下面就開(kāi)始我們的安全之旅吧。
一、安裝過(guò)程

1、有選擇性地安裝組件
安裝操作系統(tǒng)時(shí)請(qǐng)用NTFS格式， 不要按Windows 2000的默認(rèn)安裝組件，本著“最少的服務(wù)+最小的權(quán)限=最大的安全”原則，只選擇安裝需要的服務(wù)即可。例如:不作為Web服務(wù)器或FTP服務(wù)器就不安裝IIS。常用Web服務(wù)器需要的最小組件是: Internet 服務(wù)管理器、WWW服務(wù)器和與其有關(guān)的輔助服務(wù)。如果是默認(rèn)安裝了IIS服務(wù)自己又不需要的就將其卸載。卸載辦法:開(kāi)始---->設(shè)置---->控制面板---->添加刪除程序---->添加/刪除Windows組件，在“windows組件向?qū)А钡摹敖M件(C):”中將“Internet信息服務(wù)(IIS)”前面小框中的√去掉，然后“下一步”就卸載了IIS。
2、網(wǎng)絡(luò)連接
在安裝完成Windows 2000/XP操作系統(tǒng)后，不要立即連入網(wǎng)絡(luò)，因?yàn)檫@時(shí)系統(tǒng)上的各種程序還沒(méi)有打上補(bǔ)丁，存在各種漏洞，非常容易感染病毒和被入侵，此時(shí)應(yīng)該安裝殺毒軟件和防火墻。殺毒軟件和防火墻推薦使用卡巴斯基、諾頓企業(yè)版客戶端(若做服務(wù)器則用服務(wù)端)和ZoneAlarm防火墻。接著，再把下面的事情做完后再上網(wǎng)。
二、正確設(shè)置和管理賬戶
1、停止使用Guest賬戶，并給Guest 加一個(gè)復(fù)雜的密碼。所謂的復(fù)雜密碼就是密碼含大小寫字母、數(shù)字、特殊字符(～!@#￥%《》，。?)等。比如象:“G7Y3，^)y。
2、賬戶要盡可能少，并且要經(jīng)常用一些掃描工具查看一下系統(tǒng)賬戶、賬戶權(quán)限及密碼。刪除停用的賬戶，常用的掃描軟件有:流光、HSCAN、X-SCAN、STAT　SCANNER等。正確配置賬戶的權(quán)限，密碼至少應(yīng)不少于8位，比如:"3H.#4d&j1)~w",呵呵……讓他破吧!!這樣的密碼他可能把機(jī)子跑爛也跑不出來(lái)哦 ^_^
3、增加登錄的難度，在“賬戶策略→密碼策略”中設(shè)定:“密碼復(fù)雜性要求啟用”，“密碼長(zhǎng)度最小值8位”，“強(qiáng)制密碼歷史5次”，“最長(zhǎng)存留期 30天”;在“賬戶策略→賬戶鎖定策略”設(shè)定:“賬戶鎖定3次錯(cuò)誤登錄”，“鎖定時(shí)間30分鐘”，“復(fù)位鎖定計(jì)數(shù)30分鐘”等，增加了登錄的難度對(duì)系統(tǒng)的安全大有好處。
4、把系統(tǒng)Administrator賬號(hào)改名，名稱不要帶有Admin等字樣; 創(chuàng)建一個(gè)陷阱帳號(hào)，如創(chuàng)建一個(gè)名為“Administrator”的本地帳戶，把權(quán)限設(shè)置成最低，什么事也干不了，并且加上一個(gè)超過(guò)10位的超級(jí)復(fù)雜密碼。這樣可以讓那些“不法之徒”忙上一段時(shí)間了，并且可以借此發(fā)現(xiàn)他們的入侵企圖。
三、正確地設(shè)置目錄和文件權(quán)限（這步可以在以后做）

為了控制好服務(wù)器上用戶的權(quán)限，同時(shí)也為了預(yù)防以后可能的入侵和溢出，還必須非常小心地設(shè)置目錄和文件的訪問(wèn)權(quán)限。Windows 2000/XP Pro的訪問(wèn)權(quán)限分為:讀取、寫入、讀取及執(zhí)行、修改、列目錄、完全控制。在默認(rèn)的情況下，大多數(shù)的文件夾對(duì)所有用戶(Everyone這個(gè)組)是完全控制的(Full Control)，您需要根據(jù)應(yīng)用的需要重新設(shè)置權(quán)限。在進(jìn)行權(quán)限控制時(shí)，請(qǐng)記住以下幾個(gè)原則:
㈠權(quán)限是累計(jì)的，如果一個(gè)用戶同時(shí)屬于兩個(gè)組，那么他就有了這兩個(gè)組所允許的所有權(quán)限。
②拒絕的權(quán)限要比允許的權(quán)限高(拒絕策略會(huì)先執(zhí)行)。如果一個(gè)用戶屬于一個(gè)被拒絕訪問(wèn)某個(gè)資源的組，那么不管其他的權(quán)限設(shè)置給他開(kāi)放了多少權(quán)限，他也一定不能訪問(wèn)這個(gè)資源。
③文件權(quán)限比文件夾權(quán)限高。
④利用用戶組來(lái)進(jìn)行權(quán)限控制是一個(gè)成熟的系統(tǒng)管理員必須具有的優(yōu)良習(xí)慣。
⑤只給用戶真正需要的權(quán)限，權(quán)限的最小化原則是安全的重要保障。
⑥預(yù)防ICMP攻擊。ICMP的風(fēng)暴攻擊和碎片攻擊是NT主機(jī)比較頭疼的攻擊方法，而Windows 2000/2003應(yīng)付的方法很簡(jiǎn)單。Windows 2000/2003自帶一個(gè)Routing & Remote Access工具，這個(gè)工具初具路由器的雛形。在這個(gè)工具中，我們可以輕易地定義輸入輸出包過(guò)濾器。如設(shè)定輸入ICMP代碼255丟棄就表示丟棄所有的外來(lái)ICMP報(bào)文。
四、網(wǎng)絡(luò)服務(wù)安全管理
1、關(guān)閉不需要的服務(wù)
只留必需的服務(wù)，多一些服務(wù)可能會(huì)給系統(tǒng)帶來(lái)更多的安全因素。如Windows 2000/2003的Terminal Services(終端服務(wù))、IIS(web服務(wù))、RAS(遠(yuǎn)程訪問(wèn)服務(wù))等，這些都有產(chǎn)生漏洞的可能。
2、關(guān)閉不用的端口。
3、只開(kāi)放服務(wù)需要的端口與協(xié)議。
具體方法為:按順序打開(kāi)“網(wǎng)上鄰居→屬性→本地連接→屬性→Internet 協(xié)議→屬性→高級(jí)→選項(xiàng)→TCP/IP篩選→屬性”，添加需要的TCP、UDP端口以及IP協(xié)議即可。根據(jù)服務(wù)開(kāi)設(shè)口.
常用的TCP口有:80口用于Web服務(wù);21用于FTP服務(wù);25口用于SMTP;23口用于Telnet服務(wù);110口用于POP3(郵件服務(wù))。
常用的UDP端口有:53口-DNS域名解析服務(wù);161口-snmp簡(jiǎn)單的網(wǎng)絡(luò)管理協(xié)議。8000、4000用于OICQ，服務(wù)器用8000來(lái)接收信息，客戶端用4000發(fā)送信息。如果沒(méi)有上面這些服務(wù)就沒(méi)有必要打開(kāi)這些端口。
4、禁止建立空連接
Windows 2000/XP的默認(rèn)安裝允許任何用戶可通過(guò)空連接連上服務(wù)器，枚舉賬號(hào)并猜測(cè)密碼。空連接用的端口是139，通過(guò)空連接，可以復(fù)制文件到遠(yuǎn)端服務(wù)器，計(jì)劃執(zhí)行一個(gè)任務(wù)，這就是一個(gè)漏洞。可以通過(guò)以下兩種方法禁止建立空連接:
A:修改注冊(cè)表中Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值為1。
B:修改Windows 2000的本地安全策略。設(shè)置“本地安全策略→本地策略→選項(xiàng)”中的RestrictAnonymous(匿名連接的額外限制)為“不容許枚舉SAM賬號(hào)和共享”。
Windows 2000/XP的默認(rèn)安裝允許任何用戶通過(guò)空連接得到系統(tǒng)所有賬號(hào)和共享列表，這本來(lái)是為了方便局域網(wǎng)用戶共享資源和文件的，但是，同時(shí)任何一個(gè)遠(yuǎn)程用戶也可以通過(guò)同樣的方法得到您的用戶列表，并可能使用暴力法破解用戶密碼給整個(gè)網(wǎng)絡(luò)帶來(lái)破壞。很多人都只知道更改注冊(cè)表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous = 1來(lái)禁止空用戶連接，實(shí)際上Windows 2000/XP的本地安全策略里(如果是域服務(wù)器就是在域服務(wù)器安全和域安全策略里)就有RestrictAnonymous選項(xiàng)，其中有三個(gè)值:“0”這個(gè)值是系統(tǒng)默認(rèn)的，沒(méi)有任何限制，遠(yuǎn)程用戶可以知道您機(jī)器上所有的賬號(hào)、組信息、共享目錄、網(wǎng)絡(luò)傳輸列表(NetServerTransportEnum)等;“1”這個(gè)值是只允許非NULL用戶存取SAM賬號(hào)信息和共享信息;“2”這個(gè)值只有Windows 2000/XP才支持，需要注意的是，如果使用了這個(gè)值，就不能再共享資源了，所以還是推薦把數(shù)值設(shè)為“1”比較好。