文档介绍:Windows2000服务器管理全攻略   [ 日期:2005-11-22 ]   [ 来自:leadbbs ]
netkey
Windows2000服务器管理全攻略
一直以来,很少在网络上看到关于windows服务器管理的全方面的文章,即使是在windows网络安全设置方面,虽然网络上有着不少的关于这个方面的话题,但是这些文章当中并没有完全彻底的贯彻“最少的服务+最小的权限=最大的安全”这一原则,笔者由于前段时间工作于一家虚拟主机提供商,因工作需要对此进行了深入的探索。本文所有的环境均是在windows 2000 adv server上测试,因此部分内容可能不适合于windows 2003系统,但是大部分内容是通用的。这里我们以虚拟主机为例来探讨。
第一部分 服务器安全设置
安装之前的准备工作
很多时候,一部分的安全问题在你将windows安装光盘放入光驱中的时候就已产生,所以,在安装之前我们必须做好一些必要的准备工作。主要包括安装源和物理介质的安全检查以及服务器的安全规划。这部分内容主要包括以下几个方面:
,这里所说的是指光盘内容没有经过第三方加以修改和光盘没有遭到物理损坏。对于刻录的安装光盘请确认你的源文件安全可靠,尽量使用集成了SP4的安装光盘,以减少后面打补丁的工作量。
,请尽量使用新硬盘,对于使用过的硬盘应先进行低级格式化。无论新旧硬盘需要确认硬盘本身没有遭受到病毒感染。
、服务等并准备好这些安装程序且确保这些安装程序没有任何问题,尽量使用官方提供的安装程序。规划好硬盘的分区以及各分区的功用。分区方案建议分四个分区,将系统存放在C盘,应用程序放在D盘,备份文件和一些重要的日志等放在E盘,用户站点等放在F盘中,尽可能少的向系统盘写入非系统文件以减少系统备份的工作量,至于各分区的容量视情况而定。不要安装任何多余的程序或组件,遵循“最少的服务+最小的权限=最大的安全”原则。
,对bios进行所需的相关设置,便可以进行安装了,如需要做raid,则需要在安装前完成raid的设置工作。安装时磁盘格式请务必使用NTFS格式,安装过程中请更改windows安装目录,避免使用默认的winnt目录,安装过程中的密码设置可在此处先简单设置一个熟悉的密码[此处不推荐使用空密码]。
安装过程中的安全问题
安装过程中需要注意的问题有以下几个方面:
,磁盘格式务必要使用NTFS格式,在安装过程中请更改windows安装目录,避免使用默认的winnt目录作为系统目录,安装过程中的密码设置可在此处简单设置一个密码,尽量不要使用空密码,尽管此时没有连接到网络,但是一些物理安全问题仍然要重视。
,对于不需要的组件或者所需要的组件中多余的部分一概舍弃不进行安装。服务管理器、world wide web服务器、公用文件三部分即可。对于这些组件、程序的安装一定要遵循“最少的服务+最小的权限=最大的安全”原则。
,安装完毕之后重新启动系统,安装完驱动程序后重新启动系统,接下来将安装所有必须的软件部分如winrar等。[如果部分应用软件需要到网络上下载请先做完后面的一些安全设置]
 
:对于所有的软件安装在规划的软件安装盘下,软件安装目录尽量不要用默认的Program Files目录,可以建立一个其他名称的目录放置应用程序。
安装后的服务器安全设置
安装好操作系统之后,不要急于连上网络,此时的系统安全是十分脆弱的,需要首先进行一些基本的设置。
:
打开“本地安全策略”,推荐设置如下:
密码策略设置为:启用密码必须符合复杂性要求,设置密码最小长度值为8,密码最长驻留期30天,最短0天,强制保留密码历史为5个记住的密码。
帐户锁定策略设置为:复位帐户锁定计数器设置为30分钟之后,帐户锁定时间为60分钟,帐户锁定阈值为3次无效登陆。
审核策略设置为:策略更改(成功、失败);登陆事件(成功、失败);对象访问(失败);目录服务访问(失败);特权使用(失败);系统事件(成功、失败);帐户登陆事件(成功、失败);帐户管理(成功、失败)。
用户权利指派中将拒绝从网络访问这台计算机中添加guest帐号。
安全选项中需要设置的有:
登陆屏幕不显示上次登陆的用户名
对匿名连接的额外限制更改为“不允许枚举SAM帐号和密码”
防止用户安装打印机驱动
禁止未签名驱动程序、非驱动程序的安装,禁止在未登陆前关机
设置只有本地登陆的用户才能访问CD-R