構建Win 2000伺服器的安全防護林

[Point=70]<SPAN class=bold><SPAN class=smalltxt><b><FONT size=2>構建Win 2000伺服器的安全防護林<BR><BR></FONT></b></SPAN></SPAN>中小學校的校園網普遍應用Windows 2000作為伺服器的作業系統，但有些學校剛開始運行就遭到網路黑客的攻擊，造成網路崩潰。那麼，安全問題怎麼解決？其實不需要任何的軟硬體的介入，僅靠系統本身我們就能構建一個安全防護林。 <BR><BR>　　設置禁用，構建第一道防線 <BR><BR>　　在安裝完Windows 2000後，首先要裝上最新的系統補丁。但即使裝上了，在網際網路上的任何一台機器上只要輸入“\\你的IP位址\c$”，然後輸入用戶名Guest，密碼空，就能進入你的C盤，你還是完全暴露了。解決的方法是禁用Guest帳號，為Administrator設置一個安全的密碼，將各驅動器的共用設為不共用。同時你還要關閉不需要的服務。你可以在管理工具的服務中將它們設置為禁用，但要提醒的是一定要慎重，有的服務是不能禁用的。一般可以禁用的服務有Telnet、Task Scheduler（允許程式在指定時間運行）、Remote Registry Service（允許遠端註冊表操作）等。這是你構建的伺服器的第一道防線。 <BR><BR>　　設置IIS，構建第二道防線 <BR><BR>　　作為校園網的伺服器，很多學校將該伺服器同時作為網站伺服器，而IIS的漏洞也是一個棘手的問題。實際上，你可以通過簡單的設置，完全可以將網站的漏洞補上。你可以將IIS默認的服務都停止（如下圖，FTP服務你是不需要的，要的話筆者推薦用Serv-U；“管理Web站點”和“默認Web站點”都會給你帶來麻煩；SMTP一般也不用），然後再新建一個Web站點。 <BR><BR><BR><BR>設置好常規內容後，在“屬性→主目錄”的配置中對應用程式映射進行設置，刪除不需要的映射，這些映射是IIS受到攻擊的直接原因。如果你需要CGI和PHP的話，可參閱一些資料進行設置。 <BR><BR><BR><BR>這樣，配合常規設置，你的IIS就可以安全運行了，你的伺服器就有了第二道防線。 <BR><BR>　　運用掃描程式，堵住安全漏洞 <BR><BR>　　要做到全面解決安全問題，你需要掃描程式的幫助。筆者推薦使用X-Scan，它可以幫助你檢測伺服器的安全問題。 <BR><BR><BR><BR>掃描完成後，你要看一下，是否存在口令漏洞，若有，則馬上要修改口令設置；再看一下是否存在IIS漏洞，若有，請檢查IIS的設置。其他漏洞一般很少存在，我要提醒大家的是注意開放的埠，你可以將掃描到的埠記錄下來，以方便進行下一步設置。 <BR><BR>　　封鎖埠，全面構建防線 <BR><BR>　　黑客大多通過埠進行入侵，所以你的伺服器只能開放你需要的埠，那麼你需要哪些埠呢？以下是常用埠，你可根據需要取捨： <BR><BR>　　80為Web網站服務；21為FTP服務；25 為E-mail SMTP服務；110為Email POP3服務。 <BR><BR>　　其他還有SQL Server的埠1433等，你可到網上查找相關資料。那些不用的埠一定要關閉！關閉這些埠，我們可以通過Windows 2000的安全策略進行。 <BR><BR>借助它的安全策略，完全可以阻止入侵者的攻擊。你可以通過“管理工具→本地安全策略”進入，右擊“IP安全策略”，選擇“創建IP安全策略”，點[下一步]。輸入安全策略的名稱，點[下一步]，一直到完成，你就創建了一個安全策略： <BR><BR><BR><BR>接著你要做的是右擊“IP安全策略”，進入管理IP篩選器和篩選器操作，在管理IP篩選器列表中，你可以添加要封鎖的埠，這裏以關閉ICMP和139埠為例說明。 <BR><BR>　　關閉了ICMP，黑客軟體如果沒有強制掃描功能就不能掃描到你的機器，也Ping不到你的機器。關閉ICMP的具體操作如下：點[添加]，然後在名稱中輸入“關閉ICMP”，點右邊的[添加]，再點[下一步]。在源位址中選“任何IP位址”，點[下一步]。在目標位址中選擇“我的IP位址”，點[下一步]。在協議中選擇“ICMP”，點[下一步]。回到關閉ICMP屬性視窗，即關閉了ICMP。 <BR><BR>　　下面我們再設置關閉139，同樣在管理IP篩選器列表中點“添加”，名稱設置為“關閉139”，點右邊的“添加”，點[下一步]。在源位址中選擇“任何IP位址”，點[下一步]。在目標位址中選擇“我的IP位址”，點[下一步]。在協議中選擇“TCP”，點[下一步]。在設置IP協議埠中選擇從任意埠到此埠，在此埠中輸入139，點[下一步]。即完成關閉139埠，其他的埠也同樣設置，結果如圖： <BR><BR><BR><BR>特別指出的是關閉UDP4000可以禁止校園網中的機器使用QQ <BR><BR>然後進入設置管理篩選器操作，點“添加”，點[下一步]，在名稱中輸入“拒絕”，點[下一步]。選擇“阻止”，點[下一步]。結果如圖： <BR><BR><BR><BR>然後關閉該屬性頁，右擊新建的IP安全策略“安全”，打開屬性頁。在規則中選擇“添加”，點[下一步]。選擇“此規則不指定隧道”，點[下一步]。在選擇網路類型中選擇“所有網路連接”，點[下一步]。在IP篩選器列表中選擇“關閉ICMP”，點[下一步]。在篩選器操作中選擇“拒絕”，點[下一步]。這樣你就將“關閉ICMP”的篩選器加入到名為“安全”的IP安全策略中。同樣的方法，你可以將“關閉139”等其他篩選器加入進來。添加後的結果如圖： <BR><BR><BR><BR>最後要做的是指派該策略，只有指派後，它才起作用。方法是右擊“安全”，在功能表中選擇“所有任務”，選擇“指派”。IP安全設置到此結束，你可根據自己的情況，設置相應的策略。 <BR><BR>　　設置完成後，你可再用X-Scan進行檢查，發現問題再補上。 <BR><BR>　　通過以上的設置，你的Windows 2000伺服器可以說是非常安全了。希望你早日築起伺服器的安全防護林。 <BR><BR>[/Point]

速度第二，安全第一