Windows 2000系統(tǒng)的使用者特別多，導致在受攻擊的系統(tǒng)中高居榜首，但這不是說Windows 2000的安全性一點兒不好，只要合理配置和管理有方，還是比較安全的。本人使用Windows 2000的時間也不算短了，對于維護它的安全，也漸漸摸出了一點兒門路，下面是一點兒個人見解，不足之處，還請各位指正。

安全安裝盡量減少后顧之憂

Windows 2000系統(tǒng)的安全應該是從安裝時就一點一滴積累起來的，但這往往被人忽視。下面幾點是在安裝Windows 2000時需要注意的：

1、不要選擇從網絡上安裝

雖然微軟支持在線安裝，但這絕對不安全。在系統(tǒng)未全部安裝完之前不要連入網絡，特別是Internet!甚至不要把一切硬件都連接好來安裝。因為Windows 2000安裝時，在輸入用戶管理員賬號“Administrator”的密碼后，系統(tǒng)會建立一個“$ADMIN”的共享賬號，但是并沒有用剛輸入的密碼來保護它，這種情況一直會持續(xù)到計算機再次啟動。在此期間，任何人都可以通過“$ADMIN”進入系統(tǒng);同時，安裝完成，各種服務會馬上自動運行，而這時的服務器還到處是漏洞，非常容易從外部侵入。

2、要選擇NTFS格式來分區(qū)

最好所有的分區(qū)都是NTFS格式，因為NTFS格式的分區(qū)在安全性方面更加有保障。就算其他分區(qū)采用別的格式(如FAT32)，但至少系統(tǒng)所在的分區(qū)中應是NTFS格式。

另外，應用程序不要和系統(tǒng)放在同一個分區(qū)中，以免攻擊者利用應用程序的漏洞(如微軟的IIS的漏洞，大家不會不知道吧)導致系統(tǒng)文件的泄漏，甚至讓入侵者遠程獲取管理員權限。

3、系統(tǒng)版本的選擇

我們一般都喜歡使用中文界面的軟件，但對于微軟的東西，由于地理位置及市場因素，都是先有英文版，然后才有各國其他語言的版本。也就是說Windows系統(tǒng)的內核語言是英語，這樣相對來說它的內核版本理應比它的編譯版本中的漏洞少很多，事實也是如此，Windows 2000的中文輸入法漏洞鬧得沸沸揚揚大家是有目共睹的。

上面所說的安全安裝只能減少后顧之憂，千萬別以為只做到這些就可以一勞永逸了，還有很多工作等著你去做的，請繼續(xù)往下看。

保障系統(tǒng)安全的人為因素

系統(tǒng)不安全，不要老埋怨軟件的本身，多想想人為的因素吧！下面從管理員的角度來談談在管理過程中需要注意的幾點：

1、關注最新漏洞，及時打上補丁和安裝防火墻

管理員的職責是維護系統(tǒng)的安全，吸收最新的漏洞信息，及時打上相應的補丁，這是維護系統(tǒng)安全最簡單也是最有效的方法。我給大家推薦國外的一個很好的安全站點：ttp://www.eeye.com 。同時，安裝最新版的防火墻也是必須的，可以助你一臂之力。但是要記住：“道高一尺，魔高一丈”，沒有絕對的安全，補丁永遠都是跟在漏洞公布之后，完全相信系統(tǒng)補丁和防火墻是不可行的！

2、禁止建立空連接，拒人于門外

黑客們經常采用共享進行攻擊，其實不是它的漏洞，只怪管理員的賬戶和密碼太簡單，留著不放心，還是禁止掉的好！

這主要是通過修改注冊表來實現(xiàn)，主鍵及鍵值如下：

[HKEY_LOCAL_MacHINESYSTEMCurrentControlSetControlLSA]

RestrictAnonymous = DWord:00000001

3、禁止管理共享

除了上面的，還有這個一起禁止吧！

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters]

AutoShareServer = DWORD:000000004、精巧設計密碼，慎防入侵

呵呵，看了上面的第2點和第3點，有經驗的朋友自然會常想到這一點了。不錯，這是老生常談的事情了，很多服務器被攻陷都是由于管理員密碼過于簡單而造成的。

對于密碼的設置，我建議：①長度超過8位為宜。②大小寫字母、數(shù)字、特殊符號的復雜組合，如：G1aLe^ ，避免“純單詞”或者“單詞加數(shù)字”型的密碼，如：gale、gale123等。

特別注意：MSSQL 7.0 中的SA密碼千萬不能為空！默認情況下“SA”密碼是空的，而它的權限是“admin”，想想后果吧。

5、限制管理員組的用戶數(shù)量

嚴格限制管理員組的用戶，時時刻刻保證只有一個Administrator(也就是你自己)是該組的用戶。至少每天檢查一次該組的用戶，發(fā)現(xiàn)多增加的用戶一律刪除!毫無疑問，那新增的用戶一定是入侵者留下的后門！同時要注意Guest用戶，聰明的入侵者一般不會添加陌生用戶名，這樣容易被管理員發(fā)現(xiàn)行蹤，他們通常是先激活Guest用戶，然后是更改它的密碼，再放到管理員組，但Guest無端跑到管理員組來干嘛?停掉！

6、停止不必要的服務

服務開的太多也不是個好事，將沒有必要的服務通通關掉吧！特別是連管理員都不知道是干什么的服務，還開著干什么！關掉！免得給系統(tǒng)帶來災難。

另外，管理員如果不外出，不需要遠程管理你的計算機的話，最好將一切的遠程網絡登錄功能都關掉。注意，除非特別需要，否則禁用“Task Scheduler”、“RunAs Service”服務！

關閉一項服務的方法很簡單，運行cmd.exe之后，直接 net stop servername 即可。

7、管理員安分守己，不用公司的服務器做私人用途

Windows 2000 Server 除了可以像服務器之外，同時還可以做個人用戶的計算機一樣，上網瀏覽網頁、收發(fā)E-mail 等等。作為管理員，應該盡量少用服務器的瀏覽器來瀏覽網頁，避免因瀏覽器的漏洞造成木馬感染和公司的隱私信息暴露。微軟IE漏洞多多，相信大家不會不知道吧?另外，也少在服務器上使用OutLook等工具來收發(fā)E-mail，避免染上病毒，給企業(yè)帶來損失。

8、注意本地安全

防止遠程入侵很重要，但系統(tǒng)的本地安全也不容忽視，入侵者不一定在遠處，有可能就在身邊！

(1)及時打上最新版的補丁，防止輸入法漏洞，這是不用再說的了。輸入法漏洞不僅是導致本地入侵，如果開了終端服務的話，系統(tǒng)之門就會大開，一個裝了終端客戶端的機器就可以輕易闖進來！

(2)不顯示上次登錄的用戶

如果你的機器是不得不多人共用的話(其實，真正的一臺服務器是不應該這樣的)，那禁止顯示上次登錄的用戶很重要，免得別人猜中密碼。設置方法是：在[開始]→[程序]→[管理工具]→[本地安全策略]，打開“本地策略”的“安全選項”，在右邊雙擊“登錄屏幕上不要顯示上次登錄的用戶名”，選中“已啟用”，再點擊[確定]，這樣，下次登錄的時候就不會在用戶名框上顯示上次登錄過的用戶名了。