实验4 Windows 2000 Server的本地安全策略和组策略

实例26 Windows 2000服务器的安全配置实现目的由于windows 2000系统远比windows Nt 4系统安全性，因此目前使用windows 2000的系统越来越多。

安全配置windows 2000成为一个保证网络安全的重要措施之一。

而要想安全的配置微软的这个操作系统，却不是一件容易的事。

本例从如何选择windows 2000版本、如何安装、如何对系统进行设置等方面介绍提高windows 2000安全性的方法，以保证windows 2000服务器的高安全性，从而保证网络的高可靠性。

实现技术Windows系统发布时，往往存在一些漏洞，Microsoft公司也往往是通过补丁的方式进行解决，因此版本的选择对系统的安全必然存在一定的影响。

而系统的配置（如帐户权限的设置、共享资源的设置等）更是直影响系统的安全。

选择适当的版本，正确配置系统可以减少安全隐患，提高系统的安全度。

实现方法1、安装windows 2000（1）版本的选择我们认为：在语言不成为障碍的情况下，建议使用英文版。

因为，微软的产品是以“漏洞加补丁（Bug & Patch）”而著称的，中文版的bug远比英文版要多，而解决相应漏洞的补丁一般比英文版至少迟半个月，这就意味着，微软公布了漏洞后，你的服务器还会有半个月处于无保护状态，这就成了公开的安全隐患。

（2）组件的定制Windows 2000在默认情况下会安装一些常用的组件，但是正是由于安装了这些默认组件，使系统安全变得非常脆弱，安全性全面降低。

根据安全原则“最大的安全=最少的服务+最小的权限”，也就是说，为了保证系统安全，只安装确实需要的服务即可，将不需要的服务组件删除。

尤其值得特别提醒注意的是：“Indexing Service”、“Frontpage 2000 Server Extensions”、“Internet Service Manager”这几个组件，对系统安全影响最大，对于系统安全来说，这几个组件是危险服务，如果不需要，建议不要安装。

实验：在Windows 2000上实现操作系统安全配置方案实验环境1台带有活动网络连接（插有网卡且工作正常）、安装有VMware虚拟机软件的PC机，其中主机环境的配置如表5_1所示：表5_1 本环境：主机操作系统的配置操作系统Windows2000 三种版本均可，推荐Win XP SP3Telnet工具F-Term v2.3.0.724版FTP工具Cute FTP pro v30Web浏览器IE5.0，推荐IE6.0中文版IP地址192.168.6.201虚拟机环境的配置如下表5_2所示：表5_2 本环境：虚拟机操作系统的配置操作系统Windows 2000 Advance server SP0并且安装所有服务。

Web服务器IIS 5.0IP地址192.168.6.200具体本实验中，要求1人一组完成对操作系统的安全配置。

实验目的1、通过该实验，熟悉、了解网络环境中提高Windows系列操作系统安全性的配置方法，充分理解系统注册表的重要性，进一步加深对TCP／IP协议的理解和认识。

2、具体本实验中，要求能够在Windows XP / 2000 Professional / 2000 Server三种版本的Windows操作系统平台上进行初级、中级、高级安全配置方案的各项策略，掌握系统安全性的一般性防御技术。

实验步骤1、实验前先预习教师下发的指导幻灯片，写出详细的实验步骤；1.1在运行里输入MMC1.2控制台—添加∕删除管理单元—添加：IP安全策略管理，安全模板安全配置和分析，组策略，本地用户和组2、每个人在自己的虚拟机系统上，通过MMC管理控制台使用MS提供的安全模板（Security Template）和安全配置和分析（Security Configuration and Analysis）管理单元配置操作系统下述7个安全设置项目：先将setup security另存为hhm security①账户策略：密码策略：对密码必须符合复杂度要求，密码长度最小值，强制密码历史分别对他们的值进行修改：都是为了增加密码的强度：修改后得到如图所示的结果：账户锁定策略进行修改对如下几项进行修改（防止黑客不断的进行密码拆解）：修改后结果如图所示：②本地策略对本地策略进行如下修改：修改后结果如下图：修改用户指派权利：修改安全选项：③事件日志④受限制的组双击USERS⑤系统服务维护系统上计算机的最新列表以及提供这个列表：允许程序在制定时间运行：在局域网以及广域网环境中为企业提供路由服务：管理可移动媒体，驱动程序和库：允许远程注册表操作：将文件加载到内存中以后打印。

有效保障Windows2000系统中帐号的安全的4种方法有效保障Windows 2000系统中帐号的安全的4种方法Windows 2000 server含有很多的安全功能和选项，如果你合理的配置它们，那么windows 2000 server将会是一个很安全的操作系统。

首先我们应将Windows 2000 server服务器应该安放在安装了jian视器的隔离房间内，并且jian视器要保留15天以上的摄像记录。

另外，机箱，键盘，电脑桌抽屉要上锁，以确保旁人即使进入房间也无法使用电脑，钥匙要放在另外的安全的地方。

我们可以停掉Guest 帐号、创建2个管理员用帐号、把系统administrator帐号改名、设置屏幕保护密码等确保安全，也可以利用win2000的安全配置工具来配置策略、关闭不必要的服务、关闭不必要的端口、禁止建立空连接和安装微软最新的补丁程序等措施来加强Windows 2000 Server安全。

要攻击Windows 2000系统，首先需要知道帐号和密码，因此保障Windows 2000系统的安全中，保障其帐号和密码的安全是关键，但通常密码可以通过穷举法等方法破解，所以Windows 2000帐号的安全非常重要。

下面几种方法可以有效保障Windows 2000系统中帐号的安全：方法一：禁止枚举帐号由于Windows 2000的默认安装允许任何用户通过空用户得到系统所有帐号和共享列表，这本来是为了方便局域网用户共享资源和文件的，但是，任何一个远程用户通过同样的方法都能得到帐户列表，使用非法手段破解帐户密码后，对我们的电脑进行攻击，所以必须采用以下方法禁止这种行为。

1、通过修改注册表禁用空用户连接，操作步骤如下：单击"开始"->"运行"打开"运行"对话框；输入"Regedit"并单击确定打开注册表编辑器；在注册表编辑器中逐层进入[HKEY_LOCAL_MACHINESSYSTEMCurentControlSetcontrolLsa]；将RestrictAnonymous的值设置为1，这样可以禁止空用户连接。

本次上机做两个实验(实验一和实验二)实验一用win2000的IP平安策略封锁端口的方式【实验目的】黑客大多通过端口进展入侵，因此你的效劳器只能开放你需要的端口，通过对用win2000的IP平安策略封锁端口的方式进展实验，从而初步了解系统对IPSEC的支持,从而阻止入侵者的解决。

【实验步骤】一、创建一个新的IP平安策略你能够通过“治理工具→本地平安策略〞进入，右击“IP平安策略〞，选择“创建IP平安策略〞，点[下一步]。

输入平安策略的名称，点[下一步]，一直到完成，你就创建了一个平安策略：二、，进入治理IP挑选器和挑选器操作接着你要做的是右击“IP平安策略〞，进入治理IP挑选器和挑选器操作，在治理IP挑选器列表中，你能够添加要封锁的端口，那个地址以关闭ICMP和139端口为例说明。

关闭了ICMP，黑客软件假设是没有强制扫描功能就不能扫描到你的机械，也Ping不到你的机械。

关闭ICMP的具体操作如下：点[添加]，然后在名称中输入“关闭ICMP〞，点右边的[添加]，再点[下一步]。

在源地址当选“任何IP地址〞，点[下一步]。

在目标地址当选择“我的IP地址〞，点[下一步]。

在协议当选择“ICMP〞，点[下一步]。

回到关闭ICMP属性窗口，即关闭了ICMP。

下面咱们再设置关闭139，一样在治理IP挑选器列表中点“添加〞，名称设置为“关闭139〞，点右边的“添加〞，点[下一步]。

在源地址当选择“任何IP地址〞，点[下一步]。

在目标地址当选择“我的IP地址〞，点[下一步]。

在协议当选择“TCP〞，点[下一步]。

在设置IP协议端口当选择从任意端口到此端口，在此端口中输入139，点[下一步]。

即完成关闭139端口，其他的端口也一样设置.然后进入设置治理挑选器操作，点“添加〞，点[下一步]，在名称中输入“拒绝〞，点[下一步]。

选择“阻止〞，点[下一步]。

三、指派该策略右击新建的IP平安策略“平安〞，掀开属性页。

在规那么当选择“添加〞，点[下一步]。

Windows 2000平安策略常用设置方法电脑资料为大家介绍一些常用的设置方法来为Windows 2000系统进展平安策略的设置从而起到平安保障的作用，一、平安策略Windows 2000系统本身就有很多平安方面的破绽，这是众所周知的。

通过打补丁的方法可以减少大部分的破绽，但是并不能杜绝一些小破绽，而往往这些小破绽也是导致被攻击或入侵的重要途径。

Windows 2000中自带的“本地平安策略”就是一个很不错的系统平安工具。

这个工具可以说是系统的防卫工具往往一些必要的设置就能起到防范的作用，可别小看这个工具。

下面就为大家介绍一些常用的设置方法来为系统进展平安策略的设置从而起到平安保障的作用。

二、详细操作图1系统的“本地平安策略”这个工具是在，单击“开始→控制面板→管理工具→本地平安策略”后，会进入“本地平安策略”的主界面。

在此可通过菜单栏上的命令设置各种平安策略，并可选择查看方式，导出列表及导入策略等操作。

1.平安日志的设置：因为平安日志是记录一个系统的重要手段，因此通过日志可以查看系统一些运行状态，而Windows 2000的默认安装是不开任何平安审核的，因此需要在本地平安策略→审核策略中翻开相应的审核。

单击“开始→控制面板→管理工具→本地平安策略→左边的本地策略→审核策略”，看到右栏有“审核策略更改”……等9个工程，我们双击每个工程，然后在“成功、失败”的选框上进展选择，2. 账号平安设置：Windows 2000的默认安装允许任何用户通过空用户得到系统所有账号和共享列表，造成一些密码容易泄漏而对电脑进展攻击，所以必须采用以下进展平安设置。

单击“开始→控制面板→管理工具→本地平安策略→本地策略→账户策略”，看到右栏有“密码策略、账户锁定策略”2个工程。

在密码策略中设置：启用“密码必须符合复杂性要求”，“密码长度最小值”为6个字符，“强迫密码历史”为5次，“密码最长存留期”为30天。

在账户锁定策略中设置：“复位账户锁定计数器”为30分钟之后，“账户锁定时间”为30分钟，“账户锁定值”为30分钟。

WIN2000 SERVER安全配置服务器手册1.NTFS比FAT分区多了安全控制功能，可以对不同的文件夹设置不同的访问权限，安全性增强。

2.建议最好一次性全部安装成NTFS分区，而不要先安装成FAT分区再转化为NTFS分区，这样做在安装了SP5和SP6的情况下会导致转化不成功，甚至系统崩溃。

3.安装NTFS分区有一个潜在的危险，就是目前大多数反病毒软件没有提供对软盘启动后NTFS 分区病毒的查杀，这样一旦系统中了恶性病毒而导致系统不能正常启动，后果就比较严重，因此及建议平时做好防病毒工作。

4.分区和逻辑盘的分配：推荐的安全配置是建立三个逻辑驱动器，第一个大于2G，用来装系统和重要的日志文件，第二个放IIS，第三个放FTP，这样无论IIS或FTP出了安全漏洞都不会直接影响到系统目录和系统文件。

要知道，IIS和FTP是对外服务的，比较容易出问题。

而把IIS和FTP分开主要是为了防止入侵者上传程序并从IIS中运行。

5.安装顺序的选择：win2000在安装中有几个顺序是一定要注意的。

首先，何时接入网络，Win2000在安装时有一个漏洞，在你输入Administrator密码后，系统就建立了ADMIN$的共享，但是并没有用你刚刚输入的密码来保护它，这种情况一直持续到你再次启动后，在此期间，任何人都可以通过ADMIN$进入你的机器；同时，只要安装一完成，各种服务就会自动运行，而这时的服务器是满身漏洞，非常容易进入的，因此，在完全安装并配置好win2000 SERVER之前，一定不要把主机接入网络。

其次，补丁的安装：补丁的安装应该在所有应用程序安装完之后，因为补丁程序往往要替换/修改某些系统文件，如果先安装补丁再安装应用程序有可能导致补丁不能起到应有的效果，例如：IIS的HotFix就要求每次更改IIS的配置都需要安装。

6.端口是计算机和外部网络相连的逻辑接口，也是计算机的第一道屏障，端口配置正确与否直接影响到主机的安全，一般来说，仅打开你需要使用的端口会比较安全，配置的方法是在网卡属性-TCP/IP-高级-选项-TCP/IP筛选中启用TCP/IP筛选，不过对于win2000的端口过滤来说，有一个不好的特性：只能规定开哪些端口，不能规定关闭哪些端口，这样对于需要开大量端口的用户就比较痛苦。

Windows 2000 server的安全设置一、基本的安全设定（1）文件系统的设定windows2000server 支持多种文件系统，最安全的要数NTFS文件系统，如果你的windows2000server要用作服务器，最好将所有的分区都格式化为NTFS文件系统，fat32是不能用的（2）补丁（pack)微软的作风就是三天一小补，五天一大补，漏洞太多，补一点就好一点，使用“开始-Windows Update" 然后把所有的补丁都装进去,目前windows2000已经到sp4了，这个大补丁一定要装的，安装sp4后再到网络上升级，将微软提供的各种重要系统安全更新全部都升级，不要怕麻烦，这是防病毒和黑客攻击的非常重要安全设置步骤。

（3）帐号安全帐号是windows2000server的重要的安全保证，要注意区分一些工作组的权限：administrators是系统管理员组，administrator是系统默认的管理帐号，administrator最好设置一个复杂的密码，复杂到什么程度呢？简单的说，自己都要记不住这个密码，这个密码可以是字符、数字、符号、大小写的组合（如：AGgF!452KhtUN)，密码不要让别人猜得到，不要用自己得电话号码啦之类的东西，最好在笔记本上将密码设定好后再设置，设好密码后妥善保管记录密码的笔记本，每隔一段时间更改自己的密码guest帐号最好禁止使用，如果没有必要，不要添加其他的系统管理员帐号2.删除默认共享2.1删除IPC$共享Win2k的缺省安装很容易被攻击者取得帐号列表，即使安装了最新的Service ack 也是如此。

在Win2k中有一个缺省共享IPC$，并且还有诸如admin$ C$ D$等等,而IPC$允许匿名用户（即未经登录的用户）访问，利用这个缺省共享可以取得用户列表。

如何防范这东东，很简单在"管理工具\本地安全策略\安全设置\本地策略\安全选项"中的"对匿名连接的额外限制"可修改为"不允许枚举SAM帐号和共享"。