当前位置: 首页 > 图文教程 > 服务器 > Windows服务器 > 安全配置Windows2000服务器

Windows服务器
实例讲解Windows 2003分区增容功能
WIN2003服务器端安全配置的一点简单经验
Windows 2003中快速建立ADSL拨号
远程如何修改Windows 2003系统机器名
微软揭示Windows 2003 R2关键性技术
Windows Server 2003组策略排障六法
感受Windows 2003 SP1安全配置向导功能
微软测试Windows Server 2003集群版
Win 2003系统传真功能的配置及使用
巧用Win 2003构筑校园网服务器防火墙
抢先看!WinServer 2003 R2 RTM发布
九招Windows 2003系统设置小技巧
巧施妙计—突破Win 2003系统的种种限制
巧妙启用Windows 2003的远程桌面功能
部署Windows Server 2003终端服务
在Win2003配置DNS的Internet访问
Windows 2003下提高FSO的安全性
Windows Server 2003 SP1 今日发布
微软将在HEC上发布Windows 2003 64-bit
快下载!值得装Windows 2003 SP1三大原因

Windows服务器 中的 安全配置Windows2000服务器


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-11-01   浏览: 35 ::
收藏到网摘: n/a

    第一:怎么装

  一、 版本的选择

  笔者强烈建议:在语言不成为障碍的情况下,请一定使用英文版。要知道,微软的产品是以"漏洞加补丁(Bug & Patch)"而著称的,中文版的Bug远远多于英文版,而补丁一般还会迟至少半个月(也就是说一般微软公布了漏洞后你的服务器还会有半个月处于无保护状态)。

  二、 组件的定制

  WIN2K在默认情况下会安装一些常用的组件,但是正是这个默认安装是非常危险的,根据安全原则"最少的服务+最小的权限=最大的安全" ,只安装确实需要的服务即可。这里特别提醒注意的是:"Indexing Service"、"FrontPage 2000 Server Extensions"、" Internet Service Manager"这几个危险服务。

  三、 管理应用程序的选择

  选择一个好的远程管理软件是非常重要的事,这不仅仅是安全方面的要求,也是应用方面的需要。WIN2K的Terminal Service是基于RDP(远程桌面协议)的远程控制软件,它的速度快,操作方便,比较适合用来进行常规操作。但是,Terminal Service也有其不足之处,由于它使用的是虚拟桌面,再加上微软编程的不严谨,当你使用Terminal Service进行安装软件或重启服务器等与真实桌面交互的操作时,往往会出现哭笑不得的现象,例如:使用Terminal Service重启微软的认证服务器(Compaq, IBM等)可能会直接关机。所以,为了安全起见,建议再配备一个远程控制软件作为辅助,和Terminal Service互补,如PcAnyWhere就是一个不错的选择。

  四、 分区和逻辑盘的分配

  至少建立两个分区,一个系统分区,一个应用程序分区。这是因为,微软的IIS(Internet Ihformation Server)经常会有漏洞,如果把系统和IIS放在同一个驱动器会导致系统文件的泄漏,甚至让入侵者远程获取管理权。

  推荐建立三个逻辑驱动器,第一个用来装系统和重要的日志文件;第二个放IIS;第三个放FTP,这样无论IIS或FTP出了安全漏洞都不会直接影响到系统目录和系统文件。

  五、 安装顺序的选择

  不要觉得只要能装上系统,就算完事了,其实WIN2K的安装顺序是非常重要的。

  首先,要注意接入网络的时间。WIN2K在安装时有一个漏洞,就是在输入Administrator的密码后,系统会建立"$ADMIN"的共享,但是并没有用刚输入的密码来保护它,这种情况一直会持续到计算机再次启动。在此期间,任何人都可以通过"$ADMIN"进入系统;同时,只要安装一完成,各种服务就会自动运行,而这时的服务器还到处是漏洞,非常容易从外部侵入。因此,在完全安装并配置好WIN2K Server之前,一定不要把主机接入网络。

  其次,注意补丁的安装。补丁应该在所有应用程序安装完之后再安装,因为补丁程序往往要替换或修改某些系统文件,如果先安装补丁的话可能无法起到应有的效果。

    第二:怎么设

  即使正确地安装了WIN2K Server,系统也有很多漏洞,还需要进一步进行细致的配置。

  一、 端口

  端口是计算机和外部网络相连的逻辑接口,也是计算机的第一道屏障,端口配置正确与否直接影响到主机的安全。

    二、 IIS

  IIS是微软的组件中问题最多的一个,平均两三个月就要出一个漏洞,而微软的IIS默认安装又实在不敢恭维,所以IIS的配置是我们的重点。

  首先,删除C盘下的Inetpub目录,在D盘建一个Inetpub,在IIS管理器中将主目录指向D:\Inetpub。
  其次,把IIS安装时默认的scripts等虚拟目录也一概删除,如果你需要什么权限的目录可以以后再建(特别注意写权限和执行程序的权限)。

  然后是应用程序的配置。在IIS管理器中把无用映射都统统删除(当然必须保留如ASP、ASA等)。在IIS管理器中"主机→属性→WWW服务编辑→主目录配置→应用程序映射",然后开始一个个删吧。接着再在应用程序调试书签内,?quot;脚本错误消息"改为"发送文本"。点击"确定"退出时别忘了让虚拟站点继承刚才设定好的属性。
  最后,为了保险起见,可以使用IIS的备份功能,将刚刚的设定全部备份下来,这样就可以随时恢复IIS的安全配置。还有,如果怕IIS负荷过高导致服务器死机,也可以在性能中打开CPU限制,如将IIS的最大CPU使用率限制在70%。

  三、 账号安全

  首先,WIN2K的默认安装允许任何用户通过空用户得到系统所有账号和共享列表,这本来是为了方便局域网用户共享资源和文件的,但是,同时任何一个远程用户也可以通过同样的方法得到你的用户列表,并可能使用暴力法破解用户密码给整个网络带来破坏。很多人都只知道更改注册表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous = 1来禁止空用户连接,实际上WIN2K的本地安全策略里(如果是域服务器就是在域服务器安全和域安全策略里)就有这样的选项RestrictAnonymous(匿名连接的额外限制),其中有三个值:

  "0":None, Rely on default permissions(无,取决于默认的权限)

  "