怎么样使Win2000更安全

策略中我们还有许多安全选项可以设置，相信多数对Win2000有一定认识的朋友都可以按照选取项的标题来有效设置所需要的项。特别是要对上图标注的选项， 另一个要注意的是在上图中我们只可对“本地设置”进行设置，“有效设置”只有当设置完成后重启系统后由系统自己完成。
■3、文件和文件夹权限的设置
我们知道NT系统的安全性在本地网络中最主要还是可以自由设置各用户、文件和文件夹的访问权限来保证的。为了控制好服务器上用户的权限，同时也为了预防以后可能的入侵和溢出，必须安全有效地设置文件夹和文件的访问权限。NT的访问权限分为：读取、写入、读取及执行、修改、列目录、完全控制。在默认的情况下，大多数的文件夹和文件对所有用户（Everyone这个组）是完全控制的（Full Control），这根本不能满足不同网络的权限设置需求，所以你还需要根据应用的需要进行重新设置。
要正确有效地设置好系统文件或文件夹的访问权限，必须注意NTFS文件夹和文件权限有如下属性：
⑴、权限具有继承性
权限的继承性就是下级文件夹的权限设置在未重设之前是继承其上一级文件的权限设置的，更明了地说就是如果一个用户对某一文件夹具有“读取”的权限，那这个用户对这个文件夹的下级文件夹同样具有“读取”的权限，除非你打断这种继承关系，重新设置。但要注意的是这仅是对静态的文件权限来讲，对于文件或文件夹的移动或复制，其权限的继承性又怎么样呢？请看下文：
a、 在同一NTFS分区间复制或移动
在同一NTFS分区间复制到不同文件夹时，它的访问权限是和原文件或文件夹的访问权限不一样。但在同一NTFS分区间移动一文件或文件夹其访问权限保持不变，继承原先未移动前访问的权限。
b、在不同NTFS分区间复制或移动
在不同NTFS分区间复制文件或文件夹访问权限会随之改变，复制的文件不是继承原权限，而是继承目标（新）文件夹的访问权限。同样如果是在不同NTFS分区间移动文件或文件夹则访问权限随着移动而改变，也是继承移动后所在文件夹的权限。
c、从NTFS分区复制或移动到FAT格式分区
因为FAT格式的文件或文件夹根本没有权限设置项，所以原来文件或文件夹也就再没有访问权限了。
⑵、权限具有累加性
权限的累加性具体双表现在以下几个方面：
a、工作组权限由组中各用户权限累加决定
如一个组GROUP1中有两个用户USER1、USER2，他们同时对某文件或文件夹的访问权限分别为“只读”型的和“写入”型的，那么组GROUP1对该文件或文件夹的访问权限就为USER1和USER2的访问权限之和，实际上是取其最大的那个，即“只读”+“写入”=“写入”。
b、用户权限由所属组权限的累决定
如一个用户USER1同属于组GROUP1和GROUP2，而GROUP1对某一文件或文件夹的访问权限为“只读”型的，而GROUP2对这一文件或文件夹的访问权限为“完全控制”型的，则用户USER1对该文件或文件夹的访问权限为两个组权限累加所得，即：“只读”+“完全控制”=“完全控制”。
⑶、权限的优先性
权限的这一特性又包含两种子特性，其一是文件的访问权限优先文件夹的权限，也就是说文件权限可以越过文件夹的权限，不顾上一级文件夹的设置。另一特性就是“拒绝”权限优先权限，也就是说“拒绝”权限可以越过其它所有其它权限，一旦选择了“拒绝”权限，则其它权限也就不能起任何作用，相当于没有设置，下面就具体讲一下这两种子特性。
a、文件权限优先文件夹权限
如果一用户USER1对文件夹Folder A的访问权限为只读类型的，在这个文件夹下面有一个Fiel1文件，我们可以对这个文件Fiel1设置权限为“完全控制”型，而不顾它的上一级文件Folder A的权限设置情况。
b、“拒绝”权限优先其它权限
这种情况我们可举这们一个例子，就是一个用户USER1同属于组GROUP1和组GROUP2，其中组GROUP1对一个文件File1（或文件夹）的访问权限为“完全控制”，而用户GROUP2对这个文件File1的访问权限设置为“拒绝访问”，那么根据这个特性USER1对文件File1的访问权限为“拒绝访问”类型，而不管工作组GROUP1对这个文件设置什么权限。
■⑷、访问权限和共享权限的交叉性
当同一文件夹在为某一用户设置了共享权限的同时又为用户设置了该文件夹的访问权限，且所设权限不一致时，它的取舍原则是取两个权限的交集，也即最严格、最小的那种权限。如文件夹Folder A 为用户USER1设置的共享权限为“只读”，同时文件夹Folder A为用户USER1设置的访问权限为“完全控制”，那用户USER1的最终访问权限为“只读”。当然这个文件夹只能是在NTFS文件格式的分区中，如是FAT格式的分区中也就不存在“访问权限”了，因为FAT文件格式的文件夹没有本地访问权限的设置。
（二）、选择好的远程通讯软件
选择一个好的远程通讯软件是非常重要的事，因为网络的不安全因素多数还是出在远程通讯软件上，Internet太复杂了，任何无意的疏忽都可能给别有用心之人以难得的良机。选择好一个好的远程通讯软件这不仅仅是应用方面的要求，也更是安全方面的考虑。
Win2000的Terminal Service是基于RDP（远程桌面协议）的远程控制软件，它的速度快，操作方便，比较适合用来进行常规操作。但是，Terminal Service也有其不足之处，由于它使用的是虚拟桌面，再加上微软编程的不严谨，当你使用Terminal Service进行安装软件或重启服务器等与真实桌面交互的操作时，往往会出现直接关机的BUG。所以，一般需另外选择一个专业的远程通讯软件，如在WinDWOS下的 PcAnyWhere，DOS下的CarbonCopy就是不错的选择。
（三）、设置好IIS
IIS是微软的组件中问题最多的一个，要注意很多软件的默认安装是黑客攻击的源头，是引起不安全因素的根源，微软的IIS也不例外，同时它又是一个网络应用软件，直接与千变万化的互联网相联系，所以IIS是我们安全配置的重点。
→首先，为了系统的安全

 如果您对本文有任何疑问或者建议，请到讨论区发表您的意见: >> 论坛入口 <<

上一页 1 23 下一页

上一篇： 从Win98登录到Windows 2000服务器   下一篇： WIN2000终端服务控制另一方

【文章评论】 【收藏本文】 【推荐好友】 【打印本文】 【我要投稿】 【论坛讨论】