电脑技术学习

Win2K Internet服务器安全构建指南之三

dn001

Win2K Internet服务器安全构建指南

三、Win2K安装后要重点考虑的安全配置信息

  操作系统安装完毕后,建议执行如下安全配置:

  1、安装微软高级加密包(Microsoft High Encryption Pack),将服务器升级为128位加密。

  默认状态下,服务器软件的加密状态处于较低级别,我们必须手工将其配置为128位加密。而且,这项工作应该在创建帐号和组之前进行,这样就可以保证在服务器上创建的所有项目都是128位加密级别的。

  2、安装最新的SP软件包和Hotfixes

  微软的产品是老裁缝做的,不打补丁不漂亮的,所以管理员们要经常访问以下地址看看是否又有新补丁面世:

  http://www.microsoft.com/windows2000/downloads/default.asp

  这个地址包含了大量关于Win2K的信息,对日常管理Win2K服务器非常有参考价值。关于HotFixes有一点需要注意:只在系统需要的时候才安装相应HotFix。因为,并不是每个服务器都需要所有的HotFix,其中有一些hotfix修复的漏洞只存在于某些特定配置中。

  3、对系统服务的启动方式重新进行规划

  默认状态下,许多服务都随系统启动而启动。但由于有些服务因为启动帐号身份的权限过大,有可能埋下安全隐患地雷,因此必须对所有服务的启动方式进行重新规划。规划的原则应该是:除非绝对必要,关闭该服务。;

  以下是我们认为应该处于“自动启动状态的基本服务:

  ● DNS Client:如果服务器需要主动与其它服务器进行通信,就需要这个服务。许多Web服务器仅仅是对请求进行应答而自身并不发出请求,这时就不需要DNS Client了。

  ● Event Log:事件日志,用于记录程序和 Windows 发送的事件消息。事件日志包含对诊断问题有所帮助的信息,可以在“事件查看器中查看报告。

  ● Logical Disk Manager:逻辑磁盘管理器监视狗服务,用于管理本地磁盘驱动器和可移动设备。

  ● Network Connections:管理“网络和拨号连接文件夹中对象,在其中可以查看局域网和远程连接。

  ● Protected Storage:提供对敏感数据(如私钥)的保护性存储,以便防止未授权的服务、过程或用户对其的非法访问。

  ● Remote Procedure Call (RPC):远程过程调用服务,用于在一个系统上使用程序执行远程系统上的指令或程序。

  ● Security Accounts Manager (SAM):安全帐号管理服务,用于维护本地用户帐户的安全信息。

  ● Windows Management Instrumentation(WMI):Windows管理器,提供系统管理信息,如果没有它,就没有可访问的管理控制台来执行系统管理。

  ● Windows Management Instrumentation Driver Extensions:Windows管理器驱动器扩展,也是MMC所要求的,用于与驱动程序间交换系统管理信息。

  以下是我们认为应该处于“手动启动状态的基本服务:

  ● Logical Disk Manager Administrative Service:逻辑硬盘管理器管理服务,是磁盘管理请求的系统管理服务。

  ● IIS Admin Service:IIS管理服务。

  ● World Wide Web Publishing Service:WWW发布服务,用于向Web 站点设置的特定端口(通常是80)发布Web内容。