Windows 2000安全专题问答

一天，盆盆不小心把Windows 2000的登录密码给误改了，现在硬是“鬼子不能进村”，遂急呼汤汤来帮忙。

　　旁门左道不通

　　盆盆：汤汤，快救救我吧，我的电脑现在六亲不认，自家人不能进自家门。我该怎么办，不会要重装吧？

　　汤汤：钥匙丢了，正门自然不让进，但我们可以试试万能钥匙——“输入法漏洞”，当系统启动到登录界面时，按“Ctrl+Shift”调出任一输入法，并激活其帮助文档，右击“选项”按钮，点击“跳到url”……（为了安全原因，此处省去百余字）。运气不错，果然进入了。

　　盆盆：太感谢你了，不过还有一个地方也让我“郁闷”，万一哪天别人也从这个“密道”里潜入我的系统，那我怎么办？

　　汤汤：说得对，Windows 2000有那么大一个窟窿，一旦有不怀好意的人进来，那你的机器就算是铜墙铁壁，也会“四十万人齐卸甲”。赶紧到http://www.microsoft.com/china上去下载最新的“Service Pack”，把这个窟窿眼堵上吧（如图1）。

　　图1 下载最新的“Service Pack”

　　治标更要治本

　　汤汤：尽管外界对微软的产品有颇多微词，贬低微软甚至还成了业界的一种时尚。但是平心而论，Windows 2000的安全性能还是很不错的，尤其是和它的前辈Windows 98相比，可以说是上了一个台阶。今天我就给你讲讲如何对Windows 2000进行安全配置吧。

　　首先，对你的管理员账号（Administrator）进行“易容术”（重命名），这样就可以防止一些穷举密码工具的骚扰。比如把你的管理员账号改名为“你的仆人”，这样就算有无聊的人想搞破坏，也万难“篡位”成功。

　　盆盆：这个方法很不错，但是怎么改呢？

　　汤汤：右击“我的电脑→管理”，展开“计算机管理”窗口里的“本地用户和组”，点击“用户”，在右面的详细窗格里右击你的管理员账号，选“重命名”即可。 　　盆盆：我的电脑有好几个人在用，我给他们分别创建了User组账号，现在有一个朋友说他不能关机了，这是怎么回事啊？

　　汤汤：那么多的用户就他一个无法关机，显然不是软硬件配置问题。这里要隆重推荐一位明星——“用户权力指派”，此公专司用户权限的分配与仲裁，相当于球场上的裁判，如果存在分配不公，那多半是这位裁判吹了“黑哨”。要请动这位裁判并不难，只需进入“管理工具→本地安全策略→本地策略”，然后展开窗口里的“用户权力指派”即可（如图2）。

　　图2 为用户指派不同权力

　　现在我们来看看它是如何来裁断这个用户的：你只需在图2所示的右边详细窗格里找到“关闭系统”，在右键菜单里选“安全性”，然后把这个用户添加进去即可。

　　盆盆：没想到这个裁判权力这么大，那它还有什么别的功能吗？

　　汤汤：那当然了，下面举几个简单例子。一些操作权限（特别是处理不当会危及整个系统的），通常只赋予管理员组的用户，例如管理“审核和安全日志”、“远程关机”、“安装驱动程序”等。当然你也可以把这些权力下放给信得过的用户。

　　比如说安装驱动程序，如果每次都要劳动你的大驾，也是有点无趣，不妨委派给你的亲信去操作，大可不必大权独揽、事必躬亲。还有，你的机器是一个单机环境，没必要从网络访问，你应该把“拒绝从网络访问此计算机”的权限赋给Everyone组的成员，这样还可以对黑客入侵说不，套用一句现成的广告词：算是治到根本上了。

　　君子请勿动手

　　盆盆：我突发奇想，想让每个用户登录系统的时候，屏幕上都显示一句话：“本系统属于盆盆，任何人都不要试图进行破坏”，好让他人知道，“君子动口不动手”，不知道可不可以，是不是要改注册表啊？

　　汤汤：这种小Case当然用不着劳动注册表的大驾，这时候我们要有请另一个“腕儿”——“安全选项”。说来也巧，它正好和“用户权力指派”同处一个办公室（都位于“本地安全策略”控制台下）。在图2所示的窗口单击“安全选项”，然后在右边详细窗格找到“用户视图登录时消息文字”，双击即出现图3所示的界面。在文本框里输入你想要的警示语，完成之后重新登录看看，你就没事偷着乐吧！

　　盆盆：看来“本地安全策略”下的组件个个都是高手。

　　汤汤：是的，“安全选项”的功能也有很多，举三个最实用的例子吧。

　　第一，前面说到为了防止恶意穷举登录密码，特地把管理员账号改名，但是光这样还不行，因为系统默认显示上一次的登录名，其实要禁止它很容易，双击“登录屏幕上不要显示上次登录的用户名”，启用即可。

　　图3 “请不要搞破坏”

　　其二，为了防止有些木马程序伪装成登录窗口，来骗取你的用户名及密码，你可以强制用户必须按“Ctrl+Alt+Del”调出登录窗口，方法是双击“禁用按Ctrl+Alt+Del进行登录的设置”然后禁用它。

　　第三是启用“在关机时清理虚拟内存页面交换文件”，这样的好处是防止未经授权的用户访问页面文件里的数据，本来要完成这个功能需要第三方软件的赞助，现在用“安全选项”也能“友情客串”这个功能。

　　利用本地安全策略还可以对审核事件进行设置。记住，完善的安全日志能够帮助你更好地分析问题。 　　但是Windows 2000缺省不记录任何审核事件，我们可以根据需要加上必要安全日志，具体方法是切换到“本地策略→审核策略”，比如我们要对登录事件进行审核，只需双击“审核对象访问”，然后在“成功”和“失败”复选框上都打勾即可。这样我们可以很方便地追查系统登录的情况，最大限度地防止黑客入侵。

原文转自：http://www.ltesting.net