windows 2000屬於那個安全級別拜托各位大神

根據美國國家計算機安全中心（NCSC）制定的可信任計算機系統評估標準（TCSEC），Win 2000屬於C2級安全級別。但Win 2000如接默認安裝且不安裝補丁和進行安全配置時，則談不上是C2級。本文從安裝Win 2000操作系統、賬號安全管理、網絡服務安全管理、數據文件安全管理等幾個方面對Win 2000的安全管理進行描述，以使用戶的Win 2000系統達到規定的安全級別。 壹、 正確安裝Win 2000 1．硬盤的分區 在安裝Win 2000時，如條件許可，應至少建立兩個邏輯分區，壹個用作系統分區，另壹個用作應用程序分區。盡量修改“我的文檔”及“Outlook Express”等應用程序的默認文件夾位置，使其位置不在系統分區。對提供Web服務的機器，可按如下設置分區: 分區1：系統分區，安裝系統和重要日誌文件。 分區2：提供給IIS使用。 分區3：提供給FTP使用。 分區4：放置其他壹些資料文件。 2．組件的定制 不要按Win 2000的默認安裝組件，根據安全原則“最少的服務+最小的權限=最大的安全”，只選擇確實需要的服務安裝即可。 典型Web服務器需要的最小組件是： 公用文件、Internet 服務管理器、WWW服務器。 3．接入網絡時間 在安裝完成Win 2000操作系統時，不要立即把服務器接入網絡，因為這時的服務器還沒有打上各種補丁，存在各種漏洞，非常容易感染病毒和被入侵。 補丁的安裝應該在所有應用程序安裝完之後，因為補丁程序往往要替換或修改某些系統文件，如果先安裝補丁再安裝應用程序有可能導致補丁不能起到應有的效果。IIS的HotFix要求每次更改IIS的配置時都需要重新安裝。 二、賬戶安全管理 1．賬戶要盡可能少，並且要經常用壹些掃描工具檢查系統賬戶、賬戶權限及密碼。刪除已經不再使用的賬戶。 2．停用Guest賬號，並給Guest 加壹個復雜的密碼。 3．把系統Administrator賬號改名，盡量把它偽裝成普通用戶，名稱不要帶有Admin字樣。 4．不讓系統顯示上次登錄的用戶名，具體操作如下： 修改註冊表“HKLM\Software\Microsoft\ WindowsNT\ Current Version\Winlogon\Dont Display Last User Name”的鍵值，把REG_SZ 的鍵值改成1。 三、網絡服務安全管理 1．關閉不必要的服務 關閉不必要的服務，壹些服務可能會給系統帶來安全漏洞，如Win 2000的Terminal Services（終端服務）、IIS和RAS（遠程訪問服務）等。 2．關閉不必要的端口 當服務器只提供較單壹的功能時，可考慮只開放某些端口。 具體方法為： 按順序打開“網上鄰居→屬性→本地連接→屬性→internet 協議(tcp/ip)→屬性→高級→選項→tcp/ip篩選→屬性”，打開Tcp/Ip篩選，添加需要的Tcp、Udp協議即可。 3．禁止建立空連接 默認情況下，任何用戶可通過空連接連上服務器，枚舉賬號並猜測密碼。可以通過以下兩種方法禁止建立空連接。 （1）修改註冊表 Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成1。 （2）修改Win 2000的本地安全策略 設置“本地安全策略→本地策略→選項”中的RestrictAnonymous（匿名連接的額外限制）為“不容許枚舉SAM賬號和***享”。 四、網絡服務安全配置 1．終端服務 （1）修改默認端口 終端服務的默認端口為3389，可考慮修改為別的端口。修改方法為： 服務器端： 打開註冊表，在“HKLM\SYSTEM\Current ControlSet\Control\Terminal Server\Win Stations”處找到類似RDP-TCP的子鍵，修改PortNumber值。 客戶端： 按正常步驟建壹個客戶端連接，選中這個連接，在“文件”菜單中選擇導出，在指定位置會生成壹個後綴為.cns的文件。打開該文件，修改“Server Port”值為與服務器端的PortNumber對應的值。然後再導入該文件（方法：菜單→文件→導入），這樣客戶端就修改了端口。 （2）安全審核 在“管理工具→遠程控制服務配置→連接”處，右鍵點擊“RPD-TCP”連接，選擇“屬性”，在其窗口選中“權限”，點擊右下角的“高級”，選擇“審核”，增加壹個“everyone”組，審核它的“連接”、“斷開”、“註銷”和“登錄”的成功和失敗。在“管理工具→日記查看→安全日記”可看到該審核記錄。 2．Internet 服務管理器(IIS)安全配置 對IIS服務安全配置如下： （1） 更改Web服務主目錄。右鍵單擊“默認Web站點→屬性→主目錄→本地路徑”，將“本地路徑”指向其他目錄。 （2） 刪除原默認安裝的Inetpub目錄。 （3） 刪除以下虛擬目錄: _vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。 （4） 刪除不必要的IIS擴展名映射。方法是：右鍵單擊“默認Web站點→屬性→主目錄→配置”，打開應用程序窗口，去掉不必要的應用程序映射。如不用到其他映射，只保留.asp、.asa即可。 （5） 備份IIS配置。可使用IIS的備份功能，將設定好的IIS配置全部備份下來，這樣就可以隨時恢復IIS的安全配置。 五、數據文件安全管理 1．備份 要經常把重要數據備份到專用的備份服務器，備份完畢後，可將備份服務器與網絡隔離。 2．設置文件***享權限 設置***享文件時，要註意把***享文件的權限從“everyone”組改成“授權用戶”，包括打印***享。 3．關閉默認***享 修改註冊表：HKEY-LOCAL-MACHINE\SYETEM\CurrentControlset\services\lanmanserver\parameters\如果是pro則建壹DWORD：autoshareWKS、如果是server則建壹DWORD：autoshareserver 4．防止文件名欺騙 設置以下選項可防止文件名欺騙，如防止以.txt或.exe為後綴的惡意文件被顯示為.txt文件，從而使人大意打開該文件: 雙擊“我的電腦→工具→文件夾選項→查看”，選擇“顯示所有文件和文件夾”屬性設置，去掉“隱藏已知文件類型擴展名”屬性設置。