全面快捷的安全配置WIN2000

Format

声明：XXXXXX

编者按：很多时候，人们习惯以为安全就是防火墙或者IDS，这种理解是片面的；其实无论铠甲多厚，拥有一个百毒不侵的身体更为重要。本文将就win2000的安全配置进行讨论，希望能对大家有所帮助。

作者SQL对于网络安全有着很深的理解，写过许多关于网络安全的文章，本栏目也将陆续刊登其中的精彩部分。

本文共涉及下列几个方面：IIS配置,设置网卡的TCP/IP属性过滤,路由和远程访问的限制,系统安全策略和重要系统文件权限设置





看过很多网络高手写的安全配置WIN2000的文章，总感觉还是有点不过瘾所以自己也认真的总结了一下2000系统到现在为止的配置方法，我试图总结出一个最简单而且最有效果的方法。我写这篇文章的目的就是用最短的时间把一个WIN2000的服务器版本的系统配置成一个非常安全的状态。

安装最新的版本的补丁包和小的热补丁文件

不要总是迷信每过一段时间的SP的补丁包，应该定期去微软的站点下载最新的补丁文件。详细方法请参考我专门为此写的另一篇文章。

IIS的合理安全设置

删除所有默认的IIS下的虚拟目录。

MSITStore:C:\Documents%20and%20Settings\cface\桌面\win2000\windows2000.chm::/32_files/26257[1].jpg" alt=""/>

默认情况下，刚刚安装完成的IIS下有这些虚拟目录，根据在安装的时候选择的组件的不同稍微会有差别，不过都差不多。

MSITStore:C:\Documents%20and%20Settings\cface\桌面\win2000\windows2000.chm::/32_files/26272[1].jpg" alt=""/>

用鼠标右键完全删除这些虚拟目录

MSITStore:C:\Documents%20and%20Settings\cface\桌面\win2000\windows2000.chm::/32_files/26278[1].jpg" alt=""/>

全部完成的时候应该是这个样子的结果

下面请删除不需要的IIS下的映射

MSITStore:C:\Documents%20and%20Settings\cface\桌面\win2000\windows2000.chm::/32_files/26279[1].jpg" alt=""/>

在站点属性里的主目录下的配置项目中

MSITStore:C:\Documents%20and%20Settings\cface\桌面\win2000\windows2000.chm::/32_files/26280[1].jpg" alt=""/>

一般情况下我们只留下asp和asa这两个文件的映射就好了，其他的统统都可以删除的，前段时间危害极大的红色代码就是利用这里面的ida idq两个文件的错误来攻击主机的。其实到目前为止上面这些映射扩展名的程序几乎全部都被人发现了问题，包括我们留下的asp文件对应的程序也被发现了大漏洞，只是没有公布出来而已。

MSITStore:C:\Documents%20and%20Settings\cface\桌面\win2000\windows2000.chm::/32_files/26281[1].jpg" alt=""/>

最后删除完应该是这个样子，所有asp.dll文件对应的扩展名留下其他的全部删除。如果你的站点用不到ASP程序的话，我建议你把这些也全部都删除，以后需要的时候可以再恢复的。最后如果你打算使用IIS请把站点的目录不要放在系统的系统所在盘，应该是其他的盘这样可以防止有人利用其他手段来进入你的系统目录。

最后你需要重新启动IIS使你刚才做的那些改动生效，请注意是重新启动IIS不是WEB服务。

MSITStore:C:\Documents%20and%20Settings\cface\桌面\win2000\windows2000.chm::/32_files/26282[1].jpg" alt=""/>

MSITStore:C:\Documents%20and%20Settings\cface\桌面\win2000\windows2000.chm::/32_files/26283[1].jpg" alt=""/>

上面是正确重新启动IIS的方法，在没有完成这个步骤之前你做的改动是不会生效的。正确设置网卡的TCP/IP属性过滤

2000内置的网卡可以做简单的端口过滤，我们可以在上面做些安全设置达到只允许外部网络访问本地指定开放端口的目的。

MSITStore:C:\Documents%20and%20Settings\cface\桌面\win2000\windows2000.chm::/32_files/26284[1].jpg" alt=""/>

选择本地连接属性中的TCP/IP协议的属性

MSITStore:C:\Documents%20and%20Settings\cface\桌面\win2000\windows2000.chm::/32_files/26259[1].jpg" alt=""/>

然后选择高级键



然后选择里面的选项项目



然后选择里面的TCP/IP筛选

启用TCP/IP的筛选，其中TCP和UDP端口我们可以根据服务器具体的应用来选择，IP协议请选择6，这是固定的。



一切设置完成以后需要重新启动启动才可以刚才设置的生效。路由和远程访问中的限制

2000一共有3个地方可以做网络上的限制，一个是刚才的网卡属性，一个是路由和远程访问，一个就是IPSEC的安全策略了，我不喜欢最后这种方法主要是太麻烦而且设置比较复杂，相对来说还是前面两种比较简单易懂些。



首先在控制面板里面启动路由和远程访问，然后选择启动它。



选择其中的手动配置服务器就可以了。



服务启动完成以后，我们到IP路由选择项目下的常规中找本地连接的项目，选择你想要配置的网络地址然后双击它。



在本地了解属性里，有输入和输出两个筛选器可以让我们选择，这里其实就是最常见的一个简单的基于包过滤的防火墙一样。



好的，我在这里做了一个设置是禁止外面人PING我的，我选择不回应这些PING包。



好了以后确定。



顺便启动碎片检查，然后确定就好了，这个设置是即时生效的不用重新启动非常方便的。我们可以看到在路由和远程访问中做的限制的方法非常方便而且很灵活你同时也可以用net sh在命令行下去控制这些筛选策略的生成和删除，具体的用法请参照2000自己带的帮助文件。系统安全策略

在2000下系统安全策略已经是管理工具中的一部分了，你可以启动它很方便的去配置一些默认情况没有打开的额外的安全设置选项。



如果你不满足这里面的设置，其实还有一个东西比它还更强大就是在启动程序中启动gpedit.msc这个组策略的编辑器它里面可以设置的东西更多。



老实说这两个地址可以设置的选择实在是太多了，很难全部讲完需要系统管理员慢慢去摸索。

重要系统文件的权限设置

这是很有必要而且也最容易忽视的地方了，我们建议对一些重要的系统文件应该严格设置它的访问权限，默认安装的情况下很多文件都是everyone可以访问的，虽然没有权限修改但也是非常危险的了。尤其是像cmd.exe这样的文件更是应该如此的。



默认是这个样子的，可以看到任何人都有权访问cmd.exe。



我们应该去掉everyone对程序的访问权限。