Windows 2000系统的使用者特别多，导致在受攻击的系统中高居榜首，但这不是说Windows 2000的安全性一点儿不好，只要合理配置和管理有方，还是比较安全的。本人使用Windows 2000的时间也不算短了，对于维护它的安全，也渐渐摸出了一点儿门路，下面是一点儿个人见解，不足之处，还请各位指正。

　　安全安装尽量减少后顾之忧

　　Windows 2000系统的安全应该是从安装时就一点一滴积累起来的，但这往往被人忽视。下面几点是在安装Windows 2000时需要注意的：

　　1、不要选择从网络上安装

　　虽然微软支持在线安装，但这绝对不安全。在系统未全部安装完之前不要连入网络，特别是Internet!甚至不要把一切硬件都连接好来安装。因为Windows 2000安装时，在输入用户管理员账号“Administrator”的密码后，系统会建立一个“\$ADMIN”的共享账号，但是并没有用刚输入的密码来保护它，这种情况一直会持续到计算机再次启动。在此期间，任何人都可以通过“\$ADMIN”进入系统;同时，安装完成，各种服务会马上自动运行，而这时的服务器还到处是漏洞，非常容易从外部侵入。

　　2、要选择NTFS格式来分区

　　最好所有的分区都是NTFS格式，因为NTFS格式的分区在安全性方面更加有保障。就算其他分区采用别的格式(如FAT32)，但至少系统所在的分区中应是NTFS格式。

　　另外，应用程序不要和系统放在同一个分区中，以免攻击者利用应用程序的漏洞(如微软的IIS的漏洞，大家不会不知道吧)导致系统文件的泄漏，甚至让入侵者远程获取管理员权限。

　　3、系统版本的选择

　　我们一般都喜欢使用中文界面的软件，但对于微软的东西，由于地理位置及市场因素，都是先有英文版，然后才有各国其他语言的版本。也就是说Windows系统的内核语言是英语，这样相对来说它的内核版本理应比它的编译版本中的漏洞少很多，事实也是如此，Windows 2000的中文输入法漏洞闹得沸沸扬扬大家是有目共睹的。

　　上面所说的安全安装只能减少后顾之忧，千万别以为只做到这些就可以一劳永逸了，还有很多工作等着你去做的，请继续往下看：

　　妥善管理系统使它更安全

　　系统不安全，不要老埋怨软件的本身，多想想人为的因素吧！下面从管理员的角度来谈谈在管理过程中需要注意的几点：

　　1、关注最新漏洞，及时打上补丁和安装防火墙

　　管理员的职责是维护系统的安全，吸收最新的漏洞信息，及时打上相应的补丁，这是维护系统安全最简单也是最有效的方法。我给大家推荐国外的一个很好的安全站点：ttp://www.eeye.com 。同时，安装最新版的防火墙也是必须的，可以助你一臂之力。但是要记住：“道高一尺，魔高一丈”，没有绝对的安全，补丁永远都是跟在漏洞公布之后，完全相信系统补丁和防火墙是不可行的！

　　2、禁止建立空连接，拒人于门外

　　黑客们经常采用共享进行攻击，其实不是它的漏洞，只怪管理员的账户和密码太简单，留着不放心，还是禁止掉的好！

　　这主要是通过修改注册表来实现，主键及键值如下：

　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]

　　RestrictAnonymous = DWORD:00000001

　　3、禁止管理共享

　　除了上面的，还有这个一起禁止吧！　　

　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]

　　AutoShareServer = DWORD:00000000

　　4、精巧设计密码，慎防入侵

　　呵呵，看了上面的第2点和第3点，有经验的朋友自然会常想到这一点了。不错，这是老生常谈的事情了，很多服务器被攻陷都是由于管理员密码过于简单而造成的。

　　对于密码的设置，我建议：①长度超过8位为宜。②大小写字母、数字、特殊符号的复杂组合，如：G1\$2aLe^ ，避免“纯单词”或者“单词加数字”型的密码，如：gale、gale123等。

　　特别注意：MSSQL 7.0 中的SA密码千万不能为空！默认情况下“SA”密码是空的，而它的权限是“admin”，想想后果吧。

　　5、限制管理员组的用户数量

　　严格限制管理员组的用户，时时刻刻保证只有一个Administrator(也就是你自己)是该组的用户。至少每天检查一次该组的用户，发现多增加的用户一律删除!毫无疑问，那新增的用户一定是入侵者留下的后门！同时要注意Guest用户，聪明的入侵者一般不会添加陌生用户名，这样容易被管理员发现行踪，他们通常是先激活Guest用户，然后是更改它的密码，再放到管理员组，但Guest无端跑到管理员组来干嘛?停掉！

　　6、停止不必要的服务

　　服务开的太多也不是个好事，将没有必要的服务通通关掉吧！特别是连管理员都不知道是干什么的服务，还开着干什么！关掉！免得给系统带来灾难。

　　另外，管理员如果不外出，不需要远程管理你的计算机的话，最好将一切的远程网络登录功能都关掉。注意，除非特别需要，否则禁用“Task Scheduler”、“RunAs Service”服务！

　　关闭一项服务的方法很简单，运行cmd.exe之后，直接 net stop servername 即可。

　　7、管理员安分守己，不用公司的服务器做私人用途

　　Windows 2000 Server 除了可以像服务器之外，同时还可以做个人用户的计算机一样，上网浏览网页、收发E-mail 等等。作为管理员，应该尽量少用服务器的浏览器来浏览网页，避免因浏览器的漏洞造成木马感染和公司的隐私信息暴露。微软IE漏洞多多，相信大家不会不知道吧?另外，也少在服务器上使用Outlook等工具来收发E-mail，避免染上病毒，给企业带来损失。

　　8、注意本地安全

　　防止远程入侵很重要，但系统的本地安全也不容忽视，入侵者不一定在远处，有可能就在身边！

　　(1)及时打上最新版的补丁，防止输入法漏洞，这是不用再说的了。输入法漏洞不仅是导致本地入侵，如果开了终端服务的话，系统之门就会大开，一个装了终端客户端的机器就可以轻易闯进来！

　　(2)不显示上次登录的用户

　　如果你的机器是不得不多人共用的话(其实，真正的一台服务器是不应该这样的)，那禁止显示上次登录的用户很重要，免得别人猜中密码。设置方法是：在[开始]→[程序]→[管理工具]→[本地安全策略]，打开“本地策略”的“安全选项”，在右边双击“登录屏幕上不要显示上次登录的用户名”，选中“已启用”，再点击[确定]，这样，下次登录的时候就不会在用户名框上显示上次登录过的用户名了。

Windows 2000中NTFS权限介绍及应用

　　WIN2000中添加了一个与WIN98及以前的WINDOWS版本不同的一个特性，那就是NTFS权限，由于有了这个特性，那么在WIN2000中就可以实现文件夹及文件级别的安全控制，这不同于WIN98中的帐号和密码，在WIN98中，只要知道了帐号和密码，那么就可以对计算机完全控制，而无法实现对某个帐户只允许读取某个文件夹或者某个文件的功能。而在WIN2000中，完全可以完美的实现这一点。OK,Let's go！
　　
　　首先，先说一下要实现该功能的前提条件，那就是你的分区必须是NTFS分区，如果是FAT或者FAT32分区的话，那么是无法实现该功能的，其实如果你的电脑上只有一个WIN2000操作系统的话，或者说只要你的机子上没有装WIN98及WIN98以前的系统的话，那么用NTFS分区是一个非常好的选择，这将大大提高你的系统的稳定性和安全性。如果你的分区是FAT32分区，那么可以通过这条命令来把他转成NTFS分区：
　　
　　convert x: /fs:ntfs
　　
　　其中的x可以用实际的盘符替换。不过要注意的一点是，WIN98是无法识别NTFS格式的分区的，也就是说如果在WIN98的分区使用NTFS格式，那么WIN98将无法使用。而且该命令是不可逆的，也就是说该命令只能将FAT32转换成NTFS格式，而无法将NTFS格式转换成FAT32格式，如果要转换回来的话，那么要用PQ等软件才能实现。

　　好了，现在言归正传，使用了NTFS分区以后，你必须为需要访问一个资源的每一个用户帐号授予NTFS权限，用户必须获得明确的授权才能访问经过设置的资源。如果没有权限，那么它将被拒绝访问该资源。打个比方：假设有一个文件，我对他进行NTFS权限设置，我设置成只有我自己和A用户才能访问，那么除了我和A以外，其他任何帐户登陆都将无法使用该文件，WIN2000会给出“没有适当的权限读取”等字样的提示。这就实现了该文件的安全性，而且该安全性无论是在计算机上还是在网络上都有效，也就是说即使通过网络连接到该计算机，也只有我和A用户可以使用该文件，其他人也是无法使用的，虽然该文件被共享，但是其他人只能看到有这个文件，但是却不能读取，呵呵，有点看得见，吃不着的意思吧？
　　
　　在WIN2000中有个叫做Access Control List（ACL，访问控制列表）的东西，里面包含了可以访问该资源的用户的帐户，组和计算机。当一个用户访问该资源时，那么必须在ACL中有它的帐号，那么WIN2000才允许该用户访问该资源，否则拒绝

这里要说明的一点是，和我们想象的不一样，WIN2000不是根据用户名是否相同来识别用户的，每一个帐号在创建的时候都有一个Security ID（SID,安全标识符），WIN2000是根据这个SID是否相同来识别用户的，如果SID不一样，就算用户名等其它设置一模一样，WIN2000也会认为是不一样的两个帐号，这就像我们领奖的时候，只认你的身份证是否符合，而不管你的名字是否相同是一个道理的，而该SID是WIN2000在创建该帐号的时候随机给的，所以说当删除了一个帐号后，再次重新建立一个一模一样的帐号，其SID和原来的那个是不一样，那么他的NTFS权限就必须重新设置。
　　
　　现在说一下NTFS权限的实际应用。用鼠标右键点击你想要设置权限的文件或者文件夹，选属性－＞安全，这时你可以看到允许使用该文件的帐号或者组，默认是都有Everyone组的，该组表示所有的用户，下面部分就是可以为该组或者帐号设置的权限。如果Everyone的权限设置为完全控制，那么意味着所有的用户都可以随意操作该文件，包括读取，修改，删除等等。这也是WIN2000默认的权限。你还可以添加帐号，为帐号设置权限，这个只要你自己操作一下就知道怎么操作了，现在我只是举个例子来说明一下：
　　
　　假设有一个文件叫做FILE，我要设置为只有USER1，USER2和USER3这三个用户可以使用该文件，但是USER1用户可以随意操作该文件，USER2用户只能读取该文件，而不能进行如修改等等的其他操作，USER3可以读取，可以写入，但是不能删除该文件，我说明一下具体的操作方法。
　　
　　１、右键点击FILE，选属性－＞安全
　　
　　２、将下面的“允许将来自父系的可继承权限传播给该对象”前面的勾去掉。他会弹出一个对话框，选删除。也就是说把上面的Everyone等所有的帐号删除。
　　
　　３、点添加，弹出一个对话框，选中USER1，添加，确定。
　　
　　４、然后选中USER1，在“完全控制”后面的“允许”下面打上勾。
　　
　　５、依照前面的方法添加USER2。
　　
　　６、选中USER2，在“读取”后面的“允许”中打勾，其他的勾全部去掉。
　　
　　７、添加USER3。
　　
　　８、选中USER3，在“修改”后面的“允许”中打勾，确认“完全控制”的勾去掉。
　　
　　９、选“高级”，选中USER3，点“查看/编辑”。把里面的“删除”后面“允许”的勾去掉。
　　
　　１０、搞定！！！ ^-^
　　
　　这时，用USER1登陆，那么你可以完全控制该文件

　　用USER2登陆，可以打开该文件，当保存的时候会出现“不能创建FILE，请确认路径和文件名是否正确”的提示框。这说明现在USER2无法保存该文件。当然也无法进行其它操作，他只能读取该文件。
　　
　　用USER3登陆，可以打开该文件，也可以保存。当删除该文件的时候会出现“无法删除FILE：拒绝访问。源文件可能正在使用”的提示框，说明无法删除该文件。
　　
　　***** 提醒：在未完全搞清楚权限的用法之前，最好随便创建一个没有用的文件，然后再进行试验，这样比较安全。否则搞得重要文件被删除了可不关我的事情。
　　
　　至于给文件夹设置安全，步骤和上面差不多，不过文件夹会多了一个继承，也就是说可以选择权限设置是仅仅对该文件夹进行起作用，还是对该文件夹和该文件夹的子文件夹及文件起作用。只要将“重置所有子对象的权限并允许传播可继承权限”前面打勾就可以了。

　　重点及难点
　　
　　多重NTFS权限问题一直是很多人搞不清楚的，现在作介绍并举例说明。
　　
　　******注意：以下说明的是多重NTFS权限之间的问题，非NTFS权限和共享权限之间的多重。　　

　　１、权限的积累
　　
　　用户对资源的有效权限是分配给该个人用户帐户和用户所属的组的所有权限的总和。如果用户对文件具有“读取”权限，该用户所属的组又对该文件具有“写入”的权限，那么该用户就对该文件同时具有“读取”和“写入”的权限，举例如下：
　　
　　假设情况如下所示：
　　
　　　有一个文件叫FILE。
　　　USER1用户属于GROUP1组
　　
　　
　　　USER1（读取权限）－－－－>　FILE　<－－－－　GROUP1（写入权限）
　　　　　　　　　　　　　　　　　　｜
　　　　　　　　　　　　　　　　　　｜
　　　　　　　　　　　　　　　　　　｜
　　　　　　　　　　　　　　　　　　｜
　　
　　USER1对FILE的权限为　　　　　　 读取＋写入

 

２、文件权限高于文件夹权限
　　
　　意思就是说NTFS文件权限对于NTFS文件夹权限具有优先权，假设你能够访问一个文件，那么即使该文件位于你不具有访问权限的文件夹中，你也可以进行访问（前提是该文件没有继承它所属的文件夹的权限）。
　　
　　举例说明如下：假设你对文件夹FOLDER没有访问权限，但是该文件夹下的文件FILE.TXT没有继承FOLDER的权限，也就是说你对FILE.TXT文件是有权限访问的，只不过你无法用资源管理器之类的东西来打开FOLDER文件夹，你无法看到文件FILE而已（因为你对FOLDER没有访问权限），但是你可以通过输入它的完整的路径来访问该文件。比如你可以用 c:\folder\file.txt来访问FILE文件（假设在C盘）。
　　
　　３、拒绝高于其他权限
　　
　　拒绝权限可以覆盖所有其他的权限。甚至作为一个组的成员有权访问文件夹或文件，但是该组被拒绝访问，那么该用户本来具有的所有权限都会被锁定而导致无法访问该文件夹或文件。也就是说上面第一点的权限累积原则将失效。举例说明如下：
　　
　　假设情况如下：
　　
　　　有一个文件叫FILE。
　　　USER1用户属于GROUP1组
　　
　　
　　　USER1（读取权限）－－－－>　FILE　<－－－－　GROUP1（拒绝）
　　　　　　　　　　　　　　　　　　｜
　　　　　　　　　　　　　　　　　　｜
　　　　　　　　　　　　　　　　　　｜
　　　　　　　　　　　　　　　　　　｜
　　
　　　　　　　　　　　　　　　　 拒绝访问
　　
　　那么USER1对FILE的权限将不再是：读取＋写入，而是无法访问文件FILE。
　　
　　另外一种情况是拒绝原则与累计原则并存，举例如下：
　　
　　　有一个文件叫FILE。
　　　USER1用户属于GROUP1组，同时也属于GROUP2组，
　　
　　　　　　　　　　　　　　　USER1（读取权限）
　　
　　　　　　　　　　　　　　　　　　｜
　　　　　　　　　　　　　　　　　　｜
　　　　　　　　　　　　　　　　　　｜
　　　　　　　　　　　　　　　　　　
　　　GROUP1（写入权限）－－－－>　FILE　<－－－－　GROUP2（拒绝写入）
　　
　　　　　　　　　　　　　　　　　　｜
　　　　　　　　　　　　　　　　　　｜
　　　　　　　　　　　　　　　　　　｜
　　
　　　　　　　　　　　　　　　　　 读取
　　
　　那么USER1对FILE的权限为：读取（根据累计原则，USER1对FILE本来有：“读取＋写入”权限，但是由于USER1所属的GROUP2组被拒绝写入，所以就只剩下“读取”权限了。

原

Windows2000/XP系统的无敌替换命令

 用来替换文件的replace，连正在使用的文件也能替换。非常无敌。

　　比如:在C:\下建一个目录，c:\aaa

　　然后复制一首mp3到c:\aaa并命名为c:\aaa\a.mp3

　　然后再复制另一首歌到C:\a.mp3

　　然后用media player播放c:\aaa\a.mp3

　　在命令提示符下输入:replace c:\a.mp3 c:\aaa

　　过一会，是不是播放的歌已变为另一首。　　

　　用这个命令来替换系统文件真是太爽了，并且XP的系统文件保护也对它无效。

　　再也不用到安全模式下去替换文件了

　　格式

　　REPLACE [drive1:][path1]filename [drive2:][path2] [/A] [/P] [/R] [/W]

　　REPLACE [drive1:][path1]filename [drive2:][path2] [/P] [/R] [/S] [/W]

　　[drive1:][path1]filename 指定源文件。

　　[drive2:][path2] 指定要替换文件的目录。

　　/A 把新文件加入目标目录。不能和/S 或 /U 命令行开关搭配使用。

　　/P 替换文件或加入源文件之前会先提示您进行确认。

　　/R 替换只读文件以及未受保护的文件。

　　/S 替换目标目录中所有子目录的文件。不能与 /A 命令选项 搭配使用。

　　/W 等您插入磁盘以后再运行。

　　/U 只会替换或更新比源文件日期早的文件。不能与 /A 命令行开关搭配使用

Windows98/2000安装与卸载技巧如何让Windows 2000自动登录?运行Windows2000只需32MB内存!经典:Windows 1.0到Vista启动画面回顾Windows 2000管理员密码破解指南加速启动Windows 2000Windows 2000安装程序_INS5576._MP.exe错误轻松创建Windows 2000启动盘Windows 2000下PHP服务器安装攻略分级限制Windows 2000/XP/2003 USB设备使用