怎么装
一、版本的选择

　　笔者强烈建议：在语言不成为障碍的情况下，请一定使用英文版。要知道，微软的产品是以“漏洞加补丁（Bug & Patch）”而著称的，中文版的Bug远远多于英文版，而补丁一般还会迟至少半个月（也就是说一般微软公布了漏洞后你的服务器还会有半个月处于无保护状态）。

　　二、组件的定制

　　WIN2K在默认情况下会安装一些常用的组件，但是正是这个默认安装是非常危险的，根据安全原则“最少的服务+最小的权限=最大的安全” ，只安装确实需要的服务即可。这里特别提醒注意的是：“Indexing Service”、“FrontPage 2000 Server Extensions”、“ Internet Service Manager”这几个危险服务。

　　三、管理应用程序的选择

　　选择一个好的远程管理软件是非常重要的事，这不仅仅是安全方面的要求，也是应用方面的需要。WIN2K的Terminal Service是基于RDP（远程桌面协议）的远程控制软件，它的速度快，操作方便，比较适合用来进行常规操作。但是，Terminal Service也有其不足之处，由于它使用的是虚拟桌面，再加上微软编程的不严谨，当你使用Terminal Service进行安装软件或重启服务器等与真实桌面交互的操作时，往往会出现哭笑不得的现象，例如：使用Terminal Service重启微软的认证服务器（Compaq, IBM等）可能会直接关机。所以，为了安全起见，建议再配备一个远程控制软件作为辅助，和Terminal Service互补，如PcAnyWhere就是一个不错的选择。

　　四、分区和逻辑盘的分配

　　至少建立两个分区，一个系统分区，一个应用程序分区。这是因为，微软的IIS（Internet Ihformation Server）经常会有漏洞，如果把系统和IIS放在同一个驱动器会导致系统文件的泄漏，甚至让入侵者远程获取管理权。

　　推荐建立三个逻辑驱动器，第一个用来装系统和重要的日志文件；第二个放IIS；第三个放FTP，这样无论IIS或FTP出了安全漏洞都不会直接影响到系统目录和系统文件。

　　五、安装顺序的选择

　　不要觉得只要能装上系统，就算完事了，其实WIN2K的安装顺序是非常重要的。

　　首先，要注意接入网络的时间。WIN2K在安装时有一个漏洞，就是在输入Administrator的密码后，系统会建立“$ADMIN”的共享，但是并没有用刚输入的密码来保护它，这种情况一直会持续到计算机再次启动。在此期间，任何人都可以通过“$ADMIN”进入系统；同时，只要安装一完成，各种服务就会自动运行，而这时的服务器还到处是漏洞，非常容易从外部侵入。因此，在完全安装并配置好WIN2K Server之前，一定不要把主机接入网络。

　　其次，注意补丁的安装。补丁应该在所有应用程序安装完之后再安装，因为补丁程序往往要替换或修改某些系统文件，如果先安装补丁的话可能无法起到应有的效果。

怎么设

　　即使正确地安装了WIN2K Server，系统也有很多漏洞，还需要进一步进行细致的配置。

　　一、端口

　　端口是计算机和外部网络相连的逻辑接口，也是计算机的第一道屏障，端口配置正确与否直接影响到主机的安全。

　　二、 IIS

　　IIS是微软的组件中问题最多的一个，平均两三个月就要出一个漏洞，而微软的IIS默认安装又实在不敢恭维，所以IIS的配置是我们的重点。

　　首先，删除C盘下的Inetpub目录，在D盘建一个Inetpub，在IIS管理器中将主目录指向D:Inetpub。

　　其次，把IIS安装时默认的scripts等虚拟目录也一概删除，如果你需要什么权限的目录可以以后再建（特别注意写权限和执行程序的权限）。

　　然后是应用程序的配置。在IIS管理器中把无用映射都统统删除（当然必须保留如ASP、ASA等）。在IIS管理器中“主机→属性→WWW服务编辑→主目录配置→应用程序映射”，然后开始一个个删吧。接着再在应用程序调试书签内，将“脚本错误消息”改为“发送文本”。点击“确定”退出时别忘了让虚拟站点继承刚才设定好的属性。

　　最后，为了保险起见，可以使用IIS的备份功能，将刚刚的设定全部备份下来，这样就可以随时恢复IIS的安全配置。还有，如果怕IIS负荷过高导致服务器死机，也可以在性能中打开CPU限制，如将IIS的最大CPU使用率限制在70%。

　　三、账号安全

　　首先，WIN2K的默认安装允许任何用户通过空用户得到系统所有账号和共享列表，这本来是为了方便局域网用户共享资源和文件的，但是，同时任何一个远程用户也可以通过同样的方法得到你的用户列表，并可能使用暴力法破解用户密码给整个网络带来破坏。很多人都只知道更改注册表Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous = 1来禁止空用户连接，实际上WIN2K的本地安全策略里（如果是域服务器就是在域服务器安全和域安全策略里）就有这样的选项RestrictAnonymous（匿名连接的额外限制），其中有三个值：

　　“0”：None， Rely on default permissions（无，取决于默认的权限）

　　“1”：Do not allow enumeration of SAM accounts and shares（不允许枚举SAM账号和共享）

[1] [2] 下一页

上一篇:事业成功的十个习惯

下一篇:最全最新的mp3芯片介绍

安全配置Windows2000服务器相关文章：

·Windows系统漏洞修复软件大比拼

·最全面的WindowsXP修改大全

·WindowsXP超级技巧

·鲜为人知的Windows XP优化

·配置Catalyst交换端口分析器（SPAN）

·Windows系统进程列表完全解析

·Windows Vista震撼1600X1200高清壁纸

·Windows XP鲜为人知的N招实用技巧

·图文详解 Windows 2003服务器集群安装

·中小企业整体网络安全解决方案解析

安全配置Windows2000服务器相关软件：

·Windows主题70合一典藏版

·2007网络安全黄皮书V1.0.0

·如何加固Windows XP 主机安全

·Windows环境下32位汇编语言程序设计

·360安全卫士v3.2

·Windows擦除大师 V1.0

特别声明：本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载，但请务必注明出处和原始作者。文章版权归文章原始作者所有。对于被本站转载文章的个人和网站，我们表示深深的谢意。如果本站转载的文章有版权问题请联系编辑人员，我们尽快予以更正。
[打印本页] [关闭窗口] 转载请注明来源：http://www.vipcn.com

	\| 帮助(？) \| 版权声明 \| 友情连接 \| 关于我们 \| 信息发布
Copyright 2007 www.vipcn.com All Rights Reserved.	鄂ICP备05000083号Powered by:vipcn