Windows 2000伺服器的安全配置指南

&HTTP://www.aliyun.com/zixun/aggregation/37954.html">nbsp;   首先介紹一下Windows 2000的由來。 Windows 2000，原名Windows NT 5. 0，是微軟公司產品研發投入最大的一個產品之一。 它結合了Windows 98和Windows NT 4.0的很多優良的功能/性能與一身，這也是我們給它改名的一個原因。 她是Windows家族的一個新的延伸，超越了Windows NT的原來含義。

微軟公司有很多軟體產品，隨著產品線的不斷擴充和發展，目前逐漸注重在推行產品家族的品牌，比如Windows, Office, BackOffice和Visual Studio系列。 針對企業使用者，微軟在這些產品家族的基礎上，集成發展Digital Nervous System（數位神經系統）的企業理念，根據不同的場景，如知識管理、業務經營和電子商務等來組織產品線，以滿足企業使用者進行數位化經營的需要。

Windows家族是微軟的核心產品線之一，包括Windows 98等9x系列、Windows CE等超小型系列，以及Windows NT/ Windows 2000這一個企業作業系統系列。 由於微軟的不斷研發開拓和 OEM夥伴的支援，Windows家族產品已經達到很高的市場佔有率。 這種PC作業系統的統一，給使用者和應用軟體發展商帶來了選擇多樣和降低成本的好處。 微軟把自己定位在生產"Enabling Technology"的公司，生產平臺性產品和開發工具，為協力廠商軟體發展商提供眾多的增值機會。

怎麼裝

一、 版本的選擇

筆者強烈建議：在語言不成為障礙的情況下，請一定使用英文版。 要知道，微軟的產品是以「漏洞加補丁（Bug & Patch）」而著稱的，中文版的Bug遠遠多於英文版，而補丁一般還會遲至少半個月（也就是說一般微軟公佈了漏洞後你的伺服器還會有半個月處於無保護狀態）。

二、 元件的定制

WIN2K在預設情況下會安裝一些常用的元件，但是正是這個預設安裝是非常危險的，根據安全原則「最少的服務+最小的許可權=最大的安全」 ，只安裝確實需要的服務即可。 這裡特別提醒注意的是：「Indexing Service」、「FrontPage 2000 Server Extensions」、「 Internet Service Manager」這幾個危險服務。

三、 管理應用程式的選擇

選擇一個好的遠端系統管理軟體是非常重要的事，這不僅僅是安全方面的要求，也是應用方面的需要。 WIN2K的Terminal Service是基於RDP（遠端桌面協定）的遠端控制軟體，它的速度快，操作方便，比較適合用來進行常規操作。 但是，Terminal Service也有其不足之處，由於它使用的是虛擬桌面，再加上微軟程式設計的不嚴謹，當你使用Terminal Service進行安裝軟體或重啟伺服器等與真實桌面交互的操作時，往往會出現哭笑不得的現象， 例如：使用Terminal Service重啟微軟的認證伺服器（Compaq, IBM等）可能會直接關機。 所以，為了安全起見，建議再配備一個遠端控制軟體作為輔助，和Terminal Service互補，如PcAnyWhere就是一個不錯的選擇。

四、 分區和邏輯盤的分配

至少建立兩個分區，一個系統磁碟分割，一個應用程式分區。 這是因為，微軟的IIS（Internet Ihformation Server）經常會有漏洞，如果把系統和IIS放在同一個磁碟機會導致系統檔的洩漏，甚至讓入侵者遠端獲取管理權。

推薦建立三個邏輯磁碟機，第一個用來裝系統和重要的日誌檔；第二個放IIS；第三個放FTP，這樣無論IIS或FTP出了安全性漏洞都不會直接影響到系統目錄和系統檔。

五、 安裝順序的選擇

不要覺得只要能裝上系統，就算完事了，其實WIN2K的安裝順序是非常重要的。

首先，要注意接入網路的時間。 WIN2K在安裝時有一個漏洞，就是在輸入Administrator的密碼後，系統會建立「$ADMIN」的共用，但是並沒有用剛輸入的密碼來保護它，這種情況一直會持續到電腦再次啟動。 在此期間，任何人都可以通過「$ADMIN」進入系統；同時，只要安裝一完成，各種服務就會自動運行，而這時的伺服器還到處是漏洞，非常容易從外部侵入。 因此，在完整安裝並配置好WIN2K Server之前，一定不要把主機接入網路。

其次，注意補丁的安裝。 補丁應該在所有應用程式安裝完之後再安裝，因為補丁程式往往要替換或修改某些系統檔，如果先安裝補丁的話可能無法起到應有的效果。