为了切实加强Windows NT Server 的安全管理，本文从物理安全、上网登录安全、用户安全、文件系统和打印机安全、注册表安全、RAS安全、数据安全、各应用系统安全等方面予以叙述强化其安全措施的具体措施。

一、强化物理安全。
1、去掉或锁死软盘驱动器，禁止DOS或其他操作系统访问NTFS分区；
2、在服务器上设置系统启动口令，设置BIOS禁用软盘引导系统；
3、不创建任何DOS分区；
4、保证机房的物理安全。

二、用最新的Service Pack (SP4或SP5)升级Windows NT Server 4.0，因为服务包包括所有补丁程序及其安全补丁程序。

三、掌握并使用微软提供但未设置的安全功能。
例如：缺省安装未禁用Guest账号，并且给Everyone(每个人) 工作组授予“完全控制”权限，没有实施口令策略等，都给网络留下了一些不安全的漏洞。要加强服务器的安全，必须根据需要设置这些功能。

四、控制授权用户的访问。
在域里配置适当的NTFS访问控制可以增强网络安全。取消或更改缺省情况下的Everyone组的“完全控制”权限，要始终设置用户所能允许的最小的文件夹和文件的访问权限。另外，不要共享任何一个FAT卷。

五、避免给用户定义特定的访问控制。
将用户以“组”的方式进行管理是一个用户管理的有效方法。如果某一用户的工作发生变化，就很难跟踪并更改他的访问权。最好的方法是为每个用户指定一个工作组，为工作组指定文件、文件夹访问权。如果要收回或更改某个用户的访问权，只要把该用户从工作组中删除或指定另一个工作组即可。

六、实施账号及口令策略。
可用域用户管理器配置口令策略，选择好口令的主要原则如下：
 1、登录名称中字符不要重复或循环；
 2、至少包含两个字母字符和一个非字母字符；
 3、至少有6个字符长度；
 4、不用用户的姓名(如相关人物、著名人物的姓名)， 不用用户的生日和电话号码及其他容易猜测的字符组合等；
 5、要求用户定期更改口令；
 6、给系统的默认用户特别是Administrator改名；
 7、不要使用无口令的账号，否则会给安全留下隐患；
 8、禁用Guest账号。

七、设置账号锁定。
这是阻止黑客入侵的有效方法，建议设置尝试注册三次后锁定账号，在合适的锁定时间后被锁定的账号自动打开，或者只有网络管理员才能打开，用户恢复正常。

八、控制远程访问服务。
远程访问是黑客攻击NT系统的常用手段，Windows NT  集成的防止外来入侵最好的功能是认证系统。Windows 95 、 Windows 98和Windows NT Workstation客户机不仅可以交换加密用户ID和口令数据，而且还使用Windows 专用的挑战响应协议(challenge / response protocol)， 这可以确保决不会多次出现相同的认证数据，它还可以有效阻止内部黑客捕捉网络信息包。同时，若条件允许，应使用回叫安全机制，并尽量采用数据加密技术，保证数据安全。

九、启用登录工作站和登录时间限制。
如果每个用户只有一个PC，并且只允许工作时间登录，可以把每个用户的账号限制在自己的PC上，且在工作时间内使用，从而保护网络数据的安全。

十、启动审查功能。
为防止未经授权的访问，可利用域用户管理器启用安全审查功能，以便在事件查看器安全日志中记录未经授权的访问企图，以便尽早发现安全漏洞，但要结合工作实际，设置合理的审计规则，切忌审查事件太多，以免无时间全部审查安全问题。

十一、确保注册表安全。
首先，取消或限制对regedit.exe、regedit32. exe 的访问；其次， 利用regedit.exe或文件管理器设置只允许网络管理员访问注册表， 其他任何用户不得访问注册表。

文章转载地址：http://www.365master.com/kt_article_show.php?article_id=1045&categ_code=10151002