南宁古董鉴定:求2000PRO系统安全终极设置文章！

对超级用户权限的设置
对超级用户而言，其操作权限一般不用做太多限制，不过仍须对屏幕保护等功能设置必要的密码，以维护自己离机时系统的安全。
1．屏幕保护密码
通过在桌面右击鼠标，进入“属性→显示属性→屏幕保护程序选项卡→密码保护”进行密码设置。运行屏幕保护，除了设置时间外，还可以在桌面上建立它的快捷方式(找到“WINDOWS\SYSTEM”目录下的?．scr文件即可)，还可以让它启动后自动运行(通过“启动”组实现并不安全)。
⑴启动注册表编辑器regedit；
⑵展开HKEY＿LOCAL＿MACHINE\SO
FTWARE\Microsoft\Windows\CurrentVersion\Run分支；
⑶在Run主键中新建一个名为“密码确认”的字符串值；
⑷双击新建的“密码确认”的字符串，打开“编辑字符串”对话框；
⑸在“编辑字符串”对话框的“键值”栏中输入相应的屏保程序名及所在路径。
通过这样的设置每次启动系统时屏保都会自动运行，按Ctrl键试图跳过和按“Ctrl+Alt+Del”试图关闭都无能为力，从而确保系统安全。
2．禁止光盘的自动运行功能
Windows 2000的光盘的自动运行功能也是系统安全的隐患，光盘中只要存在autorun．inf文件，则系统会自动试图执行文件中?open?字段后的文件路径(市场上已经出现了破解屏保密码的光盘，如果不禁止光盘的自动运行功能，以上所做的设置都将是白费)，步骤为：
⑴展开HKEY＿LOCAL＿MACHINE\SO
FTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer子键分支；
⑵在Explorer主键中新建DWORD值NoDriveTypeAutoRun，改值为1。
对普通用户权限的设置
对普通用户，我们一方面应根据工作需要赋予他们适当的权限，如启动计算机，打开相应的应用程序对自己的数据文件进行拷贝、删除与操作，以保证工作的正常开展；另一方面，为了防止他们对系统进行修改而破坏整个系统，必须对他们的权限进行必要的限制。对普通用户的权限进行限制的措施主要包括以下几项：
1．删除“开始”菜单中有关命令和项目
(1)对“开始”菜单中“收藏夹”选项的操作步骤如下：
①启动注册表编辑器regedit；
②展开HKEY＿LOCAL＿USER\SOFTW
ARE\Microsoft\Windows\CurrentVersion\Policies\Explorer分支；
③在Explorer下新建一个名为NoFavoritesMenu的DWORD值，将值改为1，则“开始”菜单中“收藏夹”选项就会消失。
(2)对“开始”菜单中“文档”选项的操作步骤如下：
利用上述方法在Explorer主键下新建NoRecentDocsHistory的DWORD值，将值改为1，则文档中的内容不能被修改。
在Explorer主键下新建ClearRecentDocsOnExit的DWORD值，将值改为1，则每次退出系统时，将自动清除文档中的历史记录。
在Explorer主键下新建NoRecentDocsMenu的二进制值，将值改为01 00 00 00，则文档菜单消失。
(3)和上面相似，在Explorer主键下新建不同的值可以达到相应的效果，对应如下(括号内为值的类型)：
NoRun(DWORD)＝1→“运行”选项消失
NoSetFolders(二进制)＝01 00 00 00→“设置”选项消失
NoSetTaskbar(二进制)＝01 00 00 00→禁止设置“任务栏”属性
NoFind(DWORD)＝1→“查找”选项消失
NoClose(DWORD)＝1→“关闭系统”选项消失
NoLogOff(二进制)＝01 00 00 00→“注销”选项消失
NoSaveSettings(二进制)＝01 00 00 00→退出系统时不保存用户对环境所做的设置
NoSetFolders(DWORD)＝1→“设置”菜单中“控制面板”和“打印机”选项消失
2．删除“网上邻居”等系统图标
基于某些特殊需要，我们可能需要禁止普通用户使用桌面上的图标而又无法采用常规方式删除，为此，可采用如下方式：
①展开HKEY＿LOCAL＿USER\SOFTW
ARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Desktop\NameSpace分支；
②此时我们可以从NameSpace主键中看到“网上邻居”、“我的文档”、“回收站”等分支，只须删除这些分支即可。
3．在图形界面下隐藏某个驱动器图标
为防止普通用户无意之中的破坏，我们可能希望将保存系统文件的磁盘分区以及光驱、软驱隐藏起来，不允许他们对这些磁盘分区进行访问，为此我们可以进行如下设置：
①展开HKEY＿LOCAL＿USER\SOFTW
ARE\Microsoft\Windows\CurrentVersion\Policies\Explorer分支；
②新建二进制值NoDrives，该二进制值就是用于设置是否隐藏某个驱动器的，它由4个二进制字节构成，每个字节的每一位都分别对应一个磁盘驱动器盘符，当某位为1时，资源管理器及我的电脑中的相应驱动器图标即会隐藏起来。驱动器的值是这样确定的，A～Z的值依次为2的0～25次方，把要禁止的驱动器的值相加，转换成十六进制就是NoDrives的键值，如要禁止A、D、E则值为1+8+16＝25，转换成十六进制为19，修改NoDrives的键值为19 00 00 00即可。
4．禁止使用MS－DOS方式
采用上述方法隐藏某个磁盘分区的作用仅限于图形界面，但在字符界面如MS－DOS方式无效，因此我们必须采用适当的方法禁止普通用户使用MS－DOS方式。方法为：
①展开HKEY＿LOCAL＿USER\SOFTW
ARE\Microsoft\Windows\CurrentVersion\Policies分支；
②在Policies主键下新建一个名为WinOldApp的主键，在WinOldApp主键下新建一个名为Disabled的DWORD值，改值为1(这项用于禁止用户进入Windows 2000的MS－DOS方式)。
③在WinOldApp主键下新建一个名为NoRealMode的DWORD值，将值改为1(这项用于禁止用户在关闭系统时选择切换至MS－DOS方式)。
5．禁止使用控制面板中的特殊功能
前面我们介绍了通过“NoSetFolders”二进制值可禁止“开始”中的“设置”选项，不过有时我们并不希望关闭“控制面板”，而只是希望禁止普通用户使用其中的部分功能，我们可以利用Windows 2000目录下的CONTROL．INI文件达到目的。
打开CONTROL．INI，在?don’t load?小节中加上“?．CPL＝NO”命令，则相应的系统控制项目就会从“控制面板”中消失。如加上“SYSDM．CPL＝NO”则“系统”项目就会消失，有关CPL文件与控制面板中项目的对应关系如下：
ACCESS．CPL→辅助选项
APPWIZ．CPL→添加/删除应用程序
DESK．CPL→显示器
INETCPL．CPL→Internet属性
INTL．CPL→区域
JOY．CPL→游戏控制器
MAIN．CPL→鼠标、打印机、键盘、输入法、字体
MMSYS．CPL→多媒体、声音
MODEM．CPL→调制解调器
NETCPL．CPL→网络
PASSWORD．CPL→密码
POWERCFG．CPL→电源管理
STICPL．CPL→扫描仪与数码相机
SYSDM．CPL→系统、添加新硬件
TIMEDATE．CPL→日期时间
ODBCCP32．CPL→ODBC数据源管理器
TELEPHON．CPL→电话
THEMES．CPL→桌面主题
MLCFG32．CPL→电子邮件
FINDFAST．CPL→文件检索
TOGMOUSE．CPL→Toggle MOUSE
TWEAKUI．CPL→TWEAK UI设置软件
注：如加上“?．CPL＝NO”则隐藏“控制面板”中所有项目。
经上述设置后“控制面板”中的相应项目就不会出现，不过，只要上述文件还存在于计算机中，我们仍然可以运行，如系统托盘中的时间、声音等，我们可通过注册表修改来达到禁用。方法为：
展开HKEY＿LOCAL＿USER\SOFTWA
RE\Microsoft\Windows\CurrentVersion\Policies\System分支；在System主键下新建名为NoVirt MenuPage的DWORD值，改值为1，则“控制面板/系统”中“虚拟内存”选项卡失效；
和上面相似，在System主键下新建不同的值可以达到相应的效果，对应如下(括号内为值的类型)：
NoFile SysPage(DWORD)＝1→“系统”中“文件系统”选项卡失效
NoConfig Page(DWORD)＝1→“系统”中“硬件配置文件”选项卡失效
NoDev MgrPage(DWORD)＝1→“系统”中“设备管理”选项卡失效
NoDisp Background Page(DWORD)＝1→“显示”中“背景”选项卡失效
NoDisp Scrsav Page(DWORD)＝1→“显示”中“屏保”选项卡失效
NoDisp Appearance Page(DWORD)＝1→“显示”中“外观”选项卡失效
NoDisp Settings Page(DWORD)＝1→“显示”中“设置、外观、Web页”选项卡失效
NoDispCPL(DWORD)＝1→“显示”设置项将被禁止
6．删除“自建”子菜单中的命令
一般来说，单击鼠标右键都会从弹出的快捷菜单发现一个“新建”子菜单，不过有时为了安全起见，我们可能需要删除普通用户“新建”子菜单中的某些新建命令，对此可采用：
①展开HKEY＿CLASSES＿ROOT主键；
②在HKEY＿CLASSES＿ROOT主键下找到要删除的新建文件类型的次级主键(如“．zip”次级主键)；
③展开该次级主键下的“ShellNew”分支，将ShellNew分支下除“默认”项外的所有键值全部删除。
7．清除“运行”等对话框中的历史记录
①展开HKEY＿LOCAL＿USER\SOFTW
ARE\Microsoft\Windows\CurrentVersion\Policies\Explorer分支；
②该主键的RunMru分支用于显示“运行”的历史记录；
③该主键的DocFindSpecMRU分支用于显示“查找”的历史记录；
④HKEY＿LOCAL＿USER\Network\Recent分支；
⑤Recent主键用于显示“文档”的历史记录。
8．禁止使用注册表编辑器
我们在上述所做的一切工作都是基于注册表修改的，倘若用户非常熟悉注册表的构成，那么他们完全可以通过修改它来恢复被隐藏的项目，所以一定要在完成上述修改工作后把注册表禁用。方法为：
展开HKEY＿LOCAL＿USER\SOFTWA
RE\Microsoft\Windows\CurrentVersion\Policies\System分支；在System主键下新建一个名为DisableRegistryTools的DWORD值，改值为1。经过上述步骤后，我们就达到了对相应普通用户的权限进行设置的目的，重复上述操作，可对所有普通用户的权限逐一进行设置，设置完毕后我们应将不同用户的开机密码、电源管理、屏幕保护等初始密码分别告知，并指导他们用“控制面板”中的“密码”设置进行修改。
对非法用户的权限进行限制
对于他们的权限，我们实施最大限度的限制，最好是让他们什么也做不成！为此，我们可重新启动计算机，并在系统弹出用户名登录框时按下ESC，以非法用户身份进入系统，然后进行设置。
1．隐藏桌面所有图标
展开HKEY＿LOCAL＿MACHINE\SOFT
WARE\Microsoft\Windows\CurrentVersion\Policies\Explorer子键分支；在Explorer主键下新建Nodesktop的DWORD值，将值改为1。
2．删除“开始”菜单中所有命令
3．禁止使用任何程序
有了前面的两项限制措施，我们即可达到对一般非法入侵者进行控制的目的。不过对那些高级别的入侵者，上面两项控制是远远不够的，他们仍可通过种种方式对系统进行破坏。而真正彻底的控制则是不允许运行任何程序。方法为：
①展开HKEY＿LOCAL＿MACHINE\SO
FTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer子键分支；
②在Explorer主键下新建RestrctRun的DWORD值，将值改为1。
不过你也可以发一下善心，给他几个Windows 2000自带的游戏玩一玩，方法为：
在Explorer主键下新建名为RestrctRun的主键，在其下分别新建名为1、2、3、4的字符串值，将值分别改为MSHEARTS．EXE、FREECELL．EXE、WINMINE．EXE、SOL．EXE(只需程序名，无需路径)，则系统只能运行网上红心大战、空当接龙、扫雷、纸牌。无法执行其它任何程序。
关键性的系统控制措施
看完前面的介绍，有些读者可能认为系统已经万无一失了，不过事实并非如此，还有很多“后门”可以为入侵者提供方便，如软盘启动网络及电子邮件等，我们必须将后门一一关闭(注：这些功能的关闭将对所有用户起到限制作用)。
1．禁止采用软盘及光盘启动计算机。即CMOS设置为C only；
2．防治网络及电子邮件入侵。
随着网络的流行，各种黑客程序也越来越多，非法入侵者完全可以通过网络的形式在你的计算机中安上一个“后门”，然后入侵系统，这就需要使用专门的杀毒软件及防火墙软件来保护系统。

1. 关闭 DirectDraw
这是C2级安全标准对视频卡和内存的要求。关闭DirectDraw可能对一些需要用到DirectX的程序有影响（比如游戏，在服务器上玩星际争霸？我晕..$%$^%^&??），但是对于绝大多数的商业站点都应该是没有影响的。 修改注册表 HKLM\SYSTEM\CurrentControlSet\Control\GraphicsDrivers\DCI 的Timeout(REG_DWORD)为 0 即可。

2.关闭默认共享
win2000安装好以后，系统会创建一些隐藏的共享，你可以在cmd下打 net share 查看他们。网上有很多关于IPC入侵的文章，相信大家一定对它不陌生。要禁止这些共享 ，打开 管理工具>计算机管理>共享文件夹>共享 在相应的共享文件夹上按右键，点停止共享即可，不过机器重新启动后，这些共享又会重新开启的。
默认共享目录 路径和功能

C$ D$ E$ 每个分区的根目录。Win2000 Pro版中，只有Administrator
和Backup Operators组成员才可连接，Win2000 Server版本
Server Operatros组也可以连接到这些共享目录
ADMIN$ %SYSTEMROOT% 远程管理用的共享目录。它的路径永远都
指向Win2000的安装路径，比如 c:\winnt

FAX$ 在Win2000 Server中，FAX$在fax客户端发传真的时候会到。
IPC$ 空连接。IPC$共享提供了登录到系统的能力。
NetLogon 这个共享在Windows 2000 服务器的Net Login 服务在处
理登陆域请求时用到
PRINT$ %SYSTEMROOT%\SYSTEM32\SPOOL\DRIVERS 用户远程管理打印机

解决办法：
打开注册表编辑器。REGEDIT
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
在右边建立一个名为AutoShareServer的DWORD键。值为0
[NextPage]

3.禁止dump file的产生
dump文件在系统崩溃和蓝屏的时候是一份很有用的查找问题的资料(不然我就照字面意思翻译成垃圾文件了)。然而，它也能够给黑客提供一些敏感信息比如一些应用程序的密码等。要禁止它，打开 控制面板>系统属性>高级>启动和故障恢复 把 写入调试信息 改成无。要用的时候，可以再重新打开它。

4.使用文件加密系统EFS
Windows2000 强大的加密系统能够给磁盘，文件夹，文件加上一层安全保护。这样可以防止别人把你的硬盘挂到别的机器上以读出里面的数据。记住要给文件夹也使用EFS,而不仅仅是单个的文件。 有关EFS的具体信息可以查看
http://www.microsoft.com/windows200...ity/encrypt.asp

5.加密temp文件夹
一些应用程序在安装和升级的时候，会把一些东西拷贝到temp文件夹，但是当程序升级完毕或关闭的时候，它们并不会自己清除temp文件夹的内容。所以，给temp文件夹加密可以给你的文件多一层保护。

6.锁住注册表
在windows2000中，只有administrators和Backup Operators才有从网络上访问注册表的权限。如果你觉得还不够的话，可以进一步设定注册表访问权限，详细信息请参考：
http://support.microsoft.com/suppor...s/Q153/1/83.asp

7.关机时清除掉页面文件
页面文件也就是调度文件，是win2000用来存储没有装入内存的程序和数据文件部分的隐藏文件。一些第三方的程序可以把一些没有的加密的密码存在内存中，页面文件中也可能含有另外一些敏感的资料。 要在关机的时候清楚页面文件，可以编辑注册表
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management
把ClearPageFileAtShutdown的值设置成1。

8.禁止从软盘和CD Rom启动系统
一些第三方的工具能通过引导系统来绕过原有的安全机制。如果你的服务器对安全要求非常高，可以考虑使用可移动软盘和光驱。把机箱锁起来扔不失为一个好方法。

9.考虑使用智能卡来代替密码
对于密码，总是使安全管理员进退两难，容易受到 10phtcrack 等工具的攻击，如果密码太复杂，用户把为了记住密码，会把密码到处乱写。如果条件允许，用智能卡来代替复杂的密码是一个很好的解决方法。

10.考虑使用IPSec
正如其名字的含义，IPSec 提供 IP 数据包的安全性。IPSec 提供身份验证、完整性和可选择的机密性。发送方计算机在传输之前加密数据，而接收方计算机在收到数据之后解密数据。利用IPSec可以使得系统的安全性能大大增强。