安全安裝Win2KServer

一、 正確安裝Win 2000 

1．硬盤的分區 

在安裝Win 2000時，如條件許可，應至少建立兩個邏輯分區，一個用作系統分區，另一個用作應用程序分區。盡量修改“我的文檔”及“Outlook Express”等應用程序的默認文件夾位置，使其位置不在系統分區。對提供Web服務的機器，可按如下設置分區: 

分區1：系統分區，安裝系統和重要日志文件。 

分區2：提供給IIS使用。 

分區3：提供給FTP使用。 

分區4：放置其他一些資料文件。 

2．組件的定制 

不要按Win 2000的默認安裝組件，根據安全原則“最少的服務+最小的權限=最大的安全”，只選擇確實需要的服務安裝即可。 

典型Web服務器需要的最小組件是： 

公用文件、Inte.net 服務管理器、WWW服務器。 

3．接入網絡時間 

在安裝完成Win 2000操作系統時，不要立即把服務器接入網絡，因為這時的服務器還沒有打上各種補丁，存在各種漏洞，非常容易感染病毒和被入侵。 

補丁的安裝應該在所有應用程序安裝完之后，因為補丁程序往往要替換或修改某些系統文件，如果先安裝補丁再安裝應用程序有可能導致補丁不能起到應有的效果。IIS的HotFix要求每次更改IIS的配置時都需要重新安裝。 

二、賬戶安全管理 

1．賬戶要盡可能少，并且要經常用一些掃描工具檢查系統賬戶、賬戶權限及密碼。刪除已經不再使用的賬戶。 

2．停用Guest賬號，并給Guest 加一個復雜的密碼。 

3．把系統Administrator賬號改名，盡量把它偽裝成普通用戶，名稱不要帶有Admin字樣。 

4．不讓系統顯示上次登錄的用戶名，具體操作如下： 

修改注冊表“HKLM\Software\Microsoft\ WindowsNT\ Current Version\Winlogon\Dont Display Last User Name”的鍵值，把REG_SZ 的鍵值改成1。 

三、網絡服務安全管理 

1．關閉不必要的服務 

關閉不必要的服務，一些服務可能會給系統帶來安全漏洞，如Win 2000的Terminal Services（終端服務）、IIS和RAS（遠程訪問服務）等。 

2．關閉不必要的端口 

當服務器只提供較單一的功能時，可考慮只開放某些端口。 

具體方法為： 
按順序打開“網上鄰居→屬性→本地連接→屬性→internet 協議(tcp/ip)→屬性→高級→選項→tcp/ip篩選→屬性”，打開Tcp/Ip篩選，添加需要的Tcp、Udp協議即可。 

3．禁止建立空連接 

默認情況下，任何用戶可通過空連接連上服務器，枚舉賬號并猜測密碼?？梢酝ㄟ^以下兩種方法禁止建立空連接。 

（1）修改注冊表 

Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成1。 

（2）修改Win 2000的本地安全策略 

設置“本地安全策略→本地策略→選項”中的RestrictAnonymous（匿名連接的額外限制）為“不容許枚舉SAM賬號和共享”。 

四、網絡服務安全配置 

1．終端服務 

（1）修改默認端口 

終端服務的默認端口為3389，可考慮修改為別的端口。修改方法為： 

服務器端： 

打開注冊表，在“HKLM\SYSTEM\Current ControlSet\Control\Terminal Server\Win Stations”處找到類似RDP-TCP的子鍵，修改PortNumber值。 

客戶端： 

按正常步驟建一個客戶端連接，選中這個連接，在“文件”菜單中選擇導出，在指定位置會生成一個后綴為.cns的文件。打開該文件，修改“Server Port”值為與服務器端的PortNumber對應的值。然后再導入該文件（方法：菜單→文件→導入），這樣客戶端就修改了端口。 

（2）安全審核 

在“管理工具→遠程控制服務配置→連接”處，右鍵點擊“RPD-TCP”連接，選擇“屬性”，在其窗口選中“權限”，點擊右下角的“高級”，選擇“審核”，增加一個“everyone”組，審核它的“連接”、“斷開”、“注銷”和“登錄”的成功和失敗。在“管理工具→日記查看→安全日記”可看到該審核記錄。 

2．Internet 服務管理器(IIS)安全配置 

對IIS服務安全配置如下： 

（1） 更改Web服務主目錄。右鍵單擊“默認Web站點→屬性→主目錄→本地路徑”，將“本地路徑”指向其他目錄。 

（2） 刪除原默認安裝的Inetpub目錄。 

（3） 刪除以下虛擬目錄: _vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。 

（4） 刪除不必要的IIS擴展名映射。方法是：右鍵單擊“默認Web站點→屬性→主目錄→配置”，打開應用程序窗口，去掉不必要的應用程序映射。如不用到其他映射，只保留.asp、.asa即可。 

（5） 備份IIS配置?？墒褂肐IS的備份功能，將設定好的IIS配置全部備份下來，這樣就可以隨時恢復IIS的安全配置。 

五、數據文件安全管理 

1．備份 

要經常把重要數據備份到專用的備份服務器，備份完畢后，可將備份服務器與網絡隔離。 

2．設置文件共享權限 

設置共享文件時，要注意把共享文件的權限從“everyone”組改成“授權用戶”，包括打印共享。 

3．關閉默認共享 

Win 2000安裝好以后，系統會創建一些隱藏的共享，在cmd下可用net share命令查看它們。要禁止這些共享。操作方法是：打開“管理工具→計算機管理→共享文件夾→共享”，在相應的共享文件夾上按右鍵，點“停止共享”即可。不當過機器重新啟動后，這些共享又會重新開啟。 

4．防止文件名欺騙 

設置以下選項可防止文件名欺騙，如防止以.txt或.exe為后綴的惡意文件被顯示為.txt文件，從而使人大意打開該文件: 雙擊“我的電腦→工具→文件夾選項→查看”，選擇“顯示所有文件和文件夾”屬性設置，去掉“隱藏已知文件類型擴展名"

修改Win2000注冊表加強安全

1)設置生存時間
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
DefaultTTL REG_DWORD 0-0xff(0-255 十進制,默認值128)
說明:指定傳出IP數據包中設置的默認生存時間(TTL)值.TTL決定了IP數據包在到達
目標前在網絡中生存的最大時間.它實際上限定了IP數據包在丟棄前允許通過的路由
器數量.有時利用此數值來探測遠程主機操作系統.
2)防止ICMP重定向報文的攻擊
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
EnableICMPRedirects REG_DWORD 0x0(默認值為0x1)
說明:該參數控制Windows 2000是否會改變其路由表以響應網絡設備(如路由器)發送給它
的ICMP重定向消息,有時會被利用來干壞事.Win2000中默認值為1,表示響應ICMP重定向報
文.
3)禁止響應ICMP路由通告報文
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Inter
faces\interface
PerformRouterDiscovery REG_DWORD 0x0(默認值為0x2)
說明:“ICMP路由公告”功能可造成他人計算機的網絡連接異常,數據被竊聽,計算機被
用于流量攻擊等嚴重后果.此問題曾導致校園網某些局域網大面積,長時間的網絡異常.
因此建議關閉響應ICMP路由通告報文.Win2000中默認值為2,表示當DHCP發送路由器發
現選項時啟用.
4)防止SYN洪水攻擊
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
SynAttackProtect REG_DWORD 0x2(默認值為0x0)
說明:SYN攻擊保護包括減少SYN-ACK重新傳輸次數,以減少分配資源所保留的時
間.路由緩存項資源分配延遲,直到建立連接為止.如果synattackprotect=2,
則AFD的連接指示一直延遲到三路握手完成為止.注意,僅在TcpMaxHalfOpen和
TcpMaxHalfOpenRetried設置超出范圍時,保護機制才會采取措施.
5) 禁止C$、D$一類的缺省共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
AutoShareServer、REG_DWORD、0x0
6) 禁止ADMIN$缺省共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
AutoShareWks、REG_DWORD、0x0
7) 限制IPC$缺省共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
restrictanonymous REG_DWORD 0x0 缺省
                            0x1 匿名用戶無法列舉本機用戶列表
                            0x2 匿名用戶無法連接本機IPC$共享
說明:不建議使用2，否則可能會造成你的一些服務無法啟動，如SQL Server
8)不支持IGMP協議
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
IGMPLevel REG_DWORD 0x0(默認值為0x2)
說明:記得Win9x下有個bug,就是用可以用IGMP使別人藍屏,修改注冊表可以修正這個
bug.Win2000雖然沒這個bug了,但IGMP并不是必要的,因此照樣可以去掉.改成0后用
route print將看不到那個討厭的224.0.0.0項了.
9)設置arp緩存老化時間設置
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters
ArpCacheLife  REG_DWORD 0-0xFFFFFFFF(秒數,默認值為120秒)
ArpCacheMinReferencedLife  REG_DWORD 0-0xFFFFFFFF(秒數,默認值為600)
說明:如果ArpCacheLife大于或等于ArpCacheMinReferencedLife,則引用或未引用的ARP
緩存項在ArpCacheLife秒后到期.如果ArpCacheLife小于ArpCacheMinReferencedLife,
未引用項在ArpCacheLife秒后到期,而引用項在ArpCacheMinReferencedLife秒后到期.
每次將出站數據包發送到項的IP地址時,就會引用ARP緩存中的項。
10)禁止死網關監測技術
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters
EnableDeadGWDetect REG_DWORD 0x0(默認值為ox1)
說明:如果你設置了多個網關,那么你的機器在處理多個連接有困難時,就會自動改用備份
網關.有時候這并不是一項好主意,建議禁止死網關監測.
11)不支持路由功能
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters
IPEnableRouter REG_DWORD 0x0(默認值為0x0)
說明:把值設置為0x1可以使Win2000具備路由功能,由此帶來不必要的問題.
12)做NAT時放大轉換的對外端口最大值
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters
MaxUserPort REG_DWORD 5000-65534(十進制)(默認值0x1388--十進制為5000)
說明:當應用程序從系統請求可用的用戶端口數時,該參數控制所使用的最大端口數.正常
情況下,短期端口的分配數量為1024-5000.將該參數設置到有效范圍以外時,就會使用最
接近的有效數值(5000或65534).使用NAT時建議把值放大點.
13)修改MAC地址
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\
找到右窗口的說明為"網卡"的目錄,
比如說是{4D36E972-E325-11CE-BFC1-08002BE10318}
展開之,在其下的0000,0001,0002...的分支中找到"DriverDesc"的鍵值為你網卡的說明,
比如說"DriverDesc"的值為"Intel(R) 82559 Fast Ethernet LAN on Motherboard"
然后在右窗口新建一字符串值,名字為"Networkaddress",內容為你想要的MAC值，比如說
是"004040404040"
然后重起計算機，ipconfig /all看看.

特別注意
對于使用win 2000 的用戶 最好是在安裝服務器之前 不要連接網線 安裝好win2000 后 打好補丁 安裝好病毒防火墻 之后 連接網線 以避免 nimda 等病毒的騷擾.

原文轉自：http://www.kjueaiud.com