Windows 2000 Advance Serve安全設置

網絡安全應該是網絡管理的一個重點,如何構建安全的企業網,是每個企業網管的重要工作,Windows 2000 Advance Serve是比較流行的服務器操作系統之一，但是要想安全的配置微軟的這個操作系統，卻不是一件容易的事。下面我就自己的工作經驗,談談Windows 2000 Advance Serve網絡的安全設置.

一、 定制自己的Windows 2000 Advance Serve

1． 版本的選擇：Win2000有各種語言的版本，對于我們來說，可以選擇英文版或簡體中文版，我強烈建議：在語言不成為障礙的情況下，請一定使用英文版。要知道，微軟的產品是以Bug & Patch而著稱的，中文版的Bug遠遠多于英文版，而補丁一般還會遲至少半個月（也就是說一般微軟公布了漏洞后你的機子還會有半個月處于無保護狀況）。

2． 組件的安裝：Win2000在默認情況下進行典型安裝,不過這種安裝的系統是脆弱的,不夠安全的,根據安全原則，最少的服務+最小的權限=最大的安全。請根據自己服務器的所需要求做出合理的配置。

3．根據用途對服務器進行單獨管理:就是說如果你根據企業的各種需要作出有不同功能的服務器,原則上是一臺服務服務器只提供單獨的服務,如域控制器,文件服務器,備份服務器,WEB服務器,FTP服務器等等。

二、合理安裝Windows 2000 Advance Serve

1．安裝Windows 2000 Advance Serve,建議最少CREATE兩個分區，一個系統分區，一個應用程序分區。

2．順序的選擇：Windows 2000 Advance Serve在安裝中有幾個順序是一定要注意的：

首先，Windows 2000 Advance Serve在安裝時有一個漏洞，在你輸入Administrator密碼后，系統就建立了ADMIN$的共享，但是并沒有用你剛剛輸入的密碼來保護它，這種情況一直持續到你再次啟動后，在此期間，任何人都可以通過ADMIN$進入你的機器；只要安裝一完成，各種服務就會自動運行，而這時的服務器是滿身漏洞，非常容易進入的，因此，在完全安裝并配置好Win2000 Server之前，一定不要把主機接入網絡。

其次，補丁的安裝：補丁的安裝應該在所有應用程序安裝完之后，因為補丁程序往往要替換/修改某些系統文件，如果先安裝補丁再安裝應用程序有可能導致補丁不能起到應有的效果。

三、 安全配置Win2000 Server

即使正確的安裝了Win2000 SERVER，系統還是有很多的漏洞，還需要進一步進行細致地配置。

1．PORT：PORT是計算機和外部網絡相連的邏輯接口，端口配置正確與否直接影響到主機的安全，一般來說，僅打開你需要使用的端口會比較安全，配置的方法是在網卡屬性-TCP/IP-高級-選項-TCP/IP篩選中啟用TCP/IP篩選。

2．IIS：IIS是微軟的組件中漏洞最多的一個，所以IIS的配置是我們的重點：

首先，DELTREE C：INETPUB ，在c盤以外creat Inetpub在IIS管理器中將主目錄指向x:Inetpub；

其次，那個IIS安裝時默認的什么scripts等虛擬目錄一概刪除

第三，應用程序配置：在IIS管理器中刪除必須之外的任何無用映射，必須指的是ASP, ASA和其他你確實需要用到的文件類型，例如你用到stml等（使用server side include），實際上90%的主機有了上面兩個映射就夠了,在IIS管理器中右擊主機->屬性->WWW服務 編輯->主目錄 配置->應用程序映射，刪除你不需要的映射。

最后，為了保險起見，你可以使用IIS的備份功能，將剛剛的設定全部備份下來，這樣就可以隨時恢復IIS的安全配置。

　3．賬號安全：

Windows 2000 Advance Serve的賬號安全是另一個重點。Windows 2000 Advance Serve的本地安全策略（如果是域服務器就是在域服務器安全和域安全策略中）就有這樣的選項RestrictAnonymous（匿名連接的額外限制），這個選項有三個值：

0：None. Rely on default permissions（無，取決于默認的權限）

1：Do not allow enumeration of SAM accounts and shares（不允許枚舉SAM帳號和共享）

2：No access without explicit anonymous permissions（沒有顯式匿名權限就不允許訪問）

0:系統默認的，什么限制都沒有，遠程用戶可以知道你機器上所有的賬號、組信息、共享目錄、網絡傳輸列表等等，對服務器來說這樣的設置非常危險。

1:只允許非NULL用戶存取SAM賬號信息和共享信息。

2:在Win2000中才支持，不過會失去所有的共享，在企業中這基本上是不可能的。

所以我建議大家選擇1，另外還有最好把administrator 改名。

4．安全日志：打開本地安全策略->審核策略中打開相應的審核，必須的審核是：

賬戶管理 成功 失敗

登錄事件 成功 失敗

對象訪問 失敗

策略更改 成功 失敗

特權使用 失敗

系統事件 成功 失敗

目錄服務訪問 失敗

賬戶登錄事件 成功 失敗

與之相關的是：

在賬戶策略->密碼策略中設定：

密碼復雜性要求 啟用

密碼長度最小值 8位

強制密碼歷史 3次

最長存留期 30天

在賬戶策略->賬戶鎖定策略中設定：

賬戶鎖定 3次錯誤登錄

鎖定時間 30分鐘

復位鎖定計數 30分鐘

6.目錄和文件權限：

Windows 2000 Advance Serve的訪問權限分為：讀取、寫入、讀取及執行、修改、列目錄、完全控制。在默認的情況下，大多數的文件夾對所有用戶（Everyone這個組）是完全敞開的（Full Control），你需要根據應用的需要進行權限重設。

在進行權限控制時，請記住以下幾個原則：

1>權限是累計的：如果一個用戶同時屬于兩個組，那么他就有了這兩個組所允許的所有權限；

2>拒絕的權限要比允許的權限高（拒絕策略會先執行）如果一個用戶屬于一個被拒絕訪問某個資源的組，那么不管其他的權限設置給他開放了多少權限，他也一定不能訪問這個資源；

3>文件權限比文件夾權限高（這個不用解釋了吧？）

4>利用用戶組來進行權限控制是一個成熟的系統管理員必須具有的優良習慣之一；

5>僅給用戶真正需要的權限，權限的最小化原則是安全的重要保障；

6.預防Dos：

在注冊表HKLMSYSTEMCurrentControlSetServicesTcpipParameters中更改以下值可以幫助你防御一定強度的DoS攻擊

SynAttackProtect REG_DWord 2

EnablePMTUDiscovery REG_DWORD 0

NoNameReleaseOnDemand REG_DWORD 1

EnableDeadGWDetect REG_DWORD 0

KeepAliveTime REG_DWORD 300,000

PerformRouterDiscovery REG_DWORD 0

EnableICMPRedirects REG_DWORD 0

ICMP攻擊：ICMP的風暴攻擊和碎片攻擊也是Windows 2000 Advance Serve比較頭疼的攻擊方法，其實應付的方法也很簡單，Win2000自帶一個Routing & Remote Access工具，這個工具初具路由器的雛形，在這個工具中，我們可以輕易的定義輸入輸出包過濾器。

實際上，安全和應用在很多時候是矛盾的，所以你要對所涉及的各種折衷選擇有比較深刻的認識，畢竟服務器是給用戶用的，安全原則不能妨礙系統應用。

網絡安全是一項系統工程，它不僅有空間的跨度，還有時間的跨度。部分系統/網絡管理員認為進行了安全配置Windows 2000 Advance Serve是足夠安全的，其實這其中有個誤區：我們只能說一臺服務器在一定的情況下，一定的時間內是安全的，隨著網絡結構的變化、新的漏洞的發現，管理員/用戶的操作，安全狀況是時刻改變的，我們要不斷的對我們的網絡進行有效的設置維護其安全和滿足我們的應用，時刻關注新的發現，對安全的原則作出相應的修改，這樣，才是系統/網絡管理員工作的正確方向。