Win2000的默认安装允许任何用户通过空用户得到系统所有账号和共享列表，这是为了方便局域网用户共享资源和文件的，但是任何一个远程用户也可以通过同样的方法得到你的用户列表，并可能使用暴力法破解用户密码。所以我们需要通过修改注册表来禁止建立空连接:将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA的RestrictAnonymous设置为1，就可以禁止空用户连接。

　　另外，在Win2000的本地安全策略("控制面板"|"管理工具"|"本地安全策略")里，选择"本地策略"的"安全选项"里的"对匿名连接的额外限制"一项也可设置。双击该项选择"不允许枚举SAM账号和共享"选项即可禁止空连接，这个值就只允许非NULL用户存取SAM账号信息和共享信息，避免非法用户获得你的用户列表。

　　7.关闭默认共享

　　Win2000安装好以后，系统所有硬盘默认都是隐藏共享，通过"计算机名或IP地址\盘符$"可以访问，这为密码攻击提供了方便的途径。所以我们需要通过修改注册表的方法彻底禁止这些共享，在

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters下添加键值AutoShareWks，类型为REG_DWORD，值设为0。关闭注册表重新启动计算机即可关闭所有默认共享了。

　　8.打开审核策略

　　由于Win2000的默认安装是不开任何安全审核的，不利于监测任何黑客入侵行为。所以需要我们进入"管理工具"|"本地安全策略"|"审核策略"中打开相应的审核。当有人尝试对你的系统进行某些方式(如尝试用户密码，改变帐户策略，未经许可的文件访问等等)入侵的时候，都会被安全审核记录下来。下面的这些审核是必须开启的，其他的可以根据需要增加:

　　审核系统登陆事件 成功，失败
　　审核帐户管理 成功，失败
　　审核登陆事件 成功，失败
　　审核策略更改 成功，失败
　　审核系统事件 成功，失败
　　审核对象访问 失败
　　审核特权使用 失败
　　目录服务访问 失败

　　另外还可开启帐户策略，如在帐户锁定策略中设定，帐户锁定阀值为3次(那么当三次无效登录后将锁定帐户)，然后将帐户锁定时间设定为30分钟，甚至更长。这样，黑客想要攻击你，一天24小时试密码也试不了几次。

　　审核策略设置完成后，需要重新启动计算机才能生效。这里需要说明的是，审核项目既不能太多，也不能太少。如果太少，当你想查看黑客攻击的迹象时却发现没有记录，那就一点办法都没有，但是审核项目如果太多，不仅会占用大量的系统资源，而且你也可能根本没空去全部看完，这样就失去了审核的意义。

　　9.审核结果的查看和维护

　　设置了审核策略和审核事件后，审核所产生的结果都被记录到安全日志中，使用事件查看器可以查看安全日志的内容或是在日志中查找指定事件的详细信息。

　　在"管理工具"中运行"事件查看器"，选择"安全日志"。在右侧显示日志列表，以及每一条目的摘要信息，在这里可以查看事件的详细信息，查找和筛选符合条件的事件。如果你在几个登录的失败审核后面又发现登录的成功审核，那就有可能是某个用户的密码被攻破，这时你就需要增加密码的长度和复杂性了。

　　随着审核事件的不断增加，安全日志文件的大小也不断增加，你可以根据需要更改安全日志文件的大小。用鼠标右击"事件查看器"的"安全日志"项，选择"属性"，进入安全日志的属性窗口(如图7)。

图 7

　　在Win2000系统中使用审核策略，虽然不能对用户的访问进行控制，但是你根据审核结果及时查看安全日志，可以了解系统在哪些方面存在安全隐患以及系统资源的使用情况，从而采取相应的措施将系统的不安全因素减到最低限度，从而营造一个更加安全可靠的Windows 2000系统平台。

(责任编辑：张彩云)