第一:怎麼裝
一、 版本的選擇
筆者強烈建議:在語言不成為障礙的情況下,請一定使用英文版。要知道,微軟的產品是以"漏洞加補丁(Bug & Patch)"而著稱的,中文版的Bug遠遠多於英文版,而補丁一般還會遲至少半個月(也就是說一般微軟公布了漏洞後你的服務器還會有半個月處於無保護狀態)。
二、 組件的定制
WIN2K在默認情況下會安裝一些常用的組件,但是正是這個默認安裝是非常危險的,根據安全原則"最少的服務+最小的權限=最大的安全" ,只安裝確實需要的服務即可。這裡特別提醒注意的是:"Indexing Service"、"FrontPage 2000 Server Extensions"、" Internet Service Manager"這幾個危險服務。
三、 管理應用程序的選擇
選擇一個好的遠程管理軟件是非常重要的事,這不僅僅是安全方面的要求,也是應用方面的需要。WIN2K的Terminal Service是基於RDP(遠程桌面協議)的遠程控制軟件,它的速度快,操作方便,比較適合用來進行常規操作。但是,Terminal Service也有其不足之處,由於它使用的是虛擬桌面,再加上微軟編程的不嚴謹,當你使用Terminal Service進行安裝軟件或重啟服務器等與真實桌面交互的操作時,往往會出現哭笑不得的現象,例如:使用Terminal Service重啟微軟的認證服務器(Compaq, IBM等)可能會直接關機。所以,為了安全起見,建議再配備一個遠程控制軟件作為輔助,和Terminal Service互補,如PcAnyWhere就是一個不錯的選擇。
四、 分區和邏輯盤的分配
至少建立兩個分區,一個系統分區,一個應用程序分區。這是因為,微軟的IIS(Internet Ihformation Server)經常會有漏洞,如果把系統和IIS放在同一個驅動器會導致系統文件的洩漏,甚至讓入侵者遠程獲取管理權。
推薦建立三個邏輯驅動器,第一個用來裝系統和重要的日志文件;第二個放IIS;第三個放FTP,這樣無論IIS或FTP出了安全漏洞都不會直接影響到系統目錄和系統文件。
五、 安裝順序的選擇
不要覺得只要能裝上系統,就算完事了,其實WIN2K的安裝順序是非常重要的。
首先,要注意接入網絡的時間。WIN2K在安裝時有一個漏洞,就是在輸入Administrator的密碼後,系統會建立"$ADMIN"的共享,但是並沒有用剛輸入的密碼來保護它,這種情況一直會持續到計算機再次啟動。在此期間,任何人都可以通過"$ADMIN"進入系統;同時,只要安裝一完成,各種服務就會自動運行,而這時的服務器還到處是漏洞,非常容易從外部侵入。因此,在完全安裝並配置好WIN2K Server之前,一定不要把主機接入網絡。
其次,注意補丁的安裝。補丁應該在所有應用程序安裝完之後再安裝,因為補丁程序往往要替換或修改某些系統文件,如果先安裝補丁的話可能無法起到應有的效果。
第二:怎麼設
即使正確地安裝了WIN2K Server,系統也有很多漏洞,還需要進一步進行細致的配置。
一、 端口
端口是計算機和外部網絡相連的邏輯接口,也是計算機的第一道屏障,端口配置正確與否直接影響到主機的安全。
二、 IIS
IIS是微軟的組件中問題最多的一個,平均兩三個月就要出一個漏洞,而微軟的IIS默認安裝又實在不敢恭維,所以IIS的配置是我們的重點。
首先,刪除C盤下的Inetpub目錄,在D盤建一個Inetpub,在IIS管理器中將主目錄指向D:Inetpub。
其次,把IIS安裝時默認的scripts等虛擬目錄也一概刪除,如果你需要什麼權限的目錄可以以後再建(特別注意寫權限和執行程序的權限)。
然後是應用程序的配置。在IIS管理器中把無用映射都統統刪除(當然必須保留如ASP、ASA等)。在IIS管理器中"主機→屬性→WWW服務編輯→主目錄配置→應用程序映射",然後開始一個個刪吧。接著再在應用程序調試書簽內,?quot;腳本錯誤消息"改為"發送文本"。點擊"確定"退出時別忘了讓虛擬站點繼承剛才設定好的屬性。
最後,為了保險起見,可以使用IIS的備份功能,將剛剛的設定全部備份下來,這樣就可以隨時恢復IIS的安全配置。還有,如果怕IIS負荷過高導致服務器死機,也可以在性能中打開CPU限制,如將IIS的最大CPU使用率限制在70%。
