Windows 2000伺服器安全配置

第一：怎麼裝

一、版本的選擇

筆者強烈建議：在語言不成為障礙的情況下，請一定使用英文版。要知道，微軟的產品是以"漏洞加補丁（Bug & Patch）"而著稱的，中文版的Bug遠遠多於英文版，而補丁一般還會遲至少半個月（也就是說一般微軟公布了漏洞後你的伺服器還會有半個月處於無保護狀態）。

二、組件的定製

WIN2K在預設情況下會安裝一些常用的組件，但是正是這個預設安裝是非常危險的，根據安全原則"最少的服務+最小的許可權=最大的安全" ，只安裝確實需要的服務即可。這裡特別提醒注意的是："Indexing Service"、"FrontPage 2000 Server Extensions"、" Internet Service Manager"這幾個危險服務。

三、管理應用程式的選擇

選擇一個好的遠端管理軟體是非常重要的事，這不僅僅是安全方面的要求，也是應用方面的需要。WIN2K的Terminal Service是基於RDP（遠端桌面通訊協定）的遠端控制軟體，它的速度快，操作方便，比較適合用來進行常規操作。但是，Terminal Service也有其不足之處，由於它使用的是虛擬桌面，再加上微軟編程的不嚴謹，當你使用Terminal Service進行安裝軟體或重啟伺服器等與真實案頭互動的操作時，往往會出現哭笑不得的現象，例如：使用Terminal Service重啟微軟的證明伺服器（Compaq, IBM等）可能會直接關機。所以，為了安全起見，建議再配備一個遠端控制軟體作為輔助，和Terminal Service互補，如PcAnyWhere就是一個不錯的選擇。

四、分區和邏輯盤的分配

至少建立兩個分區，一個系統磁碟分割，一個應用程式分區。這是因為，微軟的IIS（Internet Ihformation Server）經常會有漏洞，如果把系統和IIS放在同一個磁碟機會導致系統檔案的泄漏，甚至讓入侵者遠程擷取管理權。

推薦建立三個邏輯磁碟機，第一個用來裝系統和重要的記錄檔；第二個放IIS；第三個放FTP，這樣無論IIS或FTP出了安全性漏洞都不會直接影響到系統目錄和系統檔案。

五、安裝順序的選擇

不要覺得只要能裝上系統，就算完事了，其實WIN2K的安裝順序是非常重要的。

首先，要注意接入網路的時間。WIN2K在安裝時有一個漏洞，就是在輸入Administrator的密碼後，系統會建立"$ADMIN"的共用，但是並沒有用剛輸入的密碼來保護它，這種情況一直會持續到電腦再次啟動。在此期間，任何人都可以通過"$ADMIN"進入系統；同時，只要安裝一完成，各種服務就會自動運行，而這時的伺服器還到處是漏洞，非常容易從外部侵入。因此，在完整安裝並配置好WIN2K Server之前，一定不要把主機接入網路。

其次，注意補丁的安裝。補丁應該在所有應用程式安裝完之後再安裝，因為補丁程式往往要替換或修改某些系統檔案，如果先安裝補丁的話可能無法起到應有的效果。

第二：怎麼設

即使正確地安裝了WIN2K Server，系統也有很多漏洞，還需要進一步進行細緻的配置。

一、連接埠

連接埠是電腦和外部網路相連的邏輯介面，也是電腦的第一道屏障，連接埠配置正確與否直接影響到主機的安全。

二、IIS

IIS是微軟的組件中問題最多的一個，平均兩三個月就要出一個漏洞，而微軟的IIS預設安裝又實在不敢恭維，所以IIS的配置是我們的重點。

首先，刪除C盤下的Inetpub目錄，在D盤建一個Inetpub，在IIS管理器中將主目錄指向D:\Inetpub。

其次，把IIS安裝時預設的scripts等虛擬目錄也一概刪除，如果你需要什麼許可權的目錄可以以後再建（特別注意寫入權限和執行程式的許可權）。

然後是應用程式的配置。在IIS管理器中把無用映射都統統刪除（當然必須保留如ASP、ASA等）。在IIS管理器中"主機→屬性→WWW服務編輯→主目錄配置→應用程式對應"，然後開始一個個刪吧。接著再在應用程式調試書籤內，?quot;指令碼錯誤訊息"改為"發送文本"。點擊"確定"退出時別忘了讓虛擬網站繼承剛才設定好的屬性。

最後，為了保險起見，可以使用IIS的備份功能，將剛剛的設定全部備份下來，這樣就可以隨時恢複IIS的安全配置。還有，如果怕IIS負荷過高導致伺服器死機，也可以在效能中開啟CPU限制，如將IIS的最大CPU使用率限制在70%。