網(wǎng)絡(luò)安全應(yīng)該是網(wǎng)絡(luò)管理的一個重點,如何構(gòu)建安全的企業(yè)網(wǎng),是每個企業(yè)網(wǎng)管的重要工作,Windows 2000 Advance Serve是比較流行的服務(wù)器操作系統(tǒng)之一，但是要想安全的配置微軟的這個操作系統(tǒng)，卻不是一件容易的事。下面我就自己的工作經(jīng)驗,談?wù)刉indows 2000 Advance Serve網(wǎng)絡(luò)的安全設(shè)置.

一、 定制自己的Windows 2000 Advance Serve

1． 版本的選擇：Win2000有各種語言的版本，對于我們來說，可以選擇英文版或簡體中文版，我強烈建議：在語言不成為障礙的情況下，請一定使用英文版。要知道，微軟的產(chǎn)品是以Bug & Patch而著稱的，中文版的Bug遠遠多于英文版，而補丁一般還會遲至少半個月（也就是說一般微軟公布了漏洞后你的機子還會有半個月處于無保護狀況）。

2． 組件的安裝：Win2000在默認情況下進行典型安裝,不過這種安裝的系統(tǒng)是脆弱的,不夠安全的,根據(jù)安全原則，最少的服務(wù)+最小的權(quán)限=最大的安全。請根據(jù)自己服務(wù)器的所需要求做出合理的配置。

3．根據(jù)用途對服務(wù)器進行單獨管理:就是說如果你根據(jù)企業(yè)的各種需要作出有不同功能的服務(wù)器,原則上是一臺服務(wù)服務(wù)器只提供單獨的服務(wù),如域控制器,文件服務(wù)器,備份服務(wù)器,WEB服務(wù)器,FTP服務(wù)器等等。

二、合理安裝Windows 2000 Advance Serve

1．安裝Windows 2000 Advance Serve,建議最少CREATE兩個分區(qū)，一個系統(tǒng)分區(qū)，一個應(yīng)用程序分區(qū)。

2．順序的選擇：Windows 2000 Advance Serve在安裝中有幾個順序是一定要注意的：

首先，Windows 2000 Advance Serve在安裝時有一個漏洞，在你輸入Administrator密碼后，系統(tǒng)就建立了ADMIN$的共享，但是并沒有用你剛剛輸入的密碼來保護它，這種情況一直持續(xù)到你再次啟動后，在此期間，任何人都可以通過ADMIN$進入你的機器；只要安裝一完成，各種服務(wù)就會自動運行，而這時的服務(wù)器是滿身漏洞，非常容易進入的，因此，在完全安裝并配置好Win2000 Server之前，一定不要把主機接入網(wǎng)絡(luò)。

其次，補丁的安裝：補丁的安裝應(yīng)該在所有應(yīng)用程序安裝完之后，因為補丁程序往往要替換/修改某些系統(tǒng)文件，如果先安裝補丁再安裝應(yīng)用程序有可能導致補丁不能起到應(yīng)有的效果。

三、 安全配置Win2000 Server

即使正確的安裝了Win2000 SERVER，系統(tǒng)還是有很多的漏洞，還需要進一步進行細致地配置。

1．PORT：PORT是計算機和外部網(wǎng)絡(luò)相連的邏輯接口，端口配置正確與否直接影響到主機的安全，一般來說，僅打開你需要使用的端口會比較安全，配置的方法是在網(wǎng)卡屬性-TCP/IP-高級-選項-TCP/IP篩選中啟用TCP/IP篩選。

2．IIS：IIS是微軟的組件中漏洞最多的一個，所以IIS的配置是我們的重點：

首先，DELTREE C：INETPUB ，在c盤以外creat Inetpub在IIS管理器中將主目錄指向x:Inetpub；

其次，那個IIS安裝時默認的什么scripts等虛擬目錄一概刪除

第三，應(yīng)用程序配置：在IIS管理器中刪除必須之外的任何無用映射，必須指的是ASP, ASA和其他你確實需要用到的文件類型，例如你用到stml等（使用server side include），實際上90%的主機有了上面兩個映射就夠了,在IIS管理器中右擊主機->屬性->WWW服務(wù) 編輯->主目錄 配置->應(yīng)用程序映射，刪除你不需要的映射。

最后，為了保險起見，你可以使用IIS的備份功能，將剛剛的設(shè)定全部備份下來，這樣就可以隨時恢復IIS的安全配置。

　3．賬號安全：

Windows 2000 Advance Serve的賬號安全是另一個重點。Windows 2000 Advance Serve的本地安全策略（如果是域服務(wù)器就是在域服務(wù)器安全和域安全策略中）就有這樣的選項RestrictAnonymous（匿名連接的額外限制），這個選項有三個值：

0：None. Rely on default permissions（無，取決于默認的權(quán)限）

1：Do not allow enumeration of SAM accounts and shares（不允許枚舉SAM帳號和共享）

2：No access without explicit anonymous permissions（沒有顯式匿名權(quán)限就不允許訪問）

0:系統(tǒng)默認的，什么限制都沒有，遠程用戶可以知道你機器上所有的賬號、組信息、共享目錄、網(wǎng)絡(luò)傳輸列表等等，對服務(wù)器來說這樣的設(shè)置非常危險。

1:只允許非NULL用戶存取SAM賬號信息和共享信息。

2:在Win2000中才支持，不過會失去所有的共享，在企業(yè)中這基本上是不可能的。

所以我建議大家選擇1，另外還有最好把administrator 改名。

4．安全日志：打開本地安全策略->審核策略中打開相應(yīng)的審核，必須的審核是：

賬戶管理 成功 失敗

登錄事件 成功 失敗

對象訪問 失敗

策略更改 成功 失敗

特權(quán)使用 失敗

系統(tǒng)事件 成功 失敗

目錄服務(wù)訪問 失敗

賬戶登錄事件 成功 失敗

與之相關(guān)的是：

在賬戶策略->密碼策略中設(shè)定：

密碼復雜性要求 啟用

密碼長度最小值 8位

強制密碼歷史 3次

最長存留期 30天

在賬戶策略->賬戶鎖定策略中設(shè)定：

賬戶鎖定 3次錯誤登錄

鎖定時間 30分鐘

復位鎖定計數(shù) 30分鐘

6.目錄和文件權(quán)限：

Windows 2000 Advance Serve的訪問權(quán)限分為：讀取、寫入、讀取及執(zhí)行、修改、列目錄、完全控制。在默認的情況下，大多數(shù)的文件夾對所有用戶（Everyone這個組）是完全敞開的（Full Control），你需要根據(jù)應(yīng)用的需要進行權(quán)限重設(shè)。

在進行權(quán)限控制時，請記住以下幾個原則：

1>權(quán)限是累計的：如果一個用戶同時屬于兩個組，那么他就有了這兩個組所允許的所有權(quán)限；

2>拒絕的權(quán)限要比允許的權(quán)限高（拒絕策略會先執(zhí)行）如果一個用戶屬于一個被拒絕訪問某個資源的組，那么不管其他的權(quán)限設(shè)置給他開放了多少權(quán)限，他也一定不能訪問這個資源；

3>文件權(quán)限比文件夾權(quán)限高（這個不用解釋了吧？）

4>利用用戶組來進行權(quán)限控制是一個成熟的系統(tǒng)管理員必須具有的優(yōu)良習慣之一；

5>僅給用戶真正需要的權(quán)限，權(quán)限的最小化原則是安全的重要保障；

6.預防Dos：

在注冊表HKLMSYSTEMCurrentControlSetServicesTcpipParameters中更改以下值可以幫助你防御一定強度的DoS攻擊

SynAttackProtect REG_DWord 2

EnablePMTUDiscovery REG_DWORD 0

NoNameReleaseOnDemand REG_DWORD 1

EnableDeadGWDetect REG_DWORD 0

KeepAliveTime REG_DWORD 300,000

PerformRouterDiscovery REG_DWORD 0

EnableICMPRedirects REG_DWORD 0

ICMP攻擊：ICMP的風暴攻擊和碎片攻擊也是Windows 2000 Advance Serve比較頭疼的攻擊方法，其實應(yīng)付的方法也很簡單，Win2000自帶一個Routing & Remote Access工具，這個工具初具路由器的雛形，在這個工具中，我們可以輕易的定義輸入輸出包過濾器。

實際上，安全和應(yīng)用在很多時候是矛盾的，所以你要對所涉及的各種折衷選擇有比較深刻的認識，畢竟服務(wù)器是給用戶用的，安全原則不能妨礙系統(tǒng)應(yīng)用。

網(wǎng)絡(luò)安全是一項系統(tǒng)工程，它不僅有空間的跨度，還有時間的跨度。部分系統(tǒng)/網(wǎng)絡(luò)管理員認為進行了安全配置Windows 2000 Advance Serve是足夠安全的，其實這其中有個誤區(qū)：我們只能說一臺服務(wù)器在一定的情況下，一定的時間內(nèi)是安全的，隨著網(wǎng)絡(luò)結(jié)構(gòu)的變化、新的漏洞的發(fā)現(xiàn)，管理員/用戶的操作，安全狀況是時刻改變的，我們要不斷的對我們的網(wǎng)絡(luò)進行有效的設(shè)置維護其安全和滿足我們的應(yīng)用，時刻關(guān)注新的發(fā)現(xiàn)，對安全的原則作出相應(yīng)的修改，這樣，才是系統(tǒng)/網(wǎng)絡(luò)管理員工作的正確方向。