再谈Windows 2000安全设置

来源：中国电脑教育报作者：李鹏出处：巧巧读书 2005-11-05 进入讨论组

　　在用户安全设置方面

　　1. 禁用Guest账号。不论工作组模式还是域模式，都应该禁用此账号。惟一的例外就是极少数量（10台以下）的机器之间用网上邻居互访共享文件夹，且不和公网相连，可以继续保持此账号。

　　2. 限制不必要的用户。此时需注意：

　　（1）在工作组模式中，默认账号有Administrator、Guest。如果要用IIS（Internet Information Server）建设各类站点，则IUSER＿computername和IWAM＿computername也是默认账号，不能停用。因前者是IIS匿名访问账号，后者是IIS匿名执行脚本的账号。这两个账号默认有密码，是由系统分配的，用户不要更改其密码，更不要删除，否则IIS不能匿名访问和执行脚本；如果有终端服务则TsInternetUser也是默认账号，不能停用。

　　（2）在域模式中，Administrator组中会增加Domain Admins和Enterprise Admins两个组中的成员，另外还会有Krbtgt账号，默认是被禁用的，这个账号是密钥分发账号。

　　3. 开启用户策略。其中有用户锁定阀值设置，将它设置为多少才合适呢？用户在登录时，Windows会采用加密协议加密用户的用户名和密码。在域环境中，如果只是单纯的系统（即什么软件都不装），用户进行登录时，Windows会尝试用Kerbos协议验证，不成功则会再用Ntlm验证，此时的验证的方式有两种；如果该账户同时又是Outlook的用户，验证的方式将有6种之多，也就是说用户在登录时如果密码输入错误，一次登录就要浪费掉6次账户锁定值。因此，微软技术支持中心的工程师建议将这个锁定值设置为13，这样才可以实现错误输入密码3次再锁定账户的目的。

　　在密码安全设置方面

　　在给账号设置密码时，不是密码位数越多越好，在符合密码复杂性原则的基础上，7位和14位的密码是最好的。这个结论是微软全球技术支持中心的工程师给出的，它是由密码所采用的加密算法决定的。

　　有一点大家需注意：屏幕保护存在一个安全漏洞，即他人可以在不进入系统的情况下，利用DOS模式将Cmd.exe命令更名为你所选用的屏幕保护程序的名称而将其替换掉。此后，只要这个“屏幕保护程序”一运行，Cmd窗口就会弹出且以系统身份运行，默认是最大权限。因此，采用设置屏幕保护密码的做法并不安全，正确的做法应是网管员离开工位时要锁定计算机（Windows 2000下，按Ctrl＋Alt＋Del，在弹出的“关机”菜单中选择“锁定计算机”即可）。

浏览URL http://www.qqread.com/safe/e702504007.html