表3

打开这些审核后，如果有人尝试对系统进行某些方式(如尝试用户密码，改变账户策略，未经许可的文件访问等等)入侵的时候，都会被安全审核记录下来，存放在“事件查看器”中的安全日志中。在Windows 2000系统中使用审核策略，虽然不能对用户的访问进行控制，但是根据打开审核产生的安全日志，可以了解系统在哪些方面存在安全隐患以及系统资源的使用情况，从而为我们追踪黑客提供可靠依据，同时还有利于采取相应的防范措施将系统的不安全因素降到最低限度，从而营造一个更加安全可靠的Windows 2000系统平台。但需要说明的是，审核项目既不能太多，也不能太少。如果太少的话，将难以从安全记录中发现非法攻击的迹象，但是审核项目如果太多，不仅会占用大量的系统资源，而且也可能没空去全部看完那些安全日志，这样就失去了审核的意义。

用户权利指派可以为不同的用户或组指派几十种不同的对服务器的操作权限，如创建全局对象、创建永久共享对象、从远端系统强制关机、更改系统时间、拒绝从网络访问本机等，对于每一种设置系统都有详细描述，操作相当方便。

安全选项主要是针对网络通讯的安全通道、以及用户登录环境等进行策略规划，它包含对安全通道数据进行数字加密或签名、对服务器通讯进行数字签名、登录屏幕是否显示上次登录的用户名、用户登录时的消息标题和消息文字等设置选项，系统管理员可以根据需要进行相应设置。鉴于文章篇幅有限，各安全选项的推荐设置笔者在此不再一一赘述，读者如有兴趣，可以到微软公司网站查阅。

事件日志策略包含对安全日志、系统日志和应用程序日志的保留天数、保留方法、日志的最大值等的设置。

受限制的组策略可以对某个组进行特别限制，不允许某些用户加入，或设定这个组隶属于某个组。

系统服务策略可以针对每一项系统服务设定手动、自动和停用三种启动方式，并授权给某个用户或用户组来管理这一项服务。Windows 2000 Server 首次安装时，创建默认服务并将其配置为在系统启动时运行。这些服务中有一些在许多环境中都不需要运行，再者，因为任何服务都是一个潜在的受攻击点，所以应根据实际情况禁用不必须的服务。

注册表策略对注册表的安全进行设置，可以为注册表中CLASSES_ROOT、MACHINE、USERS选项下的任一键值添加****，并设定管理者。

文件系统策略对文件系统的安全进行设置，为了控制好服务器上用户的权限，同时也为了预防以后可能的入侵和溢出，我们必须非常小心地设置目录和文件的访问权限。Win2000的访问权限分为：读取、写入、读取及执行、修改、列目录、完全控制。在默认的情况下，大多数的文件夹对所有用户（Everyone这个组）是完全敞开的（Full Control），此时应根据应用的需求进行权限重设，为指定文件夹添加不同的所有者权限并设定权限是否向子文件夹继承。

在进行权限控制时，需遵守以下几个原则，权限是累计的；如果一个用户同时属于两个组，那么他就有了这两个组所允许的所有权限；拒绝的权限要比允许的权限高（拒绝策略会先执行），如果一个用户属于一个被拒绝访问某个资源的组，那么不管其他的权限设置给他开放了多少权限，他也一定不能访问这个资源；文件权限比文件夹权限高；仅给用户真正需要的权限，权限最小化是文件安全的重要保障。

对系统的一些重要文件夹推荐的权限设置如表4。

需保护的文件夹	应用的权限
%systemdrive%\	Administrators：完全控制;System：完全控制; Authenticated Users：读取和执行、列出文件夹内容、读取
%SystemRoot%\Repair %SystemRoot%\Security  %SystemRoot%\system32\Config	Administrators：完全控制; Creator/Owner：完全控制; System：完全控制
%systemdrive%\Inetpub	Administrators：完全控制;System：完全控制; Everyone：读取和执行、列出文件夹内容、读取

(责任编辑：南粤论文中心)转贴于南粤论文中心: http://www.nylw.net(南粤论文中心__代写代发论文_毕业论文带写_广州职称论文代发_广州论文网）