个人网络安全防卫手册

　　Windows 2000的默认安装是不开启任何安全审核的。请你到“本地安全策略”的“审核策略”中打开相应的审核。推荐的审核是:

　　账户管理 成功/失败

　　登录事件 成功/失败

　　对象访问 失败

　　策略更改 成功/失败

　　特权使用 失败

　　系统事件 成功/失败

　　目录服务访问 失败

　　账户登录事件 成功/失败

　　与之相关的是在“账户策略”的“密码策略”中设定:

　　密码复杂性要求 启用

　　密码长度最小值 6位

　　强制密码历史 5次

　　最长存留期 30天

　　在”账户策略”的“账户锁定策略”中设定:

　　账户锁定 3次错误登录

　　锁定时间 20分钟

　　复位锁定计数 20分钟

　　7. 目录和文件权限

　　为了控制好服务器上用户的权限，同时也为了预防以后可能的入侵，我们还必须设置目录和文件的访问权限，Windows 2000的访问权限分为:读取、写入、读取及执行、修改、列目录、完全控制。在默认的情况下，大多数的文件夹对所有用户是完全敞开的，你需要根据应用的需要进行权限重设。

　　在进行权限控制时，请记住以下几个原则:

　　(1)权限是累计的:如果一个用户同时属于两个组，那么他就有了这两个组所允许的所有权限。

　　(2)拒绝的权限要比允许的权限高。如果一个用户属于一个被拒绝访问某个资源的组，那么不管其他的权限设置给他开放了多少权限，他也不能访问这个资源。

　　(3)文件权限比文件夹权限高。

　　(4)仅给用户真正需要的权限，权限的最小化原则是安全的重要保障。

　　8. 预防DoS

　　在注册表\HKEYLOCALMACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters中更改以下值可以帮助你防御一定强度的DoS攻击:

　　名称 类型 值

　　SynAttackProtect REGDWORD 2

　　EnablePMTUDiscovery REGDWORD 0

　　NoNameReleaseOnDemand REGDWORD 1

　　EnableDeadGWDetect REGDWORD 0

　　KeepAliveTime REGDWORD 300,000

　　PerformRouterDiscovery REGDWORD 0

　　EnableICMPRedirects REGDWORD 0

　　9. ICMP攻击

　　ICMP的风暴攻击和碎片攻击也是NT主机比较头疼的攻击方法，其实应付的方法也很简单，Windows 2000自带一个Routing & Remote Access工具，这个工具初具路由器的雏形。在这个工具中，我们可以轻易地定义输入输出包过滤器。例如，设定输入ICMP代码255丢弃就表示丢弃所有的外来ICMP报文。