Windows 2000的安全维护
计算机安全不仅包括保护计算机的本地数据,还要保护网络上的数据安全。优秀的操作系统可以对试图访问计算机资源的人员进行身份识别,防止特定资源被用户不适当地访问,并且提供用户简单有效的方法来设置和维护计算机的安全。
目前PC用户常用的还是Windows,比较以前的版本,基于NT平台技术的 Windows 2000在稳定性和安全性上有很大的改善。下面以Windows 2000 Professional 为例进行说明,并顺便介绍一个应用问题的解决。
一、 Windows 2000安全功能
1.用户帐户和帐户组功能
确保只有有权用户才能访问计算机,同时有效地管理用户的特定任务权利和权限,如文件夹访问权限等。系统内置组可以使大多数用户获得执行各自任务所需的全部用户权利和权限。管理界面在“控制面板”中的“用户和密码”。
2.共享文件夹权限
通过给任何文件夹赋予共享文件夹权限,您可以限制或允许通过网络访问这些文件夹。通过项目的属性菜单设置。默认情况下,在Windows 2000中新增一个共享目录时,操作系统会自动将EveryOne这个用户组添加到权限模块当中,由于这个组的默认权限是完全控制,结果使得任何人都可以对共享目录进行读写。因此,在新建共享目录之后,要立刻删除EveryOne组或者将该组的权限调整为读取。
3. 比FAT和FAT32更安全的NTFS文件系统的功能:
磁盘限额服务,可以控制每个用户允许使用的磁盘空间大小;
支持设置文件或文件夹的权限,限制或允许用户或组的访问,规定访问类型,就是说可以将每个用户允许读写的文件限制在磁盘目录下的任何一个文件夹内。如果要共享位于 NTFS 驱动器的文件夹无需特别设置,NTFS 文件夹访问权限在本机和网络上均有效;
NTFS还支持所有者加密文件和文件夹,更好地保护信息。
推荐使用NTFS磁盘分区。
4.打印机权限
通过指派打印机权限来限制用户访问。分打印文档、管理文档、管理打印机三种权限。通过项目的属性菜单设置。
5.审核
可以使用审核跟踪用于访问文件或其他对象的帐户,以及用户登录尝试、关闭或重新启动系统及其它指定的事件。在审核发生之前,您必须使用“组策略”指定要审核的事件类型。例如,要审核文件夹,首先要启用“组策略”中“审核策略”的“审核对象访问”。下一步,您可以象设置权限那样来设置审核:选择对象(例如文件或文件夹),然后选择要审核其操作的用户和组。最后,选择想要审核的操作,例如,试图打开或删除受限制的文件夹。可以审核成功和失败的尝试。通过使用“事件查看器”来查看“安全”日志可以跟踪审核活动。对于磁盘访问的审核机制只能应用在NTFS文件系统之上。应对所有需要审核的用户使用审核机制。
6.用户权利
用户权利是确定用户可以在计算机上所执行操作的规则。此外,用户权利控制用户是否可以直接(在本地)或通过网络登录到计算机、将用户添加到本地组、删除用户,等等。内置组具有已指派的用户权利集合。通常情况下,管理员通过向一个内置组添加用户帐户,或者通过创建新组并为该组指派特定用户权利来指派用户权利。随后添加到组中的用户自动获得指派给组帐户的所有用户权利。用户权利是通过“组策略”管理的。
7.其它本地安全设置
允许安全管理员配置指派给“组策略”对象或本地计算机策略的安全等级。本地安全策略是用于配置本地计算机的安全设置。这些设置包括密码策略、账户锁定策略、审核策略、IP 安全策略、用户权限指派、加密数据的恢复代理以及其他安全选项。由于本地安全策略主要是针对本地用户设置的,因此只有在不是域控制器的 Windows 2000 计算机上才可用。
以上前四点功能常用且易于设置,而审核与用户权利等安全设置使用较为复杂,但是功能确实非常强大,用户可对系统的操作参数进行深入细致的微调,直至完全满足个人需求。比如:
* 防止来自局域网内部的恶意攻击,用户可以得到某账户被人远程尝试登录的机器位置和次数的记录,取消某账号远程登录的权利等,这非常有用。
* 可以在策略上控制你所拥有的资源,比如禁止从网络访问本地的软驱或光驱,无论是否被设置为共享权限。
* 使用安全策略保护数据,让攻击者破解困难或根本不可能。算法和密钥的组合用于保护信息。Windows 2000通过使用基于加密的算法和密钥获得高安全级。
Windows 2000的安全设置主要在“本地安全策略”中进行。使用时单击“开始”,指向“程序”,指向“管理工具”,然后单击“本地安全策略”就行了。 它的设置包括:
* 帐户策略:密码和帐户锁定策略
* 本地策略:审核、用户权利和安全选项策略
* 公钥策略(IP 安全策略): Internet 协议安全性 (IPSec) 管理。IPSec 策略为与别的计算机进行安全通讯的管理策略。
使用它最好有高级管理员的指导。
出处: yesky | 
