細說Win2000 Server安全

　　目前，WIN2000 SERVER是比較流行的服務器操作系統之一，但是要想安全的配置微軟的這個操作系統，卻不是一件容易的事。本文試圖對win2000 SERVER的安全配置進行初步的探討。 　　　　一、 定制自己的WIN2000 SERVER； 　　　　1． 版本的選擇：WIN2000有各種語言的版本，對於我們來說，可以選擇英文版或簡體中文版，我強烈建議：在語言不成為障礙的情況下，請一定使用英文版。要知道，微軟的產品是以Bug & Patch而著稱的，中文版的Bug遠遠多於英文版，而補丁一般還會遲至少半個月（也就是說一般微軟公布了漏洞後你的機子還會有半個月處於無保護狀況） 　　　　2． 組件的定制：win2000在默認情況下會安裝一些常用的組件，但是正是這個默認安裝是極度危險的（米特尼科說過，他可以進入任何一台默認安裝的服務器，我雖然不敢這麼說，不過如果你的主機是WIN2000 SERVER的默認安裝，我可以告訴你，，你死定了）你應該確切的知道你需要哪些服務，而且僅僅安裝你確實需要的服務，根據安全原則，最少的服務 最小的權限=最大的安全。典型的WEB服務器需要的最小組件選擇是：只安裝IIS的Com Files，IIS Snap-In，WWW Server組件。如果你確實需要安裝其他組件，請慎重，特別是：Indexing Service, FrontPage 2000 Server Extensions, Internet Service Manager (HTML)這幾個危險服務。 　　　　3． 管理應用程序的選擇 　　　　選擇一個好的遠程管理軟件是非常重要的事，這不僅僅是安全方面的要求，也是應用方面的需要。Win2000的Terminal Service是基於RDP（遠程桌面協議）的遠程控制軟件，他的速度快，操作方便，比較適合用來進行常規操作。但是，Terminal Service也有其不足之處，由於它使用的是虛擬桌面，再加上微軟編程的不嚴謹，當你使用Terminal Service進行安裝軟件或重起服務器等與真實桌面交互的操作時，往往會出現哭笑不得的現象，例如：使用Terminal Service重起微軟的認證服務器（Compaq, IBM等）可能會直接關機。所以，為了安全起見，我建議你再配備一個遠程控制軟件作為輔助，和Terminal Service互補，象PcAnyWhere就是一個不錯的選擇。 　　　　二、 正確安裝WIN2000 SERVER 　　　　1．分區和邏輯盤的分配，有一些朋友為了省事，將硬盤僅僅分為一個邏輯盤，所有的軟件都裝在C驅上，這是很不好的，建議最少建立兩個分區，一個系統分區，一個應用程序分區，這是因為，微軟的IIS經常會有洩漏源碼/溢出的漏洞，如果把系統和IIS放在同一個驅動器會導致系統文件的洩漏甚至入侵者遠程獲取ADMIN。推薦的安全配置是建立三個邏輯驅動器，第一個大於2G，用來裝系統和重要的日志文件，第二個放IIS，第三個放FTP，這樣無論IIS或FTP出了安全漏洞都不會直接影響到系統目錄和系統文件。要知道，IIS和FTP是對外服務的，比較容易出問題。而把IIS和FTP分開主要是為了防止入侵者上傳程序並從IIS中運行。（這個可能會導致程序開發人員和編輯的苦惱，管他呢，反正你是管理員J） 　　　　2．安裝順序的選擇：不要覺得：順序有什麼重要？只要安裝好了，怎麼裝都可以的。錯！win2000在安裝中有幾個順序是一定要注意的： 　　　　首先，何時接入網絡：Win2000在安裝時有一個漏洞，在你輸入Administrator密碼後，系統就建立了ADMIN$的共享，但是並沒有用你剛剛輸入的密碼來保護它，這種情況一直持續到你再次啟動後，在此期間，任何人都可以通過ADMIN$進入你的機器；同時，只要安裝一完成，各種服務就會自動運行，而這時的服務器是滿身漏洞，非常容易進入的，因此，在完全安裝並配置好win2000 SERVER之前，一定不要把主機接入網絡。 　　　　其次，補丁的安裝：補丁的安裝應該在所有應用程序安裝完之後，因為補丁程序往往要替換/修改某些系統文件，如果先安裝補丁再安裝應用程序有可能導致補丁不能起到應有的效果，例如：IIS的HotFix就要求每次更改IIS的配置都需要安裝 　　　　下面我們將仔細探討如何配置windows 2000. 　　三、 安全配置WIN2000 SERVER 　　　　即使正確的安裝了WIN2000 SERVER，系統還是有很多的漏洞，還需要進一步進行細致地配置。 　　　　1．端口：端口是計算機和外部網絡相連的邏輯接口，也是計算機的第一道屏障，端口配置正確與否直接影響到主機的安全，一般來說，僅打開你需要使用的端口會比較安全，配置的方法是在網卡屬性-TCP/IP-高級-選項-TCP/IP篩選中啟用TCP/IP篩選，不過對於win2000的端口過濾來說，有一個不好的特性：只能規定開哪些端口，不能規定關閉哪些端口，這樣對於需要開大量端口的用戶就比較痛苦。另外，建議停止綁定的Microsoft網絡的文件和打印機共享。方法：網絡和撥號連接-高級-高級設置-適配器和綁定- Microsoft網絡的文件和打印機共享。 　　　　2．IIS：IIS是微軟的組件中漏洞最多的一個，平均兩三個月就要出一個漏洞，而微軟的IIS默認安裝又實在不敢恭維，所以IIS的配置是我們的重點，現在大家跟著我一起來： 　　　　首先，把C盤那個什麼Inetpub目錄徹底刪掉，在D盤建一個Inetpub（要是你不放心用默認目錄名也可以改一個名字，但是自己要記得）在IIS管理器中將主目錄指向D:\Inetpub； 　　　　其次，那個IIS安裝時默認的什麼scripts等虛擬目錄一概刪除（罪惡之源呀，忘了