細說Win2000 Server安全（1）

目前，WIN2000 SERVER是比較流行的服務器操作系統之一，但是要想安全的配置微軟的這個操作系統，卻不是一件容易的事。本文試圖對win2000 SERVER的安全配置進行初步的探討。
一、 定制自己的WIN2000 SERVER；
1． 版本的選擇：WIN2000有各種語言的版本，對于我們來說，可以選擇英文版或簡體中文版，我強烈建議：在語言不成為障礙的情況下，請一定使用英文版。要知道，微軟的產品是以Bug & Patch而著稱的，中文版的Bug遠遠多于英文版，而補丁一般還會遲至少半個月（也就是說一般微軟公布了漏洞后你的機子還會有半個月處于無保護狀況）
2． 組件的定制：win2000在默認情況下會安裝一些常用的組件，但是正是這個默認安裝是極度危險的（米特尼科說過，他可以進入任何一臺默認安裝的服務器，我雖然不敢這么說，不過如果你的主機是WIN2000 SERVER的默認安裝，我可以告訴你，你死定了）你應該確切的知道你需要哪些服務，而且僅僅安裝你確實需要的服務，根據安全原則，最少的服務+最小的權限=最大的安全。典型的WEB服務器需要的最小組件選擇是：只安裝IIS的Com Files，IIS Snap-In，WWW Server組件。如果你確實需要安裝其他組件，請慎重，特別是：Indexing Service, FrontPage 2000 Server Extensions, Internet Service Manager (HTML)這幾個危險服務。
3． 管理應用程序的選擇
選擇一個好的遠程管理軟件是非常重要的事，這不僅僅是安全方面的要求，也是應用方面的需要。Win2000的Terminal Service是基于RDP（遠程桌面協議）的遠程控制軟件，他的速度快，操作方便，比較適合用來進行常規操作。但是，Terminal Service也有其不足之處，由于它使用的是虛擬桌面，再加上微軟編程的不嚴謹，當你使用Terminal Service進行安裝軟件或重起服務器等與真實桌面交互的操作時，往往會出現哭笑不得的現象，例如：使用Terminal Service重起微軟的認證服務器（Compaq, IBM等）可能會直接關機。所以，為了安全起見，我建議你再配備一個遠程控制軟件作為輔助，和Terminal Service互補，象PcAnyWhere就是一個不錯的選擇。
二、 正確安裝WIN2000 SERVER
1．分區和邏輯盤的分配，有一些朋友為了省事，將硬盤僅僅分為一個邏輯盤，所有的軟件都裝在C驅上，這是很不好的，建議最少建立兩個分區，一個系統分區，一個應用程序分區，這是因為，微軟的IIS經常會有泄漏源碼/溢出的漏洞，如果把系統和IIS放在同一個驅動器會導致系統文件的泄漏甚至入侵者遠程獲取ADMIN。推薦的安全配置是建立三個邏輯驅動器，第一個大于2G，用來裝系統和重要的日志文件，第二個放IIS，第三個放FTP，這樣無論IIS或FTP出了安全漏洞都不會直接影響到系統目錄和系統文件。要知道，IIS和FTP是對外服務的，比較容易出問題。而把IIS和FTP分開主要是為了防止入侵者上傳程序并從IIS中運行。（這個可能會導致程序開發人員和編輯的苦惱，管他呢，反正你是管理員J）
2．安裝順序的選擇：不要覺得：順序有什么重要？只要安裝好了，怎么裝都可以的。錯！Win2000在安裝中有幾個順序是一定要注意的：
首先，何時接入網絡：Win2000在安裝時有一個漏洞，在你輸入Administrator密碼后，系統就建立了ADMIN$的共享，但是并沒有用你剛剛輸入的密碼來保護它，這種情況一直持續到你再次啟動后，在此期間，任何人都可以通過ADMIN$進入你的機器；同時，只要安裝一完成，各種服務就會自動運行，而這時的服務器是滿身漏洞，非常容易進入的，因此，在完全安裝并配置好win2000 SERVER之前，一定不要把主機接入網絡。
其次，補丁的安裝：補丁的安裝應該在所有應用程序安裝完之后，因為補丁程序往往要替換/修改某些系統文件，如果先安裝補丁再安裝應用程序有可能導致補丁不能起到應有的效果，例如：IIS的HotFix就要求每次更改IIS的配置都需要安裝
下面我們將仔細探討如何配置windows 2000.

原文轉自：http://www.kjueaiud.com