Windows 2000是基于WinNT家族的又一版本，从推出测试版，到正式版发行，经历了不少风风雨雨(Bug一个一个的出,Patch Hotfix一个个紧随其后)。界面的改变是很多人都能公认的，在保留了WinNT的部分内核的同时，又提供了更多网络功能，熟悉WinNT4.0的应该都知道域吧。Win2000在NT4.0的域的基础上面升级到活动目录(Active Directory)，这是Win2000安全方面的一个新的体现。其他的变化大概可以包含以下几个部分：完全支持既插即用(PnP),支持负载均衡和群集的服务器与交叉体系结构，支持Netware、UNIX、MVS、AS400在内的其他网络操作系统，等等。。。

       文件系统方面的变化继承了NT家族的NTFS文件系统，但是Win2000系统中增加了EFS(加密文件系统)、属性集和的概念、磁盘限额以及改进的卷（Volume）管理。

       引入了很多新的工具和新的接口，通过这些工具我们可以轻松的管理Win2000。例如WMI,MMC等等新的工具和接口。

       现在网络上主要流行微软家族的Windows系列服务器版本和*Nix,*BSD的免费以及商业版本。由于Windows最近出的一些严重的漏洞，所以很多人对Windows的安全性存在异议，这些只是一般用户对Windows 2000的皮毛了解罢了。任何一款操作系统的默认配置都是不安全的，这样说吧：默认配置是大众化的，为了让用户更好的了解它。比如前一段时间

的Unicode漏洞，红色代码和蓝色代码大闹网络的时候，我们是否清清楚楚的去想一下，这是怎么一回事？难道不及时打补丁就不能避免这些问题么？这是因为很多网络管理员的安全意识较差，如果他们能够认认真真的理解Windows 2000的服务、权限设置、和IIS的话，

就不会出现这些情况，把没有必要的服务关闭，权限设置安全一点，IIS里面没有必要的虚拟目录和映射整理一下，或者干脆把默认站点删除，重新建立一个站点。就不会有类似的情况发生，这些是不需要Hotfix的，更有甚者，用来做服务器的Win2000的文件系统居然是Fat32,如果这样的话，Win2000何来的权限设置？何来的安全可言。

       我对国内的网络安全的一个建议：网络管理员最好熟悉系统，熟悉安全配置，熟悉入侵检测，经常注视最新的安全漏洞，这样才能做到比较的安全。

 

第一部分:Windows 2000安全简介

 

Windows 2000 新增安全特性

l         活动目录。

l         Kerberos。

l         公钥基本结构。

l         组策略对象。

l         IP安全协议。

l         加密文件系统。

l         安全配置工具集。

 

 

 

 

 

 

 

 

活动目录Active Directory概述

Active Directory 是用于 Windows 2000 Server 的目录服务。它存储着网络上各种对象的有关信息，并使该信息易于管理员和用户查找及使用。Active Directory 目录服务使用结构化的数据存储作为目录信息的逻辑层次结构的基础。

通过登录验证以及目录中对象的访问控制，将安全性集成到 Active Directory 中。通过一次网络登录，管理员可管理整个网络中的目录数据和单位，而且获得授权的网络用户可访问网络上任何地方的资源。基于策略的管理减轻了即使是最复杂的网络的管理。

       Windows 2000新增的活动目录的目录服务是系统安全的核心，SAM（Security Accounts Manager安全账号管理器）是WinNT早期版本到未加入活动目录的Windows 2000版本中主要存放用户账号、工作组和口令等安全信息的主要存储区。但是加入了活动目录以后，这些公用的安全信息的主要存储区域将是活动目录，而成员服务器和工作站则为本地定义的用户和工作组保留了本地SAM数据库。这里主要要理解公用和本地定义的差别。

       在Windows NT4.0中由于注册表的大小限制了域内用户账号的数据。这样较大的组织就不得不人为地把其基础设施分成多个域，每个域都有其自身的目录和用户。但在Windows 2000中，活动目录在存储用户、工作组和计算机的账号方面具有更强的能力。另外，Windows 2000的活动目录使得多个安全边界成为可能。使用活动目录能够很好的对活动目录里面的域进行分散管理，同时又不会损害安全特性。

Kerberos
Kerberos （译注：这是古希腊神话里的一条多头狗。）是一种适用于在公共网络上进行分布计算的工业标准的安全认证系统。Kerberos验证协议是20世纪80年代在麻省理工学院作为Athena工程的一部分发展而来的。该计划被称为MIT 雅典娜计划。最新的Kerberos v5协议已经在许多不同的平台上实现，并用来在分布式网络中提供一个单一的验证服务。详细的文档请参阅RFC1510。

Kerberos认证协议定义了客户端和称为密钥分配中心KDC（Key　Distribution　Center）的认证服务之间的安全交互过程。Windows　2000在每一个域控制器中应用KDC认证服务，其域同Kerberos中的realm功能类似，具体可参考RFC　1510协议。Windows　2000中采用多种措施提供对Kerberos协议的支持：Kerberos客户端使用基于SSPI的Windows　2000安全提供者，初始Kerberos认证同WinLogon的单次登录进行了集成，而Kerberos　KDC也同运行在域控制器中的安全服务进行了集成，并使用活动目录作为用户和组的账号数据库。　
　　　　Kerberos是基于共享密钥的认证协议，用户和密钥分配中心KDC都知道用户的口令，或从口令中单向产生的密钥，并定义了一套客户端、KDC和服务器之间获取和使用Kerberos票据的交换协议。当用户初始化Windows登录时，Kerberos　SSP利用基于用户口令的加密散列获取一个初始Kerberos票据TGT，Windows　2000把TGT存储在与用户的登录上下文相关的工作站的票据缓存中。当客户端想要使用网络服务时，Kerberos首先检查票据缓存中是否有该服务器的有效会话票据。如果没有，则向KDC发送TGT来请求一个会话票据，以请求服务器提供服务。　
　　　　请求的会话票据也会存储在票据缓存中，以用于后续对同一个服务器的连接，直到票据超期为止。票据的有效期由域安全策略来规定，一般为8个小时。如果在会话过程中票据超期，Kerberos　SSP将返回一个响应的错误值，允许客户端和服务器刷新票据，产生一个新的会话密钥，并恢复连接。

Kerberos 认证系统不是随着 Postgres 发布的．Kerberos 的各种版本通常是操作系统中的一个可选的软件包．另外，可以从 MIT 雅典娜计划（ftp://athena-dist.mit.edu/） 处获得源码．

注意：即使你的操作系统供应商给你提供了一个版本，你可能还是要从 MIT 拿一个版本，因为有些供应商的版本是经过有意的弱化的或者和 MIT 版本不能互操作．

虽然Kerberos协议是默认的网络验证协议,我们也可以使用SSL/TLS(安全套接字层/传输层安全)验证。Windows NTLM验证也为了与Windows NT 4.0的兼容性而保留下来。

公钥密码系统(PKI, Public Key Infrastructure)

通常用于描述规范或管理证书和公、私钥的法律、政策、标准和软件的术语。在实践中，它是检验和验证与电子事务相关的每一方的数字证书、证书认证和其他注册颁发机构的系统。PKI 标准仍在发展，即使它们正作为电子商务的必需元素被广泛执行。公钥基础结构也被称为 PKI。PKI是由数字证书和证书办法机构(CA)组成的一个系统，证书办法机构使用公钥密码手段对电子事务处理所涉及双方的有效性进行检查和验证。

计算机网络已不再是用户只要在网络上就能证实其身份的封闭系统。在这个信息互连的时代，单位的网络可能包括内部网、Internet 站点和外部网这些都有可能被一些未经授权、蓄意盗阅或更改单位数字信息财产的个人访问。

有许多潜在的机会可未经授权访问网络上的信息。个人可以尝试监视或更改类似于电子邮件、电子商务和文件传输这样的信息流。您的单位可能与合作伙伴在限定的范围和时间内进行项目合作，有些雇员您虽然一无所知，但却必须给他们一定的权限访问您的部分信息资源。如果您的用户为了访问不同安全系统需要记住许多密码，他们可以会选择一些防护性较差或很普通的密码，以便于记忆。这不仅给黑客提供一个容易破解的密码，而且还提供了众多安全系统和存储数据的访问。

那么，系统管理员怎样才能确定正在访问信息的用户的身份而且利用身份对被访问的信息进行控制呢？另外，系统管理员怎样才能轻松而安全地分发和管理单位中的身份凭证呢？这些都是可以通过仔细规划的公钥基础结构解决的问题。

Windows　2000　PKI建立在微软久经考验的PKI组件基础之上，其基本组件包括如下几种：

l         证书服务（Certificate　Services）。证书服务作为一项核心的操作系统级服务，允许组织和企业建立自己的CA系统，并发布和管理数字证书。

l         活动目录。活动目录服务作为一项核心的操作系统级服务，提供了查找网络资源的唯一位置，在PKI中为证书和CRL等信息提供发布服务。

l         基于PKI的应用。Windows　本身提供了许多基于PKI的应用，如Internet　Explorer、Microsoft　Money、Internet　Information　Server、Outlook和Outlook　Express等。另外，一些其它第三方PKI应用也同样可以建立在Windows　2000　PKI基础之上。

l         Exchange密钥管理服务KMS（Exchange　Key　Management　Service）。KMS是Microsoft　Exchange提供的一项服务，允许应用存储和获取用于加密e-mail的密钥。在将来版本的Windows系统中，KMS将作为Windows操作系统的一部分来提供企业级的KMS服务。

Windows 2000中的集成PKI系统提供了证书服务功能，可以让用户通过Internet/　Extranets/Intranets安全地交互敏感信息。证书服务验证一个电子商务交易中参与各方的有效性和真实性，并使用智能卡等提供的额外安全措施来使域用户登录到某个域。　

　　Windows 2000通过创建一个证书机构CA来管理其公钥基础设施PKI，以提供证书服务。一个CA通过发布证书来确认用户公钥和其他属性的绑定关系，以提供对用户身份的证明。Windows　2000证书服务创建的CA可以接收证书请求、验证请求信息和请求者身份、发行和撤销证书，以及发布证书废除列表CRL（Certificate　Revocation　List）。证书服务是通过内置的证书管理单元来实现的。　

 

组策略对象

在Windows NT4.0中，System Policy Editor (系统策略编辑器)可以配置存储在Windows NT注册表数据库中的用户和计算集设置。Windows 2000中,GPO(Gropu Policy Object,组策略对象)代替了这个功能。

组策略：组策略设置的集合。“组策略”对象本质上是由作为 Windows 2000 实用程序的组策略管理单元所创建的文档。“组策略对象”存储在域级别中，它们影响包含在站点、域和组织单位中的用户和计算机。此外，每个 Windows 2000 计算机都只有一组存储在本地的设置，被称为本地“组策略”对象。

组策略的编辑: 要打开组策略以便编辑本地组策略对象，请单击“开始”，再单击“运行”，键入 gpedit.msc，然后按 Enter 键。

每台运行 Windows 2000 的计算机都有一个本地组策略对象。使用这些对象，组策略设置可以存储在个人计算机上，无论这些计算机是否为 Active Directory 环境或网络环境的一部分。

因为它的设置可以被与站点、域和单位关联的组策略对象覆盖，在 Active Directory 环境中本地组策略对象的影响力最小。在非网络环境中（或缺少 Windows 2000 域控制器的网络环境中），本地组策略对象的设置比较重要，因为此时它们不能被其他组策略对象覆盖。

可以打开组策略管理单元编辑存储在本地计算机上的本地组策略对象。若要编辑存储在网上其他计算机中的本地组策略对象，请作为独立的 Microsoft 管理控制台 (MMC) 管理单元打开组策略，并定位到所需的组策略对象。本地组策略对象位于 SystemRoot\System32\GroupPolicy 中。

运行 Windows NT 4.0 或更早版本的计算机没有本地组策略对象。

Ipsec协议

在Windows　2000安全结构和框架中，除了能够保护网络资源和硬盘资源的合法使用以外，还应该提供多种技术措施来保证网络传输数据的安全性。为满足这种需求，Windows　2000中集成了对Internet协议安全IPSec的支持。

IPSec是一组Internet标准协议，可以在非安全网络之间建立安全通道，对传输的信息进行安全处理。IPSec的加密技术应用于网络的IP层，所以，对于大部分使用特定网络通信协议的上层应用来说都是透明的。IPSec提供了端到端（end-to-end）的安全性，也就是说由发送端计算机加密的IP包只能被接收端计算机解密，中间截获的数据都是不可读的。

IPSec提供了如下安全功能：

l         在Kerberos认证、数字证书或共享密钥的基础上认证IP数据包的发送者。

l         保证IP数据包在网络传输过程中的完整性。

l         对通过网络传输的所有信息进行加密，以保证数据的机密性。

l         在数据传输过程中，可以隐藏数据的原始IP地址。

所以，Windows　2000使用IPSec，可以充分保障网络数据传输的机密性、认证性、完整性和不可否认性。

另外，Windows　2000中还提供了其它的网络和信息安全技术支持，如虚拟专用网VPN支持和Internet验证服务等。所私，通过对Windows　2000的合理化管理和配置，可以在现有投资的情况下有效保证网络信息的安全性。

 

加密文件系统EFS（Encrypting File System）

加密文件系统: Windows 2000 文件系统，它允许用户加密 NTFS 卷上的文件和文件夹，以防止入侵者访问它们。加密文件系统也被称为 EFS。

文件加密系统 (EFS) 可以使用户对文件进行加密和解密。使用 EFS 可以保证文件的安全，以防那些未经许可的入侵者访问存储的敏感数据（例如，通过盗窃笔记本电脑或外挂式硬盘驱动器来偷取数据）。

用户可以象使用普通文件和文件夹那样使用已加密的文件和文件夹。加密过程是透明的。EFS 用户如果是加密者本人，系统会在用户访问这些文件和文件夹时将其自动解密。但是，入侵者不允许访问任何已加密的文件或文件夹。

       前面讨论的技术，包括活动目录、Kerberos认证和PKI等，都是用于保护存储在中心网络中的资源。如何保护本地系统，如硬盘中的数据的安全性，也是人们很关心的问题。　
　　Windows　2000加密文件系统EFS则满足了上述需求，让用户可以对指定的本地计算机中的文件或文件夹进行加密，非授权用户不能对这些文件进行读写操作。当用户的计算机物理丢失时，使用EFS系统可以防止敏感信息的丢失和泄漏，因为这些文档都是经过加密处理的。　
　　当使用EFS对NTFS文件系统的文件或文件夹进行安全处理时，操作系统将使用CryptoAPI所提供的公钥和对称密钥加密算法对文件或文件夹进行加密。EFS作为操作系统级的安全服务，内部实现机制非常复杂，但管理员和用户使用起来却非常简单。选中某一文件或文件夹以后，右击，在弹出式按钮中选择“属性”菜单项，在弹出的对话框中选择“常规标签页”，单击“高级”按钮，并选择“加密内容以便保护数据”检查框。单击“确定”按钮即可完成文件或文件夹的加密处理。

当文件保存时EFS将自动对文件进行加密，当用户重新打开文件时将对文件进行自动解密。除加密文件的用户和具有EFS文件恢复证书的管理员之外，没有人可以读写经过加密处理的文件或文件夹。因为加密机制建立到了文件系统内部，它对用户的操作是透明的，而对攻击者来说却是加密的。

EFS加密文件的时候，使用对该文件唯一的对称加密密钥，并使用文件拥有者EFS证书中的公钥对这些对称加密密钥进行加密。因为只有文件的拥有者才能使用密钥对中的私钥，所以也只有他才能解密密钥和文件。

在某些情况下，即使有些人使用底层的磁盘工具，也不能越过EFS机制来读取文件信息，这点在Windows　NT中是无法做到的。如果不是合法的用户登录到网络中，即使文件通过网络或物理方法被窃取到，因为没有密钥，同样不能读写，也不能进行任何不被发觉的修改。

在某些情况下会发生诸如用户私钥丢失或雇员离开公司等突发事件，EFS提供了一种恢复机制，可以恢复经EFS加密的文件信息。当使用EFS时，系统将自动创建一个独立的恢复密钥对，并存储在管理员EFS文件恢复证书中。恢复密钥对的公钥用于加密原始的加密密钥，并在紧急情况下使用私钥来恢复加密文件的密钥，从而恢复经过加密的文件。

安全配置工具集(SCTS,Security Configuration Tool Set)

       安全配置工具集为基于Windows 2000系统的安全设置提供了单独的管理点。该工具允许管理员:

l         在一台或多台基于Windows 2000的计算机上配置安全设置。

l         在一台或多台基于Windows 2000的计算机上执行安全分析。

l         把安全配置当作组策略的一部分来使用。

 

 

只要正确使用和管理Windows 2000,可以让Windows 2000成为广泛使用的最为安全的操作系统。相信国内的管理员能够向这方面发展。

 

 

 

 

 

第二部分:Windows 2000安全配置入门

 

 

安装和配置一个新的安全的Windows 2000系统

 

系统列表如下:

l         Microsoft Windows 2000 Advanced Server

l         Microsoft Windows 2000 Professional

l         Microsoft Windows 2000 Server

 

该部分将帮助你理解如何配置一个新的Windows 2000系统的安全的基本步骤。

 

第一步:执行安装

       当安装一个新的系统时，第一步要确保该系统的网络环境连接到没有安全攻击威胁的网络或者在连接到一个有安全攻击威胁的网络之前关闭所有的易受攻击的服务。

说到不安全的系统，我们应该想起来前一段时间针对Windows 2000的两个比较流行的病毒，红色代码和nimda,这两个病毒利用简单的漏洞大肆在网络上疯狂传播，虽然不影响Unix系统，但是疯狂的扫描，导致网络资源严重消耗。

       下面提供3种安装方法：

l         在未连接到网络的时候安装Windows2000.这种方法使用CD安装。推荐使用的集成SP2的Windows 2000安装盘。默认的安装IIS是易受到攻击和入侵的，所以要保持没有连接到网络或者禁用网络连接，直到安装了SP2补丁和IIS的安全补丁包。

l         安装Windows 2000的时候使用一个unattend.txt的文件禁用IIS。Unattend.txt文件http://www.microsoft.com/technet/security/tools/unattend.txt 关于如何使用该文件,请参阅asp">http://www.microsoft.com/windows2000/techinfo/reskit/dpg/default.asp 的Chapter 13 - Automating Server Installation and Upgrade （Server的自动安装和更新）

l         如果要连接的网络是安全的，那么安装的时候，可以连接到网络。

 

第二步:进一步配置系统安全

 

第一步结束以后，我们可以启动Windows 2000,接着我们就要进一步的使Windows 2000更加安全。根据你第一部是选择哪一种方式安装的，以下的步骤我们可以跳过一部分。

l         安装最新的Service Pack,然后根据自己的需要安装最新的Hotfix。

l         你可以选择以下几种方法使IE更加安全：     

¨         保持Internet Explorer 5.01 SP2，该IE补丁包包括在SP2里面，安装SP2以后，Internet Explorer 5.01自动升级到Internet Explorer 5.01 SP2。

¨         如果你想使用新版本IE的功能，安装Internet Explorer 5.5 SP2。

¨         如果你想使用新版本IE的功能，安装Internet Explorer 6.0或者更新的版本(推荐)。

 

l         如果你想启用IIS的话，推荐:安装IIS安全包 http://www.microsoft.com/Downloads/Release.asp?ReleaseID=32011，注意：在未安装结束IIS安全升级包之前，要确保IIS服务没有运行，如果IIS服务运行，要确保没有连接到网络。

 

第三步:继续配置系统的安全

请参阅Microsoft给出的安全检测列表。

Microsoft Internet Information Services 5 Security Checklist
-〉（http://www.microsoft.com/technet/security/tools/iis5cl.asp）

Microsoft Windows 2000 Server Security Checklist
-〉http://www.microsoft.com/technet/security/tools/w2ksvrcl.asp

Microsoft Windows 2000 Professional Security Checklist

-〉http://www.microsoft.com/technet/security/tools/w2kprocl.asp

 

第四步:配置IIS的安全

经过上面的三步，你现在已经拥有了一个比较安全的系统了。Web Server 和 80端口最易受到攻击，微软提供了几个工具。如果你有IIS服务的话，那么请进行这一步。

 

l         运行URLSCAN.EXE安全工具
urlscan 筛选所有对本地IIS的请求，并且只允许符合管理员设置的规则的请求通过。该工具允许管理员过滤请求的字符串的长度，字符集，内容和其他一些因素。
微软提供了一个默认的规则，用户可以根据自己的需要定制过滤规则。

l         运行IIS 锁定向导 IISlockdown.exe
该工具允许你立刻配置IIS4.0或者IIS5.0的安全性。它提供两种模式：快速方式和高级模式。该工具还有撤销功能。

 

第五步:继续完善系统的安全性

       您的系统当前已经很安全了，但是为了防止新形势的攻击，第五步会使您的系统会更加安全。

 

l         使用Hfnetchk工具对当前系统的安全补丁进行评估，包括Internet Information Services 5.0, SQL Server 7.0, SQL Server 2000 (包括 Microsoft Data Engine [MSDE]), 和 Internet Explorer 5.01 或更新的版本。.
运行Hfnetchk工具，生成的结果显示一些安全补丁没有安装。这是正确的和预期   的结果。该结果仅仅提供如何开始安装的一个标准。并且建议你按照一些必要的步骤确保所有重要的安全补丁包已经安装。在每一次安装完安全补丁以后，重新运行一次该工具，确保所有的补丁包已经安装。

l         订阅Microsoft Security Notification Service（发封邮件到securbas@microsoft.com），这是一个免费的邮件，可以经常收到微软的最新公告。以确保最早得到微软的安全信息。

l         使用Windows Update站点，查看最新的微软推荐的安全补丁包。

l         下载Windows Critical update Notification 3.0 tool，该工具主要用来当微软发布新的安全补丁包的时候，该工具会通知你微软发布了最新的安全补丁。

l         下载Qchain tool,这个工具可以让你在一次要安装多个补丁包的时候只需要重启一次就可以了。

 

相信经过以上的这些配置，您的系统会更加安全。

 

第三部分 IIS和Windows 2000的安全检测列表

IIS安全检测列表

该检测列表列出了一些好的建议和最好的操作，用来配置IIS5.0的安全。

该检测列表被分成以下几个部分:

l         主要的安全考虑事项

l         Windows 2000安全考虑事项

l         IIS5安全考虑事项

 

 

主要的安全考虑事项

 

订阅微软最新的安全公告

为了能及时获取微软的最新的安全公告，请订阅Microsoft Security Notification Service。详细内容请看
http://www.microsoft.com/technet/security/bulletin/notify.asp

订阅之后你能自动收到微软最新的安全公告。

另外，你也可以在桌面上建立一个微软安全顾问程序的快捷方式。具体步骤如下：

1.         打开IE浏览器。

2.         访问http://www.microsoft.com/technet/security/bulletin/notify.asp 。

3.         添加到收藏夹。

4.         选上“允许脱机使用”。

5.         点击自定义。

6.         在脱机收藏夹向导中点击下一步。

7.         选择“是”，然后选择下载与该页连接的“2”层网页。

8.         点击下一步。

9.         选择创建新的计划，点击下一步。

10.     同意默认的设置，点击下一步。

11.     点击完成。

12.     点击确定。

13.     选择要创建该收藏地址的收藏夹。

14.     在收藏夹中选择Microsoft TechNet快捷方式。

15.     点击属性。

16.     点击属性中的下载选项卡。

17.     取消“跟踪本Web站点之外的连接”的选定。

18.     点击确定然后关闭。

你可以把该快捷方式拖到桌面上。

 

Windows 2000安全考虑事项

配置更新Hisecweb.inf安全模版

微软提供了一个叫做Hisecweb.inf的安全模版，适应于大多说安全的站点。该模版配置了基础的Windows 2000 系统的策略。

Hisecweb.inf 可以在下面的地址下载到：

http://download.microsoft.com/download/win2000srv/SCM/1.0/NT5/EN-US/hisecweb.exe

 

使用该模版需要执行以下几个步骤：

1．把该模版拷贝到%windir%\security\templates 目录。

2．打开安全模版工具，大致的查看一下当前的设置。

3．打开安全配置和分析工具，载入该模版。

4．右健单击安全配置和分析工具，选择立即分析计算机。

5．等待。

6．查看一下结果，更新该模版。

7．一旦你想使用该模版，在安全配置和分析工具里面选择立即配置计算机。

 

配置IPSec策略

你应该认真的考虑在每台Web服务器上配置一个IPsec包过滤策略。如果你的防火墙被突破，该策略提供一个额外级别的安全。考虑多级别的安全技术是一个很好的习惯。

大体上来说，你应该拒绝所有TCP/IP协议除了那些你必须要提供的和你想打开的端口。你可以使用Ipsec管理工具和Ipsecpol命令行工具来配置Ipsec策略。

 

安全配置Telnet服务器

如果你打算使用Windows 2000的Telnet 服务，你必须考虑限制哪些用户访问该服务。要做到这一点，执行下列步骤：

1．打开本地用户和用户组工具。

2．右健点击组节点，创建一个新的用户组。

3．在组名输入TelnetClients。

4．单击添加，并且添加允许访问Telnet服务的用户到该组。

5．点击创建并且关闭。

6．如果TelnetClients组存在的话，Telnet服务将只允许该组内的成员访问该服务。

 

在TCP/IP上禁止NetBIOS

防止攻击者执行Netbios适配器状态命令，以便达到可以查看当前登陆的用户。在网络连接上禁用Netbios.

1．  点击开始，点击设置，点击网络和拨号属性。

2．  右健点击本地连接，选择属性。

3．  查看TCP/IP的属性，选择高级。

4．  选择Wins选项卡。

5．  选择禁用TCP/IP上的NetBIOS。

 

警告:在禁用NetBIOS之前，管理员必须确保禁用NetBIOS不会影响该服务器的网络管理和其他用用程序。

 

IIS5安全考虑事项

 

在虚拟目录上设置合适的ACL

请参看下表进行设置。

文件类型
 ACL(访问控制列表)
 
CGI (.exe, .dll, .cmd, .pl)
 Everyone (X)
Administrators (Full Control)
System (Full Control)
 
Script files (.asp)
 Everyone (X)
Administrators (Full Control)
System (Full Control)
 
Include files (.inc, .shtm, .shtml)
 Everyone (X)
Administrators (Full Control)
System (Full Control)
 
Static content (.txt, .gif, .jpg, .html)
 Everyone (R)
Administrators (Full Control)
System (Full Control)
 

 

推荐文件类型的默认ACL

如果你不想未没个文件都设置ACL的话，你最好为每种类型的文件创建新的目录，为该目录统一设定ACL，并且允许该目录下面的文件继承目录的ACL。

举个例子，如下：

l         c:\inetpub\wwwroot\myserver\static (.html)

l         c:\inetpub\wwwroot\myserver\include (.inc)

l         c:\inetpub\wwwroot\myserver\script (.asp)

l         c:\inetpub\wwwroot\myserver\executable (.dll)

l         c:\inetpub\wwwroot\myserver\images (.gif, .jpeg)

同样，下面两个目录需要特别的注意:

l         c:\inetpub\ftproot (FTP server)

l         c:\inetpub\mailroot (SMTP server)

给IIS日志文件设置合适的ACL

确保IIS的日志文件(%systemroot%\system32\logfiles)的ACL如下：

l         Administrators (Full Control)

l         System (Full Control)

l         Everyone (RWC)

 

启用日志

如果你想检测您的服务器是否被攻击，启动日志功能。应该使用W3C扩展日志格式，具体步骤如下:

1.打开Internet 服务管理器。

2.右键点击站点，选择属性。

3.选择Web站点选项卡。

4.选定启用日志纪录。

5.选择活动日志格式为W3c扩充日志文件格式。

6.点击属性。

7.选择扩充的属性选项卡，设置一下属性：

l         Client IP Address

l         User Name

l         Method

l         URI Stem

l         HTTP Status

l         Win32 Status

l         User Agent

l         Server IP Address

l         Server Port

 

当单独的一台服务器上面拥有多个站点的时候，后面的两个属性非常重要。

Win32状态属性用来调试。当你检查日志的时候，发现错误代码5，代表着访问被拒绝。如果你想查看其他的Win32错误代码的意思的时候，在命令行里面输入net helpmsg err。例如:

C:\Documents and Settings\Administrator>net helpmsg 1

功能错误。

C:\Documents and Settings\Administrator>net helpmsg 2

系统找不到指定的文件。

C:\Documents and Settings\Administrator>net helpmsg 3

系统找不到指定的路径。

C:\Documents and Settings\Administrator>net helpmsg 4

系统无法打开文件。

C:\Documents and Settings\Administrator>net helpmsg 5

拒绝访问。

 

 

 

禁用或删除所有的Samples程序

在安装IIS的时候，可以选择安装不安装Samples程序的，如果你已经安装了，可以删除。现在很多的Windows 2000默认安装的时候，都有这些Samples的。如果有的话，尽量禁用或者删除。

下表列出了一些默认的Samples:

Sample
 虚拟目录
 位置
 
IIS Samples
 \IISSamples
 c:\inetpub\iissamples
 
IIS Documentation
 \IISHelp
 c:\winnt\help\iishelp
 
Data Access
 \MSADC
 c:\program files\common files\system\msadc
 

 

 

禁用或移除不需要的COM组件

如果一些COM组件不需要的话，应该移除。例如:FSO(File System Object)控件，国内的很多虚拟主机提供商已经禁用了FSO控件。因为这个可能导致很大的安全问题，如果你确定不需要FSO的话，尽量删除。

有很多软件和程序需要FSO控件，例如Site Server 3.0。如果删除了FSO，那么Site Server 3.0将不能正常运行。

使用Regsvr32 scrrun.dll /u 可以删除FSO控件。

删除不需要的脚本映射

       IIS提供了很多文件映射例如.asp和.shtm等等文件类型。当IIS接收到这些文件类型中的一种文件的请求的时候，系统调用DLL处理。如果你不需要这些映射和功能的时候，最好删除这些映射。步骤如下:

       1.打开Internet 信息服务管理器

2.选择一个站点,右键点击该站点，选择属性

3.然后选择主目录

4.点击配置按钮

下表列出了一些不需要的映射:

如果你不需要该功能
 删除该映射
 
Web-based password reset
 .htr
 
Internet Database Connector (all IIS 5 Web sites should use ADO or similar technology)
 .idc
 
Server-side Includes
 .stm, .shtm and .shtml
 
Internet Printing
 .printer
 
Index Server
 .htw, .ida and .idq
 

 

 

禁用父路径

改选项允许程序里面的Mappath调用”..”,默认的设置该选项是起用的。如果你没有必要用到这个功能的话，禁用该选项。

步骤如下:

1.       打开Internet 信息服务管理器

2.       选择主目录选项卡

3.       点击配置按钮

4.       选择应用程序选项卡

5.       取消启用父路径

 

在ASP程序中检查<form>和查询语句

很多时候的漏洞不是服务所导致的，而是人为的，由于ASP程序编写的问题导致安全的问题，已经有很多了。