一、 正确安装Win 2000 1.硬盘的分区 在安装Win 2000时,如条件许可,应至少建立两个逻辑分区,一个用作系统分区,另一个用作应用程序分区。尽量修改“我的文档”及“Outlook Express”等应用程序的默认文件夹位置,使其位置不在系统分区。对提供Web服务的机器,可按如下设置分区: 分区1:系统分区,安装系统和重要日志文件。 分区2:提供给IIS使用。 分区3:提供给FTP使用。 分区4:放置其他一些资料文件。 2.组件的定制 不要按Win 2000的默认安装组件,根据安全原则“最少的服务+最小的权限=最大的安全”,只选择确实需要的服务安装即可。 典型Web服务器需要的最小组件是: 公用文件、Internet 服务管理器、WWW服务器。 3.接入网络时间 在安装完成Win 2000操作系统时,不要立即把服务器接入网络,因为这时的服务器还没有打上各种补丁,存在各种漏洞,非常容易感染病毒和被入侵。 补丁的安装应该在所有应用程序安装完之后,因为补丁程序往往要替换或修改某些系统文件,如果先安装补丁再安装应用程序有可能导致补丁不能起到应有的效果。IIS的HotFix要求每次更改IIS的配置时都需要重新安装。 二、账户安全管理 1.账户要尽可能少,并且要经常用一些扫描工具检查系统账户、账户权限及密码。删除已经不再使用的账户。 2.停用Guest账号,并给Guest 加一个复杂的密码。 3.把系统Administrator账号改名,尽量把它伪装成普通用户,名称不要带有Admin字样。 4.不让系统显示上次登录的用户名,具体操作如下: 修改注册表“HKLM\Software\Microsoft\ WindowsNT\ Current Version\Winlogon\Dont Display Last User Name”的键值,把REG_SZ 的键值改成1。 三、网络服务安全管理 1.关闭不必要的服务 关闭不必要的服务,一些服务可能会给系统带来安全漏洞,如Win 2000的Terminal Services(终端服务)、IIS和RAS(远程访问服务)等。 2.关闭不必要的端口 当服务器只提供较单一的功能时,可考虑只开放某些端口。 具体方法为: 按顺序打开“网上邻居→属性→本地连接→属性→internet 协议(tcp/ip)→属性→高级→选项→tcp/ip筛选→属性”,打开Tcp/Ip筛选,添加需要的Tcp、Udp协议即可。 3.禁止建立空连接 默认情况下,任何用户可通过空连接连上服务器,枚举账号并猜测密码。可以通过以下两种方法禁止建立空连接。 (1)修改注册表 Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成1。 (2)修改Win 2000的本地安全策略 设置“本地安全策略→本地策略→选项”中的RestrictAnonymous(匿名连接的额外限制)为“不容许枚举SAM账号和共享”。 四、网络服务安全配置 1.终端服务 (1)修改默认端口 终端服务的默认端口为3389,可考虑修改为别的端口。修改方法为: 服务器端: 打开注册表,在“HKLM\SYSTEM\Current ControlSet\Control\Terminal Server\Win Stations”处找到类似RDP-TCP的子键,修改PortNumber值。 客户端: 按正常步骤建一个客户端连接,选中这个连接,在“文件”菜单中选择导出,在指定位置会生成一个后缀为.cns的文件。打开该文件,修改“Server Port”值为与服务器端的PortNumber对应的值。然后再导入该文件(方法:菜单→文件→导入),这样客户端就修改了端口。 (2)安全审核 在“管理工具→远程控制服务配置→连接”处,右键点击“RPD-TCP”连接,选择“属性”,在其窗口选中“权限”,点击右下角的“高级”,选择“审核”,增加一个“everyone”组,审核它的“连接”、“断开”、“注销”和“登录”的成功和失败。在“管理工具→日记查看→安全日记”可看到该审核记录。 2.Internet 服务管理器(IIS)安全配置 对IIS服务安全配置如下: (1) 更改Web服务主目录。右键单击“默认Web站点→属性→主目录→本地路径”,将“本地路径”指向其他目录。 (2) 删除原默认安装的Inetpub目录。 (3) 删除以下虚拟目录: _vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。 (4) 删除不必要的IIS扩展名映射。方法是:右键单击“默认Web站点→属性→主目录→配置”,打开应用程序窗口,去掉不必要的应用程序映射。如不用到其他映射,只保留.asp、.asa即可。 (5) 备份IIS配置。可使用IIS的备份功能,将设定好的IIS配置全部备份下来,这样就可以随时恢复IIS的安全配置。 五、数据文件安全管理 1.备份 要经常把重要数据备份到专用的备份服务器,备份完毕后,可将备份服务器与网络隔离。 2.设置文件共享权限 设置共享文件时,要注意把共享文件的权限从“everyone”组改成“授权用户”,包括打印共享。 3.关闭默认共享 Win 2000安装好以后,系统会创建一些隐藏的共享,在cmd下可用net share命令查看它们。要禁止这些共享。操作方法是:打开“管理工具→计算机管理→共享文件夹→共享”,在相应的共享文件夹上按右键,点“停止共享”即可。不当过机器重新启动后,这些共享又会重新开启。 4.防止文件名欺骗 设置以下选项可防止文件名欺骗,如防止以.txt或.exe为后缀的恶意文件被显示为.txt文件,从而使人大意打开该文件: 双击“我的电脑→工具→文件夹选项→查看”,选择“显示所有文件和文件夹”属性设置,去掉“隐藏已知文件类型扩展名" 修改Win2000注册表加强安全 1)设置生存时间 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128) 说明:指定传出IP数据包中设置的默认生存时间(TTL)值.TTL决定了IP数据包在到达 目标前在网络中生存的最大时间.它实际上限定了IP数据包在丢弃前允许通过的路由 器数量.有时利用此数值来探测远程主机操作系统. 2)防止ICMP重定向报文的攻击 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters EnableICMPRedirects REG_DWORD 0x0(默认值为0x1) 说明:该参数控制Windows 2000是否会改变其路由表以响应网络设备(如路由器)发送给它 的ICMP重定向消息,有时会被利用来干坏事.Win2000中默认值为1,表示响应ICMP重定向报 文. 3)禁止响应ICMP路由通告报文 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Inter faces\interface PerformRouterDiscovery REG_DWORD 0x0(默认值为0x2) 说明:“ICMP路由公告”功能可造成他人计算机的网络连接异常,数据被窃听,计算机被 用于流量攻击等严重后果.此问题曾导致校园网某些局域网大面积,长时间的网络异常. 因此建议关闭响应ICMP路由通告报文.Win2000中默认值为2,表示当DHCP发送路由器发 现选项时启用. 4)防止SYN洪水攻击 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters SynAttackProtect REG_DWORD 0x2(默认值为0x0) 说明:SYN攻击保护包括减少SYN-ACK重新传输次数,以减少分配资源所保留的时 间.路由缓存项资源分配延迟,直到建立连接为止.如果synattackprotect=2, 则AFD的连接指示一直延迟到三路握手完成为止.注意,仅在TcpMaxHalfOpen和 TcpMaxHalfOpenRetried设置超出范围时,保护机制才会采取措施. 5) 禁止C$、D$一类的缺省共享 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters AutoShareServer、REG_DWORD、0x0 6) 禁止ADMIN$缺省共享 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters AutoShareWks、REG_DWORD、0x0 7) 限制IPC$缺省共享 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa restrictanonymous REG_DWORD 0x0 缺省 0x1 匿名用户无法列举本机用户列表 0x2 匿名用户无法连接本机IPC$共享 说明:不建议使用2,否则可能会造成你的一些服务无法启动,如SQL Server 8)不支持IGMP协议 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters IGMPLevel REG_DWORD 0x0(默认值为0x2) 说明:记得Win9x下有个bug,就是用可以用IGMP使别人蓝屏,修改注册表可以修正这个 bug.Win2000虽然没这个bug了,但IGMP并不是必要的,因此照样可以去掉.改成0后用 route print将看不到那个讨厌的224.0.0.0项了. 9)设置arp缓存老化时间设置 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters ArpCacheLife REG_DWORD 0-0xFFFFFFFF(秒数,默认值为120秒) ArpCacheMinReferencedLife REG_DWORD 0-0xFFFFFFFF(秒数,默认值为600) 说明:如果ArpCacheLife大于或等于ArpCacheMinReferencedLife,则引用或未引用的ARP 缓存项在ArpCacheLife秒后到期.如果ArpCacheLife小于ArpCacheMinReferencedLife, 未引用项在ArpCacheLife秒后到期,而引用项在ArpCacheMinReferencedLife秒后到期. 每次将出站数据包发送到项的IP地址时,就会引用ARP缓存中的项。 10)禁止死网关监测技术 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters EnableDeadGWDetect REG_DWORD 0x0(默认值为ox1) 说明:如果你设置了多个网关,那么你的机器在处理多个连接有困难时,就会自动改用备份 网关.有时候这并不是一项好主意,建议禁止死网关监测. 11)不支持路由功能 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters IPEnableRouter REG_DWORD 0x0(默认值为0x0) 说明:把值设置为0x1可以使Win2000具备路由功能,由此带来不必要的问题. 12)做NAT时放大转换的对外端口最大值 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters MaxUserPort REG_DWORD 5000-65534(十进制)(默认值0x1388--十进制为5000) 说明:当应用程序从系统请求可用的用户端口数时,该参数控制所使用的最大端口数.正常 情况下,短期端口的分配数量为1024-5000.将该参数设置到有效范围以外时,就会使用最 接近的有效数值(5000或65534).使用NAT时建议把值放大点. 13)修改MAC地址 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\ 找到右窗口的说明为"网卡"的目录, 比如说是{4D36E972-E325-11CE-BFC1-08002BE10318} 展开之,在其下的0000,0001,0002...的分支中找到"DriverDesc"的键值为你网卡的说明, 比如说"DriverDesc"的值为"Intel(R) 82559 Fast Ethernet LAN on Motherboard" 然后在右窗口新建一字符串值,名字为"Networkaddress",内容为你想要的MAC值,比如说 是"004040404040" 然后重起计算机,ipconfig /all看看. 特别注意 对于使用win 2000 的用户 最好是在安装服务器之前 不要连接网线 安装好win2000 后 打好补丁 安装好病毒防火墙 之后 连接网线 以避免 nimda 等病毒的骚扰.
