Win2000 Advance Serve安全設定

網絡安全應該是網絡管理的一個重點,如何建構安全的企業網,是每個企業網管的重要工作,Windows 2000 Advance Serve是比較流行的伺服器作業系統之一，但是要想安全的配置微軟的這個作業系統，卻不是一件容易的事。下面我就自己的工作經驗,談談Windows 2000 Advance Serve網絡的安全設定.

一、 定制自己的Windows 2000 Advance Serve

1． 版本的選擇：Win2000有各種語言的版本，對于我們來說，可以選擇英文版或簡體中文版，我強烈建議：在語言不成為障礙的情況下，請一定使用英文版。要知道，微軟的産品是以Bug & Patch而著稱的，中文版的Bug遠遠多于英文版，而更新檔一般還會遲至少半個月（也就是說一般微軟公布了漏洞後你的機子還會有半個月處于無保護狀況）。

2． 元件的安裝：Win2000在預設情況下進行典型安裝,不過這種安裝的系統是脆弱的,不夠安全的,根據安全原則，最少的服務+最小的權限=最大的安全。請根據自己伺服器的所需要求做出合理的配置。

3．根據用途對伺服器進行單獨管理:就是說如果你根據企業的各種需要作出有不同功能的伺服器,原則上是一台服務伺服器隻提供單獨的服務,如域控制器,檔案伺服器,備份伺服器,WEB伺服器,FTP伺服器等等。

二、合理安裝Windows 2000 Advance Serve

1．安裝Windows 2000 Advance Serve,建議最少CREATE兩個分區，一個系統分區，一個應用程式分區。

2．順序的選擇：Windows 2000 Advance Serve在安裝中有幾個順序是一定要注意的：

首先，Windows 2000 Advance Serve在安裝時有一個漏洞，在你輸入Administrator密碼後，系統就建立了ADMIN$的共享，但是并沒有用你剛剛輸入的密碼來保護它，這種情況一直持續到你再次啟動後，在此期間，任何人都可以通過ADMIN$進入你的機器；隻要安裝一完成，各種服務就會自動運作，而這時的伺服器是滿身漏洞，非常容易進入的，是以，在完全安裝并配置好Win2000 Server之前，一定不要把主機接入網絡。

其次，更新檔的安裝：更新檔的安裝應該在所有應用程式安裝完之後，因為更新檔程式往往要替換/修改某些系統檔案，如果先安裝更新檔再安裝應用程式有可能導緻更新檔不能起到應有的效果。

三、 安全配置Win2000 Server

即使正确的安裝了Win2000 SERVER，系統還是有很多的漏洞，還需要進一步進行細緻地配置。

1．PORT：PORT是計算機和外部網絡相連的邏輯接口，端口配置正确與否直接影響到主機的安全，一般來說，僅打開你需要使用的端口會比較安全，配置的方法是在網卡屬性-TCP/IP-進階-選項-TCP/IP篩選中啟用TCP/IP篩選。

2．IIS：IIS是微軟的元件中漏洞最多的一個，是以IIS的配置是我們的重點：

首先，DELTREE C：\INETPUB ，在c盤以外creat Inetpub在IIS管理器中将主目錄指向x:\Inetpub；

其次，那個IIS安裝時預設的什麼scripts等虛拟目錄一概删除

第三，應用程式配置：在IIS管理器中删除必須之外的任何無用映射，必須指的是ASP, ASA和其他你确實需要用到的檔案類型，例如你用到stml等（使用server side include），實際上90%的主機有了上面兩個映射就夠了,在IIS管理器中右擊主機->屬性->WWW服務 編輯->主目錄 配置->應用程式映射，删除你不需要的映射。

最後，為了保險起見，你可以使用IIS的備份功能，将剛剛的設定全部備份下來，這樣就可以随時恢複IIS的安全配置。

3．賬号安全：

Windows 2000 Advance Serve的賬号安全是另一個重點。Windows 2000 Advance Serve的本地安全政策（如果是域伺服器就是在域伺服器安全和域安全政策中）就有這樣的選項RestrictAnonymous（匿名連接配接的額外限制），這個選項有三個值：

0：None. Rely on default permissions（無，取決于預設的權限）

1：Do not allow enumeration of SAM accounts and shares（不允許枚舉SAM帳号和共享）

2：No access without explicit anonymous permissions（沒有顯式匿名權限就不允許通路）

0:系統預設的，什麼限制都沒有，遠端使用者可以知道你機器上所有的賬号、組資訊、共享目錄、網絡傳輸清單等等，對伺服器來說這樣的設定非常危險。

1:隻允許非NULL使用者存取SAM賬号資訊和共享資訊。

2:在Win2000中才支援，不過會失去所有的共享，在企業中這基本上是不可能的。

是以我建議大家選擇1，另外還有最好把administrator 改名。

4．安全日志：打開本地安全政策->稽核政策中打開相應的稽核，必須的稽核是：

賬戶管理 成功 失敗

登入事件 成功 失敗

對象通路 失敗

政策更改 成功 失敗

特權使用 失敗

系統事件 成功 失敗

目錄服務通路 失敗

賬戶登入事件 成功 失敗

與之相關的是：

在賬戶政策->密碼政策中設定：

密碼複雜性要求 啟用

密碼長度最小值 8位

強制密碼曆史 3次

最長存留期 30天

在賬戶政策->賬戶鎖定政策中設定：

賬戶鎖定 3次錯誤登入

鎖定時間 30分鐘

複位鎖定計數 30分鐘

6.目錄和檔案權限：

Windows 2000 Advance Serve的通路權限分為：讀取、寫入、讀取及執行、修改、列目錄、完全控制。在預設的情況下，大多數的檔案夾對所有使用者（Everyone這個組）是完全敞開的（Full Control），你需要根據應用的需要進行權限重設。

在進行權限控制時，請記住以下幾個原則：

1>權限是累計的：如果一個使用者同時屬于兩個組，那麼他就有了這兩個組所允許的所有權限；

2>拒絕的權限要比允許的權限高（拒絕政策會先執行）如果一個使用者屬于一個被拒絕通路某個資源的組，那麼不管其他的權限設定給他開放了多少權限，他也一定不能通路這個資源；

3>檔案權限比檔案夾權限高（這個不用解釋了吧？）

4>利用使用者組來進行權限控制是一個成熟的系統管理者必須具有的優良習慣之一；

5>僅給使用者真正需要的權限，權限的最小化原則是安全的重要保障；

6.預防DoS：

在系統資料庫HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters中更改以下值可以幫助你防禦一定強度的DoS攻擊

SynAttackProtect REG_DWORD 2

EnablePMTUDiscovery REG_DWORD 0

NoNameReleaseOnDemand REG_DWORD 1

EnableDeadGWDetect REG_DWORD 0

KeepAliveTime REG_DWORD 300,000

PerformRouterDiscovery REG_DWORD 0

EnableICMPRedirects REG_DWORD 0

ICMP攻擊：ICMP的風暴攻擊和碎片攻擊也是Windows 2000 Advance Serve比較頭疼的攻擊方法，其實應付的方法也很簡單，Win2000自帶一個Routing & Remote Access工具，這個工具初具路由器的雛形，在這個工具中，我們可以輕易的定義輸入輸出包過濾器。

實際上，安全和應用在很多時候是沖突的，是以你要對所涉及的各種折衷選擇有比較深刻的認識，畢竟伺服器是給使用者用的，安全原則不能妨礙系統應用。

網絡安全是一項系統工程，它不僅有空間的跨度，還有時間的跨度。部分系統/網絡管理者認為進行了安全配置Windows 2000 Advance Serve是足夠安全的，其實這其中有個誤區：我們隻能說一台伺服器在一定的情況下，一定的時間内是安全的，随着網絡結構的變化、新的漏洞的發現，管理者/使用者的操作，安全狀況是時刻改變的，我們要不斷的對我們的網絡進行有效的設定維護其安全和滿足我們的應用，時刻關注新的發現，對安全的原則作出相應的修改，這樣，才是系統/網絡管理者工作的正确方向。