現在有很多人都認為微軟的東西漏洞太多,,微軟的系統安全性極差,不過通過我在做各種系統的安全配置的過程中我總結出了一些經驗,特拿來與各位共享,其實各種系統都有很多漏洞,只不過微軟的東西用的人最多,普遍又是水平不是很高,不會作各種安全設置,所以才會讓人有現在網上的NT/2000服務性安全性都很差的感覺,其實NT/2000的服務器如果真的做好了各項安全設置之后,其安全性絕對不會比nix系統差。
1.初級篇:NT/2000系統本身的定制安裝與相關設置
用NT(2000)建立的WEB站點在所有的網站中占了很大一部分比例,主要因為其易用性與易管理性,使該公司不必再投入大量的金錢在服務器的管理上,這一點優于nix系統,不必請很專業的管理員,不必支付一份可以節省的高薪,呵呵,當然nix的管理員也不會失業,因為其開放源碼和windows系統無與倫比的速度,使得現在幾乎所有的大型服務器全部采用nix系統。但對于中小型企業來說windows已經足夠,但NT的安全問題也一直比較突出,使得一些每個基于NT的網站都有一種如履薄冰的感覺,在此我給出一份安全解決方案,算是為中國的網絡安全事業做出一份貢獻吧 (說明:本方案主要是針對建立Web站點的NT、2000服務器安全,對于局域網內的服務器并不合適。)
一、 定制自己的NT/2000 SERVER
1. 版本的選擇:
WIN2000有各種語言的版本,對于我們來說,可以選擇英文版或簡體中文版,我強烈建議:在語言不成為障礙的情況下,請一定使用英文版。要知道,微軟的產品是以Bug &Patch而著稱的,中文版的Bug遠遠多于英文版,而補丁一般還會遲至少半個月(也就是說一般微軟公布了漏洞后你的機子還會有半個月處于無保護狀況)
2. 組件的定制:
win2000在默認情況下會安裝一些常用的組件,但是正是這個默認安裝是極度危險的你應該確切的知道你需要哪些服務,而且僅僅安裝你確實需要的服務,根據安全原則,最少的服務+最小的權限=最大的安全。典型的WEB服務器需要的最小組件選擇是:只安裝IIS的Com Files,IIS Snap-In,WWW Server組件。如果你確實需要安裝其他組件,請慎重,特別是:Indexing Service, FrontPage 2000 Server Extensions, Internet Service Manager (HTML)這幾個危險服務。
二、 正確安裝NT/2000 SERVER
不論是NT還是2000,硬盤分區均為NTFS分區;
說明:
(1) NTFS比FAT分區多了安全控制功能,可以對不同的文件夾設置不同的訪問權限,安全性增強。
(2) 建議最好一次性全部安裝成NTFS分區,而不要先安裝成FAT分區再轉化為NTFS分區,這樣做在安裝了SP5和SP6的情況下會導致轉化不成功,甚至系統崩潰。
