Windows 2000 上配置和应用安全模板

6 、要保存管理单元设置，请单击“控制台”菜单上的“保存”。

7 、在“安全配置和分析”管理单元中，右键单击“安全配置和分析”。

如果还未设置一台工作数据库，单击“打开数据库”以设置一台工作数据库。键入新数据库的名称，以“ .sdb ”为扩展名，然后单击“打开”。找到安全配置模板，并选定它，这样它就会出现在“文件名：”文本框中。选定“清除此数据库”并单击“打开”。

如果已设置工作数据库，单击“导入模板”。找到安全配置模板，并选定它，这样它就会出现在“文件名：”文本框中。选定“清除此数据库”并单击“打开”。

8 、右键单击“安全配置和分析”，然后单击“立即配置计算机”。一个窗口出现，显示出错误日志文件的路径，这时单击“确定”。

注意：安全设置可立即设置好，部分设置尽管已被应用，但它们只有在重启计算机后才生效。

9 、关闭“安全配置和分析”工具，并重启计算机。

六、几个必须修改的参数

1 、安全日志的设置：因为安全日志是记录一个系统的重要手段，因此通过日志可以查看系统一些运行状态，而 Windows 2000 的默认安装是不开任何安全审核的，因此需要在安全模板→审核策略中打开相应的审核。单击“本地策略→审核策略”

设成：审核策略更改 成功，失败

审核登录事件 成功，失败

审核对像访问 成功，失败

审核过程跟踪 成功，失败

审核目录服务访问 失败

审核特权使用 失败

审核系统事件 成功，失败

审核帐户登录事件 成功，失败

审核帐户管理 成功，失败

然后按右键保存

2 、账号安全设置： Windows 2000 的默认安装允许任何用户通过空用户得到系统所有账号和共享列表，造成一些密码容易泄漏而对电脑进行攻击，所以必须采用以下进行安全设置。单击“帐户策略→密码策略”，这个项目。

设成： 在密码策略中设置：启用 “ 密码必须符合复杂性要求 ” ， “ 密码长度最小值 ” 为 12 个字符， “ 强制密码历史 ” 为 5 次， “ 密码最长存留期 ” 为 30 天。 然后按右键保存

3 、 安全选项设置：单击 “ 本地策略 → 安全选项 ” ，找到右栏 “ 对匿名连接的额外限制 ” 。双击对其中有效策略进行设置，选择 “ 不允许枚举 SAM 账号和共享 ” 。因为这个值是只允许非 NULL 用户存取 SAM 账号信息和共享信息，一般选择此项。 然后按右键保存

注意：改动过后请重复第五步！（或者在控制面板 -> 管理工具 -> 本地安全策略的相关条目里修改