Windows 2000 Server 安全配置終極指南
Windows 2000 Server操作簡(jiǎn)單,易于管理,但是,微軟同時(shí)面臨的是大家對(duì)其產(chǎn)品安全性的指責(zé),埋怨,那么,Windows 2000 Server的安全性真的就那么差勁嗎?No!說(shuō)到底,安全的關(guān)鍵還是在于人的因素。如果配置得當(dāng),Windows 2000 Server的還是相當(dāng)安全的。
那么,Windows 2000 Server 的安全配置如下:
首先要說(shuō)明的一點(diǎn)是,世界上沒(méi)有絕對(duì)的安全,我們的目標(biāo)是達(dá)到如下的安全級(jí)別:除了那些堅(jiān)定的并且熟練的黑客外,能夠阻止絕大多數(shù)黑客訪(fǎng)問(wèn)系統(tǒng)。
(正式展開(kāi)之前的4點(diǎn)聲明:
1,Windows 2000 Server的安全配置是一個(gè)很大的課題,由于本人的水平和經(jīng)驗(yàn)所限,可能錯(cuò)誤多多,希望大家指教,大家一起探討;愿意和我交流的朋友可以到ITSwww.itaq.org討論,也可以到我的主頁(yè)去留www.SecurityArt.net
2,本文如果能對(duì)你提供些許幫助,將是我莫大的榮耀,也是對(duì)我最好的表?yè)P(yáng)和鼓勵(lì)。
3,本文的寫(xiě)作過(guò)程中,參考了大量相關(guān)資料,在此,對(duì)其作者表示衷心的感謝!
4,謹(jǐn)以此文送給我的女朋友“珍珠豬”,感謝她在我最困難的時(shí)候?qū)ξ业男湃危С趾蛶椭WK趪?guó)外的這些日子里,天天快樂(lè))
由于文章比較長(zhǎng),所以,我有必要在一開(kāi)頭的時(shí)候,向大家介紹一下本文的結(jié)構(gòu)
·版本的選擇問(wèn)題
·安裝,及其過(guò)程中應(yīng)該注意的9個(gè)問(wèn)題
·簡(jiǎn)單地做一些基本配置
·安裝一些組件(如IIS)并做進(jìn)一步的配置
·更進(jìn)一步的配置(18個(gè)需要主要注意的地方)
·考慮物理安全性
一,版本的選擇問(wèn)題:
選擇合適的版本是安裝配置Windows 2000的第一步。
國(guó)內(nèi)的大多數(shù)使用者,因?yàn)椴涣?xí)慣英文界面的操作,而選擇安裝了Windows 2000 Server中文版。但是殊不知,從這第一步開(kāi)始,就已經(jīng)埋下了安全隱患。為什么這么說(shuō)呢?大家都知道, 微軟一向是以Bug和Patch著稱(chēng)的, 過(guò)不了幾天,就會(huì)有一個(gè)新的漏洞“問(wèn)世”,緊跟著,微軟就會(huì)發(fā)布相應(yīng)的補(bǔ)丁。當(dāng)然,首先發(fā)布的是英文版的補(bǔ)丁,而其他語(yǔ)言版本的補(bǔ)丁一般會(huì)延遲一段時(shí)間,在這一段時(shí)間里,我們的機(jī)器對(duì)攻擊者來(lái)說(shuō),是赤裸裸的,任人宰割。
所以,我強(qiáng)烈地建議大家盡量地安裝英文版。
還有一點(diǎn),無(wú)論是什么語(yǔ)言版本,請(qǐng)不要安裝任何Beta版本,因?yàn)榇蠖鄶?shù)的Beta版本的操作系統(tǒng)都含有嚴(yán)重的安全缺陷。
二,安裝
1,系統(tǒng)要求
首先,我們一起來(lái)看看Windows 2000 Server對(duì)系統(tǒng)的要求:
133MHz或更高的Pentium兼容的CPU;
至少有256MB的RAM(也支持128MB;最大支持4GB );
2GB的硬盤(pán),至少有1.0GB的空閑空間(如果你是通過(guò)網(wǎng)絡(luò)進(jìn)行安裝將需要額外的硬盤(pán)空間);
Windows 2000 Server最多支持在一臺(tái)機(jī)器上有4個(gè)CPU ;
VGA分辨率,或者更高檔次分辨率的監(jiān)視器;
CD-ROM驅(qū)動(dòng)器,推薦12速或者更快的速度;
如果計(jì)算機(jī)不支持從光盤(pán)啟動(dòng)安裝程序,則還要求有高密度的3.5寸軟盤(pán);
如果從網(wǎng)絡(luò)安裝,需要一個(gè)或多個(gè)與Windows 2000 server 兼容的網(wǎng)卡和相關(guān)的電纜。
還有一點(diǎn)需要注意的是,在安裝之前,最好確認(rèn)一下你的硬件是否屬于Windows 2000 Server的硬件兼容性列表(HCL)范圍內(nèi),這是因?yàn)椋④浿粚?duì)那些列在Windows 2000 HCL中的設(shè)備提供經(jīng)過(guò)測(cè)試的驅(qū)動(dòng)程序。如果使用了沒(méi)有列在HCL中的硬件,在安裝過(guò)程中,或者安裝之后, 可能會(huì)引發(fā)一些問(wèn)題。
2,實(shí)現(xiàn)途徑
實(shí)現(xiàn)Windows2000 Server 不外乎兩種途徑。一種是全新安裝,另一種是從其他版本的Windows升級(jí)(Windows NT Server3.51或Windows NT Server4.0)。
但是,為了避免升級(jí)以后帶來(lái)的種種問(wèn)題,建議執(zhí)行全新安裝。
3,分區(qū)的問(wèn)題
有些人在裝系統(tǒng)的時(shí)候偷懶,只做一個(gè)分區(qū),直接安裝系統(tǒng)。這樣做會(huì)帶來(lái)很大的風(fēng)險(xiǎn),例如:只有一個(gè)分區(qū)的話(huà),萬(wàn)一發(fā)生IIS緩沖區(qū)溢出會(huì)直接威脅到系統(tǒng)的安全。
建議至少3個(gè)分區(qū),最好是4個(gè)。如C,D,E,F(xiàn)
C盤(pán)裝系統(tǒng),2G以上的空間,D盤(pán)裝IIS,E為FTP,F(xiàn)盤(pán)放一些重要的數(shù)據(jù)。
4,文件格式問(wèn)題
Windows 2000 Server 既支持FAT格式,也支持NTFS格式。但是我們建議采用NTFS格式,為什么呢? 因?yàn)镹TFS格式比FAT格式多了安全控制功能,可以對(duì)不同的文件,文件夾設(shè)置不同的訪(fǎng)問(wèn)權(quán)限,并且可以啟用EFS(Encrypt File System)來(lái)加密文件,這樣就只有授權(quán)用戶(hù)才可以訪(fǎng)問(wèn),從而提高安全性。而且最好在安裝過(guò)程中,根據(jù)系統(tǒng)提示格式化成NTFS分區(qū),而不要先安裝成FAT格式再轉(zhuǎn)化為NTFS格式,因?yàn)檫@樣做在有些情況下會(huì)導(dǎo)致轉(zhuǎn)化不成功,導(dǎo)致數(shù)據(jù)的丟失,甚至系統(tǒng)崩潰。
One coin has two side。NTFS也有它不理的方面---<1>目前大多數(shù)反病毒軟件沒(méi)有提供對(duì)軟盤(pán)啟動(dòng)后NTFS分區(qū)病毒的查殺,這樣一旦系統(tǒng)中了惡性病毒而導(dǎo)致系統(tǒng)不能正常啟動(dòng),后果會(huì)比較嚴(yán)重,因此我們平時(shí)做好防病毒工作。<2>ADSs(NTFS交換數(shù)據(jù)流)是NTFS的一個(gè)特征,它是為了和HFS兼容而設(shè)計(jì)的.可是由于比較難于被發(fā)覺(jué),所以對(duì)于管理員來(lái)說(shuō)是一種危險(xiǎn),29A的Bennie和Ratter已經(jīng)發(fā)布了一種叫做W2K.Stream病毒,這個(gè)病毒就是利用ADSs的.更多的關(guān)于NTFS交換數(shù)據(jù)流的文章請(qǐng)參看:http://go.6to23.com/securityart/ta/ntfs.htm
5,多系統(tǒng)的問(wèn)題
強(qiáng)烈建議,作為服務(wù)器的機(jī)器上只安裝一個(gè)操作系統(tǒng)。因?yàn)椋惭b兩個(gè)或兩個(gè)以上的操作系統(tǒng),會(huì)給黑客創(chuàng)造更多的機(jī)會(huì)。有心的攻擊者可能會(huì)用DDOS攻擊或其他手段,成功地讓你系統(tǒng)重啟,并進(jìn)入另一個(gè)安全配置較差或根本沒(méi)配置過(guò)的系統(tǒng),從而擊敗你的系統(tǒng)。
6,安裝時(shí)的網(wǎng)絡(luò)連接問(wèn)題
Win2000在安裝時(shí)存在這樣一個(gè)問(wèn)題,當(dāng)我們輸入Administrator的密碼之后,系統(tǒng)就建立了ADMIN$的共享,但是你剛剛輸入的密碼并沒(méi)有“生效”,這種情況一直持續(xù)到系統(tǒng)再次啟動(dòng),也就是說(shuō),在重啟之前的這個(gè)過(guò)程中,任何人都可以通過(guò)ADMIN$進(jìn)入機(jī)器。
所以,在做完基本的安全配置之前,請(qǐng)不要連入網(wǎng)絡(luò)。因?yàn)檫@個(gè)時(shí)候,真的可以說(shuō)是“人為刀趄,我為魚(yú)肉”。
7,修改默認(rèn)路徑
我們都知道,Windows 2000 的默認(rèn)路徑為(假如C是系統(tǒng)盤(pán))C:\Winnt,我們可以修改為C:\win03478,等無(wú)規(guī)律的名稱(chēng)。這樣也在一定程度上加強(qiáng)了對(duì)系統(tǒng)的保護(hù)。
8,安裝過(guò)程中的組件選擇問(wèn)題
<1> 在Windows 2000 server 中,IIS是默認(rèn)安裝的(而在即將發(fā)布的Windows Server 2003中,IIS6.0默認(rèn)是不被安裝的。更多關(guān)于Windows Server 2003安全性的介紹,請(qǐng)參考我的了另一篇文章http://go.6to23.com/SecurityArt/mya/win2003.htm) ,這就好象在你的機(jī)子上開(kāi)了一扇大門(mén)。所以,我們應(yīng)該對(duì)IIS做一些基本的安全配置,而其中的第一步,就是修改默認(rèn)安裝路徑路徑,把它從系統(tǒng)所在的分區(qū)“搬”出去,但是,在安裝過(guò)程中,如果選擇默認(rèn)安裝IIS,我們是沒(méi)法修改路徑的。(除非通過(guò)自動(dòng)安裝安裝腳本的設(shè)置可以改變路徑)
所以, 我們這個(gè)時(shí)候去掉IIS前面的勾,不安裝IIS。
<2>其他組件。對(duì)于一般的Web服務(wù),以下幾個(gè)服務(wù)是不必要的,而且是極其危險(xiǎn)的,應(yīng)該慎重對(duì)待:Indexing Service, FrontPage 2000 Server Extensions, Internet Service Manager (HTML)。
9,補(bǔ)丁的安裝時(shí)間
補(bǔ)丁的安裝應(yīng)該在安裝完所有需要的組件和應(yīng)用程序以后,這是因?yàn)檠a(bǔ)丁程序往往要替換或者修改一些系統(tǒng)文件,如果先安裝補(bǔ)丁再安裝應(yīng)用程序有可能導(dǎo)致補(bǔ)丁無(wú)效。
Windows 2000 Server的安全配置就為大家介紹完了,希望大家已經(jīng)掌握,就按照如上所述的步驟操作,相信你可以完成的。
【編輯推薦】
