Windows2000Server安全配置终极指南

Windows 2000 Server操作简单,易于管理,但是,微软同时面临的是大家对其产品安全性的指责,埋怨,那么,Windows 2000 Server的安全性真的就那么差劲吗?No!说到底,安全的关键还是在于人的因素。如果配置得当,Windows 2000 Server的还是相当安全的。

让客户满意是我们工作的目标,不断超越客户的期望值来自于我们对这个行业的热爱。我们立志把好的技术通过有效、简单的方式提供给客户,将通过不懈努力成为客户在信息化领域值得信任、有价值的长期合作伙伴,公司提供的服务项目有:申请域名虚拟主机、营销软件、网站建设、蓝山网站维护、网站推广。

那么,Windows 2000 Server 的安全配置如下:

首先要说明的一点是,世界上没有绝对的安全,我们的目标是达到如下的安全级别:除了那些坚定的并且熟练的黑客外,能够阻止绝大多数黑客访问系统。

(正式展开之前的4点声明:

1,Windows 2000 Server的安全配置是一个很大的课题,由于本人的水平和经验所限,可能错误多多,希望大家指教,大家一起探讨;愿意和我交流的朋友可以到ITSwww.itaq.org讨论,也可以到我的主页去留www.SecurityArt.net

2,本文如果能对你提供些许帮助,将是我莫大的荣耀,也是对我最好的表扬和鼓励。

3,本文的写作过程中,参考了大量相关资料,在此,对其作者表示衷心的感谢!

4,谨以此文送给我的女朋友“珍珠猪”,感谢她在我最困难的时候对我的信任,支持和帮助。祝她在国外的这些日子里,天天快乐)

由于文章比较长,所以,我有必要在一开头的时候,向大家介绍一下本文的结构

·版本的选择问题

·安装,及其过程中应该注意的9个问题

·简单地做一些基本配置

·安装一些组件(如IIS)并做进一步的配置

·更进一步的配置(18个需要主要注意的地方)

·考虑物理安全性

一,版本的选择问题:

选择合适的版本是安装配置Windows 2000的第一步。

国内的大多数使用者,因为不习惯英文界面的操作,而选择安装了Windows 2000 Server中文版。但是殊不知,从这第一步开始,就已经埋下了安全隐患。为什么这么说呢?大家都知道, 微软一向是以Bug和Patch著称的, 过不了几天,就会有一个新的漏洞“问世”,紧跟着,微软就会发布相应的补丁。当然,首先发布的是英文版的补丁,而其他语言版本的补丁一般会延迟一段时间,在这一段时间里,我们的机器对攻击者来说,是赤裸裸的,任人宰割。

所以,我强烈地建议大家尽量地安装英文版。

还有一点,无论是什么语言版本,请不要安装任何Beta版本,因为大多数的Beta版本的操作系统都含有严重的安全缺陷。

二,安装

1,系统要求

首先,我们一起来看看Windows 2000 Server对系统的要求:

133MHz或更高的Pentium兼容的CPU;

至少有256MB的RAM(也支持128MB;最大支持4GB );

2GB的硬盘,至少有1.0GB的空闲空间(如果你是通过网络进行安装将需要额外的硬盘空间);

Windows 2000 Server最多支持在一台机器上有4个CPU ;

VGA分辨率,或者更高档次分辨率的监视器;

CD-ROM驱动器,推荐12速或者更快的速度;

如果计算机不支持从光盘启动安装程序,则还要求有高密度的3.5寸软盘;

如果从网络安装,需要一个或多个与Windows 2000 server 兼容的网卡和相关的电缆。

还有一点需要注意的是,在安装之前,最好确认一下你的硬件是否属于Windows 2000 Server的硬件兼容性列表(HCL)范围内,这是因为,微软只对那些列在Windows 2000 HCL中的设备提供经过测试的驱动程序。如果使用了没有列在HCL中的硬件,在安装过程中,或者安装之后, 可能会引发一些问题。

2,实现途径

实现Windows2000 Server 不外乎两种途径。一种是全新安装,另一种是从其他版本的Windows升级(Windows NT Server3.51或Windows NT Server4.0)。

但是,为了避免升级以后带来的种种问题,建议执行全新安装。

3,分区的问题

有些人在装系统的时候偷懒,只做一个分区,直接安装系统。这样做会带来很大的风险,例如:只有一个分区的话,万一发生IIS缓冲区溢出会直接威胁到系统的安全。

建议至少3个分区,最好是4个。如C,D,E,F

C盘装系统,2G以上的空间,D盘装IIS,E为FTP,F盘放一些重要的数据。

4,文件格式问题

Windows 2000 Server 既支持FAT格式,也支持NTFS格式。但是我们建议采用NTFS格式,为什么呢? 因为NTFS格式比FAT格式多了安全控制功能,可以对不同的文件,文件夹设置不同的访问权限,并且可以启用EFS(Encrypt File System)来加密文件,这样就只有授权用户才可以访问,从而提高安全性。而且最好在安装过程中,根据系统提示格式化成NTFS分区,而不要先安装成FAT格式再转化为NTFS格式,因为这样做在有些情况下会导致转化不成功,导致数据的丢失,甚至系统崩溃。

One coin has two side。NTFS也有它不理的方面---<1>目前大多数反病毒软件没有提供对软盘启动后NTFS分区病毒的查杀,这样一旦系统中了恶性病毒而导致系统不能正常启动,后果会比较严重,因此我们平时做好防病毒工作。<2>ADSs(NTFS交换数据流)是NTFS的一个特征,它是为了和HFS兼容而设计的.可是由于比较难于被发觉,所以对于管理员来说是一种危险,29A的Bennie和Ratter已经发布了一种叫做W2K.Stream病毒,这个病毒就是利用ADSs的.更多的关于NTFS交换数据流的文章请参看:http://go.6to23.com/securityart/ta/ntfs.htm

5,多系统的问题

强烈建议,作为服务器的机器上只安装一个操作系统。因为,安装两个或两个以上的操作系统,会给黑客创造更多的机会。有心的攻击者可能会用DDOS攻击或其他手段,成功地让你系统重启,并进入另一个安全配置较差或根本没配置过的系统,从而击败你的系统。

6,安装时的网络连接问题

Win2000在安装时存在这样一个问题,当我们输入Administrator的密码之后,系统就建立了ADMIN$的共享,但是你刚刚输入的密码并没有“生效”,这种情况一直持续到系统再次启动,也就是说,在重启之前的这个过程中,任何人都可以通过ADMIN$进入机器。

所以,在做完基本的安全配置之前,请不要连入网络。因为这个时候,真的可以说是“人为刀趄,我为鱼肉”。

7,修改默认路径

我们都知道,Windows 2000 的默认路径为(假如C是系统盘)C:\Winnt,我们可以修改为C:\win03478,等无规律的名称。这样也在一定程度上加强了对系统的保护。

8,安装过程中的组件选择问题

<1> 在Windows 2000 server 中,IIS是默认安装的(而在即将发布的Windows Server 2003中,IIS6.0默认是不被安装的。更多关于Windows Server 2003安全性的介绍,请参考我的了另一篇文章http://go.6to23.com/SecurityArt/mya/win2003.htm) ,这就好象在你的机子上开了一扇大门。所以,我们应该对IIS做一些基本的安全配置,而其中的第一步,就是修改默认安装路径路径,把它从系统所在的分区“搬”出去,但是,在安装过程中,如果选择默认安装IIS,我们是没法修改路径的。(除非通过自动安装安装脚本的设置可以改变路径)

所以, 我们这个时候去掉IIS前面的勾,不安装IIS。

<2>其他组件。对于一般的Web服务,以下几个服务是不必要的,而且是极其危险的,应该慎重对待:Indexing Service, FrontPage 2000 Server Extensions, Internet Service Manager (HTML)。

9,补丁的安装时间

补丁的安装应该在安装完所有需要的组件和应用程序以后,这是因为补丁程序往往要替换或者修改一些系统文件,如果先安装补丁再安装应用程序有可能导致补丁无效。

Windows 2000 Server的安全配置就为大家介绍完了,希望大家已经掌握,就按照如上所述的步骤操作,相信你可以完成的。

【编辑推荐】

  1. 基于令牌的分布式身份验证
  2. Windows Server 2008蓝屏漏洞揭秘
  3. Windows 2000 Server入侵监测
  4. 如何为Windows Server 2008配置NAP服务
  5. 配置Windows Server 2008防火墙让系统更安全

本文题目:Windows2000Server安全配置终极指南
网站链接:http://www.shufengxianlan.com/qtweb/news32/309082.html

网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等

广告

声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联