安全安装Win2KServer[2]

四、网络服务安全配置 

1．终端服务 

（1）修改默认端口 

终端服务的默认端口为3389，可考虑修改为别的端口。修改方法为： 

服务器端： 

打开注册表，在“HKLM\SYSTEM\Current ControlSet\Control\Terminal Server\Win Stations”处找到类似RDP-TCP的子键，修改PortNumber值。 

客户端： 

按正常步骤建一个客户端连接，选中这个连接，在“文件”菜单中选择导出，在指定位置会生成一个后缀为.cns的文件。打开该文件，修改“Server Port”值为与服务器端的PortNumber对应的值。然后再导入该文件（方法：菜单→文件→导入），这样客户端就修改了端口。 

（2）安全审核 

在“管理工具→远程控制服务配置→连接”处，右键点击“RPD-TCP”连接，选择“属性”，在其窗口选中“权限”，点击右下角的“高级”，选择“审核”，增加一个“everyone”组，审核它的“连接”、“断开”、“注销”和“登录”的成功和失败。在“管理工具→日记查看→安全日记”可看到该审核记录。 

2．Internet 服务管理器(IIS)安全配置 

对IIS服务安全配置如下： 

（1） 更改Web服务主目录。右键单击“默认Web站点→属性→主目录→本地路径”，将“本地路径”指向其他目录。 

（2） 删除原默认安装的Inetpub目录。 

（3） 删除以下虚拟目录: _vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。 

（4） 删除不必要的IIS扩展名映射。方法是：右键单击“默认Web站点→属性→主目录→配置”，打开应用程序窗口，去掉不必要的应用程序映射。如不用到其他映射，只保留.asp、.asa即可。 

（5） 备份IIS配置。可使用IIS的备份功能，将设定好的IIS配置全部备份下来，这样就可以随时恢复IIS的安全配置。 

五、数据文件安全管理 

1．备份 

要经常把重要数据备份到专用的备份服务器，备份完毕后，可将备份服务器与网络隔离。 

2．设置文件共享权限 

设置共享文件时，要注意把共享文件的权限从“everyone”组改成“授权用户”，包括打印共享。 

3．关闭默认共享 

Win 2000安装好以后，系统会创建一些隐藏的共享，在cmd下可用net share命令查看它们。要禁止这些共享。操作方法是：打开“管理工具→计算机管理→共享文件夹→共享”，在相应的共享文件夹上按右键，点“停止共享”即可。不当过机器重新启动后，这些共享又会重新开启。 

4．防止文件名欺骗 

设置以下选项可防止文件名欺骗，如防止以.txt或.exe为后缀的恶意文件被显示为.txt文件，从而使人大意打开该文件: 双击“我的电脑→工具→文件夹选项→查看”，选择“显示所有文件和文件夹”属性设置，去掉“隐藏已知文件类型扩展名"

修改Win2000注册表加强安全

1)设置生存时间