Windows 2000 Advance Serve安全設定(轉)

Windows 2000 Advance Serve安全設定(轉)[@more@]

　　網路安全應該是網路管理的一個重點,如何構建安全的企業網,是每個企業網管的重要工作,Windows 2000 Advance Serve是比較流行的伺服器作業系統之一，但是要想安全的配置微軟的這個作業系統，卻不是一件容易的事。下面我就自己的工作經驗,談談Windows 2000 Advance Serve網路的安全設定.

　　一、 定製自己的Windows 2000 Advance Serve

　　1． 版本的選擇：Win2000有各種語言的版本，對於我們來說，可以選擇英文版或簡體中文版，我強烈建議：在語言不成為障礙的情況下，請一定使用英文版。要知道，微軟的產品是以Bug & Patch而著稱的，中文版的Bug遠遠多於英文版，而補丁一般還會遲至少半個月（也就是說一般微軟公佈了漏洞後你的機子還會有半個月處於無保護狀況）。

　　2． 元件的安裝：Win2000在預設情況下進行典型安裝,不過這種安裝的系統是脆弱的,不夠安全的,根據安全原則，最少的服務+最小的許可權=最大的安全。請根據自己伺服器的所需要求做出合理的配置。

　　3．根據用途對伺服器進行單獨管理:就是說如果你根據企業的各種需要作出有不同功能的伺服器,原則上是一臺服務伺服器只提供單獨的服務,如域控制器,檔案伺服器,備份伺服器,WEB伺服器,FTP伺服器等等。

　　二、合理安裝Windows 2000 Advance Serve

　　1．安裝Windows 2000 Advance Serve,建議最少CREATE兩個分割槽，一個系統分割槽，一個應用程式分割槽。

　　2．順序的選擇：Windows 2000 Advance Serve在安裝中有幾個順序是一定要注意的：

　　首先，Windows 2000 Advance Serve在安裝時有一個漏洞，在你輸入Administrator密碼後，系統就建立了ADMIN$的共享，但是並沒有用你剛剛輸入的密碼來保護它，這種情況一直持續到你再次啟動後，在此期間，任何人都可以透過ADMIN$進入你的機器；只要安裝一完成，各種服務就會自動執行，而這時的伺服器是滿身漏洞，非常容易進入的，因此，在完全安裝並配置好Win2000 Server之前，一定不要把主機接入網路。

　　其次，補丁的安裝：補丁的安裝應該在所有應用程式安裝完之後，因為補丁程式往往要替換/修改某些系統檔案，如果先安裝補丁再安裝應用程式有可能導致補丁不能起到應有的效果。

　　三、 安全配置Win2000 Server

　　即使正確的安裝了Win2000 SERVER，系統還是有很多的漏洞，還需要進一步進行細緻地配置。

　　1．PORT：PORT是計算機和外部網路相連的邏輯介面，埠配置正確與否直接影響到主機的安全，一般來說，僅開啟你需要使用的埠會比較安全，配置的方法是在網路卡屬性-TCP/IP-高階-選項-TCP/IP篩選中啟用TCP/IP篩選。

　　2．IIS：IIS是微軟的元件中漏洞最多的一個，所以IIS的配置是我們的重點：

　　首先，DELTREE C：INETPUB ，在c盤以外creat Inetpub在IIS管理器中將主目錄指向x:Inetpub；

　　其次，那個IIS安裝時預設的什麼scripts等虛擬目錄一概刪除

　　第三，應用程式配置：在IIS管理器中刪除必須之外的任何無用對映，必須指的是ASP, ASA和其他你確實需要用到的檔案型別，例如你用到stml等（使用server side include），實際上90%的主機有了上面兩個對映就夠了,在IIS管理器中右擊主機->屬性->WWW服務 編輯->主目錄 配置->應用程式對映，刪除你不需要的對映。

　　最後，為了保險起見，你可以使用IIS的備份功能，將剛剛的設定全部備份下來，這樣就可以隨時恢復IIS的安全配置。