-Windows2000 Server 安全配置\安装篇

lhp_vip_x

1、版本的选择
     要是语言不是问题当然英文版的优先，呵呵，以Bug&Patch著称的微软产品（当然最近QQ的恶意
代码补丁也让算是腾迅的第一补了吧，是不是腾迅也要开始他的Patch时代了？），中文版的bug多于英文，而中文版的补丁呢又会至少迟到半个月，呵呵，可以想像你的爱机在无保护的半个月中的日子吧。

2、组件的定制
      windows2000的默认安装会安装一些常用的组件，但这样的默认安装是极度危险的。所以你要确切的知道你需要那些服务，你也就仅仅只安装这些服务，把握好 最少的服务 + 最小的权限 ＝ 最大的安全 这样一个安全原则。例如：典型的Web服务器需要的最小组件选择是：只安装IIS的Com Files、IIS Snap－In、WWW Server组件。当你需要安装别的组件时特别要注意Indexing Service、Frontpage 2000 Server Extensions、Internet Service Manager（MTML）这几个危险的服务。

3、管理应用程序的选用
     如果你需要进行远程管理你的windows2000 server，那选择一个好的远程管理软件很重要了，当然windows2000 server的Terminal Service是基于远程桌面协议（RDP）的控制软件，它有快速、方便的特点，适合用于常规操作，当然微软的编程不严谨也造成它在进行安装软件、重启服务等方面会出现错误，所以为了安全准备一个辅助的远程管理软件是必要的，比如有名的PcAny Where等。（不要叫我推荐那个好哈，各人选几款来用用，找个自己喜欢的熟练的就好。）

4、分区和逻辑盘的分配（要建internet信息服务的）
      至少分一个系统一个应用程序分区，微软的IIS是常有溢出等漏洞的，将IIS和系统放在不同的分区可以在一定的程度上防止通过IIS的入侵造成系统文件的泄漏和远程获得Admin。推荐三个分区，一个放系统和重要的日志，一个放IIS，一个放FTP，这样无论是IIS或FTP出了安全漏洞都不会直接影响到系统目录和系统文件。IIS和FTP分开是出于对防止入侵者上传程序并在IIS中运行的考虑。（看到这里，可能有的朋友明白了自己的IIS入侵和FTP上传好像很难直接取得最高权利的可能原因了吧，这也可以看到，一个网管要是称职的话，只要稍稍注意一下这些地方就能很好的防止很多小黑客的把戏成功。）

5、安装顺序的选择
     在对硬件安装有点研究的朋友一定知道有时在解决硬件安装问题的时候，驱动安装的顺序很重要，我这要说的是对于系统的安全，windows的安装顺序也很重要。
     首先，安装时先要断开网络，windows2000有一个安装时的漏洞，在你输入Administrator密码后，系统就建立了Admin$的共享并且没有启用你输入的密码来保护它，这要等到你重新启动机器后密码才会起作用的，所以在这期间你要在网上被眼及手快的黑客抓住了的话，嘿嘿！说不定死得很惨哦。还有一点就是，安装一完成，各种服务就会自动的运行的，这里面包括了好多危险的服务哦，这时候满身漏洞的服务器是太好入侵了，所以啊，我的兄弟姐妹们还是别急，等完全安装并安全配置好了再去冲浪吧。
      接下来就是打补丁的事了，应该是安装好所有windows应用组件程序后再安装补丁，不然有的补丁可能起不到应有的效果。比如有的IIS补丁就要求每次更改IIS的配置后都需要安装的。