安全的安裝Ｗｉｎ２Ｋ服務器

一、 正確安裝Win 2000

1．硬盤的分區

在安裝Win 2000時，如條件許可，應至少建立兩個邏輯分區，一個用作系統分區，另一個用作應用程序分區。盡量修改“我的文檔”及“Outlook Express”等應用程序的默認文件夾位置，使其位置不在系統分區。對提供Web服務的機器，可按如下設置分區:

分區1：系統分區，安裝系統和重要日志文件。

分區2：提供給IIS使用。

分區3：提供給FTP使用。

分區4：放置其他一些資料文件。

2．組件的定制

不要按Win 2000的默認安裝組件，根據安全原則“最少的服務+最小的權限=最大的安全”，只選擇確實需要的服務安裝即可。

典型Web服務器需要的最小組件是：

公用文件、Inte.net 服務管理器、WWW服務器。

3．接入網絡時間

在安裝完成Win 2000操作系統時，不要立即把服務器接入網絡，因為這時的服務器還沒有打上各種補丁，存在各種漏洞，非常容易感染病毒和被入侵。

補丁的安裝應該在所有應用程序安裝完之后，因為補丁程序往往要替換或修改某些系統文件，如果先安裝補丁再安裝應用程序有可能導致補丁不能起到應有的效果。IIS的HotFix要求每次更改IIS的配置時都需要重新安裝。

二、賬戶安全管理

1．賬戶要盡可能少，并且要經常用一些掃描工具檢查系統賬戶、賬戶權限及密碼。刪除已經不再使用的賬戶。

2．停用Guest賬號，并給Guest 加一個復雜的密碼。

3．把系統Administrator賬號改名，盡量把它偽裝成普通用戶，名稱不要帶有Admin字樣。

4．不讓系統顯示上次登錄的用戶名，具體操作如下：

修改注冊表“HKLM\Software\Microsoft\ WindowsNT\ Current Version\Winlogon\Dont Display Last User Name”的鍵值，把REG_SZ 的鍵值改成1。

三、網絡服務安全管理

1．關閉不必要的服務

關閉不必要的服務，一些服務可能會給系統帶來安全漏洞，如Win 2000的Terminal Services（終端服務）、IIS和RAS（遠程訪問服務）等。

2．關閉不必要的端口

當服務器只提供較單一的功能時，可考慮只開放某些端口。

具體方法為：
按順序打開“網上鄰居→屬性→本地連接→屬性→internet 協議(tcp/ip)→屬性→高級→選項→tcp/ip篩選→屬性”，打開Tcp/Ip篩選，添加需要的Tcp、Udp協議即可。

3．禁止建立空連接

默認情況下，任何用戶可通過空連接連上服務器，枚舉賬號并猜測密碼?？梢酝ㄟ^以下兩種方法禁止建立空連接。

（1）修改注冊表

Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成1。

（2）修改Win 2000的本地安全策略

設置“本地安全策略→本地策略→選項”中的RestrictAnonymous（匿名連接的額外限制）為“不容許枚舉SAM賬號和共享”。

四、網絡服務安全配置

1．終端服務

（1）修改默認端口

終端服務的默認端口為3389，可考慮修改為別的端口。修改方法為：

服務器端：

打開注冊表，在“HKLM\SYSTEM\Current ControlSet\Control\Terminal Server\Win Stations”處找到類似RDP-TCP的子鍵，修改PortNumber值。

客戶端：

按正常步驟建一個客戶端連接，選中這個連接，在“文件”菜單中選擇導出，在指定位置會生成一個后綴為.cns的文件。打開該文件，修改“Server Port”值為與服務器端的PortNumber對應的值。然后再導入該文件（方法：菜單→文件→導入），這樣客戶端就修改了端口。

（2）安全審核

在“管理工具→遠程控制服務配置→連接”處，右鍵點擊“RPD-TCP”連接，選擇“屬性”，在其窗口選中“權限”，點擊右下角的“高級”，選擇“審核”，增加一個“everyone”組，審核它的“連接”、“斷開”、“注銷”和“登錄”的成功和失敗。在“管理工具→日記查看→安全日記”可看到該審核記錄。

2．Internet 服務管理器(IIS)安全配置

對IIS服務安全配置如下：

（1） 更改Web服務主目錄。右鍵單擊“默認Web站點→屬性→主目錄→本地路徑”，將“本地路徑”指向其他目錄。

（2） 刪除原默認安裝的Inetpub目錄。

（3） 刪除以下虛擬目錄: _vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。

（4） 刪除不必要的IIS擴展名映射。方法是：右鍵單擊“默認Web站點→屬性→主目錄→配置”，打開應用程序窗口，去掉不必要的應用程序映射。如不用到其他映射，只保留.asp、.asa即可。

（5） 備份IIS配置?？墒褂肐IS的備份功能，將設定好的IIS配置全部備份下來，這樣就可以隨時恢復IIS的安全配置。

五、數據文件安全管理

1．備份

要經常把重要數據備份到專用的備份服務器，備份完畢后，可將備份服務器與網絡隔離。

2．設置文件共享權限

設置共享文件時，要注意把共享文件的權限從“everyone”組改成“授權用戶”，包括打印共享。

3．關閉默認共享

Win 2000安裝好以后，系統會創建一些隱藏的共享，在cmd下可用net share命令查看它們。要禁止這些共享。操作方法是：打開“管理工具→計算機管理→共享文件夾→共享”，在相應的共享文件夾上按右鍵，點“停止共享”即可。不當過機器重新啟動后，這些共享又會重新開啟。

4．防止文件名欺騙

設置以下選項可防止文件名欺騙，如防止以.txt或.exe為后綴的惡意文件被顯示為.txt文件，從而使人大意打開該文件: 雙擊“我的電腦→工具→文件夾選項→查看”，選擇“顯示所有文件和文件夾”屬性設置，去掉“隱藏已知文件類型擴展名

特別注意
對于使用win 2000 的用戶 最好是在安裝服務器之前 不要連接網線 安裝好win2000 后 打好補丁 安裝好病毒防火墻 之后 連接網線 以避免 nimda 等病毒的騷擾
,

原文轉自：http://www.kjueaiud.com