按:很多時候,人們習慣以為安全就是防火牆或者IDS,這種理解是片面的;其實無論铠甲多厚,擁有一個百毒不侵的身體更為重要。本文將就win2000的安全配置進行討論,希望能對大家有所幫助。 作者SQL對於網絡安全有著很深的理解,寫過許多關於網絡安全的文章,本欄目也將陸續刊登其中的精彩部分。 本文共涉及下列幾個方面:IIS配置,設置網卡的TCP/IP屬性過濾,路由和遠程訪問的限制,系統安全策略和重要系統文件權限設置 看過很多網絡高手寫的安全配置WIN2000的文章,總感覺還是有點不過瘾所以自己也認真的總結了一下2000系統到現在為止的配置方法,我試圖總結出一個最簡單而且最有效果的方法。我寫這篇文章的目的就是用最短的時間把一個WIN2000的服務器版本的系統配置成一個非常安全的狀態。 安裝最新的版本的補丁包和小的熱補丁文件 不要總是迷信每過一段時間的SP的補丁包,應該定期去微軟的站點下載最新的補丁文件。詳細方法請參考我專門為此寫的另一篇文章。 IIS的合理安全設置 刪除所有默認的IIS下的虛擬目錄。 默認情況下,剛剛安裝完成的IIS下有這些虛擬目錄,根據在安裝的時候選擇的組件的不同稍微會有差別,不過都差不多。 用鼠標右鍵完全刪除這些虛擬目錄 全部完成的時候應該是這個樣子的結果 下面請刪除不需要的IIS下的映射 在站點屬性裡的主目錄下的配置項目中 一般情況下我們只留下asp和asa這兩個文件的映射就好了,其他的統統都可以刪除的,前段時間危害極大的紅色代碼就是利用這裡面的ida idq兩個文件的錯誤來攻擊主機的。其實到目前為止上面這些映射擴展名的程序幾乎全部都被人發現了問題,包括我們留下的asp文件對應的程序也被發現了大漏洞,只是沒有公布出來而已。 最後刪除完應該是這個樣子,所有asp.dll文件對應的擴展名留下其他的全部刪除。如果你的站點用不到ASP程序的話,我建議你把這些也全部都刪除,以後需要的時候可以再恢復的。最後如果你打算使用IIS請把站點的目錄不要放在系統的系統所在盤,應該是其他的盤這樣可以防止有人利用其他手段來進入你的系統目錄。 最後你需要重新啟動IIS使你剛才做的那些改動生效,請注意是重新啟動IIS不是WEB服務。 上面是正確重新啟動IIS的方法,在沒有完成這個步驟之前你做的改動是不會生效的。 正確設置網卡的TCP/IP屬性過濾 2000內置的網卡可以做簡單的端口過濾,我們可以在上面做些安全設置達到只允許外部網絡訪問本地指定開放端口的目的。 選擇本地連接屬性中的TCP/IP協議的屬性 [img][img] 然後選擇高級鍵 然後選擇裡面的選項項目 然後選擇裡面的TCP/IP篩選 啟用TCP/IP的篩選,其中TCP和UDP端口我們可以根據服務器具體的應用來選擇,IP協議請選擇6,這是固定的。 一切設置完成以後需要重新啟動啟動才可以剛才設置的生效。 路由和遠程訪問中的限制 2000一共有3個地方可以做網絡上的限制,一個是剛才的網卡屬性,一個是路由和遠程訪問,,一個就是IPSEC的安全策略了,我不喜歡最後這種方法主要是太麻煩而且設置比較復雜,相對來說還是前面兩種比較簡單易懂些。 首先在控制面板裡面啟動路由和遠程訪問,然後選擇啟動它。 選擇其中的手動配置服務器就可以了。 服務啟動完成以後,我們到IP路由選擇項目下的常規中找本地連接的項目,選擇你想要配置的網絡地址然後雙擊它。