網(wǎng)絡(luò)安全應(yīng)該是網(wǎng)絡(luò)管理的一個(gè)重點(diǎn),如何構(gòu)建安全的企業(yè)網(wǎng),是每個(gè)企業(yè)網(wǎng)管的重要工作,Windows 2000 Advance Serve是比較流行的服務(wù)器操作系統(tǒng)之一，但是要想安全的配置微軟的這個(gè)操作系統(tǒng)，卻不是一件容易的事。下面我就自己的工作經(jīng)驗(yàn),談?wù)刉indows 2000 Advance Serve網(wǎng)絡(luò)的安全設(shè)置.

一、 定制自己的Windows 2000 Advance Serve

1． 版本的選擇：Win2000有各種語言的版本，對于我們來說，可以選擇英文版或簡體中文版，我強(qiáng)烈建議：在語言不成為障礙的情況下，請一定使用英文版。要知道，微軟的產(chǎn)品是以Bug & Patch而著稱的，中文版的Bug遠(yuǎn)遠(yuǎn)多于英文版，而補(bǔ)丁一般還會遲至少半個(gè)月（也就是說一般微軟公布了漏洞后你的機(jī)子還會有半個(gè)月處于無保護(hù)狀況）。

2． 組件的安裝：Win2000在默認(rèn)情況下進(jìn)行典型安裝,不過這種安裝的系統(tǒng)是脆弱的,不夠安全的,根據(jù)安全原則，最少的服務(wù)+最小的權(quán)限=最大的安全。請根據(jù)自己服務(wù)器的所需要求做出合理的配置。

3．根據(jù)用途對服務(wù)器進(jìn)行單獨(dú)管理:就是說如果你根據(jù)企業(yè)的各種需要作出有不同功能的服務(wù)器,原則上是一臺服務(wù)服務(wù)器只提供單獨(dú)的服務(wù),如域控制器,文件服務(wù)器,備份服務(wù)器,WEB服務(wù)器,FTP服務(wù)器等等。

二、合理安裝Windows 2000 Advance Serve

1．安裝Windows 2000 Advance Serve,建議最少CREATE兩個(gè)分區(qū)，一個(gè)系統(tǒng)分區(qū)，一個(gè)應(yīng)用程序分區(qū)。

2．順序的選擇：Windows 2000 Advance Serve在安裝中有幾個(gè)順序是一定要注意的：

首先，Windows 2000 Advance Serve在安裝時(shí)有一個(gè)漏洞，在你輸入Administrator密碼后，系統(tǒng)就建立了ADMIN$的共享，但是并沒有用你剛剛輸入的密碼來保護(hù)它，這種情況一直持續(xù)到你再次啟動后，在此期間，任何人都可以通過ADMIN$進(jìn)入你的機(jī)器；只要安裝一完成，各種服務(wù)就會自動運(yùn)行，而這時(shí)的服務(wù)器是滿身漏洞，非常容易進(jìn)入的，因此，在完全安裝并配置好Win2000 Server之前，一定不要把主機(jī)接入網(wǎng)絡(luò)。

其次，補(bǔ)丁的安裝：補(bǔ)丁的安裝應(yīng)該在所有應(yīng)用程序安裝完之后，因?yàn)檠a(bǔ)丁程序往往要替換/修改某些系統(tǒng)文件，如果先安裝補(bǔ)丁再安裝應(yīng)用程序有可能導(dǎo)致補(bǔ)丁不能起到應(yīng)有的效果。

三、 安全配置Win2000 Server

即使正確的安裝了Win2000 SERVER，系統(tǒng)還是有很多的漏洞，還需要進(jìn)一步進(jìn)行細(xì)致地配置。

1．PORT：PORT是計(jì)算機(jī)和外部網(wǎng)絡(luò)相連的邏輯接口，端口配置正確與否直接影響到主機(jī)的安全，一般來說，僅打開你需要使用的端口會比較安全，配置的方法是在網(wǎng)卡屬性-TCP/IP-高級-選項(xiàng)-TCP/IP篩選中啟用TCP/IP篩選。

2．IIS：IIS是微軟的組件中漏洞最多的一個(gè)，所以IIS的配置是我們的重點(diǎn)：

首先，DELTREE C：INETPUB ，在c盤以外creat Inetpub在IIS管理器中將主目錄指向x:Inetpub；

其次，那個(gè)IIS安裝時(shí)默認(rèn)的什么scripts等虛擬目錄一概刪除

第三，應(yīng)用程序配置：在IIS管理器中刪除必須之外的任何無用映射，必須指的是ASP, ASA和其他你確實(shí)需要用到的文件類型，例如你用到stml等（使用server side include），實(shí)際上90%的主機(jī)有了上面兩個(gè)映射就夠了,在IIS管理器中右擊主機(jī)->屬性->WWW服務(wù) 編輯->主目錄 配置->應(yīng)用程序映射，刪除你不需要的映射。

最后，為了保險(xiǎn)起見，你可以使用IIS的備份功能，將剛剛的設(shè)定全部備份下來，這樣就可以隨時(shí)恢復(fù)IIS的安全配置。

　3．賬號安全：

Windows 2000 Advance Serve的賬號安全是另一個(gè)重點(diǎn)。Windows 2000 Advance Serve的本地安全策略（如果是域服務(wù)器就是在域服務(wù)器安全和域安全策略中）就有這樣的選項(xiàng)RestrictAnonymous（匿名連接的額外限制），這個(gè)選項(xiàng)有三個(gè)值：

0：None. Rely on default permissions（無，取決于默認(rèn)的權(quán)限）

1：Do not allow enumeration of SAM accounts and shares（不允許枚舉SAM帳號和共享）

2：No access without explicit anonymous permissions（沒有顯式匿名權(quán)限就不允許訪問）

0:系統(tǒng)默認(rèn)的，什么限制都沒有，遠(yuǎn)程用戶可以知道你機(jī)器上所有的賬號、組信息、共享目錄、網(wǎng)絡(luò)傳輸列表等等，對服務(wù)器來說這樣的設(shè)置非常危險(xiǎn)。

1:只允許非NULL用戶存取SAM賬號信息和共享信息。

2:在Win2000中才支持，不過會失去所有的共享，在企業(yè)中這基本上是不可能的。

所以我建議大家選擇1，另外還有最好把a(bǔ)dministrator 改名。

4．安全日志：打開本地安全策略->審核策略中打開相應(yīng)的審核，必須的審核是：

賬戶管理 成功 失敗

登錄事件 成功 失敗

對象訪問 失敗

策略更改 成功 失敗

特權(quán)使用 失敗

系統(tǒng)事件 成功 失敗

目錄服務(wù)訪問 失敗

賬戶登錄事件 成功 失敗

與之相關(guān)的是：

在賬戶策略->密碼策略中設(shè)定：

密碼復(fù)雜性要求 啟用

密碼長度最小值 8位

強(qiáng)制密碼歷史 3次

最長存留期 30天

在賬戶策略->賬戶鎖定策略中設(shè)定：

賬戶鎖定 3次錯(cuò)誤登錄

鎖定時(shí)間 30分鐘

復(fù)位鎖定計(jì)數(shù) 30分鐘

6.目錄和文件權(quán)限：

Windows 2000 Advance Serve的訪問權(quán)限分為：讀取、寫入、讀取及執(zhí)行、修改、列目錄、完全控制。在默認(rèn)的情況下，大多數(shù)的文件夾對所有用戶（Everyone這個(gè)組）是完全敞開的（Full Control），你需要根據(jù)應(yīng)用的需要進(jìn)行權(quán)限重設(shè)。

在進(jìn)行權(quán)限控制時(shí)，請記住以下幾個(gè)原則：

1>權(quán)限是累計(jì)的：如果一個(gè)用戶同時(shí)屬于兩個(gè)組，那么他就有了這兩個(gè)組所允許的所有權(quán)限；

2>拒絕的權(quán)限要比允許的權(quán)限高（拒絕策略會先執(zhí)行）如果一個(gè)用戶屬于一個(gè)被拒絕訪問某個(gè)資源的組，那么不管其他的權(quán)限設(shè)置給他開放了多少權(quán)限，他也一定不能訪問這個(gè)資源；

3>文件權(quán)限比文件夾權(quán)限高（這個(gè)不用解釋了吧？）

4>利用用戶組來進(jìn)行權(quán)限控制是一個(gè)成熟的系統(tǒng)管理員必須具有的優(yōu)良習(xí)慣之一；

5>僅給用戶真正需要的權(quán)限，權(quán)限的最小化原則是安全的重要保障；

6.預(yù)防Dos：

在注冊表HKLMSYSTEMCurrentControlSetServicesTcpipParameters中更改以下值可以幫助你防御一定強(qiáng)度的DoS攻擊

SynAttackProtect REG_DWord 2

EnablePMTUDiscovery REG_DWORD 0

NoNameReleaseOnDemand REG_DWORD 1

EnableDeadGWDetect REG_DWORD 0

KeepAliveTime REG_DWORD 300,000

PerformRouterDiscovery REG_DWORD 0

EnableICMPRedirects REG_DWORD 0

ICMP攻擊：ICMP的風(fēng)暴攻擊和碎片攻擊也是Windows 2000 Advance Serve比較頭疼的攻擊方法，其實(shí)應(yīng)付的方法也很簡單，Win2000自帶一個(gè)Routing & Remote Access工具，這個(gè)工具初具路由器的雛形，在這個(gè)工具中，我們可以輕易的定義輸入輸出包過濾器。

實(shí)際上，安全和應(yīng)用在很多時(shí)候是矛盾的，所以你要對所涉及的各種折衷選擇有比較深刻的認(rèn)識，畢竟服務(wù)器是給用戶用的，安全原則不能妨礙系統(tǒng)應(yīng)用。

網(wǎng)絡(luò)安全是一項(xiàng)系統(tǒng)工程，它不僅有空間的跨度，還有時(shí)間的跨度。部分系統(tǒng)/網(wǎng)絡(luò)管理員認(rèn)為進(jìn)行了安全配置Windows 2000 Advance Serve是足夠安全的，其實(shí)這其中有個(gè)誤區(qū)：我們只能說一臺服務(wù)器在一定的情況下，一定的時(shí)間內(nèi)是安全的，隨著網(wǎng)絡(luò)結(jié)構(gòu)的變化、新的漏洞的發(fā)現(xiàn)，管理員/用戶的操作，安全狀況是時(shí)刻改變的，我們要不斷的對我們的網(wǎng)絡(luò)進(jìn)行有效的設(shè)置維護(hù)其安全和滿足我們的應(yīng)用，時(shí)刻關(guān)注新的發(fā)現(xiàn)，對安全的原則作出相應(yīng)的修改，這樣，才是系統(tǒng)/網(wǎng)絡(luò)管理員工作的正確方向。