雪鹰领主,《完美世界》txt全集,长生界辰东小说

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

Windows2000Server安全配置終極指南

Windows 2000 Server操作簡單，易于管理，但是，微軟同時(shí)面臨的是大家對其產(chǎn)品安全性的指責(zé)，埋怨，那么，Windows 2000 Server的安全性真的就那么差勁嗎？No！說到底，安全的關(guān)鍵還是在于人的因素。如果配置得當(dāng)，Windows 2000 Server的還是相當(dāng)安全的。

讓客戶滿意是我們工作的目標(biāo)，不斷超越客戶的期望值來自于我們對這個(gè)行業(yè)的熱愛。我們立志把好的技術(shù)通過有效、簡單的方式提供給客戶，將通過不懈努力成為客戶在信息化領(lǐng)域值得信任、有價(jià)值的長期合作伙伴，公司提供的服務(wù)項(xiàng)目有：申請域名、虛擬主機(jī)、營銷軟件、網(wǎng)站建設(shè)、藍(lán)山網(wǎng)站維護(hù)、網(wǎng)站推廣。

那么，Windows 2000 Server 的安全配置如下：

首先要說明的一點(diǎn)是,世界上沒有絕對的安全，我們的目標(biāo)是達(dá)到如下的安全級別：除了那些堅(jiān)定的并且熟練的黑客外，能夠阻止絕大多數(shù)黑客訪問系統(tǒng)。

（正式展開之前的4點(diǎn)聲明：

1，Windows 2000 Server的安全配置是一個(gè)很大的課題，由于本人的水平和經(jīng)驗(yàn)所限，可能錯誤多多，希望大家指教，大家一起探討；愿意和我交流的朋友可以到ITSwww.itaq.org討論，也可以到我的主頁去留www.SecurityArt.net

2，本文如果能對你提供些許幫助，將是我莫大的榮耀，也是對我最好的表揚(yáng)和鼓勵。

3，本文的寫作過程中，參考了大量相關(guān)資料，在此，對其作者表示衷心的感謝！

4，謹(jǐn)以此文送給我的女朋友“珍珠豬”，感謝她在我最困難的時(shí)候?qū)ξ业男湃?，支持和幫助。祝她在國外的這些日子里，天天快樂）

由于文章比較長，所以，我有必要在一開頭的時(shí)候，向大家介紹一下本文的結(jié)構(gòu)

·版本的選擇問題

·安裝，及其過程中應(yīng)該注意的9個(gè)問題

·簡單地做一些基本配置

·安裝一些組件（如IIS）并做進(jìn)一步的配置

·更進(jìn)一步的配置（18個(gè)需要主要注意的地方）

·考慮物理安全性

一，版本的選擇問題：

選擇合適的版本是安裝配置Windows 2000的第一步。

國內(nèi)的大多數(shù)使用者，因?yàn)椴涣?xí)慣英文界面的操作，而選擇安裝了Windows 2000 Server中文版。但是殊不知，從這第一步開始，就已經(jīng)埋下了安全隱患。為什么這么說呢？大家都知道，微軟一向是以Bug和Patch著稱的，過不了幾天，就會有一個(gè)新的漏洞“問世”，緊跟著，微軟就會發(fā)布相應(yīng)的補(bǔ)丁。當(dāng)然，首先發(fā)布的是英文版的補(bǔ)丁，而其他語言版本的補(bǔ)丁一般會延遲一段時(shí)間，在這一段時(shí)間里，我們的機(jī)器對攻擊者來說，是赤裸裸的，任人宰割。

所以，我強(qiáng)烈地建議大家盡量地安裝英文版。

還有一點(diǎn)，無論是什么語言版本，請不要安裝任何Beta版本，因?yàn)榇蠖鄶?shù)的Beta版本的操作系統(tǒng)都含有嚴(yán)重的安全缺陷。

二，安裝

1,系統(tǒng)要求

首先，我們一起來看看Windows 2000 Server對系統(tǒng)的要求：

133MHz或更高的Pentium兼容的CPU；

至少有256MB的RAM（也支持128MB；最大支持4GB ）；

2GB的硬盤，至少有1.0GB的空閑空間（如果你是通過網(wǎng)絡(luò)進(jìn)行安裝將需要額外的硬盤空間）；

Windows 2000 Server最多支持在一臺機(jī)器上有4個(gè)CPU ；

VGA分辨率，或者更高檔次分辨率的監(jiān)視器；

CD-ROM驅(qū)動器，推薦12速或者更快的速度；

如果計(jì)算機(jī)不支持從光盤啟動安裝程序，則還要求有高密度的3.5寸軟盤；

如果從網(wǎng)絡(luò)安裝，需要一個(gè)或多個(gè)與Windows 2000 server 兼容的網(wǎng)卡和相關(guān)的電纜。

還有一點(diǎn)需要注意的是，在安裝之前，最好確認(rèn)一下你的硬件是否屬于Windows 2000 Server的硬件兼容性列表（HCL）范圍內(nèi)，這是因?yàn)椋④浿粚δ切┝性赪indows 2000 HCL中的設(shè)備提供經(jīng)過測試的驅(qū)動程序。如果使用了沒有列在HCL中的硬件，在安裝過程中，或者安裝之后，可能會引發(fā)一些問題。

2，實(shí)現(xiàn)途徑

實(shí)現(xiàn)Windows2000 Server 不外乎兩種途徑。一種是全新安裝，另一種是從其他版本的Windows升級(Windows NT Server3.51或Windows NT Server4.0）。

但是，為了避免升級以后帶來的種種問題，建議執(zhí)行全新安裝。

3，分區(qū)的問題

有些人在裝系統(tǒng)的時(shí)候偷懶，只做一個(gè)分區(qū)，直接安裝系統(tǒng)。這樣做會帶來很大的風(fēng)險(xiǎn)，例如：只有一個(gè)分區(qū)的話，萬一發(fā)生IIS緩沖區(qū)溢出會直接威脅到系統(tǒng)的安全。

建議至少3個(gè)分區(qū)，最好是4個(gè)。如C，D，E，F(xiàn)

C盤裝系統(tǒng)，2G以上的空間，D盤裝IIS，E為FTP，F(xiàn)盤放一些重要的數(shù)據(jù)。

4,文件格式問題

Windows 2000 Server 既支持FAT格式，也支持NTFS格式。但是我們建議采用NTFS格式，為什么呢？因?yàn)镹TFS格式比FAT格式多了安全控制功能，可以對不同的文件，文件夾設(shè)置不同的訪問權(quán)限，并且可以啟用EFS（Encrypt File System)來加密文件，這樣就只有授權(quán)用戶才可以訪問，從而提高安全性。而且最好在安裝過程中，根據(jù)系統(tǒng)提示格式化成NTFS分區(qū)，而不要先安裝成FAT格式再轉(zhuǎn)化為NTFS格式，因?yàn)檫@樣做在有些情況下會導(dǎo)致轉(zhuǎn)化不成功，導(dǎo)致數(shù)據(jù)的丟失，甚至系統(tǒng)崩潰。

One coin has two side。NTFS也有它不理的方面---<1>目前大多數(shù)反病毒軟件沒有提供對軟盤啟動后NTFS分區(qū)病毒的查殺，這樣一旦系統(tǒng)中了惡性病毒而導(dǎo)致系統(tǒng)不能正常啟動，后果會比較嚴(yán)重，因此我們平時(shí)做好防病毒工作。<2>ADSs（NTFS交換數(shù)據(jù)流）是NTFS的一個(gè)特征,它是為了和HFS兼容而設(shè)計(jì)的.可是由于比較難于被發(fā)覺,所以對于管理員來說是一種危險(xiǎn),29A的Bennie和Ratter已經(jīng)發(fā)布了一種叫做W2K.Stream病毒,這個(gè)病毒就是利用ADSs的.更多的關(guān)于NTFS交換數(shù)據(jù)流的文章請參看：http://go.6to23.com/securityart/ta/ntfs.htm

5,多系統(tǒng)的問題

強(qiáng)烈建議，作為服務(wù)器的機(jī)器上只安裝一個(gè)操作系統(tǒng)。因?yàn)?，安裝兩個(gè)或兩個(gè)以上的操作系統(tǒng)，會給黑客創(chuàng)造更多的機(jī)會。有心的攻擊者可能會用DDOS攻擊或其他手段，成功地讓你系統(tǒng)重啟，并進(jìn)入另一個(gè)安全配置較差或根本沒配置過的系統(tǒng)，從而擊敗你的系統(tǒng)。

6,安裝時(shí)的網(wǎng)絡(luò)連接問題

Win2000在安裝時(shí)存在這樣一個(gè)問題，當(dāng)我們輸入Administrator的密碼之后，系統(tǒng)就建立了ADMIN$的共享，但是你剛剛輸入的密碼并沒有“生效”，這種情況一直持續(xù)到系統(tǒng)再次啟動，也就是說，在重啟之前的這個(gè)過程中，任何人都可以通過ADMIN$進(jìn)入機(jī)器。

所以，在做完基本的安全配置之前，請不要連入網(wǎng)絡(luò)。因?yàn)檫@個(gè)時(shí)候，真的可以說是“人為刀趄，我為魚肉”。

7，修改默認(rèn)路徑

我們都知道，Windows 2000 的默認(rèn)路徑為（假如C是系統(tǒng)盤）C:\Winnt，我們可以修改為C:\win03478，等無規(guī)律的名稱。這樣也在一定程度上加強(qiáng)了對系統(tǒng)的保護(hù)。

8,安裝過程中的組件選擇問題

<1> 在Windows 2000 server 中，IIS是默認(rèn)安裝的（而在即將發(fā)布的Windows Server 2003中，IIS6.0默認(rèn)是不被安裝的。更多關(guān)于Windows Server 2003安全性的介紹，請參考我的了另一篇文章http://go.6to23.com/SecurityArt/mya/win2003.htm），這就好象在你的機(jī)子上開了一扇大門。所以，我們應(yīng)該對IIS做一些基本的安全配置，而其中的第一步，就是修改默認(rèn)安裝路徑路徑，把它從系統(tǒng)所在的分區(qū)“搬”出去，但是，在安裝過程中，如果選擇默認(rèn)安裝IIS，我們是沒法修改路徑的。（除非通過自動安裝安裝腳本的設(shè)置可以改變路徑）

所以，我們這個(gè)時(shí)候去掉IIS前面的勾，不安裝IIS。

<2>其他組件。對于一般的Web服務(wù)，以下幾個(gè)服務(wù)是不必要的，而且是極其危險(xiǎn)的，應(yīng)該慎重對待：Indexing Service, FrontPage 2000 Server Extensions, Internet Service Manager (HTML)。

9，補(bǔ)丁的安裝時(shí)間

補(bǔ)丁的安裝應(yīng)該在安裝完所有需要的組件和應(yīng)用程序以后，這是因?yàn)檠a(bǔ)丁程序往往要替換或者修改一些系統(tǒng)文件，如果先安裝補(bǔ)丁再安裝應(yīng)用程序有可能導(dǎo)致補(bǔ)丁無效。

Windows 2000 Server的安全配置就為大家介紹完了，希望大家已經(jīng)掌握，就按照如上所述的步驟操作，相信你可以完成的。

【編輯推薦】

基于令牌的分布式身份驗(yàn)證
Windows Server 2008藍(lán)屏漏洞揭秘
Windows 2000 Server入侵監(jiān)測
如何為Windows Server 2008配置NAP服務(wù)
配置Windows Server 2008防火墻讓系統(tǒng)更安全

名稱欄目：Windows2000Server安全配置終極指南
瀏覽地址：http://fisionsoft.com.cn/article/djsjjog.html

新聞中心

其他資訊