NT/2000服务器终极安全设置与效率优化指南（1）

核心提示： 4．安全日志：Win2000的默认安装是不开任何安全审核的！那么请你到本地安全策略->审核策略中打开相应的审核，推荐的审核是：账户管理成功失败登录事件成功失败对象访问失败策略更改成功失败特权使用失败系统事件成功失败目录服务访问失败账户登录事件成功失败审核项目少的缺点是万一你想看发现没

4．安全日志：

Win2000的默认安装是不开任何安全审核的！

那么请你到本地安全策略->审核策略中打开相应的审核，推荐的审核是：

账户管理成功失败

登录事件成功失败

对象访问失败

策略更改成功失败

特权使用失败

系统事件成功失败

目录服务访问失败

账户登录事件成功失败

审核项目少的缺点是万一你想看发现没有记录那就一点都没辙；审核项目太多不仅会占用系统资源而且会导致你根本没空去看，这样就失去了审核的意义。与之相关的是：

在账户策略->密码策略中设定：

密码复杂性要求启用

密码长度最小值6位

强制密码历史5次

最长存留期30天

在账户策略->账户锁定策略中设定：

账户锁定3次错误登录

锁定时间20分钟

复位锁定计数20分钟

同样，TerminalService的安全日志默认也是不开的，我们可以在TerminalService

Configration（远程服务配置）-权限-高级中配置安全审核，一般来说只要记录登录、注销事件就可以了。

5.目录和文件权限：

为了控制好服务器上用户的权限，同时也为了预防以后可能的入侵和溢出，我们还必须非常小心地设置目录和文件的访问权限，NT的访问权限分为：读取、写入、读取及执行、修改、列目录、完全控制。在默认的情况下，大多数的文件夹对所有用户（Everyone这个组）是完全敞开的（Full

Control），你需要根据应用的需要进行权限重设。

在进行权限控制时，请记住以下几个原则：

1>限是累计的：如果一个用户同时属于两个组，那么他就有了这两个组所允许的所有权限；

2>拒绝的权限要比允许的权限高（拒绝策略会先执行）如果一个用户属于一个被拒绝访问某个资源的组，那么不管其他的权限设置给他开放了多少权限，他也一定不能访问这个资源。所以请非常小心地使用拒绝，任何一个不当的拒绝都有可能造成系统无法正常运行；