計(jì)算機(jī)安全不僅包括保護(hù)計(jì)算機(jī)的本地?cái)?shù)據(jù)，還要保護(hù)網(wǎng)絡(luò)上的數(shù)據(jù)安全。優(yōu)秀的操作系統(tǒng)可以對(duì)試圖訪問計(jì)算機(jī)資源的人員進(jìn)行身份識(shí)別，防止特定資源被用戶不適當(dāng)?shù)卦L問，并且提供用戶簡(jiǎn)單有效的方法來設(shè)置和維護(hù)計(jì)算機(jī)的安全。 目前PC用戶常用的還是Windows，比較以前的版本，基于NT平臺(tái)技術(shù)的 Windows 2000在穩(wěn)定性和安全性上有很大的改善。下面以Windows 2000 Professional 為例進(jìn)行說明，并順便介紹一個(gè)應(yīng)用問題的解決。 一、 Windows 2000安全功能 1．用戶帳戶和帳戶組功能確保只有有權(quán)用戶才能訪問計(jì)算機(jī)，同時(shí)有效地管理用戶的特定任務(wù)權(quán)利和權(quán)限，如文件夾訪問權(quán)限等。系統(tǒng)內(nèi)置組可以使大多數(shù)用戶獲得執(zhí)行各自任務(wù)所需的全部用戶權(quán)利和權(quán)限。管理界面在“控制面板”中的“用戶和密碼”。 2．共享文件夾權(quán)限通過給任何文件夾賦予共享文件夾權(quán)限，您可以限制或允許通過網(wǎng)絡(luò)訪問這些文件夾。通過項(xiàng)目的屬性菜單設(shè)置。默認(rèn)情況下，在Windows 2000中新增一個(gè)共享目錄時(shí)，操作系統(tǒng)會(huì)自動(dòng)將EveryOne這個(gè)用戶組添加到權(quán)限模塊當(dāng)中，由于這個(gè)組的默認(rèn)權(quán)限是完全控制，結(jié)果使得任何人都可以對(duì)共享目錄進(jìn)行讀寫。因此，在新建共享目錄之后，要立刻刪除EveryOne組或者將該組的權(quán)限調(diào)整為讀取。

3． 比FAT和FAT32更安全的NTFS文件系統(tǒng)的功能：磁盤限額服務(wù)，可以控制每個(gè)用戶允許使用的磁盤空間大小；支持設(shè)置文件或文件夾的權(quán)限，限制或允許用戶或組的訪問，規(guī)定訪問類型，就是說可以將每個(gè)用戶允許讀寫的文件限制在磁盤目錄下的任何一個(gè)文件夾內(nèi)。如果要共享位于 NTFS 驅(qū)動(dòng)器的文件夾無需特別設(shè)置，NTFS 文件夾訪問權(quán)限在本機(jī)和網(wǎng)絡(luò)上均有效；NTFS還支持所有者加密文件和文件夾，更好地保護(hù)信息。推薦使用NTFS磁盤分區(qū)。 4．打印機(jī)權(quán)限通過指派打印機(jī)權(quán)限來限制用戶訪問。分打印文檔、管理文檔、管理打印機(jī)三種權(quán)限。通過項(xiàng)目的屬性菜單設(shè)置。 5．審核可以使用審核跟蹤用于訪問文件或其他對(duì)象的帳戶，以及用戶登錄嘗試、關(guān)閉或重新啟動(dòng)系統(tǒng)及其它指定的事件。在審核發(fā)生之前，您必須使用“組策略”指定要審核的事件類型。例如，要審核文件夾，首先要啟用“組策略”中“審核策略”的“審核對(duì)象訪問”。下一步，您可以象設(shè)置權(quán)限那樣來設(shè)置審核：選擇對(duì)象（例如文件或文件夾），然后選擇要審核其操作的用戶和組。最后，選擇想要審核的操作，例如，試圖打開或刪除受限制的文件夾。可以審核成功和失敗的嘗試。通過使用“事件查看器”來查看“安全”日志可以跟蹤審核活動(dòng)。對(duì)于磁盤訪問的審核機(jī)制只能應(yīng)用在NTFS文件系統(tǒng)之上。應(yīng)對(duì)所有需要審核的用戶使用審核機(jī)制。 6．用戶權(quán)利用戶權(quán)利是確定用戶可以在計(jì)算機(jī)上所執(zhí)行操作的規(guī)則。此外，用戶權(quán)利控制用戶是否可以直接（在本地）或通過網(wǎng)絡(luò)登錄到計(jì)算機(jī)、將用戶添加到本地組、刪除用戶，等等。內(nèi)置組具有已指派的用戶權(quán)利集合。通常情況下，管理員通過向一個(gè)內(nèi)置組添加用戶帳戶，或者通過創(chuàng)建新組并為該組指派特定用戶權(quán)利來指派用戶權(quán)利。隨后添加到組中的用戶自動(dòng)獲得指派給組帳戶的所有用戶權(quán)利。用戶權(quán)利是通過“組策略”管理的。

7．其它本地安全設(shè)置允許安全管理員配置指派給“組策略”對(duì)象或本地計(jì)算機(jī)策略的安全等級(jí)。本地安全策略是用于配置本地計(jì)算機(jī)的安全設(shè)置。這些設(shè)置包括密碼策略、賬戶鎖定策略、審核策略、IP 安全策略、用戶權(quán)限指派、加密數(shù)據(jù)的恢復(fù)代理以及其他安全選項(xiàng)。由于本地安全策略主要是針對(duì)本地用戶設(shè)置的，因此只有在不是域控制器的 Windows 2000 計(jì)算機(jī)上才可用。 以上前四點(diǎn)功能常用且易于設(shè)置，而審核與用戶權(quán)利等安全設(shè)置使用較為復(fù)雜，但是功能確實(shí)非常強(qiáng)大，用戶可對(duì)系統(tǒng)的操作參數(shù)進(jìn)行深入細(xì)致的微調(diào)，直至完全滿足個(gè)人需求。比如：* 防止來自局域網(wǎng)內(nèi)部的惡意攻擊，用戶可以得到某賬戶被人遠(yuǎn)程嘗試登錄的機(jī)器位置和次數(shù)的記錄，取消某賬號(hào)遠(yuǎn)程登錄的權(quán)利等，這非常有用。* 可以在策略上控制你所擁有的資源，比如禁止從網(wǎng)絡(luò)訪問本地的軟驅(qū)或光驅(qū)，無論是否被設(shè)置為共享權(quán)限。* 使用安全策略保護(hù)數(shù)據(jù)，讓攻擊者破解困難或根本不可能。算法和密鑰的組合用于保護(hù)信息。Windows 2000通過使用基于加密的算法和密鑰獲得高安全級(jí)。 Windows 2000的安全設(shè)置主要在“本地安全策略”中進(jìn)行。使用時(shí)單擊“開始”，指向“程序”，指向“管理工具”，然后單擊“本地安全策略”就行了。 它的設(shè)置包括：* 帳戶策略：密碼和帳戶鎖定策略* 本地策略：審核、用戶權(quán)利和安全選項(xiàng)策略* 公鑰策略（IP 安全策略）： Internet 協(xié)議安全性 (IPSec) 管理。IPSec 策略為與別的計(jì)算機(jī)進(jìn)行安全通訊的管理策略。 使用它最好有高級(jí)管理員的指導(dǎo)。 二、本地安全策略設(shè)置出錯(cuò)一例解決及進(jìn)一步建議 1．本地安全策略設(shè)置過程中不注意的話，會(huì)產(chǎn)生比較大的麻煩。一個(gè)例子： 單位一臺(tái)運(yùn)行 Windows 2000 Professional的機(jī)器，用戶設(shè)置時(shí)出錯(cuò)，在“本地策略”中，把“用戶權(quán)利分配”的“拒絕本地登錄”項(xiàng)目設(shè)為“Users,Guests,EveryOne”。導(dǎo)致注銷后用戶無法再次登錄，系統(tǒng)提示“無法進(jìn)行交互式會(huì)話”。設(shè)置項(xiàng)包含“EveryOne”使得所有賬號(hào)都被禁止登錄。;

解決辦法：Windows 2000將當(dāng)前本地安全設(shè)置的數(shù)據(jù)記錄存放在Windows系統(tǒng)目錄system32下的config目錄中，文件名SECURITY，只有將它修改正確才能正常登錄。為簡(jiǎn)單起見，用系統(tǒng)初始配置覆蓋它。由于機(jī)器使用FAT32格式，采用干凈的Win98軟盤啟動(dòng)，將Windows目錄repair子目錄下的SECURITY文件拷貝到config下覆蓋出錯(cuò)文件。登錄正常。正確設(shè)置如下圖：

如果機(jī)器使用了NTFS格式，就必須用Windows 2000 安裝軟盤或者安裝光盤啟動(dòng)。為了防止類似故障發(fā)生后一時(shí)找不到啟動(dòng)盤，難以快速解決問題，可以應(yīng)用Windows 2000 故障恢復(fù)控制臺(tái)特性。 2．Windows 2000故障恢復(fù)控制臺(tái) Windows 2000 故障恢復(fù)控制臺(tái)是命令行控制臺(tái)，可以從 Windows 2000 安裝程序啟動(dòng)。使用故障恢復(fù)控制臺(tái)，無需從硬盤啟動(dòng) Windows 2000 就可以執(zhí)行許多任務(wù)，可以啟動(dòng)和停止服務(wù)，格式化驅(qū)動(dòng)器，在本地驅(qū)動(dòng)器上讀寫數(shù)據(jù)（包括被格式化為 NTFS的驅(qū)動(dòng)器），執(zhí)行許多其他管理任務(wù)。如果需要通過從軟盤或 CD-ROM 復(fù)制一個(gè)文件到硬盤來修復(fù)系統(tǒng)，或者需要對(duì)一個(gè)阻止計(jì)算機(jī)正常啟動(dòng)的服務(wù)進(jìn)行重新配置，故障恢復(fù)控制臺(tái)將特別有用。由于故障恢復(fù)控制臺(tái)非常強(qiáng)大，只有通曉 Windows 2000 的高級(jí)用戶才能使用。此外必須是管理員才有權(quán)使用故障恢復(fù)控制臺(tái)。;

可以從 Windows 2000 安裝磁盤或者 Windows 2000 Professional CD 運(yùn)行故障恢復(fù)控制臺(tái)。作為備用選擇，可以在計(jì)算機(jī)上安裝故障恢復(fù)控制臺(tái)，以便在不能重新啟動(dòng) Windows 2000 時(shí)解決問題。這時(shí)只需從引導(dǎo)菜單上選中 Windows 2000 故障恢復(fù)控制臺(tái)選項(xiàng)即可。在啟動(dòng)故障恢復(fù)控制臺(tái)后，必須選擇要登錄的驅(qū)動(dòng)器（如果有雙重引導(dǎo)或者多重引導(dǎo)系統(tǒng)）且必須用管理員密碼登錄。 故障恢復(fù)控制臺(tái)提供了一個(gè)命令行，這樣在 Windows 2000 不啟動(dòng)時(shí)，就可以更改系統(tǒng)。一旦運(yùn)行故障恢復(fù)控制臺(tái)，在命令提示符下鍵入“help”可獲得關(guān)于可用命令的幫助。要重新啟動(dòng)計(jì)算機(jī)，鍵入 exit 關(guān)閉命令提示符窗口。 將故障恢復(fù)控制臺(tái)安裝為一個(gè)啟動(dòng)選項(xiàng)，以便在計(jì)算機(jī)無法重新啟動(dòng)時(shí)，可以運(yùn)行。安裝為啟動(dòng)選項(xiàng)的方法：以管理員或具有管理員權(quán)限的用戶登錄 Windows 2000。將 Windows 2000 Professional 光盤插入 CD-ROM 驅(qū)動(dòng)器。如果提示升級(jí)到 Windows 2000，單擊“否”。 從命令提示符下（或從 Windows 2000 的“運(yùn)行”命令框內(nèi)）鍵入指向相應(yīng) Winnt32.exe 文件（在Windows 2000 光盤內(nèi)）的路徑，后跟一個(gè)空格和 /cmdcons 開關(guān)選項(xiàng)。例如：e:i386winnt32.exe /cmdcons遵循出現(xiàn)的提示操作。 故障恢復(fù)控制臺(tái)安裝在根文件夾下 Cmdcons 文件夾內(nèi)，包括根文件夾中的Cmldr 文件。Boot.ini 文件內(nèi)包含故障恢復(fù)控制臺(tái)的啟動(dòng)條目。 在Windows 2000的安全性無疑很高，但是，如果日常使用中不加注意的話，漏洞仍然存在，比如那些源自用戶自己的問題。對(duì)于一般用戶，筆者建議將控制面板的管理工具中的本地安全策略隱去，以免發(fā)生使用不當(dāng)?shù)膯栴}。確實(shí)需要時(shí)可以從命令行[命令格式：c:winntsystem32secpol.msc /s]啟動(dòng)本地安全策略設(shè)置。