精解安全配置windows 2000服务器

核心提示： 2>拒绝的权限要比允许的权限高(拒绝策略会先执行)如果一个用户属于一个被拒绝访问某个资源的组，那么不管其他的权限设置给他开放了多少权限，精解安全配置windows 2000服务器(7)，他也一定不能访问这个资源，所以请非常小心地使用拒绝，管理员/用户的操作，主机的安全状况是随时随地变

2>拒绝的权限要比允许的权限高(拒绝策略会先执行)如果一个用户属于一个被拒绝访问某个资源的组，那么不管其他的权限设置给他开放了多少权限，他也一定不能访问这个资源。所以请非常小心地使用拒绝，任何一个不当的拒绝都有可能造成系统无法正常运行;

3>文件权限比文件夹权限高(这个不用解释了吧?)

4>利用用户组来进行权限控制是一个成熟的系统管理员必须具有的优良习惯之一;

5>仅给用户真正需要的权限，权限的最小化原则是安全的重要保障;

7:预防DoS：

在注册表HKLMSYSTEMCurrentControlSetServicesTcpipParameters中更改以下值可以帮助你防御一定强度的DoS攻击

SynAttackProtect REG_DWORD 2

EnablePMTUDiscovery REG_DWORD 0

NoNameReleaseOnDemand REG_DWORD 1

EnableDeadGWDetect REG_DWORD 0

KeepAliveTime REG_DWORD 300，000

PerformRouterDiscovery REG_DWORD 0

EnableICMPRedirects REG_DWORD 0

ICMP攻击：ICMP的风暴攻击和碎片攻击也是NT主机比较头疼的攻击方法，其实应付的方法也很简单，win2000自带一个Routing & Remote Access工具，这个工具初具路由器的雏形(微软真是的，什么都要做?听说最近又要做防火墙了)在这个工具中，我们可以轻易的定义输入输出包过滤器，例如，设定输入ICMP代码255丢弃就表示丢弃所有的外来ICMP报文。

四、需要注意的一些事：

实际上，安全和应用在很多时候是矛盾的，因此，你需要在其中找到平衡点，毕竟服务器是给用户用而不是做OPEN HACK的，如果安全原则妨碍了系统应用，那么这个安全原则也不是一个好的原则。网络安全是一项系统工程，它不仅有空间的跨度，还有时间的跨度。很多朋友(包括部分系统管理员)认为进行了安全配置的主机就是安全的，其实这其中有个误区：我们只能说一台主机在一定的情况一定的时间上是安全的，随着网络结构的变化、新的漏洞的发现，管理员/用户的操作，主机的安全状况是随时随地变化着的，只有让安全意识和安全制度贯穿整个过程才能做到真正的安全。