第一：怎么裝

　　一、 版本的選擇

　　筆者強(qiáng)烈建議：在語言不成為障礙的情況下，請一定使用英文版。要知道，微軟的產(chǎn)品是以"漏洞加補(bǔ)�。˙ug & Patch）"而著稱的，中文版的Bug遠(yuǎn)遠(yuǎn)多于英文版，而補(bǔ)丁一般還會遲至少半個(gè)月（也就是說一般微軟公布了漏洞后你的服務(wù)器還會有半個(gè)月處于無保護(hù)狀態(tài)）。

　　二、 組件的定制

　　WIN2K在默認(rèn)情況下會安裝一些常用的組件，但是正是這個(gè)默認(rèn)安裝是非常危險(xiǎn)的，根據(jù)安全原則"最少的服務(wù) 最小的權(quán)限=最大的安全" ，只安裝確實(shí)需要的服務(wù)即可。這里非凡提醒注重的是："Indexing Service"、"FrontPage 2000 Server Extensions"、" Internet Service Manager"這幾個(gè)危險(xiǎn)服務(wù)。

　　三、 治理應(yīng)用程序的選擇

　　選擇一個(gè)好的遠(yuǎn)程治理軟件是非常重要的事，這不僅僅是安全方面的要求，也是應(yīng)用方面的需要。WIN2K的Terminal Service是基于RDP（遠(yuǎn)程桌面協(xié)議）的遠(yuǎn)程控制軟件，它的速度快，操作方便，比較適合用來進(jìn)行常規(guī)操作。但是，Terminal Service也有其不足之處，由于它使用的是虛擬桌面，再加上微軟編程的不嚴(yán)謹(jǐn)，當(dāng)你使用Terminal Service進(jìn)行安裝軟件或重啟服務(wù)器等與真實(shí)桌面交互的操作時(shí)，往往會出現(xiàn)哭笑不得的現(xiàn)象，例如：使用Terminal Service重啟微軟的認(rèn)證服務(wù)器（Compaq, IBM等）可能會直接關(guān)機(jī)。所以，為了安全起見，建議再配備一個(gè)遠(yuǎn)程控制軟件作為輔助，和Terminal Service互補(bǔ)，如PcAnyWhere就是一個(gè)不錯(cuò)的選擇。

　　四、 分區(qū)和邏輯盤的分配

　　至少建立兩個(gè)分區(qū)，一個(gè)系統(tǒng)分區(qū)，一個(gè)應(yīng)用程序分區(qū)。這是因?yàn)�，微軟的IIS（Internet Ihformation Server）經(jīng)常會有漏洞，假如把系統(tǒng)和IIS放在同一個(gè)驅(qū)動器會導(dǎo)致系統(tǒng)文件的泄漏，甚至讓入侵者遠(yuǎn)程獲取治理權(quán)。

　　推薦建立三個(gè)邏輯驅(qū)動器，第一個(gè)用來裝系統(tǒng)和重要的日志文件；第二個(gè)放IIS；第三個(gè)放FTP，這樣無論IIS或FTP出了安全漏洞都不會直接影響到系統(tǒng)目錄和系統(tǒng)文件。

　　五、 安裝順序的選擇

　　不要覺得只要能裝上系統(tǒng)，就算完事了，其實(shí)WIN2K的安裝順序是非常重要的。

　　首先，要注重接入網(wǎng)絡(luò)的時(shí)間。WIN2K在安裝時(shí)有一個(gè)漏洞，就是在輸入Administrator的密碼后，系統(tǒng)會建立"$ADMIN"的共享，但是并沒有用剛輸入的密碼來保護(hù)它，這種情況一直會持續(xù)到計(jì)算機(jī)再次啟動。在此期間，任何人都可以通過"$ADMIN"進(jìn)入系統(tǒng)；同時(shí)，只要安裝一完成，各種服務(wù)就會自動運(yùn)行，而這時(shí)的服務(wù)器還到處是漏洞，非常輕易從外部侵入。因此，在完全安裝并配置好WIN2K Server之前，一定不要把主機(jī)接入網(wǎng)絡(luò)。

　　其次，注重補(bǔ)丁的安裝。補(bǔ)丁應(yīng)該在所有應(yīng)用程序安裝完之后再安裝，因?yàn)檠a(bǔ)丁程序往往要替換或修改某些系統(tǒng)文件，假如先安裝補(bǔ)丁的話可能無法起到應(yīng)有的效果。

第二：怎么設(shè)

　　即使正確地安裝了WIN2K Server，系統(tǒng)也有很多漏洞，還需要進(jìn)一步進(jìn)行細(xì)致的配置。

　　一、 端口

　　端口是計(jì)算機(jī)和外部網(wǎng)絡(luò)相連的邏輯接口，也是計(jì)算機(jī)的第一道屏障，端口配置正確與否直接影響到主機(jī)的安全�！�

　　二、 IIS

　　IIS是微軟的組件中問題最多的一個(gè)，平均兩三個(gè)月就要出一個(gè)漏洞，而微軟的IIS默認(rèn)安裝又實(shí)在不敢恭維，所以IIS的配置是我們的重點(diǎn)。

　　首先，刪除C盤下的Inetpub目錄，在D盤建一個(gè)Inetpub，在IIS治理器中將主目錄指向D:\Inetpub。
　　其次，把IIS安裝時(shí)默認(rèn)的scripts等虛擬目錄也一概刪除，假如你需要什么權(quán)限的目錄可以以后再建（非凡注重寫權(quán)限和執(zhí)行程序的權(quán)限）。

　　然后是應(yīng)用程序的配置。在IIS治理器中把無用映射都統(tǒng)統(tǒng)刪除（當(dāng)然必須保留如ASP、ASA等）。在IIS治理器中"主機(jī)→屬性→WWW服務(wù)編輯→主目錄配置→應(yīng)用程序映射"，然后開始一個(gè)個(gè)刪吧。接著再在應(yīng)用程序調(diào)試書簽內(nèi)，?quot;腳本錯(cuò)誤消息"改為"發(fā)送文本"。點(diǎn)擊"確定"退出時(shí)別忘了讓虛擬站點(diǎn)繼續(xù)剛才設(shè)定好的屬性。

查看更多 動易Cms教程  動易Cms模板