验证所有的磁盘分区都以 NTFS 格式进行了格式化

NTFS 分区能够提供 FAT、FAT32 或 FAT32x 文件系统所不能提供的访问控制与保护。确保计算机中的所有分区使用 NTFS 格式进行了格式化。如果需要，请使用转换实用程序将 FAT 分区非破坏性地转换为 NTFS 格式。

警告 如果使用转换工具，它将已转换驱动器的 ACL 设置为“Everyone：完全控制”。使用 Windows NT Server Resource Kit 中的 fixacls.exe 工具重新将它们设置为更合理的值。

验证管理员帐户拥有一个可靠的密码

Windows 2000 支持最长为 127 个字符的密码。通常，长密码比短密码具有更强的保护作用，并且有几种字符（字母、数字、标点符号和使用 ALT 键和数字键盘上的三个数位的密钥代码而产生的非打印 ASCII 字符）的密码比仅使用字母或数字的密码具有更强的保护作用。为获得最大程度的保护，请确保管理员帐户密码最少具有九个字符并且该密码应该包括最少一个标点符号或在前七个字符中有一个非打印的 ASCII 码字符。此外，多台计算机不应该使用相同的密码。每台计算机都应该使用不同的密码，从而提高工作组或域的安全级别。

禁用不必要的服务

安装 Windows 2000 后，应该禁用任何计算机不需要的网络服务。特别指出，您应该考虑计算机上是否需要某些 IIS 5.1 Web 服务。

禁用或删除不必要的帐户

您应该在计算机管理单元中查看系统的活动帐户列表（对用户和程序而言）并且禁用所有非活动帐户，删除不再需要的帐户。

保护文件和目录

全新安装的 Windows 2000 系统的文件系统上具有安全默认的 ACL。然而，从前面版本（例如，Windows NT 4）进行的升级不会修改从前的安全设置，应当应用默认的 Windows 2000 的设置。关于 Windows 2000 文件系统 ACL 和如何进行必要修改的详细信息，请参阅位于 Microsoft TechNet 安全网站中的 Default Access Control Settings in Windows 2000 文档。

确保禁用来宾帐户

在默认情况下，来宾帐户在运行 Windows 2000 的系统上是禁用的。如果来宾用户已启用，请将其禁用。

保护注册表避免匿名访问

默认权限并不限制对注册表的远程访问。只有管理员具有远程访问注册表的权利，因为 Windows 2000 注册表编辑工具在默认情况下支持远程访问。限制对注册表的远程访问：

1. 将下列项添加到注册表中：

   配置单元	HKEY_LOCAL_MACHINE\SYSTEM
   项	\CurrentControlSet\Control\SecurePipeServers
   值名称	\winreg

2. 选择 winreg，单击“安全”菜单，然后单击“权限”。
3. 将管理员权限设置为“完全控制”，确保表中没有列出其他用户或组，然后单击“确定”。

该项中设置的安全权限 (ACL) 定义了哪些用户和组可以连接到系统中，进行远程注册表访问。此外，尽管存在 winreg 项中设置的 ACL，但在 AllowedPaths 子项中还包含一个列表，其中的项可供 Everyone 组的成员进行访问。这会允许诸如检查打印机状态等特定的系统功能正常工作，而不会受到 winreg 注册表项中访问限制的影响。AllowedPaths 注册表项的默认安全级别只授予 Administrators 管理这些路径的权限。有关 AllowedPaths 项及其适当使用方法的内容见于 Microsoft 知识库文章 Q155363。

应用适当的注册表 ACL

全新安装的 Windows 2000 系统在注册表上具有安全默认的 ACL。然而，从先前版本（例如，Windows NT 4）进行的升级不会修改从前的安全设置，应当应用默认的 Windows 2000 的设置。关于 Windows 2000 注册表 ACL 和如何做必要修改的详细信息，请参阅位于 Microsoft TechNet 安全网站中 Default Access Control Settings in Windows 2000 文档。

限制对公用的本地安全权限 (LSA) 信息的访问

您需要能够识别系统中的所有用户，因此您应该限制匿名用户从而减少他们能够获得的关于 Windows NT Security Subsystem 的 LSA 组件的大量公共信息。LSA 处理本地计算机的各方面安全管理，其中包括访问与权限。要实现该限制，请创建并设置下列注册表项：

配置单元	HKEY_LOCAL_MACHINE \SYSTEM
项	CurrentControlSet\Control\LSA
值名	RestrictAnonymous
类型	REG_DWORD
值	1

设置更加可靠的密码策略

使用“本地安全策略管理单元”来加强密码接受密码的系统策略。Microsoft 建议您进行下列修改：

• 将最小密码长度设置为 8 个字符
• 设置一个适合您网络的最短密码期限（通常介于 1 至 7 天之间）
• 设置一个适合您网络的最长密码期限（通常不超过 42 天）
• 设置最小为 6 的密码历史记录维护（使用“记住密码”选项）

设置帐户锁定策略

Windows 2000 包括帐户锁定功能，当登录失败次数超过管理员指定值时禁用该帐户。要获得最大程度的安全性，请在 3 到 5 次尝试失败后启用锁定帐户，不要在 30 分钟内重新启动该帐户，并将锁定时间设置为“永远锁定（直到管理员解开锁定）”。

Windows NT Server Resource Kit 包括一个允许您调节某些帐户属性的工具，它并不通过通常的管理工具进行访问。该工具 (passprop.exe) 可以使您锁定管理员帐户：

• /adminlockout 开关允许将管理员帐户锁定

配置管理员帐户

由于管理员帐户内建于所有的 Windows 2000 中，它对攻击者来说是个已知的目标。要使管理员帐户更难攻击，请在每台计算机上的本地管理员帐户设置中遵循下面两点：

• 将该帐户重命名为不明显的名字（例如，不具有“admin”或“root”等标记）
• 建立一个名为“Administrator”的没有特权的假帐户。定期扫描事件日志，寻找使用该帐户的尝试。
• 使用 Passprop 实用程序，对真正的管理员帐户启用帐户锁定
• 禁用本地计算机的管理员帐户。

取消所有不必要的文件共享

系统中所有不必要的文件共享都应当被取消，以防止可能的信息泄漏，并避免怀有恶意的用户利用共享作为本地系统的入口。

给所有必要的文件共享设置适当的 ACL

默认状态下，所有用户对于新创建的文件共享都拥有完全控制权限。系统中所有必要的共享都应当设置 ACL，以便使用户拥有适当的共享级别访问权（例如，Everyone = 读取）。

注意 必须使用 NTFS 文件系统，才能对个别文件设置 ACL 以及共享级别权限。

安装防病毒软件及其更新

必须在所有的 Internet 和 Intranet 系统中安装防病毒软件，并及时更新为最新的病毒签名。

关于防病毒安全方面的详细信息可以在 Microsoft TechNet 安全网站中获得，网址为：

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/virus/virus.asp

安装最新的 Service Pack

Windows 的每个 Service Pack 都包含以前版本 Service Pack 的安全补丁程序。Microsoft 建议您始终关注 Service Pack 的发布并且只要您可操作环境的允许就要安装正确的 Service Pack。Windows 2000 的当前的 Service Pack 即 SP2 可以从下面地址获得：

http://www.microsoft.com/windows2000/downloads/servicepacks/sp2/

Service Packs 也可以通过 Microsoft 的产品支持获得。有关联系 Microsoft 产品支持的信息可以从下面地址获得： http://support.microsoft.com/support/contact/default.asp

在安装 Service Pack 之后安装适当的安全修补程序

Microsoft 通过其安全通知服务发布安全电子公告。当这些公告建议您安装安全补丁时，您应该立即下载并在成员计算机上安装补丁程序。

附加安全设置

在保护运行 Windows 2000 系统时，本文档中并没有涉及到应当调整的其他安全功能。关于诸如加密文件系统 (EFS)、Kerberos、IPSEC、PKI 和 IE 安全等信息，请参阅 Microsoft TechNet 安全网站：

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/prodtech/wn2ksec.asp