论文部分内容阅读
摘要:本文主要介绍Windows 2000 Server系统正确安装方法及Windows 2000 Server系统如何进行安全策略设置。
关键词:Windows 2000 Server系统;安全策略;设置
中图分类号:TP311.13文献标识码:A文章编号:1007-9599 (2011) 20-0000-01
Windows 2000 Server System Security Using Policy
Chang Zihua,Gao Jian,Li Jinming
(Automation Company,Xuanhua Steel Company,Hebei Iron and Steel Group,Xuanhua,075100,China)
Abstract:This paper describes the system is properly installed Windows 2000 Server Windows 2000 Server system,method and how the security policy settings.
Keywords: Windows 2000 Server system;Security policy;Settings
一、引言
目前,Windows2000 SERVER是比較流行的服务器操作系统之一,但是要想安全的配置微软的这个操作系统,却不是一件容易的事。本文针对我们在日常工作中对企业局域网的维护经验,就Windows2000 SERVER的安全配置及相关工作进行初步的分析探讨。
二、Windows 2000 SERVER系统正确安装
(一)微软的IIS经常会有泄漏源码/溢出的漏洞
如果把系统和IIS放在同一个驱动器会导致系统文件的泄漏甚至入侵者远程获取ADMIN。安全配置是建立三个以上逻辑驱动器,第一个大于10G,用来装系统和重要的日志文件,第二个放IIS,第三个放FTP,其它可以放置数据文件或备份等。这样无论IIS或FTP出了安全漏洞都不会直接影响到系统目录和系统文件。而把IIS和FTP分开主要是为了防止入侵者上传程序并从IIS中运行。
(二)安装顺序的选择
Windows 2000 SERVER在安装中必须遵循以下几个顺序:
1.何时接入网络。Windows 2000在安装时有一个漏洞,在你输入Administrator密码后,系统就建立了ADMIN$的共享,但是并没有用你刚刚输入的密码来保护它,系统再次启动后才能得到保护,在此期间,任何人都可以通过ADMIN$进入你的机器,此时各种服务也会自动运行,而这时的服务器是满身漏洞,非常容易让别人侵入,因此,在完全安装并配置好Windows 2000 SERVER之前,一定不要把服务器接入Internet网络。
2.补丁的安装。补丁的安装应该在所有应用程序安装完之后,因为补丁程序往往要替换/修改某些系统文件,如果先安装补丁再安装应用程序有可能导致补丁不能起到应有的效果。
二、安全配置WINDOWS 2000 SERVER 系统
在正确的安装了Windows 2000 SERVER后,系统还存在较多的安全漏洞,还需要对服务器进行细致地配置。
(一)端口配置
端口是计算机和外部网络相连的逻辑接口,也是计算机的第一道屏障,端口配置正确与否直接影响到服务器的安全。一般来说,仅打开你需要使用的端口会比较安全,配置的方法是在网卡属性、TCP/IP-高级-选项-TCP/IP筛选中启用TCP/IP筛选。
(二)IIS配置
1.把C盘的Inetpub文件夹彻底删除,在D盘建一个Inetpub,在IIS管理器中将主目录指向D:Inetpub。
2.IIS安装时默认的scripts等虚拟目录一概删除,如果你需要什么权限的目录可以自己慢慢建,需要什么权限开什么。
3.应用程序配置。在IIS管理器中删除必须之外的任何无用映射,必须指的是ASP,ASA和其他你确实需要用到的文件类型,实际上90%的服务器有了上面两个映射就够了。
删除的方法:在IIS管理器中右击服务器->属性->WWW服务编辑->主目录配置->应用程序映射,然后就开始一个个删,点击确定退出时别忘了让虚拟站点继承你设定的属性。
4.为了保险起见,可以使用IIS的备份功能,将刚刚的设定全部备份下来,这样就可以随时恢复IIS的安全配置。还有,如果你怕IIS负荷过高导致服务器满负荷死机,也可以在性能中打开CPU限制,例如将IIS的最大CPU使用率限制在70%。
(三)账户策略配置
在账户策略->密码策略中设定:
密码复杂性要求:启用;密码长度最小值:6位;强制密码历史:3次最长存留期:30天;
在账户策略->账户锁定策略中设定:
账户锁定;3次错误登录;锁定时间:20分钟;复位锁定计数:20分钟;
三、加强自身防护
(一)尽量不使用或少使用外来光盘、U盘、移动硬盘、上网、运行外部程序等。
(二)每台服务器及网络终端均安装正版杀毒软件,安装后更新病毒库。
四、结束语
Windows 2000 Server系统的安全性的维护,需要我们在日常工作中不断的摸索,多进行实际动手操作,使用手工防范法促进服务器的安全运行,从而提高我们维护的服务器的安全水平。
[作者简介]常子华(1971-),女,河北阳原人,工程师,主要从事宣钢电话通信系统的技术工作
关键词:Windows 2000 Server系统;安全策略;设置
中图分类号:TP311.13文献标识码:A文章编号:1007-9599 (2011) 20-0000-01
Windows 2000 Server System Security Using Policy
Chang Zihua,Gao Jian,Li Jinming
(Automation Company,Xuanhua Steel Company,Hebei Iron and Steel Group,Xuanhua,075100,China)
Abstract:This paper describes the system is properly installed Windows 2000 Server Windows 2000 Server system,method and how the security policy settings.
Keywords: Windows 2000 Server system;Security policy;Settings
一、引言
目前,Windows2000 SERVER是比較流行的服务器操作系统之一,但是要想安全的配置微软的这个操作系统,却不是一件容易的事。本文针对我们在日常工作中对企业局域网的维护经验,就Windows2000 SERVER的安全配置及相关工作进行初步的分析探讨。
二、Windows 2000 SERVER系统正确安装
(一)微软的IIS经常会有泄漏源码/溢出的漏洞
如果把系统和IIS放在同一个驱动器会导致系统文件的泄漏甚至入侵者远程获取ADMIN。安全配置是建立三个以上逻辑驱动器,第一个大于10G,用来装系统和重要的日志文件,第二个放IIS,第三个放FTP,其它可以放置数据文件或备份等。这样无论IIS或FTP出了安全漏洞都不会直接影响到系统目录和系统文件。而把IIS和FTP分开主要是为了防止入侵者上传程序并从IIS中运行。
(二)安装顺序的选择
Windows 2000 SERVER在安装中必须遵循以下几个顺序:
1.何时接入网络。Windows 2000在安装时有一个漏洞,在你输入Administrator密码后,系统就建立了ADMIN$的共享,但是并没有用你刚刚输入的密码来保护它,系统再次启动后才能得到保护,在此期间,任何人都可以通过ADMIN$进入你的机器,此时各种服务也会自动运行,而这时的服务器是满身漏洞,非常容易让别人侵入,因此,在完全安装并配置好Windows 2000 SERVER之前,一定不要把服务器接入Internet网络。
2.补丁的安装。补丁的安装应该在所有应用程序安装完之后,因为补丁程序往往要替换/修改某些系统文件,如果先安装补丁再安装应用程序有可能导致补丁不能起到应有的效果。
二、安全配置WINDOWS 2000 SERVER 系统
在正确的安装了Windows 2000 SERVER后,系统还存在较多的安全漏洞,还需要对服务器进行细致地配置。
(一)端口配置
端口是计算机和外部网络相连的逻辑接口,也是计算机的第一道屏障,端口配置正确与否直接影响到服务器的安全。一般来说,仅打开你需要使用的端口会比较安全,配置的方法是在网卡属性、TCP/IP-高级-选项-TCP/IP筛选中启用TCP/IP筛选。
(二)IIS配置
1.把C盘的Inetpub文件夹彻底删除,在D盘建一个Inetpub,在IIS管理器中将主目录指向D:Inetpub。
2.IIS安装时默认的scripts等虚拟目录一概删除,如果你需要什么权限的目录可以自己慢慢建,需要什么权限开什么。
3.应用程序配置。在IIS管理器中删除必须之外的任何无用映射,必须指的是ASP,ASA和其他你确实需要用到的文件类型,实际上90%的服务器有了上面两个映射就够了。
删除的方法:在IIS管理器中右击服务器->属性->WWW服务编辑->主目录配置->应用程序映射,然后就开始一个个删,点击确定退出时别忘了让虚拟站点继承你设定的属性。
4.为了保险起见,可以使用IIS的备份功能,将刚刚的设定全部备份下来,这样就可以随时恢复IIS的安全配置。还有,如果你怕IIS负荷过高导致服务器满负荷死机,也可以在性能中打开CPU限制,例如将IIS的最大CPU使用率限制在70%。
(三)账户策略配置
在账户策略->密码策略中设定:
密码复杂性要求:启用;密码长度最小值:6位;强制密码历史:3次最长存留期:30天;
在账户策略->账户锁定策略中设定:
账户锁定;3次错误登录;锁定时间:20分钟;复位锁定计数:20分钟;
三、加强自身防护
(一)尽量不使用或少使用外来光盘、U盘、移动硬盘、上网、运行外部程序等。
(二)每台服务器及网络终端均安装正版杀毒软件,安装后更新病毒库。
四、结束语
Windows 2000 Server系统的安全性的维护,需要我们在日常工作中不断的摸索,多进行实际动手操作,使用手工防范法促进服务器的安全运行,从而提高我们维护的服务器的安全水平。
[作者简介]常子华(1971-),女,河北阳原人,工程师,主要从事宣钢电话通信系统的技术工作