安全配置Windows2000服务器

核心提示： 四、 安全日志 这里需要注意：WIN2K的默认安装是不开任何安全审核的！那么就应该到"本地安全策略→审核策略"中打开相应的审核，这里需要说明的是，安全配置Windows2000服务器(4)，审核项目如果太少的话，你万一想查看的时候发现没有记录那就一点办法都没有

四、 安全日志

这里需要注意：WIN2K的默认安装是不开任何安全审核的！那么就应该到"本地安全策略→审核策略"中打开相应的审核，这里需要说明的是，审核项目如果太少的话，你万一想查看的时候发现没有记录那就一点办法都没有，但是审核项目如果太多，不仅会占用大量的系统资源，而且你也可能根本没空去全部看完，这样就失去了审核的意义。推荐的审核如下：

"账户管理"、"登录事件"、"策略更改"、"系统事件"、"账户登录事件"需要把"成功"和"失败"都打开；"对象访问"、"特权使用"、"目录服务访问"就只打开"失败"。

与之相关的还有，在"账户策略→密码策略"中设定："密码复杂性要求启用"，"密码长度最小值6位"，"强制密码历史5次"，"最长存留期 30天"；在"账户策略→账户锁定策略"中设定："账户锁定3次错误登录"，"锁定时间20分钟"，"复位锁定计数20分钟"等。

Terminal Service的安全日志默认也是不启用的，可以在"Terminal Service Configration（远程服务配置）→权限→高级"中配置安全审核，一般来说只要记录登录、注销事件就可以了。

五、 目录和文件权限

为了控制好服务器上用户的权限，同时也为了预防以后可能的入侵和溢出，还必须非常小心地设置目录和文件的访问权限。NT的访问权限分为：读取、写入、读取及执行、修改、列目录、完全控制。在默认的情况下，大多数的文件夹对所有用户（Everyone这个组）是完全敞开的（Full Control），你需要根据应用的需要进行权限重设。在进行权限控制时，请记住以下几个原则：

1. 权限是累计的，如果一个用户同时属于两个组，那么他就有了这两个组所允许的所有权限。

2. 拒绝的权限要比允许的权限高（拒绝策略会先执行）。如果一个用户属于一个被拒绝访问某个资源的组，那么不管其他的权限设置给他开放了多少权限，他也一定不能访问这个资源。

3. 文件权限比文件夹权限高。

4. 利用用户组来进行权限控制是一个成熟的系统管理员必须具有的优良习惯。

5. 只给用户真正需要的权限，权限的最小化原则是安全的重要保障。

6. 预防ICMP攻击：ICMP的风暴攻击和碎片攻击也是NT主机比较头疼的攻击方法，其实应付的方法也很简单，WIN2K自带一个Routing & Remote Access工具，这个工具初具路由器的雏形。在这个工具中，我们可以轻易地定义输入输出包过滤器。如设定输入ICMP代码255丢弃就表示丢弃所有的外来ICMP报文。

第三：要注意

实际上，安全和应用在很多时候是矛盾的，因此，你需要在其中找到平衡点，毕竟服务器是给用户用的，如果安全原则妨碍了系统应用，那么这个安全原则也不是一个好的原则。

网络安全是一项系统工程，它不仅有空间的跨度，还有时间的跨度。很多朋友（包括部分系统管理员）认为进行了安全配置的主机就是安全的，其实这里有个误区，我们只能说一台主机在一定的情况下一定的时间内是安全的，随着网络结构的变化、新的漏洞的发现、管理员和用户的操作，主机的安全状况是随时随地变化着的，只有让安全意识和安全制度贯穿整个过程才能做到真正的安全。