第一：怎么裝

一、 版本的選擇

筆者強(qiáng)烈建議：在語(yǔ)言不成為障礙的情況下，請(qǐng)一定使用英文版。要知道，微軟的產(chǎn)品是以'漏洞加補(bǔ)丁（Bug & Patch）'而著稱(chēng)的，中文版的Bug遠(yuǎn)遠(yuǎn)多于英文版，而補(bǔ)丁一般還會(huì)遲至少半個(gè)月（也就是說(shuō)一般微軟公布了漏洞后你的服務(wù)器還會(huì)有半個(gè)月處于無(wú)保護(hù)狀態(tài)）。

二、 組件的定制

WIN2K在默認(rèn)情況下會(huì)安裝一些常用的組件，但是正是這個(gè)默認(rèn)安裝是非常危險(xiǎn)的，根據(jù)安全原則'最少的服務(wù)+最小的權(quán)限=最大的安全' ，只安裝確實(shí)需要的服務(wù)即可。這里特別提醒注意的是：'Indexing Service'、'FrontPage 2000 Server Extensions'、' Internet Service Manager'這幾個(gè)危險(xiǎn)服務(wù)。

三、 管理應(yīng)用程序的選擇

選擇一個(gè)好的遠(yuǎn)程管理軟件是非常重要的事，這不僅僅是安全方面的要求，也是應(yīng)用方面的需要。WIN2K的Terminal Service是基于RDP（遠(yuǎn)程桌面協(xié)議）的遠(yuǎn)程控制軟件，它的速度快，操作方便，比較適合用來(lái)進(jìn)行常規(guī)操作。但是，Terminal Service也有其不足之處，由于它使用的是虛擬桌面，再加上微軟編程的不嚴(yán)謹(jǐn)，當(dāng)你使用Terminal Service進(jìn)行安裝軟件或重啟服務(wù)器等與真實(shí)桌面交互的操作時(shí)，往往會(huì)出現(xiàn)哭笑不得的現(xiàn)象，例如：使用Terminal Service重啟微軟的認(rèn)證服務(wù)器（Compaq, IBM等）可能會(huì)直接關(guān)機(jī)。所以，為了安全起見(jiàn)，建議再配備一個(gè)遠(yuǎn)程控制軟件作為輔助，和Terminal Service互補(bǔ)，如PcAnyWhere就是一個(gè)不錯(cuò)的選擇。

四、 分區(qū)和邏輯盤(pán)的分配

至少建立兩個(gè)分區(qū)，一個(gè)系統(tǒng)分區(qū)，一個(gè)應(yīng)用程序分區(qū)。這是因?yàn)椋④浀腎IS（Internet Ihformation Server）經(jīng)常會(huì)有漏洞，如果把系統(tǒng)和IIS放在同一個(gè)驅(qū)動(dòng)器會(huì)導(dǎo)致系統(tǒng)文件的泄漏，甚至讓入侵者遠(yuǎn)程獲取管理權(quán)。

推薦建立三個(gè)邏輯驅(qū)動(dòng)器，第一個(gè)用來(lái)裝系統(tǒng)和重要的日志文件；第二個(gè)放IIS；第三個(gè)放FTP，這樣無(wú)論IIS或FTP出了安全漏洞都不會(huì)直接影響到系統(tǒng)目錄和系統(tǒng)文件。

五、 安裝順序的選擇

不要覺(jué)得只要能裝上系統(tǒng)，就算完事了，其實(shí)WIN2K的安裝順序是非常重要的。

首先，要注意接入網(wǎng)絡(luò)的時(shí)間。WIN2K在安裝時(shí)有一個(gè)漏洞，就是在輸入Administrator的密碼后，系統(tǒng)會(huì)建立'$ADMIN'的共享，但是并沒(méi)有用剛輸入的密碼來(lái)保護(hù)它，這種情況一直會(huì)持續(xù)到計(jì)算機(jī)再次啟動(dòng)。在此期間，任何人都可以通過(guò)'$ADMIN'進(jìn)入系統(tǒng)；同時(shí)，只要安裝一完成，各種服務(wù)就會(huì)自動(dòng)運(yùn)行，而這時(shí)的服務(wù)器還到處是漏洞，非常容易從外部侵入。因此，在完全安裝并配置好WIN2K Server之前，一定不要把主機(jī)接入網(wǎng)絡(luò)。

其次，注意補(bǔ)丁的安裝。補(bǔ)丁應(yīng)該在所有應(yīng)用程序安裝完之后再安裝，因?yàn)檠a(bǔ)丁程序往往要替換或修改某些系統(tǒng)文件，如果先安裝補(bǔ)丁的話(huà)可能無(wú)法起到應(yīng)有的效果。

第二：怎么設(shè)

即使正確地安裝了WIN2K Server，系統(tǒng)也有很多漏洞，還需要進(jìn)一步進(jìn)行細(xì)致的配置。

一、 端口

端口是計(jì)算機(jī)和外部網(wǎng)絡(luò)相連的邏輯接口，也是計(jì)算機(jī)的第一道屏障，端口配置正確與否直接影響到主機(jī)的安全。

二、 IIS

IIS是微軟的組件中問(wèn)題最多的一個(gè)，平均兩三個(gè)月就要出一個(gè)漏洞，而微軟的IIS默認(rèn)安裝又實(shí)在不敢恭維，所以IIS的配置是我們的重點(diǎn)。

首先，刪除C盤(pán)下的Inetpub目錄，在D盤(pán)建一個(gè)Inetpub，在IIS管理器中將主目錄指向D:Inetpub。 其次，把IIS安裝時(shí)默認(rèn)的scripts等虛擬目錄也一概刪除，如果你需要什么權(quán)限的目錄可以以后再建（特別注意寫(xiě)權(quán)限和執(zhí)行程序的權(quán)限）。

然后是應(yīng)用程序的配置。在IIS管理器中把無(wú)用映射都統(tǒng)統(tǒng)刪除（當(dāng)然必須保留如ASP、ASA等）。在IIS管理器中'主機(jī)→屬性→WWW服務(wù)編輯→主目錄配置→應(yīng)用程序映射'，然后開(kāi)始一個(gè)個(gè)刪吧。接著再在應(yīng)用程序調(diào)試書(shū)簽內(nèi)，?quot;腳本錯(cuò)誤消息'改為'發(fā)送文本'。點(diǎn)擊'確定'退出時(shí)別忘了讓虛擬站點(diǎn)繼承剛才設(shè)定好的屬性。 最后，為了保險(xiǎn)起見(jiàn)，可以使用IIS的備份功能，將剛剛的設(shè)定全部備份下來(lái)，這樣就可以隨時(shí)恢復(fù)IIS的安全配置。還有，如果怕IIS負(fù)荷過(guò)高導(dǎo)致服務(wù)器死機(jī)，也可以在性能中打開(kāi)CPU限制，如將IIS的最大CPU使用率限制在70%。

三、 賬號(hào)安全

首先，WIN2K的默認(rèn)安裝允許任何用戶(hù)通過(guò)空用戶(hù)得到系統(tǒng)所有賬號(hào)和共享列表，這本來(lái)是為了方便局域網(wǎng)用戶(hù)共享資源和文件的，但是，同時(shí)任何一個(gè)遠(yuǎn)程用戶(hù)也可以通過(guò)同樣的方法得到你的用戶(hù)列表，并可能使用暴力法破解用戶(hù)密碼給整個(gè)網(wǎng)絡(luò)帶來(lái)破壞。很多人都只知道更改注冊(cè)表Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous = 1來(lái)禁止空用戶(hù)連接，實(shí)際上WIN2K的本地安全策略里（如果是域服務(wù)器就是在域服務(wù)器安全和域安全策略里）就有這樣的選項(xiàng)RestrictAnonymous（匿名連接的額外限制），其中有三個(gè)值：

'0'：None， Rely on default permissions（無(wú)，取決于默認(rèn)的權(quán)限）

'1'：Do not allow enumeration of SAM accounts and shares（不允許枚舉SAM賬號(hào)和共享）

'2'：No access without explicit anonymous permissions（沒(méi)有顯式匿名權(quán)限就不允許訪(fǎng)問(wèn)）

'0'這個(gè)值是系統(tǒng)默認(rèn)的，沒(méi)有任何限制，遠(yuǎn)程用戶(hù)可以知道你機(jī)器上所有的賬號(hào)、組信息、共享目錄、網(wǎng)絡(luò)傳輸列表(NetServerTransportEnum)等，對(duì)服務(wù)器來(lái)說(shuō)這樣的設(shè)置非常危險(xiǎn)。'1'這個(gè)值是只允許非NULL用戶(hù)存取SAM賬號(hào)信息和共享信息。'2'這個(gè)值只有WIN2K才支持，需要注意的是，如果使用了這個(gè)值，就不能再共享資源了，所以還是推薦把數(shù)值設(shè)為'1'比較好。

四、 安全日志

這里需要注意：WIN2K的默認(rèn)安裝是不開(kāi)任何安全審核的！那么就應(yīng)該到'本地安全策略→審核策略'中打開(kāi)相應(yīng)的審核，這里需要說(shuō)明的是，審核項(xiàng)目如果太少的話(huà)，你萬(wàn)一想查看的時(shí)候發(fā)現(xiàn)沒(méi)有記錄那就一點(diǎn)辦法都沒(méi)有，但是審核項(xiàng)目如果太多，不僅會(huì)占用大量的系統(tǒng)資源，而且你也可能根本沒(méi)空去全部看完，這樣就失去了審核的意義。推薦的審核如下：

'賬戶(hù)管理'、'登錄事件'、'策略更改'、'系統(tǒng)事件'、'賬戶(hù)登錄事件'需要把'成功'和'失敗'都打開(kāi)；'對(duì)象訪(fǎng)問(wèn)'、'特權(quán)使用'、'目錄服務(wù)訪(fǎng)問(wèn)'就只打開(kāi)'失敗'。

與之相關(guān)的還有，在'賬戶(hù)策略→密碼策略'中設(shè)定：'密碼復(fù)雜性要求啟用'，'密碼長(zhǎng)度最小值6位'，'強(qiáng)制密碼歷史5次'，'最長(zhǎng)存留期 30天'；在'賬戶(hù)策略→賬戶(hù)鎖定策略'中設(shè)定：'賬戶(hù)鎖定3次錯(cuò)誤登錄'，'鎖定時(shí)間20分鐘'，'復(fù)位鎖定計(jì)數(shù)20分鐘'等。

Terminal Service的安全日志默認(rèn)也是不啟用的，可以在'Terminal Service Configration（遠(yuǎn)程服務(wù)配置）→權(quán)限→高級(jí)'中配置安全審核，一般來(lái)說(shuō)只要記錄登錄、注銷(xiāo)事件就可以了。

五、 目錄和文件權(quán)限

為了控制好服務(wù)器上用戶(hù)的權(quán)限，同時(shí)也為了預(yù)防以后可能的入侵和溢出，還必須非常小心地設(shè)置目錄和文件的訪(fǎng)問(wèn)權(quán)限。NT的訪(fǎng)問(wèn)權(quán)限分為：讀取、寫(xiě)入、讀取及執(zhí)行、修改、列目錄、完全控制。在默認(rèn)的情況下，大多數(shù)的文件夾對(duì)所有用戶(hù)（Everyone這個(gè)組）是完全敞開(kāi)的（Full Control），你需要根據(jù)應(yīng)用的需要進(jìn)行權(quán)限重設(shè)。在進(jìn)行權(quán)限控制時(shí)，請(qǐng)記住以下幾個(gè)原則：

1. 權(quán)限是累計(jì)的，如果一個(gè)用戶(hù)同時(shí)屬于兩個(gè)組，那么他就有了這兩個(gè)組所允許的所有權(quán)限。

2. 拒絕的權(quán)限要比允許的權(quán)限高（拒絕策略會(huì)先執(zhí)行）。如果一個(gè)用戶(hù)屬于一個(gè)被拒絕訪(fǎng)問(wèn)某個(gè)資源的組，那么不管其他的權(quán)限設(shè)置給他開(kāi)放了多少權(quán)限，他也一定不能訪(fǎng)問(wèn)這個(gè)資源。

3. 文件權(quán)限比文件夾權(quán)限高。

4. 利用用戶(hù)組來(lái)進(jìn)行權(quán)限控制是一個(gè)成熟的系統(tǒng)管理員必須具有的優(yōu)良習(xí)慣。

5. 只給用戶(hù)真正需要的權(quán)限，權(quán)限的最小化原則是安全的重要保障。

6. 預(yù)防ICMP攻擊：ICMP的風(fēng)暴攻擊和碎片攻擊也是NT主機(jī)比較頭疼的攻擊方法，其實(shí)應(yīng)付的方法也很簡(jiǎn)單，WIN2K自帶一個(gè)Routing & Remote Access工具，這個(gè)工具初具路由器的雛形。在這個(gè)工具中，我們可以輕易地定義輸入輸出包過(guò)濾器。如設(shè)定輸入ICMP代碼255丟棄就表示丟棄所有的外來(lái)ICMP報(bào)文。

第三：要注意

實(shí)際上，安全和應(yīng)用在很多時(shí)候是矛盾的，因此，你需要在其中找到平衡點(diǎn)，畢竟服務(wù)器是給用戶(hù)用的，如果安全原則妨礙了系統(tǒng)應(yīng)用，那么這個(gè)安全原則也不是一個(gè)好的原則。

網(wǎng)絡(luò)安全是一項(xiàng)系統(tǒng)工程，它不僅有空間的跨度，還有時(shí)間的跨度。很多朋友（包括部分系統(tǒng)管理員）認(rèn)為進(jìn)行了安全配置的主機(jī)就是安全的，其實(shí)這里有個(gè)誤區(qū)，我們只能說(shuō)一臺(tái)主機(jī)在一定的情況下一定的時(shí)間內(nèi)是安全的，隨著網(wǎng)絡(luò)結(jié)構(gòu)的變化、新的漏洞的發(fā)現(xiàn)、管理員和用戶(hù)的操作，主機(jī)的安全狀況是隨時(shí)隨地變化著的，只有讓安全意識(shí)和安全制度貫穿整個(gè)過(guò)程才能做到真正的安全。