服务提供了远程访问的能力，使您可以从网络上的任何地方虚拟地管理您的服务器终端服务是一种多会话环境，可以让远程计算机访问服务器上运行的基于 Windows 的程序。

Windows 2000 Server 包括终端服务客户软件，以支持 16 位和 32 位基于 Windows 的客户端。

终端服务提供了通过作为终端仿真器工作的“瘦客户机”远程访问服务器的桌面。

终端服务只把该程序的用户界面传给客户机。

客户机然后返回键盘和鼠标单击动作，以便由服务器处理。

每个用户都只能登录并看到它们自己的会话，这些会话由服务器操作系统透明地进行管理，而且与任何其他客户机会话无关。

NT/WIN2000操作系统安全设置文档1、密码设置是否符合规范，即长度大于等于8位，数字、字母混用，且没有具体含义，并定期更换。

2、是否删除掉NT/WIN2K系统缺省建立的users和guest用户组里所有用户。

3、是否对系统缺省建立的帐号Administrator和guest重新命名。

NT设置：域用户管理器—>选中用户—>在用户菜单中选择更名2K设置：管理工具—>计算机管理—>用户和组—>选择用户—>更名4、是否及时安装系统补丁，NT安装SP6.0a，WIN2000安装SP2.0。

NT/WIN2000常见的漏洞及补丁说明如下：5、NT/Win2000操作系统分区是否使用NTFS格式。

6、是否将系统目录c:\winnt\system32\config以及c:\winnt\repair目录只对系统管理员开放，其他人无权访问。

7、NT/Win2000操作系统是否在启动时自动删除缺省共享ADMIN$、IPC$及每个硬盘C、D等的共享C$、D$。

(1)禁止C$、D$一类的缺省共享：在注册表中HK_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters新增键值：AutoShareServer、类型：REG_DWORD、0x0(2)禁止ADMIN$缺省共享：HK_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters新增键值：AutoShareWks、类型：REG_DWORD、0x0(3)限制IPC$缺省共享：建立一个批处理文件DEL1.BAT，里面包含如下命令：Net share ipc$ /delete ; 最后将此文件放到启动组里。

8、NT/Win2000操作系统建立新共享后，是否对其权限进行严格限制。

防患于未然轻松做好Windows2000平安策略电脑资料为大家介绍一些常用的设置方法来为Windows2000系统进展平安策略的设置从而起到平安保障的作用，一、平安策略Windows2000系统本身就有很多平安方面的破绽，这是众所周知的。

通过打补丁的方法可以减少大部分的破绽，但是并不能杜绝一些小破绽，而往往这些小破绽也是导致被攻击或入侵的重要途径。

Windows2000中自带的“本地平安策略”就是一个很不错的系统平安工具。

这个工具可以说是系统的防卫工具往往一些必要的设置就能起到防范的作用，可别小看这个工具。

下面就为大家介绍一些常用的设置方法来为系统进展平安策略的设置从而起到平安保障的作用。

二、详细操作系统的“本地平安策略”这个工具是在，单击“开场→控制面板→管理工具→本地平安策略”后，会进入“本地平安策略”的主界面。

在此可通过菜单栏上的命令设置各种平安策略，并可选择查看方式，导出列表及导入策略等操作。

1.平安日志的设置：因为平安日志是记录一个系统的重要手段，因此通过日志可以查看系统一些运行状态，而Windows2000的默认安装是不开任何平安审核的，因此需要在本地平安策略→审核策略中翻开相应的审核，2.账号平安设置：Windows2000的默认安装允许任何用户通过空用户得到系统所有账号和共享列表，造成一些密码容易泄漏而对电脑进展攻击，所以必须采用以下进展平安设置。

单击“开场→控制面板→管理工具→本地平安策略→本地策略→账户策略”，看到右栏有“密码策略、账户锁定策略”2个工程。

在密码策略中设置：启用“密码必须符合复杂性要求”，“密码长度最小值”为6个字符，“强迫密码历史”为5次，“密码最长存留期”为30天。

在账户锁定策略中设置：“复位账户锁定计数器”为30分钟之后，“账户锁定时间”为30分钟，“账户锁定值”为30分钟。

3.平安选项设置：单击“开场→控制面板→管理工具→本地平安策略→本地策略→平安选项”，找到右栏“对匿名连接的额外限制”。

1．禁用Guest帐号将所有的盘符设置为不共享。

关闭IPC$之类服务到控制面板----管理工具----服务---server禁用就可以了另一个办法是注册表方式去除缺省共享A: 2K/XP下测试通过1)禁止C$、D$一类的缺省共享HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters新建AutoShareServer、REG_DWORD、0x02)禁止ADMIN$缺省共享HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters新建AutoShareWks、REG_DWORD、0x03)限制IPC$缺省共享HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous REG_DWORD 0 缺省1 匿名用户无法列举本机用户列表2 匿名用户无法连接本机IPC$共享不建议使用2，它可能会造成一些服务无法启动，比如SQL Server2．关闭不需要的服务管理工具的服务中将它们设置为禁用一般可以禁用的服务有Telnet、Task Scheduler(允许程序在指定时间运行)、Remote Registry Service(允许远程注册表操作)等3设置IIS，构建第二道防线作为校园网的服务器，很多学校将该服务器同时作为网站服务器，而IIS的漏洞也是一个棘手的问题。

实际上，你可以通过简单的设置，完全可以将网站的漏洞补上。

你可以将IIS默认的服务都停止(如图1，FTP服务你是不需要的，要的话笔者推荐用Serv-U；“管理Web站点”和“默认Web站点”都会给你带来麻烦；SMTP一般也不用)，然后再新建一个Web站点。

3．设置好常规内容后，在“属性→主目录”的配置中对应用程序映射进行设置，删除不需要的映射(如图2)，这些映射是IIS受到攻击的直接原因。

详解Win2000的安全设置·王达·随着Windows的不断升级，WinDWOS的安全性也越来越强，但时至今日的Win2000的安全性如果不进行全面有效的设置，在网络社会的今天仍显得那么不堪一击。

然而用过Win2000系统的朋友都知道，Win2000是Windows系统的一次大升级，它变得不再是那么简单明了了，要全面掌握了还真不容易，要谈到以前较少涉及的安全性设置问题那更是显得无从下手。

其实Win2000的安全性设置在从我们安装Win2000时一开始就在一点一滴地进行，当我们安装完Win2000软件重新启动后系统还会自动弹出一些设置项目，光这些就足以吓倒一些新手了。

下面我就我在应用和维护Win2000系统中积累的一些经验作一介绍，希望对各位在应用Win2000中有些帮助，不敢讲按我下面所讲Win2000系统就万无一失，至少不会千创百孔。

在上面我讲了，Win2000的安全设置其实早在一开始我们进行Win2000系统安装的同时就开始了，我们千万不能以老眼光看待新事物，在Win2000安装完重启后系统会自动弹出一个对话框，要求我们设置一大堆项目，在这一大堆项目中有相当一部分都与Win2000的安全设置有关。

这不要说对于以前用惯了Win9X系统的朋友觉得无从下手，就是象我这样以前用NT的老朋友也一时难以接受。

然而这些项目设置不好，轻则某些功能不能达到目的，重则在系统网络中根本无法使用。

在系统安装过程中主要要注意以下几点：1、硬盘的分区至少建立两个逻辑分区，一个用作系统分区，另一个用作应用程序分区，现在的硬盘是越来越大，一般最好分三个至四个分区，这样就可以把自己的文件单独放在一个分区中。

再就是所有的分区应最好都是NTFS格式，因为这种文件格式的分区在安全性方面更加有保障，至少是系统分区中应是如此。

同时象微软的IIS、Outlook、Exchange Server 等软件经常会有漏洞，如果把软件与系统安装在同一个驱动器会导致系统文件的泄漏，甚至让入侵者远程获取管理权。