Windows2000安全检查


Windows2000安全检查-初级篇

其实，Windows2000 含有很多的安全功能和选项，如果你合理的配置它们，那么windows 2000将会是一个很安全的操作系统。

　　具体清单如下：

　　初级安全篇

　　1.物理安全

　　服务器应该安放在安装了监视器的隔离房间内，并且监视器要保留15天以上的摄像记录。另外，机箱,键盘，电脑桌抽屉要上锁，以确保旁人即使进入房间也无法使用电脑，钥匙要放在另外的安全的地方。

　　2.停掉Guest 帐号

　　在计算机管理的用户里面把guest帐号停用掉，任何时候都不允许guest帐号登陆系统。为了保险起见，最好给guest 加一个复杂的密码，你可以打开记事本，在里面输入一串包含特殊字符,数字，字母的长字符串，然后把它作为guest帐号的密码拷进去。

　　3．限制不必要的用户数量

　　去掉所有的duplicate user 帐户, 测试用帐户, 共享帐号，普通部门帐号等等。用户组策略设置相应权限，并且经常检查系统的帐户，删除已经不在使用的帐户。这些帐户很多时候都是黑客们入侵系统的突破口，系统的帐户越多，黑客们得到合法用户的权限可能性一般也就越大。国内的nt/2000主机，如果系统帐户超过10个，一般都能找出一两个弱口令帐户。我曾经发现一台主机197个帐户中竟然有180个帐号都是弱口令帐户。

　　4．创建2个管理员用帐号

　　虽然这点看上去和上面这点有些矛盾，但事实上是服从上面的规则的。 创建一个一般权限帐号用来收信以及处理一些曰常事物，另一个拥有Administrators 权限的帐户只在需要的时候使用。可以让管理员使用 “ RunAS” 命令来执行一些需要特权才能作的一些工作，以方便管理。

　　5．把系统administrator帐号改名

　　大家都知道，windows 2000 的administrator帐号是不能被停用的，这意味着别人可以一遍又一边的尝试这个帐户的密码。把Administrator帐户改名可以有效的防止这一点。当然，请不要使用Admin之类的名字，改了等于没改，尽量把它伪装成普通用户，比如改成：guestone 。

　　6．创建一个陷阱帐号

　　什么是陷阱帐号? Look!>创建一个名为” Administrator”的本地帐户，把它的权限设置成最低，什么事也干不了的那种，并且加上一个超过10位的超级复杂密码。这样可以让那些 Scripts s忙上一段时间了，并且可以借此发现它们的入侵企图。或者在它的login scripts上面做点手脚。嘿嘿，够损！

　　7.把共享文件的权限从”everyone”组改成“授权用户”

　　“everyone” 在win2000中意味着任何有权进入你的网络的用户都能够获得这些共享资料。任何时候都不要把共享文件的用户设置成”everyone”组。包括打印共享，默认的属性就是”everyone”组的，一定不要忘了改。

　　8.使用安全密码

　　一个好的密码对于一个网络是非常重要的，但是它是最容易被忽略的。前面的所说的也许已经可以说明这一点了。一些公司的管理员创建帐号的时候往往用公司名，计算机名，或者一些别的一猜就到的东西做用户名，然后又把这些帐户的密码设置得N简单，比如 “welcome” “iloveyou” “letmein”或者和用户名相同等等。这样的帐户应该要求用户首此登陆的时候更改成复杂的密码，还要注意经常更改密码。前些天在IRC和人讨论这一问题的时候，我们给好密码下了个定义：安全期内无法破解出来的密码就是好密码，也就是说，如果人家得到了你的密码文档，必须花43天或者更长的时间才能破解出来，而你的密码策略是42天必须改密码。

　　9.设置屏幕保护密码

　　很简单也很有必要，设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。注意不要使用OpenGL和一些复杂的屏幕保护程序，浪费系统资源，让他黑屏就可以了。还有一点，所有系统用户所使用的机器也最好加上屏幕保护密码。

　　10.使用NTFS格式分区

　　把服务器的所有分区都改成NTFS格式。NTFS文件系统要比FAT,FAT32的文件系统安全得多。这点不必多说，想必大家得服务器都已经是NTFS的了。

　　11.运行防毒软件

　　我见过的Win2000/Nt服务器从来没有见到有安装了防毒软件的，其实这一点非常重要。一些好的杀毒软件不仅能杀掉一些著名的病毒，还能查杀大量木马和后门程序。这样的话，“黑客”们使用的那些有名的木马就毫无用武之地了。不要忘了经常升级病毒库

　　12.保障备份盘的安全

　　一旦系统资料被破坏，备份盘将是你恢复资料的唯一途径。备份完资料后，把备份盘防在安全的地方。千万别把资料备份在同一台服务器上，那样的话，还不如不要备份。
Windows2000安全检查-中级篇

中级安全篇

　　1、利用win2000的安全配置工具来配置策略

　　微软提供了一套的基于MMC(管理控制台)安全配置和分析工具，利用他们你可以很方便的配置你的服务器以满足你的要求。具体内容请参考微软主页：

　　http://www.microsoft.com/windows ... urity/sctoolset.asp

　　2、关闭不必要的服务

　　Windows 2000的Terminal Services（终端服务），IIS和RAS都可能给你的系统带来安全漏洞。为了能够在远程方便的管理服务器，很多机器的终端服务都是开着的，如果你的也开了，要确认你已经正确的配置了终端服务。有些恶意的程序也能以服务方式悄悄的运行。要留意服务器上面开启的所有服务，中期性(每天)的检查他们。下面是C2级别安装的默认服务：

　　Computer Browser service TCP/IP NetBIOS Helper
　　Microsoft DNS server Spooler
　　NTLM SSP Server
　　RPC Locator WINS
　　RPC service Workstation
　　Netlogon Event log


3、关闭不必要的端口

　　关闭端口意味着减少功能，在安全和功能上面需要你作一点决策。如果服务器安装在防火墙的后面，冒的险就会少些，但是，永远不要认为你可以高枕无忧了。用端口扫描器扫描系统所开放的端口，确定开放了哪些服务是黑客入侵你的系统的第一步。\\system32\\drivers\\etc\\services 文件中有知名端口和服务的对照表可供参考。具体方法为：

网上邻居>属性>本地连接>属性>internet 协议(tcp/ip)>属性>高级>选项>tcp/ip筛选>属性 打开tcp/ip筛选，添加需要的tcp,udp,协议即可。

　　4、打开审核策略

　　开启安全审核是win2000最基本的入侵检测方法。当有人尝试对你的系统进行某些方式（如尝试用户密码,改变帐户策略，未经许可的文件访问等等）入侵的时候，都会被安全审核记录下来。很多的管理员在系统被入侵了几个月都不知道，直到系统遭到破坏。下面的这些审核是必须开启的，其他的可以根据需要增加：

　　策略　设置
　　审核系统登陆事件 成功，失败
　　审核帐户管理 成功，失败
　　审核登陆事件 成功，失败
　　审核对象访问 成功
　　审核策略更改 成功，失败
　　审核特权使用 成功，失败
　　审核系统事件 成功，失败

　　5、开启密码密码策略

　　策略 设置
　　密码复杂性要求 启用
　　密码长度最小值 6位
　　强制密码历史 5 次
　　强制密码历史 42 天

　　6、开启帐户策略

　　策略 设置
　　复位帐户锁定计数器 20分钟
　　帐户锁定时间 20分钟
　　帐户锁定阈值 3次

　　7、设定安全记录的访问权限

　　安全记录在默认情况下是没有保护的，把他设置成只有Administrator和系统帐户才有权访问。

　　8、把敏感文件存放在另外的文件服务器中

　　虽然现在服务器的硬盘容量都很大，但是你还是应该考虑是否有必要把一些重要的用户数据(文件，数据表，项目文件等)存放在另外一个安全的服务器中，并且经常备份它们。

　　9、不让系统显示上次登陆的用户名

　　默认情况下，终端服务接入服务器时，登陆对话框中会显示上次登陆的帐户明，本地的登陆对话框也是一样。这使得别人可以很容易的得到系统的一些用户名，进而作密码猜测。修改注册表可以不让对话框里显示上次登陆的用户名，具体是：

　　HKLM\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\DontDisplayLastUserName

　　把REG_SZ 的键值改成1。

　　10、禁止建立空连接

　　默认情况下，任何用户通过通过空连接连上服务器，进而枚举出帐号，猜测密码。我们可以通过修改注册表来禁止建立空连接：

　　Local_Machine\\System\\CurrentControlSet\\Control\\LSA-RestrictAnonymous 的值改成”1”即可。

　　10、到微软网站下载最新的补丁程序

　　很多网络管理员没有访问安全站点的习惯，以至于一些漏洞都出了很久了，还放着服务器的漏洞不补给人家当靶子用。谁也不敢保证数百万行以上代码的2000不出一点安全漏洞，经常访问微软和一些安全站点，下载最新的service pack和漏洞补丁，是保障服务器长久安全的唯一方法。
Windows2000安全检查-高级篇

高级安全篇

　　1.关闭DirectDraw

　　这是C2级安全标准对视频卡和内存的要求。关闭DirectDraw可能对一些需要用到DirectX的程序有影响，但是对于绝大多数的商业站点都应该是没有影响的。 修改注册表 HKLM\\SYSTEM\\CurrentControlSet\\Control\\GraphicsDrivers\\DCI 的Timeout(REG_DWORD)为0即可。

　　2.关闭默认共享

　　win2000安装好以后，系统会创建一些隐藏的共享，你可以在cmd下打 net share 查看他们。网上有很多关于IPC入侵的文章，相信大家一定对它不陌生。要禁止这些共享 ，打开 管理工具>计算机管理>共享文件夹>共享 在相应的共享文件夹上按右键，点停止共享即可，不过机器重新启动后，这些共享又会重新开启的。

　　默认共享目录 路径和功能

　　C$ D$ E$ 每个分区的根目录。Win2000 Pro版中，只有Administrator

　　和Backup Operators组成员才可连接，Win2000 Server版本

　　Server Operatros组也可以连接到这些共享目录

　　ADMIN$ %SYSTEMROOT% 远程管理用的共享目录。它的路径永远都

　　指向Win2000的安装路径，比如 c:\\winnt

　　FAX$ 在Win2000 Server中，FAX$在fax客户端发传真的时候会到。

　　IPC$ 空连接。IPC$共享提供了登录到系统的能力。

　　NetLogon 这个共享在Windows 2000 服务器的Net Login 服务在处

　　理登陆域请求时用到

　　PRINT$ %SYSTEMROOT%\\SYSTEM32\\SPOOL\\DRIVERS 用户远程管理打印机


　　3.禁止dump file的产生

　　dump文件在系统崩溃和蓝屏的时候是一份很有用的查找问题的资料(不然我就照字面意思翻译成垃圾文件了)。然而，它也能够给黑客提供一些敏感信息比如一些应用程序的密码等。要禁止它，打开 控制面板>系统属性>高级>启动和故障恢复 把 写入调试信息 改成无。要用的时候，可以再重新打开它。

　　4.使用文件加密系统EFS

　　Windows2000 强大的加密系统能够给磁盘，文件夹，文件加上一层安全保护。这样可以防止别人把你的硬盘挂到别的机器上以读出里面的数据。记住要给文件夹也使用EFS,而不仅仅是单个的文件。 有关EFS的具体信息可以查看http://www.microsoft.com/windows ... ecurity/encrypt.asp

　　5.加密temp文件夹

　　一些应用程序在安装和升级的时候，会把一些东西拷贝到temp文件夹，但是当程序升级完毕或关闭的时候，它们并不会自己清除temp文件夹的内容。所以，给temp文件夹加密可以给你的文件多一层保护。

　　6.锁住注册表

　　在windows2000中，只有administrators和Backup Operators才有从网络上访问注册表的权限。如果你觉得还不够的话，可以进一步设定注册表访问权限，详细信息请参考http://support.microsoft.com/support/kb/articles/Q153/1/83.asp

　　7.关机时清除掉页面文件

　　页面文件也就是调度文件，是win2000用来存储没有装入内存的程序和数据文件部分的隐藏文件。一些第三方的程序可以把一些没有的加密的密码存在内存中，页面文件中也可能含有另外一些敏感的资料。 要在关机的时候清楚页面文件，可以编辑注册表 HKLM\\SYSTEM\\CurrentControlSet\\Control\\Session Manager\\Memory Management把ClearPageFileAtShutdown的值设置成1。

　　8.禁止从软盘和CD Rom启动系统

　　一些第三方的工具能通过引导系统来绕过原有的安全机制。如果你的服务器对安全要求非常高，可以考虑使用可移动软盘和光驱。把机箱锁起来扔不失为一个好方法。

　　9.考虑使用智能卡来代替密码

　　对于密码，总是使安全管理员进退两难，容易受到10phtcrack 等工具的攻击，如果密码太复杂，用户把为了记住密码，会把密码到处乱写。如果条件允许，用智能卡来代替复杂的密码是一个很好的解决方法。

　　10.考虑使用IPSec

　　正如其名字的含义，IPSec 提供 IP 数据包的安全性。IPSec 提供身份验证、完整性和可选择的机密性。发送方计算机在传输之前加密数据，而接收方计算机在收到数据之后解密数据。利用IPSec可以使得系统的安全性能大大增强。有关IPSes的详细信息可以参考http://www.microsoft.com/china/technet/security/ipsecloc.asp


本文摘自：同盟

Windows2000组策略的应用


作者：陈树胜 司敬超

　　　熟悉Windows98的用户都知道，在Windows安装盘中有一个系统策略编辑器，可以对用户和用户组进行各种设置，系统则根据这些设置自动修改注册表的相关内容。Windows2000也提供了一个与之相类似的但功能却要强大得多的策略编辑器，就是“组策略”，它能通过修改注册表对系统的各种特殊属性进行设置，从而满足用户对系统进行相关设置和限制的需要。
　　一、Windows2000组策略的启动
　　只需单击“开始”按钮，选择“运行”命令，在“运行”对话框的“打开”栏中输入“gpedit.msc”，确定，即可启动Windows2000组策略。
　　在打开的组策略窗口中（如图1），可以发现窗口左边是以树状结构给出的控制对象，右边是针对左边某一配置可以设置的具体策略。另外，用户已经注意到，左边窗口中的“本地计算机”策略由“计算机配置”和“用户配置”两大子键构成，且这两者中的部分项目是重复的，如两者下面都含有“软件设置”、“Windows设置”等。那么在不同子键下进行相同项目的设置有何区别呢？这里“计算机配置”是对整个计算机中的系统配置进行设置的，它对当前计算机中所有用户的运行环境都起作用; 而“用户配置”则是对当前用户的系统配置进行设置的，它仅对当前用户起作用。如二者都提供了“停用自动播放”功能的设置，如果是在“计算机配置”中选择了该功能，那么所有用户的光盘自动运行功能都会失效; 如果是在“用户配置”中选择的该功能，那么仅仅是该用户的光盘自动运行功能失效，其他用户则不受影响。设置时需注意这一点。
　　二、Windows2000组策略的应用实例
　　1.控制光驱的自动运行
　(1）启动Windows2000组策略；
　(2)在“组策略”中依次展开“用户配置”、“管理模板”、“系统”；
　(3)此时就能在“系统”子键中看到“停用自动播放”项，双击该选项，打开“停用自动播放属性”窗口；
　(4)该窗口有两个选项卡（如图2），“说明”选项卡的作用是显示当前用户选择项目的说明信息，可利用它了解相关设置选项的具体作用。切换到“策略”选项卡，此时就能看到有“未配置”、“禁用”和“启用”三个选项，几乎所有的配置策略都是由这三个选项构成的。其中“未配置”为系统默认状态，表示可以使用光驱的自动运行功能，但不能使用其他驱动器的自动运行功能;
　(5)选择“启用”选项，系统会打开一个“停用自动播放”列表框，其中包括“CD-ROM驱动器”和“所有驱动器”两个选项。也可选择“禁用”选项，在其中做相应的选择，自由控制光驱的自动运行与否;
　(6)最后，单击“确定”按钮，关闭窗口。
2.禁止运行指定的程序
　　出于系统安全和其他原因，有些程序我们可能不希望用户随意运行，这可以在组策略中禁止用户运行指定的程序。
　　（1）启动Windows2000组策略；
　　（2）依次展开“用户配置”、“管理模板”、“系统”子键；
　　（3）此时可以看到一个“不要运行指定的Windows应用程序”选项，双击该项，打开相应的窗口(如图3);
　　(4)可以在“说明”选项卡中查看相关说明。在“策略”选项卡中选择“启用”选项，启)动Windows2000禁止运行指定应用程序的功能;
　　（5)单击“不允许的应用程序的列表”后的“显示”按钮，打开列表框;
　　（6)在列表框中单击“添加”，打开“添加项目”窗口，然后在该窗口中输入需要禁止运行的程序名（可以不输入路径）;
　　（7）“确定”后，该应用程序就会出现在第（5）步的列表框中，重复第（6）步，将所有需要禁止运行的应用程序都添加到列表框中;
　　（8）最后单击“确定”按钮，关闭窗口，用户的设置即可生效，此后，这些指定的应用程序就不能运行了。
　　上面只是几个组策略设置的例子，除此之外，用户还可以对系统的许多属性进行设置，其中的大部分都不能通过控制面板和其他类似软件来实现，因此充分使用Windows2000组策略可以极大地满足用户对系统环境设置的需要。


本文摘自：网络学院

安全卸载Windows2000之道




　　在卸载Windows 2000之前，我们有必要了解一下操作系统。在你格式化一个硬盘之前，可以选择把整个硬盘作为一个分区或者根据自己的实际需要进行划分。在分区完成以后必须是其中一个分区处于激活状态。无论你有多少个硬盘或者多少个分区，Windows在系统启动时只承认一个有效的激活分区，你可以用Win 9X启动盘上的FDISK命令查看分区的状态并确定那个分区是激活的，操作系统会自动分配给激活分区盘符C:\。当我们在硬盘上面安装一个操作系统的时候，系统引导文件始终是被放置在激活分区C:的，即使你把操作系统的安装目录指定到其他的逻辑分区中。

　　如果你的硬盘中只装有一个操作系统，系统引导文件和系统本身通常都是安装在激活分区C:中。如果你有多个操作系统被安装在同一个硬盘上，各个系统的引导文件同样被安装在C:中。理解了这一点后，卸载Windows2000变得更容易。

一、硬盘上只装有Windows 2000

　　卸载Windows2000最简单的方法就是用一张Windows 9X的系统盘引导，然后快速格式化装有Windows 2000 的硬盘分区，例如FORMAT C: /Q，这将删除硬盘上面的所有文件，在确定删除前做好相关文件的备份。Windows 9X的系统盘引导只能识别FAT和FAT32格式的硬盘分区，如果你的Windows 2000是安装在NTFS格式的分区上面的，FDISK命令就不能识别，显示为不明分区（unknown partition），但是我们依然可以将它删除 。

　　要是你并不想格式化硬盘，而你的Windows 2000又是装在FAT/FAT32分区上的，可以通过删除Windows 2000的引导文件来卸载。这些引导文件包括boot.ini, bootsect.dos, ntldr, ntdetect.com 和ntbootdd.sys 。在删除前使用 "ATTRIB -H -R -S C:\*.*"命令去除文件的隐含和系统属性。然后用 DELTREE 命令删除 WINNT 目录和引导文件。同时删除页面文件pagefile.sys和“休眠”的系统设置存盘文件 hiberfil.sys。

二、在Windows 9X与Windows 2000多引导系统中卸载Windows2000

　　你可以使用一张Windows 98的系统盘引导计算机然后运行以下命令：

A: >sys c:
A: >deltree C:\WINNT
A: >deltree C:\boot*.*
A: >deltree C:\nt*.*
A: >deltree C:\hiberfil.sys
A: >deltree C:\pagefile.sys

三、在Windows 9X与Windows 2000多引导系统中卸载Windows 9X

　　卸载Windows 9X显示更简单一些，用"ATTRIB -R C:\ boot.ini"命令去掉boot.ini的只读属性，然后用“记事本”程序编辑，删除含有 Windows 9X这一行文字，确保Default=这一行中的系统是你硬盘中的Windows 2000，而不是Windows 9X。也可以在Windows 9X上方加入[any text]进行简单的屏蔽。我们举例说明：

[Boot Loader]
timeout=3
Default=multi(0)disk(0)rdisk(0)partition(1)\WINNT

[Operating Systems]
multi(0)disk(0)rdisk(0)partition(1)\WINNT="Microsoft Windows 2000 Professional" /fastdetect /nodebug

[any text]
C:\="Microsoft Windows Millennium Edition"

　　我们可以将timeout=的值设置为0，这样讲不会显示多系统引导界面，而是直接启动你的Windows 2000。然后从Windows 9X的分区上删除 Windows 与 PROGRAM FILES 目录 ，删除Windows 9X引导文件: io.sys, msdos.sys, command.com 还有 autoexec.bat 和 config.sys。
肥猪猪/文

跟我一起安装Windows 2000


安装前的说明　　

　　感受Windows 2000当然必须从安装开始，对于一直使用Windows 95/98而没有使用过Windows NT的用户一定要注意：由于Windows 2000使用的是NT内核，所以它的安装和使用都与Windows 95/98有不小的差别，因此本文以Step by Step的方式和大家一起完成整个安装过程。

　　Windows 2000的安装有两种模式：升级安装和全新安装。对于已经在自己硬盘上安装了Windows 95/98的用户，我强烈建议安装一个新的Windows 2000系统和Windows 95/98共存，而不是在原有的系统上进行升级。如此，你即使在安装或使用Windows 2000的时候有什么差错，仍然可以安全且完全的卸载Windows 2000回到以前的系统。因此，下面主要以安装一个新的Windows 2000 Professional系统来讲解整个安装过程。

全新安装Windows 2000

　　1.使用Windows 2000 Professional的安装光盘启动计算机或在Windows 95/98下运行安装光盘中的“setup.exe”，在出现的窗口中选择“全新安装”并继续（见图1）。

　　2.安装程序接下来会进行一系列的初始化，然后出现的“欢迎使用安装程序”画面中有三个选项：回车安装Windows 2000、按“R”键修复上一次的安装错误和按“F3”退出；这里我们当然是回车安装Windows 2000（见图2）。

　　3.安装程序在检测启动硬盘后会要求你确认是否继续安装，按“C”继续（见图3）。

　　4.在按“F8”键同意Windows 2000的许可协议后，你需要选择Windows 2000将安装的硬盘分区（见图4）。这里我建议大家将Windows 2000安装到一个单独的分区，用箭头键选择想要安装的分区后请回车确认。当然你也可以在这个画面中创建分区（按“C”键，见图5）和删除分区（按“D”键）。

　　5.接下来会让你选择安装Windows 2000的分区格式（见图6），这里可以选择FAT分区格式和NT所特有的NTFS分区格式。NTFS当然有更高的安全性、能够支持更大的硬盘（最大2TB），但对于一般普通用户，我建议还是使用FAT文件格式--因为目前还没有任何工具可以将Windows 2000的NTFS转化为其他的分区格式，除非用Windows 2000，但实现起来也比较复杂。如果你上一步选择的是一个FAT格式的安装分区，而你又想要使用NTFS，这里也可以实现FAT→NTFS的转换。

　　6.如果是未格式化或从FAT转化为NTFS的分区，接下来会进行格式化过程。完成后安装程序会将文件复制到你的硬盘上Windows 2000的安装目录（见图7），这是一个相对漫长的过程，你可以站起来活动一下或去冲杯咖啡。

　　7.当你觉得有些无所事事的时候，复制工作也差不多完成了。安装程序初始化Windows 2000配置后就会重新启动计算机，这时候，你已经可以看见Windows 2000的一些面貌（见图8、9），先前的等待总算没有白费，但整个安装过程还没有进行到一半。

　　8.接下来是检测和安装一般设备（见图10），这时候你又可以去冲咖啡了……我一直很奇怪：既然微软始终标榜自己的产品为用户着想，那为什么不在安装的漫长等待过程中也象 Debian（一种Linux发行套件）那样做一个小游戏（俄罗斯方块）来打发无聊的时间？！

　　9.你的肚子已经装满了咖啡，安装程序也总算进入了区域设置（见图11）。这里建议你选择系统或用户区域部分的“自定义”，在出现的区域选项窗口中的系统语言设置里把“中文（繁体）”勾选上，这样以后你就可以直接读取Big5码的文档了（见图12）。

　　10.在接下来的几个窗口中，你需要键入个人信息、系统管理员密码等资料。然后你就可以看见和Windows 95/98中一样无聊的“曰期和时间设置”窗口（见图13），不必更改，直接点击“下一步”。

　　11.等待Windows 2000安装网络组件之后，会让你选择“典型设置”或“自定义设置”网络（见图14），这里你可以直接选择“典型设置”，等系统安装完成后再来详细配置网络，其方法和Windows 98及NT类似。

　　12.在“工作组或计算机域”设置窗口中，根据你所在局域网的网络管理员所提供的网络信息来选择，如果没在局域网中，请选择第一项（见图15）。

　　13.接下来是安装Windows 2000组件（见图16），这又是一个让你无所事事的过程，随便找本书来翻翻吧。

　　14.安装程序在进行最后的一系列任务了（见图17），曙光在前头……

　　15.你最希望看到的画面出现了（见图18），不要犹豫，赶快点击“完成”吧！

　　16.第一次启动Windows 2000，系统会启动“网络标识向导”，如果只是你一个人使用这台电脑，请在“本机用户窗口”选择“要使用本机，用户必须输入用户名和密码”项（见图19），当然你也可以同时添加其他登录用户。

　　17.OK，现在出现每次启动Windows 2000都会出现的画面--登录窗口（见图20），输入你先前设定的密码就可以进入Windows 2000--这里的世界很精彩！

　　关于多重启动

　　Windows 2000支持多重启动，和NT 4的多重启动类似，你可以在计算机启动时有选择的进入不同的操作系统。Windows 2000支持与微软的其他版本操作系统及OS/2的多重启动。

　　如果安装与MS-DOS或Windows 95的多重启动，主引导分区必须是FAT16，而且要最后安装Windows 2000；如果是与Windows 98的多重启动，主引导分区可以是FAT16或FAT32，而且安装顺序谁先都可以；如果是在以前的NT 4.0多重启动的电脑上升级安装，原NT 4.0必须安装有SP4以上版本，否则无法读取原有NTFS分区。

　　卸载问题

　　操作系统好象还没有提供卸载的，Windows 2000自然也不例外。因此，你必须手动进行：

　　对于只安装了Windows 2000的情况，当然只需要格式化引导分区再重新安装其他系统即可。

　　如果是与Windows 95/98多重引导的Windows 2000，你需要先用Windows 98的启动盘向引导分区传输系统--sys c:，然后进入原Windows 98中使用Partition Magic一类的硬盘工具改变并格式化Windows 2000的NTFS分区（如果是FAT分区，就可以用Windows 98直接格式化），最后再删除C盘根目录下的boot.ini、boosect.dos和nt*.*等文件

亲密接触WIN2000故障恢复控制台


    故障恢复控制台是WIN2000的系统工具，它功能强大，使用方法简单，可以解决大多数WIN2000引导方面问题。控制台采用命令行界面，提供了多条有用的命令，可以访问系统上的所有NTFS卷，不仅可以启用和禁止服务，还可以从光驱安装盘中拷贝文件，对系统进行各种恢复操作和管理。当服务器因驱动程序问题不能正常引导，或者当某个文件在WIN2000运行期间需要替换时，故障恢复控制台就显得非常的有用。
故障恢复控制台不是系统的缺省安装，须由用户手动安装。要安装故障恢复控制台，进入WIN2000的命令行模式，将WIN2000安装光盘放入光驱，并进入光盘的I386目录，使其变为当前目录，键入如下命令：WINNT32.EXE /CMDCONS，出现一个对话框（图1），框中有关于故障恢复控制台的一些基本信息和功能介绍，并让用户确认是否继续。确认开始安装，安装程序需要复制7MB左右的文件到硬盘（图2）。故障恢复控制台的所有文件被拷贝到启动盘（注：启动盘是硬盘的激活分区，而系统盘是指安装操作系统所在分区）根目录下的CMDCONS文件夹，此文件夹为系统隐藏属性，是受保护的操作系统文件。目录共包含一百多个文件和一个文件夹，大多数文件是压缩文件，安装程序将目录下的部分文件将复制到系统盘WINNTSYSTEM32目录，其余文件只有在需要时才由故障恢复控制台进行解压。其中Disk101、disk102、disk103、disk104是磁盘映像标识文件，它们包含一段空间和一个回车换行符；BOOTSECT.DAT文件是一个可进行引导的引导扇区映像文件；MIGRATE.INF文件包含用于在需要时更新注册表的重要信息；SETUPREG.HIV文件用于更新注册表，它采用一种特殊的格式，只对特定的应用程序可用。
安装完成后，重新启动计算机，“故障恢复控制台”将在启动菜单的最后一项出现（图3），其名称为“MICROSOFT WINDOWS WIN2000故障恢复控制台”。选择故障恢复控制台启动项，此时按下F6可以安装第三方SCSI或RAID设备。接下来，控制台将询问你要登录到哪一个WIN2000上（图4）。选择你要登录的WIN2000操作系统，然后输入正确的系统管理员密码就可以进入到故障恢复控制台。控制台的界面类似于DOS，也是命令行模式，共支持20多个命令，这些命令可以通过“HELP”命令列出。你也可以得到某一特定命令的帮助，如使用命令方式：HELP<命令>的形式调用，如HELP FIXBOOT命令表示显示关于FIXBOOT命令的帮助信息。
下面对一些重要命令进行简单介绍：
FIXMBR：修复或替换指定驱动器的主引导记录。它检查主引导记录，如果主引导记录损坏，就用正确的主引导记录将之替换。
FIXBOOT：修复或替换指定驱动器的引导扇区。它将自动重新生成指定驱动器上的引导扇区。
DISKPART：该命令用于管理磁盘上的分区，如增加或删除分区。
LOGON：此命令当故障恢复控制首次启动时自动运行，并自动检查已安装在硬盘上的WIN2000操作系统，运行此命令允许登录到其它已存在的WIN2000系统。
EXPAND：展开一个或多个压缩文件，允许从一个CAB源文件中抽取出文件来。有两个重要参数：/D表示列出CAB源文件中的文件列表；/R表示重命名经过扩充的文件。
LISTSVR：此命令创建一个服务列表，并显示服务的当前启动状态。服务一共有五种有效的启动类型：SERVICE_AUTO_START（表示自动启动）、SERVICE_DISABLED（表示禁止启动）、SERVICE_DEMAND_STA
RT（表示当依赖于该服务的一个服务启动时启动）、SERVICE_BOOT_START（表示在操作系统完成引导过程的开始阶段之后启动）。
DISABLE：禁止一项服务或一种设备驱动程序。
ENABLE：允许一项服务或一种设备驱动程序。
SYSTEMROOT：此命令作用是进入到WIN2000系统安装目录，相当于CD ％SYSTEMROOT％命令。
MAP：该命令显示所有驱动器映射的列表，告诉用户系统中哪些驱动器在故障恢复控制台中是可用的。
EXIT：此命令退出故障恢复控制台，并重新启动计算机。
其它命令如：CD、CHKDSK、DEL、DIR、FORMAT、MD、RD、REN、TYPE等的用法与正常启动时基本相同。
最后是几点说明，故障恢复控制是永久安装，假如你的硬盘上安装有多份WIN2000的话，那么故障恢复控制台对于每一个WIN2000都是可用的；重复安装故障恢复控制台只会简单的覆盖前一个安装，而不会产生错误；故障恢复控制台必须在出现故障前安装；CMDCONS目录位于启动盘，而非系统盘。（济南 王永耀）


本文摘自：《电脑商情报－家用电脑》

取消Windows 2000不必要的服务




使用Windows任务管理器

　　向导秘诀:要确定通过取消不必要的系统服务所节约的内存空间，需要使用Windows任务管理器，以下为操作步骤：

　　在取消系统服务前重启系统并不要启动任何应用程序。如果在启动Windows时存在自动
加载的应用程序，那么按下[Shift]键跳过“启动”文件夹。

　　而后在任务条上右击鼠标并在快捷菜单中选择“任务管理器”。当出现“Windows任务管理器”对话框后，选择“性能”标签页。现在记录在“物理内存”面板上出现的“可用”值。

　　当你取消了那些你认为是不必要的系统服务后，以同样的方式重启系统并将此时“物理内存”面板上的值与先前记录的做比较。

　　系统服务的补充信息

　　需要紧记的一点是在你的系统中有可能无法找到表格A中所列的所有服务都被设置为“自动”。实际上，你甚至在自己的系统中找不到表格中所列出的某些服务。如果出现这种情况，你无需担心。每个Windows 2000的安装都依系统和安装软件的不同而有所不同，因此所安装的服务以及被设置为“自动”的服务也会存在一些差异。

　　另一方面，你可能会发现某些表格A中未列出的服务也被设置为“自动”，而且你认为根本无此必要。如果出现这种情况，你可以将鼠标移动到该服务上方、阅读对该服务的描述以查看每一服务的真正作用。执行此项操作时，会弹出一个工具技巧窗口并显示对该服务的完整描述。你可以依据这些文字来决定该项服务是否必要。

　　切记，即使将某服务的“启动类型”设置为“手动”，Windows 2000仍可以在需要时启动该服务。如果你要对修改某项服务的“启动类型”进行实验，可以通过启动“服务”工具及检查正在运行的服务列表来长时间监视该服务。如果你发现某项被设置为“手动”的服务需要时常运行，那么你可能会决定将其“启动类型”恢复为“自动”。
　

本文摘自：温州热线

玩转Windows2000



经过和Windows2000几天的激烈斗争，总算暂时摆平，现总结出一些斗争经验与大家分享。

　　一、安装时的注意事项

　　先谈谈安装吧，从历史经验看，微软操作系统的头一版，总有这样或那样的问题，俗话说“不怕一万，就怕万一”，Windows2000并没有提供卸载功能，安装之前一定确保现有的重要资料和应用程序有了完整的备份，为自己留好退路。作为纯32位操作系统的Windows2000虽然号称支持PnP(即插即用)，但是据大家反映，对一些老的硬件支持不太好，而且以超级解霸为首的一些曰常软件在Windows2000下也运行不起来。所以安装前最好先运行Windows 2000光盘中的i386，检查一下你机器中当前操作系统下所有的硬件和软件是否与Windows2000兼容。如果有问题，赶快去厂商站点下载最新的ForWindows2000的驱动程序或补丁。

　　在安装2000时，保留一个FAT分区是很重要的，尤其是如果你的系统崩溃，需要重新安装时你就会感觉到这样做的好处。Windows2000可以识别FAT、FAT32、NTFS等多种格式，不过在安装时，还是只能在FAT分区上。它会问你是要保持原来的格式还是转为NTFS,一般我们选为原来的格式，但这时可不要掉以轻心，以为它就老老实实地在FAT上装了。尤其是很多原来的NT4.0用户为了谨慎，要在系统中以双重引导方式，既安装Windows2000，又保留安装WindowsNT4.0时。因为Windows2000的文件系统是所谓NTFS5.0，而即使你在安装时选择保持原有格式，2000却仍会悄悄地改变所有NTFS4.0分区到NTFS5.0，其结果就是：NT4.0将无法再使用这些分区了。尤为重要的是这个过程无法逆转，唯一能做的只有重新格式化硬盘并从头安装和配置WindowsNT4.0。

　　如果你现在用的是试用版的Windows98OEM2，Windows2000会查出来，并提示你的Windows不是正式版本，不让你进行升级安装。

　　个性化的菜单

　　进入Windows2000后就可以发现，微软把渐变技术用到了菜单的弹出和缩入中，看起来很养眼。鼠标的指针也有了立体感极强的阴影效果。2000的程序菜单是所谓“个性化”菜单，就是不断地监视经常使用的菜单项目加以显示，隐藏那些不经常使用的程序选项。当你要想使用那些隐藏了的菜单时，只要将鼠标指针停在双箭头上方，菜单中就会显示出所有的应用程序项。显示出的菜单项还会根据程序的使用频率动态调整，最常用的就会在最前面。

　　2000“资源管理器”中的工具栏也可以个人化了，缺省的工具按钮只是按普通用户的需要而设置的，你可以根据自己的需要对“资源管理器”中的工具按钮进行定制，选择文件夹窗口中的查看/工具栏/自定义选项，然后在出现的窗口中根据自己的需要添加或删除不常用的工具按钮即可。

　　特殊的“我的文档”

　　桌面的排列变化不大，新出了一个“我的文档”被放在了最前头。“我的文档”被2000作为所有应用程序保存文件的缺省文件夹。这主要是为了增强对用户文件的管理。当多人共用一台计算机时，“我的文档”为每个用户准备一个，一个用户不会看到另一个用户的文档，用户文件的安全性得到了很好的保护。“我的文档”文件夹中还有“我的图片”文件夹，方便用户预览图片和加强用户对图片的管理，能在不打开其他图像浏览程序的情况下浏览、打印图片，其中可以放大，缩小查看细节，全屏浏览或缩放为实际大小。

本文摘自：温州热线
  　

忘记WINNT超级用户密码的解决办法



以下文章是我在网页上查找来的，是否有效须验证后才可定论。希望不要用此方法进行非法的攻击和侵害，本人不符法律责任！！

问：忘记管理员密码时更改密码。
答：如下介绍的方法需要在您忘记密码的机器上重新安装WINDOWS NT。我使用srvany.exe资源包工具。
将另一份NT安装到机器不同的路径下（只需最小安装），启动到安装过程中。
从资源包中将srvany.exe复制到某目录下，如c:\temp
运行regedt32。
转到HKEY_LOCAL_MACHINE，并选择根目录。
从“打开”菜单中选择“Load Hive”。
转到主要安装的NT的%systemroot%\system32\config。例：如果您的主要安装（即您希望更改密码的安装）在d:\winnt，则您就转到 d:\winnt\system32\config。
选择并点击开“系统System”。
会询问您键名，键入Mainreg，点击“确认”。
选择“选择（SELECT）”支，记下默认值，如：0xn、0x1。这会被用来到入ControlSet00n
转到HKEY_LOCAL_MACHINE\Mainreg\ControlSet00n\Services\Spooler记下ImagePath的值（通常为%SystemRoot%\system32\spoolss.exe）
将ImagePath更改为c:\temp\srvany.exe（或任何您将文件复制到的地方），点击“确定”。
转到“参数Parameters”，加入REG_SZ类型的键值Application。创建后双击新键值，设置为%systemroot%\system32\net.exe
加入另一个REG_SZ类型的键值Application，双击键值，将其设为"user Administrator password"。
回到HKEY_LOCAL_MACHINE\Mainreg，从打开菜单中选择"Unload Hive"，点击“确定”。
重新启动，从原来的NT安装中引导系统。稍候几分钟便可以以管理员身份使用新密码登录。
您需要更正所做的更改：

运行Regedt32.exe
转至HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\Spooler\Parameters，删除Application和AppParameters的键值。
转至HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Spoole，将ImagePath更改回原值(%SystemRoot%\system32\spoolss.exe)。


现在您可以删除第二次安装的NT，将其从启动菜单中删除（改变boot.ini的隐藏、只读、系统登属性后对其进行编辑：attrib c:\boot.ini -r -s -h）

所做的一切事实上是将spooler的服务转换为使用SRVANY.EXE程序运行NET服务，以"user Administrator password" 为参数，作为网络用户管理员的密码，不失为一个更改密码的办法。

查阅资源包以得到更多关于SRVANY的信息。


本文摘自：局域知识网

用好Windows 2000的启动管理器

张楚楠
Windows 2000启动管理器的主要任务是引导系统，同时它也是一个优秀的多系统引导管理器。它用菜单选择的方式，支持中文，使用十分方便。

一、启动管理器的基本结构
启动管理器包括NTLDR.SYS、BOOT.INI、BOOTFONT.BIN、NTDETECT.COM四个文件和与之对应的主引导记录。其中，BOOT.INI为一文本文件，是启动管理器的配置文件。BOOT.INI的典型结构如下(系统只安装了Windows 2000)：

[boot loader]

timeout=30

default=multi(0)disk(0)rdisk(0)partition(1)\WINNT

[operating systems]

multi(0)disk(0)rdisk(0)partition(1)\WINNT=“Microsoft Windows 2000 Professional”/fastdetect

[boot loader]节中的timeout是等待时间，default后的项目为默认的操作系统。[operating systems]节中，列出的是操作系统。下面我们就通过对它的修改，来实现形形色色的功能。

二、引导Windows 2000/NT系统
如果硬盘中装有不止一个Windows 2000/NT类系统，可以采用类似multi(0)disk(0)rdisk(0)partition(1)\WINNT=“Microsoft Windows 2000 Professional” /fastdetect的方式定义不同的系统。其中，multi(0)disk(0)partition(1)表明系统处于第一个IDE硬盘的第一个分区中，\WINNT说明系统目录。引号中为在启动菜单中显示的内容，最后所带的是系统启动参数。

三、引导Windows 9x/DOS系统
如果Windows 2000是由Windows 9x升级而来，并且又使用了全新安装，安装程序会为我们自动配置与老系统的双引导。这时，可在BOOT.INI的[operating systems]小节中找到类似以下一句：C:\=“Microsoft Windows”。乍一看，好像就是指示系统管理器从C:\引导老系统。其实不然，C:\后面省略了一个的文件名，也就是缺省文件名BOOTSECT.DOS。这个文件的内容，其实就是老系统的引导扇区。要从启动管理器启动Windows 9x，只须将Windows 9x所在分区的引导扇区存为一个文件。可以采用Windows 2000 Support Tools中的Diskprobe或Norton Diskedit之类的磁盘编辑工具实现。并将文件复制到Windows 2000启动分区下。在BOOT.INI中加入以下一句C:\DOS.DAT=“Microsoft Windows 98”(假定文件名为DOS.DAT，如为BOOTSECT.DOS可省略)。使用这种方法，不必苛求Windows 2000启动分区的类型，可为FAT，也可为NTFS；为后者时，Windows 9x只能装在一个独立的主DOS分区上。

四、从软盘引导
为了加快系统的启动速度，我们一般将BIOS中的BOOT SEQUENCE选项设置为“C ONLY”，偶尔须从软盘引导时，又必须修改BIOS。大多数多系统引导软件都提供了从软盘引导的选项，可以解决这个问题。利用Windows 2000启动管理器，也可部分解决这个问题。找一张在Windows 9x或DOS下格式化了的磁盘，将其第一个扇区存为一个文件(如C:\FLOPPY.DAT)，在BOOT.INI中加入以下一句：C:\FLOPPY.DAT=“从软盘引导”。出现启动菜单时，若须从软盘引导，将可引导磁盘放入软驱，选择从软盘引导即可。之所以是部分解决问题，是因为不同系统磁盘的引导扇区是不同的，甚至不同版本也无法兼容。DOS 6(6.0/6.22)的引导扇区可以交叉使用，DOS 7(包括Windows 95/97/98/ME)的引导扇区也可交叉使用，但DOS 6与7之间则不可以了。

五、引导Linux
使用Linux的人一般使用LILO来实现与Windows的多引导。LILO从功能上讲较Windows 2000启动管理器多一些，但其使用方便性却不如后者。其实，利用Windows 2000启动管理器也可引导Linux。在LILO下执行lilo -s lilo.dat，将LILO存为文件lilo.dat，并将它复制至Windows的启动分区下。最后在BOOT.INI中加入以下一句：C:\LILO.DAT=“Linux Loader”。系统选择菜单中选择Linux Loader就出现LILO了。建议将LILO的等待时间设置为最小值，默认系统为Linux系统，那么出现LILO的同时也就直接引导Linux了。

本文摘自：《电脑报》合订本光盘  

  　

在Windows 2000中删除不需要的组件



Windows 2000安装完成后，会发现一些组件(例如附件中的组件)已全部安装了。对于一般用户根本不会用到的组件，例如辅助工具、代码转换等组件是可以删除，在Windows 98中如果想删除这些不需要的组件，可以打开“控制面板”，通过点击“添加/删除程序”图标，在“添加/删除Windows组件”选项卡中选择并删除即可。但在Windows 2000中却无法通过此方法删除，因为在“添加/删除Windows组件”列表中没有这些组件。是否有方法在“添加/删除程序”列表中增加这些组件呢？
----下面笔者介绍一种可以在“添加/删除Windows组件”列表增加这些组件的方法，然后再从中删除这些不需要组件，具体操作步骤如下。

----1．在桌面上双击“我的电脑”图标，选择“工具”*“文件夹选项”，在“查看”选项卡的“高级设置”选项中选择“显示所有文件和文件夹”。这样设置的目的是可以显示隐藏的文件夹和文件。

----2．进入Windows 2000系统目录，一般为WINNT目录，再进入inf目录（也就是C:\WINNT\inf），此目录为隐含目录，在此目录下有一个sysoc.inf文件，此文件只有4KB，先备份此文件，备份完成后使用文本编辑软件打开该文件，然后单击“编辑”菜单，选择“替换”选项，在“查找内容”中输入“,hide”，在“替换为”中什么不都输，然后单击“全部替换”按钮，保存此文件退出。

----3．单击“开始”*“设置”*“控制面板”，双击“添加/删除程序”图标，然后单击“添加/删除Windows组件”按钮，打开“Windows组件向导”窗口，在组件中多了5项内容，例如有“COM+”、“Distributed Transaction Coordinator”、“传真服务”、“附件和工具”、“图像处理”等(如附图所示)，然后再从中删除不需要组件。

本文摘自：温州热线