全面快捷的安全配置WIN2000(1)

　　按：很多时候，人们习惯以为安全就是防火墙或者IDS，这种理解是片面的；其实无论铠甲多厚，拥有一个百毒不侵的身体更为重要。本文将就win2000的安全配置进行讨论，希望能对大家有所帮助。 　　作者SQL对于网络安全有着很深的理解，写过许多关于网络安全的文章，本栏目也将陆续刊登其中的精彩部分。 　　本文共涉及下列几个方面：IIS配置,设置网卡的TCP/IP属性过滤,路由和远程访问的限制,系统安全策略和重要系统文件权限设置 　　看过很多网络高手写的安全配置WIN2000的文章，总感觉还是有点不过瘾所以自己也认真的总结了一下2000系统到现在为止的配置方法，我试图总结出一个最简单而且最有效果的方法。我写这篇文章的目的就是用最短的时间把一个WIN2000的服务器版本的系统配置成一个非常安全的状态。 　　安装最新的版本的补丁包和小的热补丁文件 　　不要总是迷信每过一段时间的SP的补丁包，应该定期去微软的站点下载最新的补丁文件。详细方法请参考我专门为此写的另一篇文章。 　　IIS的合理安全设置 　　删除所有默认的IIS下的虚拟目录。　　　 　　默认情况下，刚刚安装完成的IIS下有这些虚拟目录，根据在安装的时候选择的组件的不同稍微会有差别，不过都差不多。 　　　　　　用鼠标右键完全删除这些虚拟目录　　　 　　全部完成的时候应该是这个样子的结果 　　下面请删除不需要的IIS下的映射 　　　 　　在站点属性里的主目录下的配置项目中 　　　　　一般情况下我们只留下asp和asa这两个文件的映射就好了，其他的统统都可以删除的，前段时间危害极大的红色代码就是利用这里面的ida idq两个文件的错误来攻击主机的。其实到目前为止上面这些映射扩展名的程序几乎全部都被人发现了问题，包括我们留下的asp文件对应的程序也被发现了大漏洞，只是没有公布出来而已。 　　　　　最后删除完应该是这个样子，所有asp.dll文件对应的扩展名留下其他的全部删除。如果你的站点用不到ASP程序的话，我建议你把这些也全部都删除，以后需要的时候可以再恢复的。最后如果你打算使用IIS请把站点的目录不要放在系统的系统所在盘，应该是其他的盘这样可以防止有人利用其他手段来进入你的系统目录。 　　最后你需要重新启动IIS使你刚才做的那些改动生效，请注意是重新启动IIS不是WEB服务。 　　　　　　　　上面是正确重新启动IIS的方法，在没有完成这个步骤之前你做的改动是不会生效的。　　正确设置网卡的TCP/IP属性过滤 　　2000内置的网卡可以做简单的端口过滤，我们可以在上面做些安全设置达到只允许外部网络访问本地指定开放端口的目的。　　　　　选择本地连接属性中的TCP/IP协议的属性 　　[img]http://network.ccidnet.com/pub/attachment/2002/7/26259.jpg[img]　　然后选择高级键 　　　　　然后选择里面的选项项目 　　　　　然后选择里面的TCP/IP筛选 　　启用TCP/IP的筛选，其中TCP和UDP端口我们可以根据服务器具体的应用来选择，IP协议请选择6，这是固定的。 　　　　　一切设置完成以后需要重新启动启动才可以刚才设置的生效。　　　路由和远程访问中的限制 　　2000一共有3个地方可以做网络上的限制，一个是刚才的网卡属性，一个是路由和远程访问，一个就是IPSEC的安全策略了，我不喜欢最后这种方法主要是太麻烦而且设置比较复杂，相对来说还是前面两种比较简单易懂些。　　　　　首先在控制面板里面启动路由和远程访问，然后选择启动它。　　　　　选择其中的手动配置服务器就可以了。 　　　　　服务启动完成以后，我们到IP路由选择项目下的常规中找本地连接的项目，选择你想要配置的网络地址然后双击它。