6.安全日志

Windows 2000的默认安装是不开启任何安全审核的。请你到“本地安全策略”的“审核策略”中打开相应的审核。推荐的审核是:

账户管理 成功/失败

登录事件 成功/失败

对象访问 失败

策略更改 成功/失败

特权使用 失败

系统事件 成功/失败

目录服务访问 失败

账户登录事件 成功/失败

与之相关的是在“账户策略”的“密码策略”中设定:

密码复杂性要求 启用

密码长度最小值 6位

强制密码历史 5次

最长存留期 30天

在”账户策略”的“账户锁定策略”中设定:

账户锁定 3次错误登录

锁定时间 20分钟

复位锁定计数 20分钟

7. 目录和文件权限

为了控制好服务器上用户的权限，同时也为了预防以后可能的入侵，我们还必须设置目录和文件的访问权限，Windows 2000的访问权限分为:读取、写入、读取及执行、修改、列目录、完全控制。在默认的情况下，大多数的文件夹对所有用户是完全敞开的，你需要根据应用的需要进行权限重设。

在进行权限控制时，请记住以下几个原则:

(1)权限是累计的:如果一个用户同时属于两个组，那么他就有了这两个组所允许的所有权限。

(2)拒绝的权限要比允许的权限高。如果一个用户属于一个被拒绝访问某个资源的组，那么不管其他的权限设置给他开放了多少权限，他也不能访问这个资源。

(3)文件权限比文件夹权限高。

(4)仅给用户真正需要的权限，权限的最小化原则是安全的重要保障。

8. 预防DoS

在注册表\HKEYLOCALMACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters中更改以下值可以帮助你防御一定强度的DoS攻击:

名称 类型 值

SynAttackProtect REGDWORD 2

EnablePMTUDiscovery REGDWORD 0

NoNameReleaseOnDemand REGDWORD 1

EnableDeadGWDetect REGDWORD 0

KeepAliveTime REGDWORD 300,000

PerformRouterDiscovery REGDWORD 0

EnableICMPRedirects REGDWORD 0

9. ICMP攻击

ICMP的风暴攻击和碎片攻击也是NT主机比较头疼的攻击方法，其实应付的方法也很简单，Windows 2000自带一个Routing & Remote Access工具，这个工具初具路由器的雏形。在这个工具中，我们可以轻易地定义输入输出包过滤器。例如，设定输入ICMP代码255丢弃就表示丢弃所有的外来ICMP报文。