人们普遍认为NT在安全性方面不如Unix。难道是NT本身比Unix不安全吗？答案是否定的。原因在于多年以来Unix管理员已经学会了在复杂的Internet环境中实现Unix服务，所以NT管理员也应该学习在Internet上保护自己的系统，从而使自己的Windows NT高枕无忧。

    在Internet的广泛应用中，Windows NT的安全性一度令NT管理员们深感不安。在运行Windows 95的环境下，任何一位略懂网络技术的用户键入命令：“net Q:\SERVER-NAMESHARENAME”，就能通过网络存取服务器的启动分区！为了确保安全性，以下措施可供NT管理员参考。

1. 用NTFS，不用FAT

    NTFS(NT文件系统)可以对文件和目录使用ACL(存取控制表，ACL可以管理共享目录的合理使用，而FAT(文件分配表)却只能管理共享级的安全。出于安全考虑,您必须处处设置尽可能多的安全措施，凡是与Internet相连的Windows NT计算机都应该使用NTFS。使用NTFS ACL的好处在于，如果它授权用户对某分区具有全部存取权限，但共享级权限为“只读”，则最终的有效权限为“只读”。Windows NT取NTFS ACL和共享权限的交集。

    在实施这样的网络方案时，您最好限制Internet服务器的共享，但是如果非要与Internet服务器交换文件，则可借助于NTFS。一旦建立新的共享权限，不要忘记修改由NT指定的缺省权限,否则Everyone用户组就能享有“完全控制”的共享权限。那些已经使用了FAT 的用户，在x86的NT系统上可以用convert命令将启动卷升级为NTFS。

2. 将系统管理员账号改名

    对于试图猜测口令的非法用户，NT的UserManager可以设置防范措施，例如5次口令输入错误后就禁止该账号登录。问题在于系统管理员这个最重要的账号却用不上这项防范措施。即使将系统管理员的权限全部授予某个用户账号，并且只使用该用户账号进行管理，但是由于系统管理员账号本身不能删掉或废止，因而非法用户仍然可以对系统管理员账号进行口令攻击。

    一种值得推荐的方法是将系统管理员账号的用户名由原先的“Administrator”改为一个无意义的字符串。这样要登录的非法用户不但要猜准口令，还要先猜出用户名。这种改名功能在User Manager的User Properties对话框中并没有设置，不过它的“User”*“Rename”菜单选项却能实现这一功能。

    用于提供Internet公共服务的计算机不需要也不应该有除了系统管理用途之外的其他用户账号。因此,应该废止Guest账号，移走或限制所有的其他用户账号。如果用的是N T 4.0，可以用Resource Kit中提供的工具封锁联机系统管理员账号。这种封锁只对由网络过来的非法登录起作用。账号一旦被封锁掉，系统管理员还可以通过本地登录重新设置封锁特性。