Windows 2000∕XP高级安全设防三要素

逐渐地Windows 98∕Me离我们而去，windows 2000∕XP成为计算机用户的最爱，同时也成为他人攻击的对象，安全问题一直困扰我们，没有一个人能说清楚，在此就一些要素提示给大家，希望有所帮助。

要素一：关闭“文件和打印共享”

黑客常利用NetBIOS的139和445端口入侵系统，最简单的防御方式就是关闭本地连接的“文件和打印共享”。如果必须保留“文件和打印共享”怎么办？进入注册表编辑器打开HKEY_LOCAL_MACHINE\System\currentcontrolset\control\LSA，把右窗口中的restrictanonmous的值改为1或2,1表示允许空连接，但敏感信息不会外传，2表示完全禁止空连接。

要素二：关闭其他未用服务

关闭“警告”和“信使”服务，它们除了带给我们垃圾信息外，几乎没什么作用。进入“控制面板”，打开“管理工具”窗口，展开“服务”列表或打开“计算机管理”窗口，展开“服务”组，找到“Alert”和“Messenger”项，把属性均设为“已禁用”。

小提示：越来越多的木马采用更隐蔽的系统服务来加载，建议在运行栏输入msconfig后回车(Windows 2000可将windows XP中的msconfig复制过来使用)，切换到“启动”选项卡，看看里面有没有陌生的启动项目，特别是像system.exe、explorers.exe等伪装成系统文件名的。打开“服务”选项卡，在“隐藏所有Microsoft服务”前打上钩，剩下的就是第三方软件安装的服务，确定是不是已知软件安装的。

要素三：本地安全策略

本地安全策略是2000/XP管理员的好帮手，其作用和注册表比较类似，但比注册表更直观。

打开“本地安全设置”窗口，展开“帐户策略”下的“密码策略”修改以下项目：

1、密码长度最小值　一般设为6

2、密码必须符合复杂性要求　设为“已启用”

小提示：密码必须符合复杂性要求遵循的规则：密码不能是用户帐号名或它的一部分；至少6位；必须包含以下类型中的3项：英文大写字母、英文小写字母、数字、其它符号。它会在更改密码和创建密码时生效。

展开“帐户策略”下的“帐户锁定策略”，修改以下项目：

1、帐户锁定阀值　设为3(非法尝试的次数)

2、帐户锁定时间　设为15分钟

小提示：此外还要禁用来宾账号、修改默认的administrator名字、限制他人以管理员身份登录系统。