20CN网络安全小组论坛 - 菜鸟乐园 - 2000Server的完全手册（简）

论坛: 菜鸟乐园标题: 2000Server的完全手册（简）

作者: danghuamin [danghuamin]

论坛用户

前几天，看了一篇文章讲配置win2000server的，很不错，精简了一下，贴出与大家分享。
2000Server选择、安装、配置完全手册：
(1)定制Win2000Server
1．版本选择：选择英文版，因为英文版的Bug and patch少。一般在微软公布了漏洞半月后才公布相应的补丁（后半句是原作者说的，我想微软不会这么笨吧。先把漏洞公布，然后再慢慢来研究对策，而不顾客户的服务器的安全）。
2．组件选择：原则“最少服务＋最小权限＝最大安全”典型的WEB服务器需要的最小组件选择是：只安装IIS的Com Files, IIS Snap-In, WWW Server组件。特别注意：Indexing Services, FrontPage 2000 server Extensions, Internet Service Manager (Html)这几个危险服务。
3．管理应用程序的选择：2000Server的terminal service基于RDP(远程桌面协议)远程控制软件，速度快，容易操作，不足：虚拟桌面，不够严谨，与交互相关时有错误发生。例子：用它重起认证服务器时可能直接关机。给其配置一个辅助软件PcAnyWhere。
(2)安装配置Win2000Server服务器
1．分区和逻辑盘的分配：建议：三个分区，第一个大于2G，装系统和重要的日志文件，第二个IIS，第三个FTP。IIS与FTP分开为了不让入侵者上传文件并从IIS中执行。
2．安装顺序：安装时不要让服务器上网。在安装过程中程序让你添入Administrator的密码，然后系统便建立了Admin$共享，但这是系统并没有用你设的密码来保护这个共享。也就是说在从你输入密码到你再次重起服务器之间的时间里，其他人可以用空密码进入你的Admin$共享，权限当然是Administrators组的啦，知道了吧。因此在完全安装并配置好Win2000Server之前，不要让你的服务器接入网络。
3．至于打补丁：记住在装完所有的应用程序后再装补丁程序。小心白补一通。哈哈。有趣的是IIS的hotfix是必须在每次更改配置后都得安装。好变态！晕*********
(3)安全配置Win2000Server
1．端口：用哪个就开哪个。具体在“网上邻居－》属性－》本地连接－》属性－》TCP/IP协议属性－》高级－》选项－》TCP/IP筛选－》属性”在“启用TCP/IP筛选”前面打上对勾，在下面选择“只打开”，接下来就选择要打开的端口吧。哈哈，不要贪心啊。
2． IIS：先把系统分区上的那个Inetpub目录一股脑移到其他分区，再彻底删除系统分区上的那个原来的Inetpub目录（包括里面的任何东东！哈哈！！！该出手时千万别手软。一失足成千古恨，为什么我当初没有向她说那三个字，后悔！！！后悔！！！真失败！！！（苦笑））沉思*****。醒来。转移根据地后，我们仍要把后来的这个Inetpub目录里的Scripts文件夹删除，这家伙是内奸，（哈哈，说笑）。
3．在IIS管理器中，将主目录指向新分区的Interpub，再设些目录权限，切记谨慎。不要随便设写权限，（废话）
4．应用程序配置：在IIS管理器中删除必须之外的任何无用映射。一般有asp和asa的映射就可以啦，其他的，需要则留下，不需要则彻底杀杀杀！！！痛快。想想被人入侵的滋味，你就不会觉得我好“杀”成性啦。他们那些家伙可都是作奸犯科N次的呀。什么？找不见？路就在脚下嘛！在IIS管理器中，右键单击主机，选属性，主属性中选WWW服务，编辑，选主目录，下面有配置，看到了吧。里面有个应用程序调试改成发送文本，内容自己写啦！
5．账号安全：第一步禁止139空连接，即空用户连接。在本地安全设置，本地策略，安全选项中找“对匿名连接的额外限制”项，然后选第二个或第三个。细节自己找。第二步不显示上次登陆者名称。换在刚才的地方找吧。这下，那些家伙不知你的用户名，当然也就没法跑你的密码啦！哈哈，世界清静了许多。
6．安全日志：这个你该知道吧。还有密码策略。别忘啦。
7．目录和文件的权限：谨慎，周密。
8．预防DoS：费点神修改一下注册表，会有回报的。具体的今天太累啦，下次我整理出来便贴出来。连同6、7。哈哈。好累！睡觉去！

地主发表时间: 07/04 21:33

回复: Heezi [heezi]

论坛用户

不错不错，多来点！

B1层发表时间: 07/05 08:26

回复: yangze [yangze]

版主

言语倒是有点意思。不错呵呵

B2层发表时间: 07/05 10:40

论坛: 菜鸟乐园