Win2k 安全检查清单 上篇

　　常听人说Windows系统怎么的漏洞百出了，怎么的不安全了，其实微软公司的Windows2000应该说还是一款很值得使用的服务器OS的，它不仅有让linux羡慕的易用性和友好度，在安全方面，经过严格配置的它也丝毫不逊色与别的OS。

　　逛很多BBS，也查阅了微软的资料，并结合自己多年安全配置的经验，现列出检查清单如下，便于各位快速查阅，由于笔者水平的限制，可能有所遗漏欢迎各位指正！

　　安全意识篇：

　　1.物理安全

　　服务器应该安放在安装了监视器的隔离房间内，并且监视器要保留15天以上的摄像记录。另外，机箱,键盘，电脑桌抽屉要上锁，以确保旁人即使进入房间也无法使用电脑，钥匙要放在另外的安全的地方。通过这样的手段防止入侵者通过物理手段接触服务器来进行对机器的破坏，当然，基本的防火灾、地震等也是必须要考虑到的！

　　2.停掉Guest 帐号

　　在计算机管理的用户里面把guest帐号停用掉，任何时候都不允许guest帐号登陆系统。

　　3．限制不必要的用户数量

　　用户组策略设置相应权限，并且经常检查系统的帐户，删除已经不在使用的帐户。通常对于有经验的计算机用户来说，都不会把自己的密码设置的过于简单，但是，我们不能保证其他计算机的用户也有经验，所以，我只有依赖组策略来控制密码的复杂度！

　　4．给管理创建另一个帐号

　　大家都知道Administrators 在Windows2000中拥有至高无上的权利，所以，严格限制使用Administrators 的次数和地方也就成了基本防御中的一个重点。替管理员建立一个拥有普通权限或超级用户权限的帐号，无疑将能达到目的。

　　5．把系统administrator帐号改名

　　一个基本的常识告诉我们，只要目的明确，坚持不懈的努力终能成正果，在破解的领域这条无疑很重要，对于默认的Administrators 帐号，我们是又爱又恨，它不能被停用或者删除，而它的权利有是那么的高，究竟怎么做才能防止对手一遍遍的猜测它的密码呢？对，我们给他改个名字，比如改成wangxi。

　　6.为我们的共享文件加到“坎”

　　“everyone” 在Win2000中意味着任何有权进入你的网络的用户都能够获得这些共享资料。任何时候都不要把共享文件的用户设置成”everyone”组。修改默认权限，往往是一个优秀管理员在自己负责的服务器开始正常工作前所必做的。

　　7． 使用NTFS格式分区

　　把服务器的所有分区都改成NTFS格式。在Windows2000中，只有这个格式才能对单独文件夹进行权限设置，而FAT、FAT32都没有这个功能，怎么样，知道它的重要了吧？

　　8．运行防毒软件

　　一个拥有最新病毒库的防毒工具，永远都是黑客们头疼的事情，要知道，大多数所谓的黑客们并没有自己编写后门程序的本事，而是使用现成的。而那些程序，往往已经被各大放毒厂商列为防范对象了，有现成的工具，我们干吗不用呢？

　　9．保障备份盘的安全

　　俗语说的好，有备无患，什么叫有备无患呢？就是说要做好服务器的资料、程序备份（呵呵，好象不是这么解释的吧？：））。这里需要提示的是，一定要备份在其他的机器上，要不，还不如别做备份，因为黑客能破坏你现有的系统，自然就能访问你放在该系统上的文件。