Windows 2000操作系统安全.doc

Windows 2000操作系统安全一、操作系统安全的基本设置1、物理安全l 服务器应该安放在安装了监视器的隔离房间内，并且监视器要保留15天以上的摄像记录。l 另外，机箱，键盘，电脑桌抽屉要上锁，以确保旁人即使进入房间也无法使用电脑，钥匙要放在安全的地方。2、背景知识l 用户账户： 使用一个名字来标识一个用户，它定义了用户可以访问的资源，包含了用户访问网络的各个方面。 Windows 2000 除了有两个内置的帐户 Administrator 和 guest 外，如果用户想共享网络资源，就必须有自己的帐户，通过网络管理员根据用户的级别，设置不同的权限的用户帐户。 l 用户组： 用户除了可以作为一个单独的用户存在外，还可以归属于一个特定的组。用户组用来管理用户，可以给具有相同权限的用户赋权限。 Windows 2000 内置有多个用户组，管理员也可以建立新的用户组。 操作目录：开始-设置-控制面板-管理工具-计算机管理-本地用户和组l 文件和文件夹的共享： Windows 2000 可以针对文件和文件设置不同用户的共享权限。 在本机登录的用户访问文件和文件夹时按遵循该文件和文件夹的安全权限，访问网络上的共享资源时不仅要遵循共享权限，还要遵循该共享资源的安全权限。3、实用操作（1）新用户帐号的创建练习：设置一个姓名缩写的新用户（例如zhangsan），并以该用户的身份登陆系统，要求第一次登陆时修改密码。（2）GUEST帐号的停用l 在计算机管理的用户里面把Guest帐号停用，任何时候都不允许Guest帐号登陆系统。l 为了保险起见，最好给Guest 加一个复杂的密码，密码是一串包含特殊字符,数字，字母的长字符串。l 用它作为Guest帐号的密码。并且修改Guest帐号的属性，设置拒绝远程访问l 去掉所有的测试帐户、共享帐号和普通部门帐号等等。用户组策略设置相应权限，并且经常检查系统的帐户，删除已经不使用的帐户。练习：用Administrator用户登陆，停用GUEST用户，密码设置为6335%*36，并且要求用户不能更改密码；设置Administrator密码为save_%。并分别用Administrator和GUEST用户登陆验证。（3）管理员帐号改名l Windows 2000中的Administrator帐号是不能被停用的，这意味着别人可以一遍又一边的尝试这个帐户的密码。把Administrator帐户改名可以有效的防止这一点。l 不要使用Admin之类的名字，改了等于没改，尽量把它伪装成普通用户，比如改成：guestone。具体操作的时候只要选中帐户名改名就可以了。注意点：修改名字，不要使用它作为日常帐户;使用后不要保持登录状态。（4）陷阱帐号l 所谓的陷阱帐号是创建一个名为“Administrator”的本地帐户，把它的权限设置成最低，什么事也干不了的那种，并且加上一个超过10位的超级复杂密码。l 这样可以让那些企图入侵者忙上一段时间了，并且可以借此发现它们的入侵企图。可以将该用户隶属的组修改成Guests组。 目的1：诱饵，吸引注意力，破解了也没有关系。 目的2: 可以帮助你判断谁在攻击你。练习：修改Administrator用户为myguest，设置密码为10为复杂密码（自由设置，要求有特殊字符），创建陷阱用户Admin，全名Administrator，描述My Computer,隶属于GUEST组，设置最低权限。(5) 更改默认权限l 共享文件的权限从“Everyone”组改成“授权用户”。“Everyone”在Windows 2000中意味着任何有权进入你的网络的用户都能够获得这些共享资料。l 任何时候不要把共享文件的用户设置成“Everyone”组。包括打印共享，默认的属性就是“Everyone”组的，一定不要忘了改。 练习：D盘新建文件夹file，内有一个try.txt的文件，正文内容为“测试共享，请注意请注意”。设置file共享，只能由上一题目中myguest用户可以更改，只能由用户kecheng读取。（6）设置安全密码l 一些网络管理员创建帐号的时候往往用公司名、计算机名，或者一些别的一猜就到的字符做用户名，然后又把这些帐户的密码设置得比较简单，比如：“welcome”、“iloveyou”、“letmein”或者和用户名相同的密码等。l 这里给好密码下了个定义：安全期内无法破解出来的密码就是好密码，也就是说，如果得到了密码文档，必须花43天或者更长的时间才能破解出来，密码策略是42天必须改密码。（7）屏幕保护密码l 设置屏幕保护密码是防止内部人员破坏服务器的一个屏障。注意不要使用Ope