計算機安全不僅包括保護計算機的本地數(shù)據(jù)，還要保護網(wǎng)絡(luò)上的數(shù)據(jù)安全。優(yōu)秀的操作系統(tǒng)可以對試圖訪問計算機資源的人員進行身份識別，防止特定資源被用戶不適當?shù)卦L問，并且提供用戶簡單有效的方法來設(shè)置和維護計算機的安全。 目前PC用戶常用的還是Windows，比較以前的版本，基于NT平臺技術(shù)的 Windows 2000在穩(wěn)定性和安全性上有很大的改善。下面以Windows 2000 Professional 為例進行說明，并順便介紹一個應(yīng)用問題的解決。 一、 Windows 2000安全功能 1．用戶帳戶和帳戶組功能確保只有有權(quán)用戶才能訪問計算機，同時有效地管理用戶的特定任務(wù)權(quán)利和權(quán)限，如文件夾訪問權(quán)限等。系統(tǒng)內(nèi)置組可以使大多數(shù)用戶獲得執(zhí)行各自任務(wù)所需的全部用戶權(quán)利和權(quán)限。管理界面在“控制面板”中的“用戶和密碼”。 2．共享文件夾權(quán)限通過給任何文件夾賦予共享文件夾權(quán)限，您可以限制或允許通過網(wǎng)絡(luò)訪問這些文件夾。通過項目的屬性菜單設(shè)置。默認情況下，在Windows 2000中新增一個共享目錄時，操作系統(tǒng)會自動將EveryOne這個用戶組添加到權(quán)限模塊當中，由于這個組的默認權(quán)限是完全控制，結(jié)果使得任何人都可以對共享目錄進行讀寫。因此，在新建共享目錄之后，要立刻刪除EveryOne組或者將該組的權(quán)限調(diào)整為讀取。

3． 比FAT和FAT32更安全的NTFS文件系統(tǒng)的功能：磁盤限額服務(wù)，可以控制每個用戶允許使用的磁盤空間大小；支持設(shè)置文件或文件夾的權(quán)限，限制或允許用戶或組的訪問，規(guī)定訪問類型，就是說可以將每個用戶允許讀寫的文件限制在磁盤目錄下的任何一個文件夾內(nèi)。如果要共享位于 NTFS 驅(qū)動器的文件夾無需特別設(shè)置，NTFS 文件夾訪問權(quán)限在本機和網(wǎng)絡(luò)上均有效；NTFS還支持所有者加密文件和文件夾，更好地保護信息。推薦使用NTFS磁盤分區(qū)。 4．打印機權(quán)限通過指派打印機權(quán)限來限制用戶訪問。分打印文檔、管理文檔、管理打印機三種權(quán)限。通過項目的屬性菜單設(shè)置。 5．審核可以使用審核跟蹤用于訪問文件或其他對象的帳戶，以及用戶登錄嘗試、關(guān)閉或重新啟動系統(tǒng)及其它指定的事件。在審核發(fā)生之前，您必須使用“組策略”指定要審核的事件類型。例如，要審核文件夾，首先要啟用“組策略”中“審核策略”的“審核對象訪問”。下一步，您可以象設(shè)置權(quán)限那樣來設(shè)置審核：選擇對象（例如文件或文件夾），然后選擇要審核其操作的用戶和組。最后，選擇想要審核的操作，例如，試圖打開或刪除受限制的文件夾。可以審核成功和失敗的嘗試。通過使用“事件查看器”來查看“安全”日志可以跟蹤審核活動。對于磁盤訪問的審核機制只能應(yīng)用在NTFS文件系統(tǒng)之上。應(yīng)對所有需要審核的用戶使用審核機制。 6．用戶權(quán)利用戶權(quán)利是確定用戶可以在計算機上所執(zhí)行操作的規(guī)則。此外，用戶權(quán)利控制用戶是否可以直接（在本地）或通過網(wǎng)絡(luò)登錄到計算機、將用戶添加到本地組、刪除用戶，等等。內(nèi)置組具有已指派的用戶權(quán)利集合。通常情況下，管理員通過向一個內(nèi)置組添加用戶帳戶，或者通過創(chuàng)建新組并為該組指派特定用戶權(quán)利來指派用戶權(quán)利。隨后添加到組中的用戶自動獲得指派給組帳戶的所有用戶權(quán)利。用戶權(quán)利是通過“組策略”管理的。

7．其它本地安全設(shè)置允許安全管理員配置指派給“組策略”對象或本地計算機策略的安全等級。本地安全策略是用于配置本地計算機的安全設(shè)置。這些設(shè)置包括密碼策略、賬戶鎖定策略、審核策略、IP 安全策略、用戶權(quán)限指派、加密數(shù)據(jù)的恢復代理以及其他安全選項。由于本地安全策略主要是針對本地用戶設(shè)置的，因此只有在不是域控制器的 Windows 2000 計算機上才可用。 以上前四點功能常用且易于設(shè)置，而審核與用戶權(quán)利等安全設(shè)置使用較為復雜，但是功能確實非常強大，用戶可對系統(tǒng)的操作參數(shù)進行深入細致的微調(diào)，直至完全滿足個人需求。比如：* 防止來自局域網(wǎng)內(nèi)部的惡意攻擊，用戶可以得到某賬戶被人遠程嘗試登錄的機器位置和次數(shù)的記錄，取消某賬號遠程登錄的權(quán)利等，這非常有用。* 可以在策略上控制你所擁有的資源，比如禁止從網(wǎng)絡(luò)訪問本地的軟驅(qū)或光驅(qū)，無論是否被設(shè)置為共享權(quán)限。* 使用安全策略保護數(shù)據(jù)，讓攻擊者破解困難或根本不可能。算法和密鑰的組合用于保護信息。Windows 2000通過使用基于加密的算法和密鑰獲得高安全級。 Windows 2000的安全設(shè)置主要在“本地安全策略”中進行。使用時單擊“開始”，指向“程序”，指向“管理工具”，然后單擊“本地安全策略”就行了。 它的設(shè)置包括：* 帳戶策略：密碼和帳戶鎖定策略* 本地策略：審核、用戶權(quán)利和安全選項策略* 公鑰策略（IP 安全策略）： Internet 協(xié)議安全性 (IPSec) 管理。IPSec 策略為與別的計算機進行安全通訊的管理策略。 使用它最好有高級管理員的指導。 二、本地安全策略設(shè)置出錯一例解決及進一步建議 1．本地安全策略設(shè)置過程中不注意的話，會產(chǎn)生比較大的麻煩。一個例子： 單位一臺運行 Windows 2000 Professional的機器，用戶設(shè)置時出錯，在“本地策略”中，把“用戶權(quán)利分配”的“拒絕本地登錄”項目設(shè)為“Users,Guests,EveryOne”。導致注銷后用戶無法再次登錄，系統(tǒng)提示“無法進行交互式會話”。設(shè)置項包含“EveryOne”使得所有賬號都被禁止登錄。;

解決辦法：Windows 2000將當前本地安全設(shè)置的數(shù)據(jù)記錄存放在Windows系統(tǒng)目錄system32下的config目錄中，文件名SECURITY，只有將它修改正確才能正常登錄。為簡單起見，用系統(tǒng)初始配置覆蓋它。由于機器使用FAT32格式，采用干凈的Win98軟盤啟動，將Windows目錄repair子目錄下的SECURITY文件拷貝到config下覆蓋出錯文件。登錄正常。正確設(shè)置如下圖：

如果機器使用了NTFS格式，就必須用Windows 2000 安裝軟盤或者安裝光盤啟動。為了防止類似故障發(fā)生后一時找不到啟動盤，難以快速解決問題，可以應(yīng)用Windows 2000 故障恢復控制臺特性。 2．Windows 2000故障恢復控制臺 Windows 2000 故障恢復控制臺是命令行控制臺，可以從 Windows 2000 安裝程序啟動。使用故障恢復控制臺，無需從硬盤啟動 Windows 2000 就可以執(zhí)行許多任務(wù)，可以啟動和停止服務(wù)，格式化驅(qū)動器，在本地驅(qū)動器上讀寫數(shù)據(jù)（包括被格式化為 NTFS的驅(qū)動器），執(zhí)行許多其他管理任務(wù)。如果需要通過從軟盤或 CD-ROM 復制一個文件到硬盤來修復系統(tǒng)，或者需要對一個阻止計算機正常啟動的服務(wù)進行重新配置，故障恢復控制臺將特別有用。由于故障恢復控制臺非常強大，只有通曉 Windows 2000 的高級用戶才能使用。此外必須是管理員才有權(quán)使用故障恢復控制臺。;

可以從 Windows 2000 安裝磁盤或者 Windows 2000 Professional CD 運行故障恢復控制臺。作為備用選擇，可以在計算機上安裝故障恢復控制臺，以便在不能重新啟動 Windows 2000 時解決問題。這時只需從引導菜單上選中 Windows 2000 故障恢復控制臺選項即可。在啟動故障恢復控制臺后，必須選擇要登錄的驅(qū)動器（如果有雙重引導或者多重引導系統(tǒng)）且必須用管理員密碼登錄。 故障恢復控制臺提供了一個命令行，這樣在 Windows 2000 不啟動時，就可以更改系統(tǒng)。一旦運行故障恢復控制臺，在命令提示符下鍵入“help”可獲得關(guān)于可用命令的幫助。要重新啟動計算機，鍵入 exit 關(guān)閉命令提示符窗口。 將故障恢復控制臺安裝為一個啟動選項，以便在計算機無法重新啟動時，可以運行。安裝為啟動選項的方法：以管理員或具有管理員權(quán)限的用戶登錄 Windows 2000。將 Windows 2000 Professional 光盤插入 CD-ROM 驅(qū)動器。如果提示升級到 Windows 2000，單擊“否”。 從命令提示符下（或從 Windows 2000 的“運行”命令框內(nèi)）鍵入指向相應(yīng) Winnt32.exe 文件（在Windows 2000 光盤內(nèi)）的路徑，后跟一個空格和 /cmdcons 開關(guān)選項。例如：e:i386winnt32.exe /cmdcons遵循出現(xiàn)的提示操作。 故障恢復控制臺安裝在根文件夾下 Cmdcons 文件夾內(nèi)，包括根文件夾中的Cmldr 文件。Boot.ini 文件內(nèi)包含故障恢復控制臺的啟動條目。 在Windows 2000的安全性無疑很高，但是，如果日常使用中不加注意的話，漏洞仍然存在，比如那些源自用戶自己的問題。對于一般用戶，筆者建議將控制面板的管理工具中的本地安全策略隱去，以免發(fā)生使用不當?shù)膯栴}。確實需要時可以從命令行[命令格式：c:winntsystem32secpol.msc /s]啟動本地安全策略設(shè)置。