Win2000 Advance Serve安全设置

    网络安全应该是网络管理的一个重点,如何构建安全的企业网,是每个企业网管的重要工作,Windows 2000 Advance Serve是比较流行的服务器操作系统之一，但是要想安全的配置微软的这个操作系统，却不是一件容易的事。下面我就自己的工作经验,谈谈Windows 2000 Advance Serve网络的安全设置.
　　
　　一、 定制自己的Windows 2000 Advance Serve
　　
　　1．版本的选择：Win2000有各种语言的版本，对于我们来说，可以选择英文版或简体中文版，我强烈建议：在语言不成为障碍的情况下，请一定使用英文版。要知道，微软的产品是以Bug & Patch而著称的，中文版的Bug远远多于英文版，而补丁一般还会迟至少半个月（也就是说一般微软公布了漏洞后你的机子还会有半个月处于无保护状况）。
　　
　　2． 组件的安装：Win2000在默认情况下进行典型安装,不过这种安装的系统是脆弱的,不够安全的,根据安全原则，最少的服务+最小的权限=最大的安全。请根据自己服务器的所需要求做出合理的配置。
　　
　　3．根据用途对服务器进行单独管理:就是说如果你根据企业的各种需要作出有不同功能的服务器,原则上是一台服务服务器只提供单独的服务,如域控制器,文件服务器,备份服务器,WEB服务器,FTP服务器等等。
　　
　　二、合理安装Windows 2000 Advance Serve
　　
　　1．安装Windows 2000 Advance Serve,建议最少CREATE两个分区，一个系统分区，一个应用程序分区。
　　
　　2．顺序的选择：Windows 2000 Advance Serve在安装中有几个顺序是一定要注意的：
　　
　　首先，Windows 2000 Advance Serve在安装时有一个漏洞，在你输入Administrator密码后，系统就建立了ADMIN$的共享，但是并没有用你刚刚输入的密码来保护它，这种情况一直持续到你再次启动后，在此期间，任何人都可以通过ADMIN$进入你的机器；只要安装一完成，各种服务就会自动运行，而这时的服务器是满身漏洞，非常容易进入的，因此，在完全安装并配置好Win2000 Server之前，一定不要把主机接入网络。
　　
　　其次，补丁的安装：补丁的安装应该在所有应用程序安装完之后，因为补丁程序往往要替换/修改某些系统文件，如果先安装补丁再安装应用程序有可能导致补丁不能起到应有的效果。
　　
　　三、 安全配置Win2000 Server
　　
　　即使正确的安装了Win2000 SERVER，系统还是有很多的漏洞，还需要进一步进行细致地配置。
　　
　　1．PORT：PORT是计算机和外部网络相连的逻辑接口，端口配置正确与否直接影响到主机的安全，一般来说，仅打开你需要使用的端口会比较安全，配置的方法是在网卡属性-TCP/IP-高级-选项-TCP/IP筛选中启用TCP/IP筛选。
　　
　　2．IIS：IIS是微软的组件中漏洞最多的一个，所以IIS的配置是我们的重点：
　　
　　首先，DELTREE C：\INETPUB ，在c盘以外creat Inetpub在IIS管理器中将主目录指向x:\Inetpub；
　　
　　其次，那个IIS安装时默认的什么scripts等虚拟目录一概删除
　　
　　第三，应用程序配置：在IIS管理器中删除必须之外的任何无用映射，必须指的是ASP, ASA和其他你确实需要用到的文件类型，例如你用到stml等（使用server side include），实际上90%的主机有了上面两个映射就够了,在IIS管理器中右击主机->属性->WWW服务 编辑->主目录配置->应用程序映射，删除你不需要的映射。
　　
　　最后，为了保险起见，你可以使用IIS的备份功能，将刚刚的设定全部备份下来，这样就可以随时恢复IIS的安全配置。

　　3．账号安全：
　　
　　Windows 2000 Advance Serve的账号安全是另一个重点。Windows 2000 Advance Serve的本地安全策略（如果是域服务器就是在域服务器安全和域安全策略中）就有这样的选项RestrictAnonymous（匿名连接的额外限制），这个选项有三个值：
　　
　　0：None. Rely on default permissions（无，取决于默认的权限）
　　1：Do not allow enumeration of SAM accounts and shares（不允许枚举SAM帐号和共享）
　　2：No access without explicit anonymous permissions（没有显式匿名权限就不允许访问）
　　
　　0:系统默认的，什么限制都没有，远程用户可以知道你机器上所有的账号、组信息、共享目录、网络传输列表等等，对服务器来说这样的设置非常危险。
　　
　　1:只允许非NULL用户存取SAM账号信息和共享信息。
　　2:在Win2000中才支持，不过会失去所有的共享，在企业中这基本上是不可能的。
　　
　　所以我建议大家选择1，另外还有最好把administrator 改名。
　　
　　4．安全日志：打开本地安全策略->审核策略中打开相应的审核，必须的审核是：
　　
　　　　账户管理 成功 失败
　　　　登录事件 成功 失败
　　　　对象访问 失败
　　　　策略更改 成功 失败
　　　　特权使用 失败 
  　　　系统事件 成功 失败
　　　　目录服务访问 失败
　　　　账户登录事件 成功 失败
　　　　与之相关的是：
　　　　在账户策略->密码策略中设定：
　　　　密码复杂性要求 启用
　　　　密码长度最小值 8位
　　　　强制密码历史 3次
　　　　最长存留期 30天
　　　　在账户策略->账户锁定策略中设定：
　　　　账户锁定 3次错误登录
　　　　锁定时间 30分钟
　　　　复位锁定计数 30分钟