Windows NT/2000服务器安全配置

核心提示： (8)在帐号属性中设立锁定次数，比如改帐号失败登录次数超过5次即锁定改帐号，Windows NT/2000服务器安全配置(2)，这样可以防止某些大规模的登录尝试，同时也使管理员对该帐号提高警惕，你需要根据应用的需要进行权限重设，在进行权限控制时，安全日志:Win2000的默认安装是不开任何

(8)在帐号属性中设立锁定次数，比如改帐号失败登录次数超过5次即锁定改帐号。这样可以防止某些大规模的登录尝试，同时也使管理员对该帐号提高警惕。

安全日志:

Win2000的默认安装是不开任何安全审核的!

那么请你到本地安全策略->审核策略中打开相应的审核，推荐的审核是:账户管理 成功 失败
登录事件 成功 失败
对象访问 失败
策略更改 成功 失败
特权使用 失败
系统事件 成功 失败
目录服务访问 失败
账户登录事件 成功 失败审核项目少的缺点是万一你想看发现没有记录那就一点都没辙;审核项目太多不仅会占用系统资源而且会导致你根本没空去看，这样就失去了审核的意义。 与之相关的是:在账户策略->密码策略中设定:
密码复杂性要求 启用
密码长度最小值 6位
强制密码历史 5次
最长存留期 30天
在账户策略->账户锁定策略中设定:
账户锁定 3次错误登录
锁定时间 20分钟
复位锁定计数 20分钟同样，Terminal Service的安全日志默认也是不开的，我们可以在Terminal Service Configration(远程服务配置)-权限-高级中配置安全审核，一般来说只要记录登录、注销事件就可以了。

目录和文件权限:

为了控制好服务器上用户的权限，同时也为了预防以后可能的入侵和溢出，我们还必须非常小心地设置目录和文件的访问权限， NT的访问权限分为:读取、写入、读取及执行、修改、列目录、完全控制。在默认的情况下，大多数的文件夹对所有用户(Everyone这个组)是完全敞开的(Full Control)，你需要根据应用的需要进行权限重设。

在进行权限控制时，请记住以下几个原则:

1>限是累计的:如果一个用户同时属于两个组，那么他就有了这两个组所允许的所有权限;