(3)管理应用程序的选择:选择一个好的远程管理软件是非常重要的事,这不仅仅是安全方面的要求,也是应用方面的需要。Windows 2000的终端服务是基于RDP(远程桌面协议)的远程控制软件,它速度快,操作方便,比较适合用来进行常规操作。但是,终端服务也有其不足之处,由于它使用的是虚拟桌面,当你使用终端服务进行安装软件或重启服务器等与真实桌面交互的操作时,往往会出现哭笑不得的现象,例如,使用终端服务重启微软的认证服务器(Compaq, IBM等)可能会直接关机。所以,为了安全起见,建议再配备一个远程控制软件作为辅助,与终端服务互补,如PcAnyWhere就是一个不错的选择。
2. 正确安装Windows 2000 Server
(1)分区和逻辑盘的分配。有一些朋友为了省事,将硬盘仅仅分为一个逻辑盘,所有的软件都装在C盘上。建议最少建立两个分区,一个系统分区,一个应用程序分区,这是因为,微软的IIS经常会有泄漏源码/溢出的漏洞,如果把系统和IIS放在同一个驱动器会导致系统文件的泄漏甚至入侵者远程获取Admin。推荐的安全配置是建立三个逻辑驱动器,第一个大于2GB,用来装系统和重要的日志文件,第二个放IIS,第三个放FTP,这样无论IIS或FTP出了安全漏洞都不会直接影响到系统目录和系统文件。
(2)安装顺序的选择:Windows 2000在安装中有几个顺序是一定要注意的:
首先,何时接入网络。Windows 2000在安装时有一个漏洞,在你输入Administrator密码后,系统就建立了ADMIN$的共享,但是并没有用你刚刚输入的密码来保护它,这种情况一直持续到你再次启动后,在此期间,任何人都可以通过ADMIN$进入你的机器;同时,只要安装一完成,各种服务就会自动运行,而这时的服务器是满身漏洞,非常容易进入的,因此,在完全安装并配置好Windows 2000之前,一定不要把主机接入网络。
其次,补丁的安装。补丁的安装应该在所有应用程序安装完之后,因为补丁程序往往要替换/修改某些系统文件,如果先安装补丁再安装应用程序有可能导致补丁不能起到应有的效果。例如,IIS的HotFix就要求每次更改IIS的配置都需要安装。
3. 端口
端口是计算机和外部网络相连的逻辑接口,也是计算机的第一道屏障,端口配置正确与否直接影响到主机的安全。一般来说,仅打开你需要使用的端口会比较安全,配置的方法:打开“本地连接属性”对话框,依次点击“Internet协议(TCP/IP)→高级→选项→TCP/IP筛选→属性”,在打开的对话框中启用TCP/IP筛选。
4. IIS
IIS是微软的组件中漏洞最多的一个,所以IIS的配置是我们的重点:
(1)将\Inetpub目录彻底删掉,然后在D盘建一个Inetpub目录,在IIS管理器中将主目录指向D:\Inetpub。
(2)将IIS安装时默认的Scripts等虚拟目录一概删除,如果你需要什么权限的目录可以自己建(特别注意写权限和执行程序的权限,没有必要千万不要给)。
(3)应用程序配置:在IIS管理器中删除必须之外的任何无用映射。
(4)为了保险起见,你可以使用IIS的备份功能,将上面的设定全部备份下来,这样就可以随时恢复IIS的安全配置。如果你怕IIS负荷过高导致服务器满负荷死机,也可以在性能中打开CPU限制,例如将IIS的最大CPU使用率限制在70%。
5. 账号安全
Windows 2000的账号安全是另一个重点,首先,默认安装允许任何用户通过空用户得到系统所有账号/共享列表,这个本来是为了方便局域网用户共享文件的,但是一个远程用户也可以得到你的用户列表并使用暴力法破解用户密码。很多朋友都知道可以通过更改注册表HKEYLOCALMACHINE\System\CurrentControlSet\Control\LSA-RestrictAnonymous=1来禁止139空连接,实际上Windows 2000的本地安全策略就有这样的选项RestrictAnonymous(匿名连接的额外限制),这个选项有三个值:
0:No
