網絡安全應該是網絡管理的一個重點,如何構建安全的企業網,是每個企業網管的重要工作,Windows 2000 Advance Serve是比較流行的服務器操作系統之一,但是要想安全的配置微軟的這個操作系統,卻不是一件容易的事。下面我就自己的工作經驗,談談Windows 2000 Advance Serve網絡的安全設置.
一、 定制自己的Windows 2000 Advance Serve
1. 版本的選擇:Win2000有各種語言的版本,對於我們來說,可以選擇英文版或簡體中文版,我強烈建議:在語言不成為障礙的情況下,請一定使用英文版。要知道,微軟的產品是以Bug & Patch而著稱的,中文版的Bug遠遠多於英文版,而補丁一般還會遲至少半個月(也就是說一般微軟公布了漏洞後你的機子還會有半個月處於無保護狀況)。
2. 組件的安裝:Win2000在默認情況下進行典型安裝,不過這種安裝的系統是脆弱的,不夠安全的,根據安全原則,最少的服務+最小的權限=最大的安全。請根據自己服務器的所需要求做出合理的配置。
3.根據用途對服務器進行單獨管理:就是說如果你根據企業的各種需要作出有不同功能的服務器,原則上是一台服務服務器只提供單獨的服務,如域控制器,文件服務器,備份服務器,WEB服務器,FTP服務器等等。
二、合理安裝Windows 2000 Advance Serve
1.安裝Windows 2000 Advance Serve,建議最少CREATE兩個分區,一個系統分區,一個應用程序分區。
2.順序的選擇:Windows 2000 Advance Serve在安裝中有幾個順序是一定要注意的:
首先,Windows 2000 Advance Serve在安裝時有一個漏洞,在你輸入Administrator密碼後,系統就建立了ADMIN$的共享,但是並沒有用你剛剛輸入的密碼來保護它,這種情況一直持續到你再次啟動後,在此期間,任何人都可以通過ADMIN$進入你的機器;只要安裝一完成,各種服務就會自動運行,而這時的服務器是滿身漏洞,非常容易進入的,因此,在完全安裝並配置好Win2000 Server之前,一定不要把主機接入網絡。
其次,補丁的安裝:補丁的安裝應該在所有應用程序安裝完之後,因為補丁程序往往要替換/修改某些系統文件,如果先安裝補丁再安裝應用程序有可能導致補丁不能起到應有的效果。
三、 安全配置Win2000 Server
即使正確的安裝了Win2000 SERVER,系統還是有很多的漏洞,還需要進一步進行細致地配置。
1.PORT:PORT是計算機和外部網絡相連的邏輯接口,端口配置正確與否直接影響到主機的安全,一般來說,僅打開你需要使用的端口會比較安全,配置的方法是在網卡屬性-TCP/IP-高級-選項-TCP/IP篩選中啟用TCP/IP篩選。
2.IIS:IIS是微軟的組件中漏洞最多的一個,所以IIS的配置是我們的重點:
首先,DELTREE C:INETPUB ,在c盤以外creat Inetpub在IIS管理器中將主目錄指向x:Inetpub;
其次,那個IIS安裝時默認的什麼scripts等虛擬目錄一概刪除
第三,應用程序配置:在IIS管理器中刪除必須之外的任何無用映射,必須指的是ASP, ASA和其他你確實需要用到的文件類型,例如你用到stml等(使用server side include),實際上90%的主機有了上面兩個映射就夠了,在IIS管理器中右擊主機->屬性->WWW服務 編輯->主目錄 配置->應用程序映射,刪除你不需要的映射。
最後,為了保險起見,你可以使用IIS的備份功能,將剛剛的設定全部備份下來,這樣就可以隨時恢復IIS的安全配置。