Windows 2000的系统安全设置

怎么样让我们的计算机更好、更安全地运行，是每一个用户都在思考的问题，我们把介绍怎么样利用Windows 2000自身的功能实现对系统的安全控制，希望对广大用户的数据安全有所帮助。

操作人员的设置Windows 95/98系统是一个多用户操作系统，但它在用户管理方面却非常混乱，非法入侵者甚至可以在启动时通过密码确认对话框直接添加新用户，这给我们控制系统带来了很大不便，不过Windows 2000对此进行了改进，它提供了用户名的选择性登录功能，我们可事先把所有用户全部添加在系统中，然后由系统在启动时把这些用户列表显示出来，不同用户从中选择自己的用户名并输入相应的密码之后即可以自己的名义启动系统，而非法用户则无法通过密码确认直接创建新用户，他们只能通过单击“取消”按钮或按ESC键进入系统。我们可以据此分别对他们的权限进行限制。

对超级用户权限的设置对超级用户而言，其操作权限一般不用做太多限制，不过仍须对屏幕保护等功能设置必要的密码，以维护自己离机时系统的安全。

1．屏幕保护密码
通过在桌面右击鼠标，进入“属性→显示属性→屏幕保护程序选项卡→密码保护”进行密码设置。运行屏幕保护，除了设置时间外，还可以在桌面上建立它的快捷方式(找到“WINDOWS\SYSTEM”目录下的�潱畇cr文件即可)，还可以让它启动后自动运行(通过“启动”组实现并不安全)。
⑴启动注册表编辑器regedit；
⑵展开HKEY＿LOCAL＿MACHINE\SO
FTWARE\Microsoft\Windows\CurrentVersion\Run分支；
⑶在Run主键中新建一个名为“密码确认”的字符串值；
⑷双击新建的“密码确认”的字符串，打开“编辑字符串”对话框；
⑸在“编辑字符串”对话框的“键值”栏中输入相应的屏保程序名及所在路径。
通过这样的设置每次启动系统时屏保都会自动运行，按Ctrl键试图跳过和按“Ctrl+Alt+Del”试图关闭都无能为力，从而确保系统安全。

2．禁止光盘的自动运行功能
Windows
2000的光盘的自动运行功能也是系统安全的隐患，光盘中只要存在autorun．inf文件，则系统会自动试图执行文件中�無pen�犠侄魏蟮奈募�路径(市场上已经出现了破解屏保密码的光盘，如果不禁止光盘的自动运行功能，以上所做的设置都把是白费)，步骤为：
⑴展开HKEY＿LOCAL＿MACHINE\SO
FTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer子键分支；
⑵在Explorer主键中新建DWORD值NoDriveTypeAutoRun，改值为1。

对普通用户权限的设置
对普通用户，我们一方面应根据工作需要赋予他们适当的权限，如启动计算机，打开相应的应用程序对自己的数据文件进行拷贝、删除与操作，以保证工作的正常开展；另一方面，为了防止他们对系统进行修改而破坏整个系统，必须对他们的权限进行必要的限制。对普通用户的权限进行限制的措施主要包括以下几项：

1．删除“开始”菜单中有关命令和项目
(1)对“开始”菜单中“收藏夹”选项的操作步骤如下：
①启动注册表编辑器regedit；
②展开HKEY＿LOCAL＿USER\SOFTW
ARE\Microsoft\Windows\CurrentVersion\Policies\Explorer分支；
③在Explorer下新建一个名为NoFavoritesMenu的DWORD值，把值改为1，则“开始”菜单中“收藏夹”选项就会消失。
(2)对“开始”菜单中“文档”选项的操作步骤如下：
利用上述方法在Explorer主键下新建NoRecentDocsHistory的DWORD值，把值改为1，则文档中的内容不能被修改。
在Explorer主键下新建ClearRecentDocsonExit的DWORD值，把值改为1，则每次退出系统时，把自动清除文档中的历史记录。
在Explorer主键下新建NoRecentDocsMenu的二进制值，把值改为01 00 00 00，则文档菜单消失。
(3)和上面相似，在Explorer主键下新建不同的值可以达到相应的效果，对应如下(括号内为值的类型)：
NoRun(DWORD)＝1→“运行”选项消失
NoSetFolders(二进制)＝01 00 00 00→“设置”选项消失
NoSetTaskbar(二进制)＝01 00 00 00→禁止设置“任务栏”属性
NoFind(DWORD)＝1→“查找”选项消失
NoClose(DWORD)＝1→“关闭系统”选项消失
NoLogOff(二进制)＝01 00 00 00→“注销”选项消失
NoSaveSettings(二进制)＝01 00 00 00→退出系统时不保存用户对环境所做的设置
NoSetFolders(DWORD)＝1→“设置”菜单中“控制面板”和“打印机”选项消失

2．删除“网上邻居”等系统图标
基于某些特殊需要，我们可能需要禁止普通用户使用桌面上的图标而又无法采用常规方式删除，为此，可采用如下方式：
①展开HKEY＿LOCAL＿USER\SOFTW
ARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Desktop\NameSpace分支；
②此时我们可以从NameSpace主键中看到“网上邻居”、“我的文档”、“回收站”等分支，只须删除这些分支即可。

3．在图形界面下隐藏某个驱动器图标
为防止普通用户无意之中的破坏，我们可能希望把保存系统文件的磁盘分区以及光驱、软驱隐藏起来，不允许他们对这些磁盘分区进行访问，为此我们可以进行如下设置：
①展开HKEY＿LOCAL＿USER\SOFTW
ARE\Microsoft\Windows\CurrentVersion\Policies\Explorer分支；
②新建二进制值NoDrives，该二进制值就是用于设置是否隐藏某个驱动器的，它由4个二进制字节构成，每个字节的每一位都分别对应一个磁盘驱动器盘符，当某位为1时，资源管理器及我的电脑中的相应驱动器图标即会隐藏起来。驱动器的值是这样确定的，A～Z的值依次为2的0～25次方，把要禁止的驱动器的值相加，转换成十六进制就是NoDrives的键值，如要禁止A、D、E则值为1+8+16＝25，转换成十六进制为19，修改NoDrives的键值为19 00 00 00即可。

4．禁止使用MS－DOS方式
采用上述方法隐藏某个磁盘分区的作用仅限于图形界面，但在字符界面如MS－DOS方式无效，因此我们必须采用适当的方法禁止普通用户使用MS－DOS方式。方法为：

 如果您对本文有任何疑问或者建议，请到讨论区发表您的意见: >> 论坛入口 <<

上一页12 3 下一页

上一篇： Win 2000命令行大揭秘   下一篇： 高效操作Win2000秘技23则

【文章评论】 【收藏本文】 【推荐好友】 【打印本文】 【我要投稿】 【论坛讨论】