Windows 2000的安全維護

    計算機安全不僅包括保護計算機的本地數據，還要保護網絡上的數據安全。優秀的操作系統可以對試圖訪問計算機資源的人員進行身份識別，防止特定資源被用戶不適當地訪問，並且提供用戶簡單有效的方法來設置和維護計算機的安全。

　　目前PC用戶常用的還是Windows，比較以前的版本，基於NT平台技術的 Windows 2000在穩定性和安全性上有很大的改善。下面以Windows 2000 Professional 為例進行說明，並順便介紹一個應用問題的解決。

    一、 Windows 2000安全功能

　　1．用戶帳戶和帳戶組功能

　　確保只有有權用戶才能訪問計算機，同時有效地管理用戶的特定任務權利和權限，如文件夾訪問權限等。系統內置組可以使大多數用戶獲得執行各自任務所需的全部用戶權利和權限。管理界面在“控制面板”中的“用戶和密碼”。

　　2．共享文件夾權限

　　通過給任何文件夾賦予共享文件夾權限，您可以限制或允許通過網絡訪問這些文件夾。通過項目的屬性菜單設置。默認情況下，在Windows 2000中新增一個共享目錄時，操作系統會自動將EveryOne這個用戶組添加到權限模塊當中，由於這個組的默認權限是完全控制，結果使得任何人都可以對共享目錄進行讀寫。因此，在新建共享目錄之後，要立刻刪除EveryOne組或者將該組的權限調整為讀取。

    3． 比FAT和FAT32更安全的NTFS文件系統的功能：

　　磁盤限額服務，可以控制每個用戶允許使用的磁盤空間大小；

　　支持設置文件或文件夾的權限，限制或允許用戶或組的訪問，規定訪問類型，就是說可以將每個用戶允許讀寫的文件限制在磁盤目錄下的任何一個文件夾內。如果要共享位於 NTFS 驅動器的文件夾無需特別設置，NTFS 文件夾訪問權限在本機和網絡上均有效；

　　NTFS還支持所有者加密文件和文件夾，更好地保護信息。

　　推薦使用NTFS磁盤分區。

　　4．打印機權限

　　通過指派打印機權限來限制用戶訪問。分打印文檔、管理文檔、管理打印機三種權限。通過項目的屬性菜單設置。

　　5．審核

　　可以使用審核跟蹤用於訪問文件或其他對象的帳戶，以及用戶登錄嘗試、關閉或重新啟動系統及其它指定的事件。在審核發生之前，您必須使用“組策略”指定要審核的事件類型。例如，要審核文件夾，首先要啟用“組策略”中“審核策略”的“審核對象訪問”。下一步，您可以象設置權限那樣來設置審核：選擇對象（例如文件或文件夾），然後選擇要審核其操作的用戶和組。最後，選擇想要審核的操作，例如，試圖打開或刪除受限制的文件夾。可以審核成功和失敗的嘗試。通過使用“事件查看器”來查看“安全”日志可以跟蹤審核活動。對於磁盤訪問的審核機制只能應用在NTFS文件系統之上。應對所有需要審核的用戶使用審核機制。

　　6．用戶權利

　　用戶權利是確定用戶可以在計算機上所執行操作的規則。此外，用戶權利控制用戶是否可以直接（在本地）或通過網絡登錄到計算機、將用戶添加到本地組、刪除用戶，等等。內置組具有已指派的用戶權利集合。通常情況下，管理員通過向一個內置組添加用戶帳戶，或者通過創建新組並為該組指派特定用戶權利來指派用戶權利。隨後添加到組中的用戶自動獲得指派給組帳戶的所有用戶權利。用戶權利是通過“組策略”管理的。

    7．其它本地安全設置

　　允許安全管理員配置指派給“組策略”對象或本地計算機策略的安全等級。本地安全策略是用於配置本地計算機的安全設置。這些設置包括密碼策略、賬戶鎖定策略、審核策略、IP 安全策略、用戶權限指派、加密數據的恢復代理以及其他安全選項。由於本地安全策略主要是針對本地用戶設置的，因此只有在不是域控制器的 Windows 2000 計算機上才可用。

　　以上前四點功能常用且易於設置，而審核與用戶權利等安全設置使用較為復雜，但是功能確實非常強大，用戶可對系統的操作參數進行深入細致的微調，直至完全滿足個人需求。比如：

　　* 防止來自局域網內部的惡意攻擊，用戶可以得到某賬戶被人遠程嘗試登錄的機器位置和次數的記錄，取消某賬號遠程登錄的權利等，這非常有用。

　　* 可以在策略上控制你所擁有的資源，比如禁止從網絡訪問本地的軟驅或光驅，無論是否被設置為共享權限。

　　* 使用安全策略保護數據，讓攻擊者破解困難或根本不可能。算法和密鑰的組合用於保護信息。Windows 2000通過使用基於加密的算法和密鑰獲得高安全級。

　　Windows 2000的安全設置主要在“本地安全策略”中進行。使用時單擊“開始”，指向“程序”，指向“管理工具”，然後單擊“本地安全策略”就行了。 它的設置包括：

　　* 帳戶策略：密碼和帳戶鎖定策略

　　* 本地策略：審核、用戶權利和安全選項策略

　　* 公鑰策略（IP 安全策略）： Internet 協議安全性 (IPSec) 管理。IPSec 策略為與別的計算機進行安全通訊的管理策略。

　　使用它最好有高級管理員的指導。

    二、本地安全策略設置出錯一例解決及進一步建議

　　1．本地安全策略設置過程中不注意的話，會產生比較大的麻煩。一個例子：

　　單位一台運行 Windows 2000 Professional的機器，用戶設置時出錯，在“本地策略”中，把“用戶權利分配”的“拒絕本地登錄”項目設為“Users,Guests,EveryOne”。導致注銷後用戶無法再次登錄，系統提示“無法進行交互式會話”。設置項包含“EveryOne”使得所有賬號都被禁止登錄。

解決辦法：Windows 2000將當前本地安全設置的數據記錄存放在Windows系統目錄system32下的config目錄中，文件名SECURITY，只有將它修改正確才能正常登錄。為簡單起見，用系統初始配置覆蓋它。由於機器使用FAT32格式，采用干淨的Win98軟盤啟動，將Windows目錄repair子目錄下的SECURITY文件拷貝到config下覆蓋出錯文件。登錄正常。正確設置如下圖：

　　如果機器使用了NTFS格式，就必須用Windows 2000 安裝軟盤或者安裝光盤啟動。為了防止類似故障發生後一時找不到啟動盤，難以快速解決問題，可以應用Windows 2000 故障恢復控制台特性。