Windows 2000 server含有很多的安全功能和選項(xiàng)，如果你合理的配置它們，那么Windows 2000 server將會(huì)是一個(gè)很安全的操作系統(tǒng)。首先我們應(yīng)將Windows 2000 server服務(wù)器應(yīng)該安放在安裝了監(jiān)視器的隔離房間內(nèi)，并且監(jiān)視器要保留15天以上的攝像記錄。另外，機(jī)箱，鍵盤(pán)，電腦桌抽屜要上鎖，以確保旁人即使進(jìn) 入房間也無(wú)法使用電腦，鑰匙要放在另外的安全的地方。我們可以停掉Guest 帳號(hào)、創(chuàng)建2個(gè)管理員用帳號(hào)、把系統(tǒng)administrator帳號(hào)改名、設(shè)置屏幕保護(hù)密碼等確保安全，也可以利用win2000的安全配置工具來(lái)配置策 略、關(guān)閉不必要的服務(wù)、關(guān)閉不必要的端口、禁止建立空連接和安裝 微軟 最 新的補(bǔ)丁程序等措施來(lái)加強(qiáng)Windows 2000 Server安全。要攻擊Windows 2000系統(tǒng)，首先需要知道帳號(hào)和密碼，因此保障Windows 2000系統(tǒng)的安全中，保障其帳號(hào)和密碼的安全是關(guān)鍵，但通常密碼可以通過(guò)窮舉法等方法破解，所以Windows 2000帳號(hào)的安全非常重要。下面幾種方法可以有效保障Windows 2000系統(tǒng)中帳號(hào)的安全： 方法一：禁止枚舉帳號(hào) 　 　 由于Windows 2000的默認(rèn)安裝允許任何用戶通過(guò)空用戶得到系統(tǒng)所有帳號(hào)和共享列表，這本來(lái)是為了方便局域網(wǎng)用戶共享資源和文件的，但是，任何一個(gè)遠(yuǎn)程用戶通過(guò)同樣的 方法都能得到帳戶列表，使用非法手段破解帳戶密碼后，對(duì)我們的電腦進(jìn)行攻擊，所以必須采用以下方法禁止這種行為。

1、通過(guò)修改 注冊(cè)表 禁用空用戶連接，操作步驟如下：?jiǎn)螕?開(kāi)始'->'運(yùn)行'打開(kāi)'運(yùn)行'對(duì)話框；輸入'Regedit'并單擊確定打開(kāi)注冊(cè)表編輯器；在注冊(cè)表編輯器中逐層進(jìn)入[HKEY_LOCAL_MacHINESSYSTEMCurentControlSetcontrolLsa]； 將RestrictAnonymous的值設(shè)置為1，這樣可以禁止空用戶連接，如圖1所示。

圖 1 2、修改本地安全策略，操作步驟如下： 進(jìn)入Windows 2000的'控制面板'；單擊'管理工具'，單擊'本地安全策略'，進(jìn)入'本地安全設(shè)置'對(duì)話框，如圖2所示。

圖 2

選擇'安全設(shè)置'->'本地策略'->'安全選項(xiàng)'；雙擊'對(duì)匿名連接的額外限制'項(xiàng)；并選擇'本地策略設(shè)置'列表，列表中出現(xiàn)三個(gè)選項(xiàng)，如圖3所示。

圖 3

(1)'無(wú)，依賴(lài)于默認(rèn)許可權(quán)限'選項(xiàng)：這是系統(tǒng)默認(rèn)值，沒(méi)有任何限制，遠(yuǎn)程用戶可以知道你機(jī)器上所有的賬號(hào)、組信息、共享目錄、網(wǎng)絡(luò)傳輸列表等，對(duì)服務(wù)器來(lái)說(shuō)這樣的設(shè)置非常危險(xiǎn)。(2)'不允許枚舉SAM賬號(hào)和共享'選項(xiàng)：這個(gè)值是只允許非NULL用戶存取SAM賬號(hào)信息和共享信息，一般選擇此項(xiàng)。 (3)'沒(méi)有顯式匿名權(quán)限就無(wú)法訪問(wèn)'選項(xiàng)：這個(gè)值是最安全的一個(gè)，但是如果使用了這個(gè)值，就不能再共享資源了，所以還是推薦設(shè)為'不允許枚舉SAM賬號(hào)和共享'比較好。我們選擇'不允許枚舉SAM賬號(hào)和共享'項(xiàng)，并確定。 此時(shí)，我們就禁止了用戶枚舉帳號(hào)的操作。

方法二：Administrator賬號(hào)更名 非法用戶找不到用戶列表，我們 的系統(tǒng)就一定安全嗎?不一定。有經(jīng)驗(yàn)的用戶知道，Windows 2000系統(tǒng)的Administrator賬號(hào)是不能被停用的，也不能設(shè)置安全策略，這樣非法用戶可以一遍又一遍地嘗試這個(gè)賬戶的密碼，直到破解，所以我 們可以在'計(jì)算機(jī)管理'中把Administrator賬戶更名來(lái)防止這一點(diǎn)。具體操作步驟如下： 進(jìn)入系統(tǒng)'控制面板'->'計(jì)算機(jī)管理'，進(jìn)入'計(jì)算機(jī)管理'窗口，如圖所示。選擇'本地用戶和組'->'用戶'；在窗口右面使用鼠標(biāo)右鍵單擊Administrator，在右鍵菜單中選擇'重命名'；重新輸入一個(gè)名稱(chēng),如圖4所示。

圖 4

最好不要使用Admin、Root之類(lèi)的名字，如果使用改了等于沒(méi)改。盡量把它偽裝成普通用戶，比如改成：Guestlll，別人怎么也想不到 這個(gè)帳戶是超級(jí)用戶。然后另建一個(gè)'Administrator'的陷阱帳號(hào)，不賦予任何權(quán)限，加上一個(gè)超過(guò)10位的超級(jí)復(fù)雜密碼，并對(duì)該帳戶啟用審核。 這樣那些非法用戶忙了半天也可能進(jìn)不來(lái)，或是即便進(jìn)來(lái)了也什么都得不到，還留下我們跟蹤的線索。

方法三：禁止登錄屏幕上顯示上次登錄的用戶名 非法用戶也可以通過(guò)本地或者Terminal Service的登錄界面看到用戶名，然后去猜密碼。 所以要禁止顯示登錄的用戶名。操作步驟如下： 選擇'控制面板'->'管理工具'->'本地安全策略'->'本地策略'->'安全選項(xiàng)'，如圖5所示。

圖 5

在窗口右側(cè)雙擊'登錄屏幕上不要顯示上次登錄的用戶名'一項(xiàng)；選中'已啟用'，如圖6所示。

圖 6

也可以通過(guò)修改注冊(cè)表來(lái)實(shí)現(xiàn)，找到注冊(cè)表HKEY_LOCAL_MACHINESOFTTWARE Microsoft WindowsNTCurrentVesionWinlogn項(xiàng)中的Don't Display Last User Name串，將其數(shù)據(jù)修改為1。

方法四：禁用Guest帳號(hào) Guest帳號(hào)是一個(gè)非常危險(xiǎn)的漏洞，因?yàn)榉欠ㄓ脩艨梢允褂眠@個(gè)帳號(hào)登錄你的機(jī)器。禁用該帳號(hào)的操作步驟如下： 選 擇'控制面板'->'管理工具'->'計(jì)算機(jī)管理'；在計(jì)算機(jī)管理的'本地用戶和組'項(xiàng)，選擇'用戶'，用鼠標(biāo)右鍵單擊右側(cè)列表里的 'Guest'帳號(hào)，如圖7所示，在右鍵菜單中選擇'屬性'或是雙擊'Guest'帳號(hào)，在屬性對(duì)話框中，在'帳戶已停用'一項(xiàng)前打勾，如圖8所示，這樣 就無(wú)法用Guest帳號(hào)登錄你的系統(tǒng)了。

圖 7 圖 8

如果還需要提供共享打印服務(wù)時(shí)，則需要在'本地安全策略'的'用戶權(quán)利指派'中的'在本地登錄'項(xiàng)里設(shè)置Guest帳號(hào)不能登錄本機(jī)（去掉Guest項(xiàng)后面的勾，如圖9所示）。

圖 9

經(jīng)常檢查本地用戶和組，刪除不用的帳戶，不要給非法用戶和 黑客 留下可乘之機(jī)，經(jīng)過(guò)以上的步驟，我們的系統(tǒng)應(yīng)該相對(duì)安全了許多。