服务器操作系统的安全配置

                             编辑:南北互联(www.459.cn) 发布时间:2013-1-29


 


在众多服务器操作系统中,Windows 2000 Server是比较流行的服务器操作系统之一,它包含很多的安全功能和选项,但要想安全的配置这个操作系统并不容易。在此我结合许多系统管理员的成功经验,以及在实际工作中的一些体会和看法,谈一下微软Windows  2000 Server 操作系统的安全配置问题。
一、安装前的选择
(一)选择版本
Windows 2000 Server  有各种语言的版本,可以选择英文版或简体中文版,如果语言不是障碍,建议使用英文版。因为中文版的漏洞远远多于英文版,而补丁一般会晚至少半个月,也就是说一般在发现了漏洞后你的计算机还会有半个月处于无保护状况。
(二)定制组件
Windows2000 Server在默认情况下会安装一些常用的组件,而这个默认安装是不安全的,你应该确切的知道你需要哪些服务,并仅仅安装你需要的服务,原则是最少的服务加最小的权限是最大的安全。一个典型的Web  服务器需要的最小组件选择是:只安装IIS 的“Internet 服务管理器”,“World Wide Web服务器”和“公用文件”这三个服务组件。为安全起见对其它组件的安装要慎重选择,特别是“FrontPage 2000Server服务器扩展”和“Internet  服务管理器(HTML)”这两个服务组件。
(三)选择远程管理程序
选择一个好的远程管理软件非常重要,这不仅仅是安全方面的要求,也是应用方面的需要。Windows 2000Server 的TerminalService(终端服务)是基于RDP(远程桌面协议)的远程控制软件,它速度快,操作方便,较适合用来进行常规操作。为了安全起见,建议再配备一个远程控制软件作为辅助,和Terminal  Service 互补,如PCAnyWhere 就很不错。
二、Windows 2000 Server 的正确安装
(一)硬盘分区
不要将硬盘仅仅分为一个逻辑分区,这是很不好的习惯,建议最少建立两个分区,一个系统分区,一个应用程序分区,因为IIS经常会有泄漏源码或溢出的漏洞,如果把系统和IIS放在同一个驱动器会导致系统文件的泄漏,甚至使入侵者远程获取系统控制权。推荐的安全配置是建立三至四个逻辑驱动器,第一个驱2G以上(推荐I0G),用来安装系统和存放重要的日志文件,第二个驱放置IIS,第三个驱放置FTP,第四个驱备份重要数据,这样无论IIS 或FTP出了安全漏洞都不会直接影响到系统目录和系统文件,重要数据也不会丢。另外,使用NTFS 格式化所有分区。NTFS 文件系统要比FAT,FAT32的文件系统安全得多。
(二)正确的安装顺序
I.在安装前,先断开网络,即拔掉与网卡连接的网线:Windows 2000 Server 在安装时有一个漏洞,在你输入Administrator密码后,系统就建立了Admin的共享(远程系统控制用),但是并没有用你刚刚输入的密码来保护它,这种情况一直持续到你再次启动后,在此期间,任何人都可以通过Admin进入你的机器,因为它没有密码保护。因此,在完全安装并配置好远程控制系统之前,一定不要把计算机接入网络。
2.  安装所需应用程序:应该避免在服务器上安装客户端应用程序,除非是那些对于服务器运行所必需的应用程序。如不应当安装电子邮件客户端、办公软件或对服务器来说并非完全必要的应用程序。
3.安装补丁程序(为操作系统打补丁):补丁的安装应该在所有应用程序安装完之后,因为补丁程序往往要替换或修改某些系统文件,如果先安装补丁再安装应用程序有可能导致补丁不能起到应有的效果。而且在服务器日常使用过程中,要经常访问微软和一些安全站点,下载最新的Service  Pack和漏洞补丁,保障服务器长久安全的工作。
三、配置Windows 2000 Server
即使正确的安装了Windows 2000 Server,系统还是有很多的漏洞,还需要进一步进行细致地配置。
(一)端口
端口是计算机和外部网络相连的逻辑接口,也是计算机的第一道屏障,端口配置正确与否直接影响到计算机的安全,一般来说,仅打开你需要使用的端口会比较安全,配置的方法是在网卡[属性][TCP/IP][高级][选项][TCP/IP  筛选]中启用TCP/IP 筛选,添加需要的TCP、UDP端口即可。另一种方法是安装防火墙软件,如“天网”、“LockDown”、“Norton”、“ZoneAIam”等,用防火墙软件管理系统端口更为方便。
(二)IIS(Internet 信息服务管理器)
IIS是漏洞很多的一个组件,对IIS 的配置是个重点。首先,把C 盘的Inetpub 目录删掉,在D盘建一个Inetpub(也可以改一个名字如Netsite 等),在IIS 管理器中将主目录指向D:\Inetpub(或自定义目录)。其次,IIS安装时默认的Scripts等虚拟目录一概删除,如果你需要什么权限的目录可以自己建,注意写权限和执行程序的权限,没有确实需要不要分配给其它用户。
(三)应用程序
在IIS 管理器中删除必须之外的任何无用映射,如除ASP  和其他你确实需要用到的文件类型之外,其余的映射都有可能出现问题,如:HTW,HTR,IDO,IDA 等。
(四)服务
windows2000 Server在每次启动时,会启动很多默认的服务,这些服务可能是不必要的,如果不经过一定的服务选择,不仅仅占用一定的服务器资源(CUP或内存等),而且会给管理带来很多麻烦,更有可能给非法用户提供方便之门。要留意服务器上开启的所有服务,并每天检查它们,以避免恶意程序以服务的方式悄悄运行。



南北互联版权所有:西安永瀚信息技术有限公司所有
全国统一服务热线:400-1586-959   传真:029-86117611
南北互联QQ咨询: 5108603  114868  103749632  51836748  121516757 
工业和信息化部网络许可备案号 陕ICP备16016845号 《ICP许可证》
《企业法人营业执照》 《税务登记证》 《银行开户证可证》
公司地址:中国西安经济技术开发区凤城九路海荣名城42栋A座1809