-
我强烈建议如果语言不是障碍,请使用英文版的。你知道,微软的产品是漏洞补丁(Bug补丁)众所周知,中国版本的bug是远远超过英文版和补丁一般会至少半个月后(即通用微软宣布你的服务器的漏洞后,会在受保护的状态有半个月)。
二、组件定制
Win2K默认情况下会安装一些常用的组件。然而,默认安装非常危险。根据安全原则最低服务+最小的权限=最大的安全;只安装确实需要的服务。在这里,我们要特别注意索引Service,ldquo,FrontPage 2000服务器extensions,互联网服务manager,这些危险的服务。
三。管理应用程序的选择
这是选择一个好的远程管理软件非常重要,这不仅是安全的要求,还需要应用到WIN2K终端服务是一种基于RDP协议的远程控制软件(远程桌面协议)。它的速度快,操作方便,适用于常规操作。但是,终端服务也有它的缺点,因为它是虚拟桌面的使用,再加上微软编程的不严谨,当你使用终端服务安装软件或与真正的桌面操作重新启动服务器交互,经常让人哭笑不得的现象,如:终端服务重新启动微软认证服务器的使用(Compaq、IBM)可能会被关闭。因此,为安全起见,建议一个远程控制软件应配备一个助手,辅以终端服务,如PcAnyWhere,是一个很好的选择。
四,逻辑磁盘的划分和分配
至少有两个分区,一个系统分区,和一个应用程序分区至少是成立的。这是因为,微软的IIS(Internet信息服务器)往往有漏洞。如果系统和IIS被放置在同一驱动器上,则会导致系统文件泄漏,甚至允许入侵者获得远程管理权限。
建议建立三个逻辑驱动程序,第一个安装系统和重要日志文件,第二个将IIS和第三放到FTP上,这样无论IIS或FTP有安全漏洞,它都不会直接影响系统目录和系统文件。
五。安装顺序的选择
不要以为只要你可以安装系统,即使做的WIN2K的安装顺序是非常重要的。
首先,注意进入network.win2k时间有漏洞,安装时,即输入管理员密码后,系统将建立admin美元份额,但它并不能保护它与刚输入的密码,这种情况将持续到计算机再次启动。在这期间,任何人可以通过进入系统;admin美元;同时,只要安装完成,各种服务会自动运行,而服务器到处都是漏洞,这是很容易从外部侵入。因此,不连接的主机到网络到Win2K服务器完全安装和配置。
第二,注意补丁的安装。在安装了所有应用程序后,应该安装补丁程序,因为补丁经常要替换或修改一些系统文件。如果你先安装补丁,你可能得不到想要的结果。
即使Win2K服务器安装正确,在系统中存在多个漏洞,并进一步详细的配置是必要的。
1。港口
端口是计算机与外部网络的逻辑接口,也是计算机的第一道屏障。端口配置的正确与否直接影响主机的安全性。
二、IIS
IIS是微软组件中最有问题的组件。平均有两到三个月的漏洞,微软的IIS默认安装实际上并不是奉承。因此IIS的配置是我们关注的焦点。
首先,删除C盘inetpub目录下,在D inetpub盘,IIS管理器将指向D:inetpub目录。
下一步,在安装IIS时删除默认脚本和其他虚拟目录。如果您需要任何目录,您可以稍后创建它。
然后在应用程序的配置。无用的映象都在IIS管理器中删除(当然,它必须保持像ASP、ASA、等)。在IIS管理器主机RARR;属性RARR;WWW服务编辑RARR;主目录配置RARR;应用程序映射;然后开始删除,然后在调试书签,应用脚本错误消息改为发送文本;单击确定;;别忘了让虚拟站点继承,刚刚当你退出属性设置。
最后,为了保险起见,您可以使用IIS的备份功能来备份所有的设置,以便在任何时候都可以恢复IIS的安全配置。此外,如果IIS负载过高导致服务器死亡,您也可以在性能上打开CPU限制,例如将IIS的最大CPU使用量限制为70%。
三。帐户安全
首先,Win2k的默认安装允许任何用户通过空的用户帐户并获得所有的共享列表,为局域网用户共享资源和文件的便利,但同时,任何远程用户可以通过同样的方法得到你的用户列表,并可能使用暴力法破解用户密码以整个网络。带来的破坏。许多人只知道更改注册表local_machinesystemcurrentcontrolsetcontrollsa-restrictanonymous = 1来禁止用户连接,其实在Win2K本地安全策略(如果服务器是域中的域和服务器安全域的安全策略)有这种选择restrictanonymous(额外的限制,包括匿名连接)有三个值:
0:无,依赖于默认权限(不依赖于默认权限)
1:不允许山姆账户和共享的枚举(不允许枚举山姆账户和共享)
2:没有访问权限没有明确的匿名(没有访问不是没有明确的匿名访问权限)
0这个值是系统默认的,没有任何限制。远程用户可以知道所有的账户,集团信息、共享目录、网络传输列表(netservertransportenum)在你的机器上,等这个设置是非常危险的服务器。Ldquo;1这个值是只允许非空的用户访问山姆的帐户信息和共享信息。2该值由Win2K只有支持。应该指出的是,如果使用这个值,没有更多的资源可以共享,所以建议设置值和1,这是更好的。
四。安全日志
需要注意:Win2k的默认安装,不打开任何安全审核!它应该是本地安全策略具有;审计策略;打开相应的审核,这里需要说明的是,如果有太少的检查项目,没有记录,没有什么如果你想查看发现,但审计项目如果太多,不仅会占用系统大量的资源,你可能没有时间去读所有这一切都将失去审计的意义。推荐审核如下:
,客户管理;日志事件和,政策变迁;系统事件,账户登录事件需要和失败成功;开放;,对象的访问权限;目录服务访问;打开失败;。
另外,在账户策略相关;RARR;密码策略:设置密码复杂性的要求,使6、密码长度最小值;5 强制密码历史;左边,30天;帐户锁定策略RARR;策略;设置:账户锁定3次错误日志,锁定时间20分钟,复位锁定计数20分钟等。
默认情况下,终端服务的安全日志也不启用。它可以配置终端服务配置(远程服务配置)具有,具有先进的特权,,并配置安全审计。一般来说,它只记录登录和注销事件。
五、目录和文件权限
为了控制服务器上用户的权限,防止将来可能的入侵和溢出,我们必须设置目录和文件的访问权限的访问权限非常小心。NT分为读、写、读和执行,修改列目录的完全控制。默认情况下,大多数的文件夹是完全开放的所有用户(Everyone组)。(完全控制),您需要根据应用程序的需要重新设置权限。在权限的控制中,请记住以下原则:
1。权限是累积的,如果用户同时属于两个组,那么他拥有两组所允许的所有权限。
2。拒绝权限高于允许的权限(拒绝策略首先执行)。如果用户属于拒绝访问资源的组,则不管其他权限设置对他打开,他将无法访问此资源。
三.文件权限高于文件夹权限。
4。使用用户组进行权限控制是一个成熟的系统管理员必须具备的良好习惯。
5。只有给用户真正需要的权限,最小化权限的原则才是安全的重要保证。
6、防止ICMP攻击:ICMP的风暴攻击和碎片攻击也是NT主机的头痛攻击方法。其实,处理它的方法也很简单。Win2K自带的路由和远程访问工具,它是路由器原型。这个工具,我们可以很容易地定义输入和输出数据包过滤器。如果你设置输入ICMP代码255丢弃,这意味着所有的外来ICMP消息被丢弃。
应注意
事实上,安全性和应用程序在很多时候是相互矛盾的。因此,你需要找到一个平衡点。毕竟,服务器是由用户使用的。如果安全原则阻碍了系统的应用,那么安全原则就不是一个好的规则。
网络安全是一个系统工程,它不仅有空间的跨度,而且时间跨度。很多朋友(包括系统管理员的一部分),主机的安全配置其实是安全的,有一种误解,我们只能说,在一定的时间内许多情况下是安全的,随着网络结构脆弱性的变化和新的发现,管理员和用户操作的安全主机的状态改变随时随地,使安全系统感贯穿整个过程,实现真正的安全。