由于Win2000操作系統(tǒng)良好的網(wǎng)絡(luò)功能，因此在因特網(wǎng)中有部分網(wǎng)站服務(wù)器開始使用的Win2000作為主操作系統(tǒng)的。但由于該操作系統(tǒng)是一個多用戶操作系統(tǒng)，黑客們?yōu)榱嗽诠糁须[藏自己，往往會選擇Win2000作為首先攻擊的對象。那么，作為一名Win2000用戶，我們該如何通過合理的方法來防范Win2000的安全呢?下面筆者搜集和整理了一些防范Win2000安全的幾則措施，現(xiàn)在把它們貢獻(xiàn)出來，懇請各位網(wǎng)友能不斷補(bǔ)充和完善。

1、及時備份系統(tǒng)

為了防止系統(tǒng)在使用的過程中發(fā)生以外情況而難以正常運(yùn)行，我們應(yīng)該對Win2000完好的系統(tǒng)進(jìn)行備份，最好是在一完成Win2000系統(tǒng)的安裝任務(wù)后就對整個系統(tǒng)進(jìn)行備份，以后可以根據(jù)這個備份來驗證系統(tǒng)的完整性，這樣就可以發(fā)現(xiàn)系統(tǒng)文件是否被非法修改過。如果發(fā)生系統(tǒng)文件已經(jīng)被破壞的情況，也可以使用系統(tǒng)備份來恢復(fù)到正常的狀態(tài)。備份信息時，我們可以把完好的系統(tǒng)信息備份在CD-ROM光盤上，以后可以定期將系統(tǒng)與光盤內(nèi)容進(jìn)行比較以驗證系統(tǒng)的完整性是否遭到破壞。如果對安全級別的要求特別高，那么可以將光盤設(shè)置為可啟動的并且將驗證工作作為系統(tǒng)啟動過程的一部分。這樣只要可以通過光盤啟動，就說明系統(tǒng)尚未被破壞過。

2、設(shè)置系統(tǒng)格式為NTFS

安裝Win2000時，應(yīng)選擇自定義安裝，僅選擇個人或單位必需的系統(tǒng)組件和服務(wù)，取消不用的網(wǎng)絡(luò)服務(wù)和協(xié)議，因為協(xié)議和服務(wù)安裝越多，入侵者入侵的途徑越多，潛在的系統(tǒng)安全隱患也越大。選擇Win2000文件系統(tǒng)時，應(yīng)選擇NTFS文件系統(tǒng)，充分利用NTFS文件系統(tǒng)的安全性。NTFS文件系統(tǒng)可以將每個用戶允許讀寫的文件限制在磁盤目錄下的任何一個文件夾內(nèi)，而且Win2000新增的磁盤限額服務(wù)還可以控制每個用戶允許使用的磁盤空間大小。

3、加密文件或文件夾

為了防別人偷看系統(tǒng)中的文件，我們可以利用Win2000系統(tǒng)提供的加密工具，來保護(hù)文件和文件夾。其具體操作步驟是，在“Win 資源管理器中，用鼠標(biāo)右鍵單擊想要加密的文件或文件夾，然后單擊“屬性。單擊“常規(guī)選項卡上的“高級，然后選定“加密內(nèi)容以保證數(shù)據(jù)安全復(fù)選框。

4、取消共享目錄的EveryOne組

默認(rèn)情況下，在Win2000中新增一個共享目錄時，操作系統(tǒng)會自動將EveryOne這個用戶組添加到權(quán)限模塊當(dāng)中，由于這個組的默認(rèn)權(quán)限是完全控制，結(jié)果使得任何人都可以對共享目錄進(jìn)行讀寫。因此，在新建共享目錄之后，要立刻刪除EveryOne組或者將該組的權(quán)限調(diào)整為讀取。

5、創(chuàng)建緊急修復(fù)盤

如果系統(tǒng)一不小心被破壞而不能正常啟動時，就需要專用的Win2000系統(tǒng)啟動盤，為此我們一定要記得在Win2000安裝完好后創(chuàng)建一個緊急修復(fù)磁盤。在創(chuàng)建該啟動盤時，我們可以利用Win2000的一個名為NTBACKUP.EXE的工具來實現(xiàn)。運(yùn)行NTBACKUP.EXE，從工具欄中選擇“創(chuàng)建緊急修復(fù)盤Create an Emergency Repair Disk在A：驅(qū)動器中插入一張空白格式化的軟盤，并點擊“確定，點擊“確定到達(dá)完成信息，再點擊“確定。修復(fù)盤不再可以用來恢復(fù)用戶帳號信息等，而且您必須備份/恢復(fù)Active Directory，在備份中將被覆蓋。

6、改進(jìn)登錄服務(wù)器

將系統(tǒng)的登錄服務(wù)器移到一個單獨的機(jī)器中會增加系統(tǒng)的安全級別，使用一個更安全的登錄服務(wù)器來取代Win2000自身的登錄工具也可以進(jìn)一步提高安全。在大的Win2000網(wǎng)絡(luò)中，最好使用一個單獨的登錄服務(wù)器用于登錄服務(wù)。它必須是一個能夠滿足所有系統(tǒng)登錄需求并且擁有足夠的磁盤空間的服務(wù)器系統(tǒng)，在這個系統(tǒng)上應(yīng)該沒有其它的服務(wù)運(yùn)行。更安全的登錄服務(wù)器會大大削弱入侵者透過登錄系統(tǒng)竄改日志文件的能力。

7、使用好安全機(jī)制

嚴(yán)格設(shè)計管理好Win2000系統(tǒng)的安全規(guī)則，其內(nèi)容主要包括“密碼規(guī)則、“賬號鎖定規(guī)則、“用戶權(quán)限分配規(guī)則、“審核規(guī)則以及“IP安全規(guī)則。對全部用戶都應(yīng)按工作需要進(jìn)行分組，合理對用戶分組是進(jìn)行系統(tǒng)安全設(shè)計的最重要的基礎(chǔ)。利用安全規(guī)則可以限定用戶口令的有效期、口令長度。設(shè)置登錄多少次失敗后鎖定工作站，并對用戶備份文件和目錄、關(guān)機(jī)、網(wǎng)絡(luò)訪問等各項行為進(jìn)行有效控制。

8、對系統(tǒng)進(jìn)行跟蹤記錄

為了能密切地監(jiān)視黑客的攻擊活動，我們應(yīng)該啟動Win2000的日志文件，來記錄系統(tǒng)的運(yùn)行情況，當(dāng)黑客在攻擊系統(tǒng)時，它的蛛絲馬跡都會被記錄在日志文件中的，因此有許多黑客在開始攻擊系統(tǒng)時，往往首先通過修改系統(tǒng)的日志文件，來隱藏自己的行蹤，為此我們必須限制對日志文件的訪問，禁止一般權(quán)限的用戶去查看日志文件。當(dāng)然，系統(tǒng)中內(nèi)置的日志管理程序功能可能不是太強(qiáng)，我們應(yīng)該采用專門的日志程序，來觀察那些可疑的多次連接嘗試。另外，我們還要小心保護(hù)好具有根權(quán)限的密碼和用戶，因為黑客一旦知道了這些具有根權(quán)限的帳號后，他們就可以修改日志文件來隱藏其蹤跡了。

9、使用好登錄腳本

制定系統(tǒng)策略和用戶登錄腳本，對網(wǎng)絡(luò)用戶的行為進(jìn)行適當(dāng)?shù)南拗?。我們可以利用系統(tǒng)策略編輯器和用戶登錄腳本為用戶設(shè)定工作環(huán)境，控制用戶在桌面上進(jìn)行的操作，控制用戶執(zhí)行的程序，控制用戶登錄的時間和地點(如只允許用戶在上班時間、在自己辦公室的機(jī)器上登錄，除此以外一律禁止訪問)，采取以上措施可以進(jìn)一步增強(qiáng)系統(tǒng)的安全性。

10、經(jīng)常檢查系統(tǒng)信息

如果在工作的過程中突然覺得計算機(jī)工作不對勁時，仿佛感覺有人在遙遠(yuǎn)的地方遙控你。這時，你必須及時停止手中的工作，立即按Ctrl+Alt+Del復(fù)合鍵來查看一下系統(tǒng)是否運(yùn)行了什么其他的程序，一旦發(fā)現(xiàn)有莫名其妙的程序在運(yùn)行，你馬上停止它，以免對整個計算機(jī)系統(tǒng)有更大的威脅。但是并不是所有的程序運(yùn)行時出現(xiàn)在程序列表中，有些程序例如Back Orifice(一種黑客的后門程序)并不顯示在Ctrl+Alt+Del復(fù)合鍵的進(jìn)程列表中，最好運(yùn)行“附件/“系統(tǒng)工具/“系統(tǒng)信息，然后雙擊“軟件環(huán)境，選擇“正在運(yùn)行任務(wù)，在任務(wù)列表中尋找自己不熟悉的或者自己并沒有運(yùn)行的程序，一旦找到程序后應(yīng)立即終止它，以防后患。

11、對病毒的襲擊要警惕

如今病毒在因特網(wǎng)上傳播的速度越來越快，為防止主動感染病毒，我們最好不要在Win2000中上網(wǎng)訪問非法網(wǎng)站，不要貿(mào)然下載和運(yùn)行不名真相的程序。例如如果你收到一封帶有附件的電子郵件，且附件是擴(kuò)展名為EXE一類的文件，這時千萬不能隨意運(yùn)行它，因為這個不明真相的程序，就有可能是一個系統(tǒng)破壞程序。攻擊者常把系統(tǒng)破壞程序換一個名字用電子郵件發(fā)給你，并帶有一些欺騙性主題，騙你說一些：“這個東西將給您帶來驚喜，“幫我測試一下程序之類的話。你一定要警惕了!對待這些表面上很友好、跟善意的郵件附件，我們應(yīng)該做的是立即刪除這些來歷不明的文件。

12、設(shè)置好系統(tǒng)的安全參數(shù)

充分利用NTFS文件系統(tǒng)的本地安全性能，設(shè)計好NTFS文件系統(tǒng)中文件和目錄的讀寫、訪問權(quán)限，對用戶進(jìn)行分組。對不同組的用戶分別授予拒絕訪問、讀取和更改權(quán)限，一般只賦予所需要的最小的目錄和文件的權(quán)限。值得注意的是對完全控制權(quán)限的授予應(yīng)特別小心。對于網(wǎng)絡(luò)資源共享，更要設(shè)計好文件系統(tǒng)的網(wǎng)絡(luò)共享權(quán)限，對不應(yīng)共享的文件和目錄決不能授予共享權(quán)限。對能夠共享的文件和目錄，應(yīng)對不同的組和用戶分別授予拒絕訪問、讀、更改和完全控制等權(quán)限。