安全安装Win2KServer[1]

一、 正确安装Win 2000 

1．硬盘的分区 

在安装Win 2000时，如条件许可，应至少建立两个逻辑分区，一个用作系统分区，另一个用作应用程序分区。尽量修改“我的文档”及“Outlook Express”等应用程序的默认文件夹位置，使其位置不在系统分区。对提供Web服务的机器，可按如下设置分区: 

分区1：系统分区，安装系统和重要日志文件。 

分区2：提供给IIS使用。 

分区3：提供给FTP使用。 

分区4：放置其他一些资料文件。 

2．组件的定制 

不要按Win 2000的默认安装组件，根据安全原则“最少的服务+最小的权限=最大的安全”，只选择确实需要的服务安装即可。 

典型Web服务器需要的最小组件是： 

公用文件、Internet 服务管理器、WWW服务器。 

3．接入网络时间 

在安装完成Win 2000操作系统时，不要立即把服务器接入网络，因为这时的服务器还没有打上各种补丁，存在各种漏洞，非常容易感染病毒和被入侵。 

补丁的安装应该在所有应用程序安装完之后，因为补丁程序往往要替换或修改某些系统文件，如果先安装补丁再安装应用程序有可能导致补丁不能起到应有的效果。IIS的HotFix要求每次更改IIS的配置时都需要重新安装。 

二、账户安全管理 

1．账户要尽可能少，并且要经常用一些扫描工具检查系统账户、账户权限及密码。删除已经不再使用的账户。 

2．停用Guest账号，并给Guest 加一个复杂的密码。 

3．把系统Administrator账号改名，尽量把它伪装成普通用户，名称不要带有Admin字样。 

4．不让系统显示上次登录的用户名，具体操作如下： 

修改注册表“HKLM\Software\Microsoft\ WindowsNT\ Current Version\Winlogon\Dont Display Last User Name”的键值，把REG_SZ 的键值改成1。 

三、网络服务安全管理 

1．关闭不必要的服务 

关闭不必要的服务，一些服务可能会给系统带来安全漏洞，如Win 2000的Terminal Services（终端服务）、IIS和RAS（远程访问服务）等。 

2．关闭不必要的端口 

当服务器只提供较单一的功能时，可考虑只开放某些端口。 

具体方法为： 
按顺序打开“网上邻居→属性→本地连接→属性→internet 协议(tcp/ip)→属性→高级→选项→tcp/ip筛选→属性”，打开Tcp/Ip筛选，添加需要的Tcp、Udp协议即可。 

3．禁止建立空连接 

默认情况下，任何用户可通过空连接连上服务器，枚举账号并猜测密码。可以通过以下两种方法禁止建立空连接。 

（1）修改注册表 

Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成1。 

（2）修改Win 2000的本地安全策略 

设置“本地安全策略→本地策略→选项”中的RestrictAnonymous（匿名连接的额外限制）为“不容许枚举SAM账号和共享”。