Windows 2000 Server操作簡單，易于管理，但是，微軟同時面臨的是大家對其產品安全性的指責，埋怨，那么，Windows 2000 Server的安全性真的就那么差勁嗎？No！說到底，安全的關鍵還是在于人的因素。如果配置得當，Windows 2000 Server的還是相當安全的。

那么，Windows 2000 Server 的安全配置如下：

首先要說明的一點是,世界上沒有絕對的安全，我們的目標是達到如下的安全級別：除了那些堅定的并且熟練的黑客外，能夠阻止絕大多數黑客訪問系統(tǒng)。

（正式展開之前的4點聲明：

1，Windows 2000 Server的安全配置是一個很大的課題，由于本人的水平和經驗所限，可能錯誤多多，希望大家指教，大家一起探討；愿意和我交流的朋友可以到ITSwww.itaq.org討論，也可以到我的主頁去留www.SecurityArt.net

2，本文如果能對你提供些許幫助，將是我莫大的榮耀，也是對我最好的表揚和鼓勵。

3，本文的寫作過程中，參考了大量相關資料，在此，對其作者表示衷心的感謝！

4，謹以此文送給我的女朋友“珍珠豬”，感謝她在我最困難的時候對我的信任，支持和幫助。祝她在國外的這些日子里，天天快樂）

由于文章比較長，所以，我有必要在一開頭的時候，向大家介紹一下本文的結構

·版本的選擇問題

·安裝，及其過程中應該注意的9個問題

·簡單地做一些基本配置

·安裝一些組件（如IIS）并做進一步的配置

·更進一步的配置（18個需要主要注意的地方）

·考慮物理安全性

一，版本的選擇問題：

選擇合適的版本是安裝配置Windows 2000的第一步。

國內的大多數使用者，因為不習慣英文界面的操作，而選擇安裝了Windows 2000 Server中文版。但是殊不知，從這第一步開始，就已經埋下了安全隱患。為什么這么說呢？大家都知道， 微軟一向是以Bug和Patch著稱的， 過不了幾天，就會有一個新的漏洞“問世”，緊跟著，微軟就會發(fā)布相應的補丁。當然，首先發(fā)布的是英文版的補丁，而其他語言版本的補丁一般會延遲一段時間，在這一段時間里，我們的機器對攻擊者來說，是赤裸裸的，任人宰割。

所以，我強烈地建議大家盡量地安裝英文版。

還有一點，無論是什么語言版本，請不要安裝任何Beta版本，因為大多數的Beta版本的操作系統(tǒng)都含有嚴重的安全缺陷。

二，安裝

1,系統(tǒng)要求

首先，我們一起來看看Windows 2000 Server對系統(tǒng)的要求：

133MHz或更高的Pentium兼容的CPU；

至少有256MB的RAM（也支持128MB；最大支持4GB ）；

2GB的硬盤，至少有1.0GB的空閑空間（如果你是通過網絡進行安裝將需要額外的硬盤空間）；

Windows 2000 Server最多支持在一臺機器上有4個CPU ；

VGA分辨率，或者更高檔次分辨率的監(jiān)視器；

CD-ROM驅動器，推薦12速或者更快的速度；

如果計算機不支持從光盤啟動安裝程序，則還要求有高密度的3.5寸軟盤；

如果從網絡安裝，需要一個或多個與Windows 2000 server 兼容的網卡和相關的電纜。

還有一點需要注意的是，在安裝之前，最好確認一下你的硬件是否屬于Windows 2000 Server的硬件兼容性列表（HCL）范圍內，這是因為，微軟只對那些列在Windows 2000 HCL中的設備提供經過測試的驅動程序。如果使用了沒有列在HCL中的硬件，在安裝過程中，或者安裝之后， 可能會引發(fā)一些問題。

2，實現途徑

實現Windows2000 Server 不外乎兩種途徑。一種是全新安裝，另一種是從其他版本的Windows升級(Windows NT Server3.51或Windows NT Server4.0）。

但是，為了避免升級以后帶來的種種問題，建議執(zhí)行全新安裝。

3，分區(qū)的問題

有些人在裝系統(tǒng)的時候偷懶，只做一個分區(qū)，直接安裝系統(tǒng)。這樣做會帶來很大的風險，例如：只有一個分區(qū)的話，萬一發(fā)生IIS緩沖區(qū)溢出會直接威脅到系統(tǒng)的安全。

建議至少3個分區(qū)，最好是4個。如C，D，E，F

C盤裝系統(tǒng)，2G以上的空間，D盤裝IIS，E為FTP，F盤放一些重要的數據。

4,文件格式問題

Windows 2000 Server 既支持FAT格式，也支持NTFS格式。但是我們建議采用NTFS格式，為什么呢？ 因為NTFS格式比FAT格式多了安全控制功能，可以對不同的文件，文件夾設置不同的訪問權限，并且可以啟用EFS（Encrypt File System)來加密文件，這樣就只有授權用戶才可以訪問，從而提高安全性。而且最好在安裝過程中，根據系統(tǒng)提示格式化成NTFS分區(qū)，而不要先安裝成FAT格式再轉化為NTFS格式，因為這樣做在有些情況下會導致轉化不成功，導致數據的丟失，甚至系統(tǒng)崩潰。

One coin has two side。NTFS也有它不理的方面---<1>目前大多數反病毒軟件沒有提供對軟盤啟動后NTFS分區(qū)病毒的查殺，這樣一旦系統(tǒng)中了惡性病毒而導致系統(tǒng)不能正常啟動，后果會比較嚴重，因此我們平時做好防病毒工作。<2>ADSs（NTFS交換數據流）是NTFS的一個特征,它是為了和HFS兼容而設計的.可是由于比較難于被發(fā)覺,所以對于管理員來說是一種危險,29A的Bennie和Ratter已經發(fā)布了一種叫做W2K.Stream病毒,這個病毒就是利用ADSs的.更多的關于NTFS交換數據流的文章請參看：http://go.6to23.com/securityart/ta/ntfs.htm

5,多系統(tǒng)的問題

強烈建議，作為服務器的機器上只安裝一個操作系統(tǒng)。因為，安裝兩個或兩個以上的操作系統(tǒng)，會給黑客創(chuàng)造更多的機會。有心的攻擊者可能會用DDOS攻擊或其他手段，成功地讓你系統(tǒng)重啟，并進入另一個安全配置較差或根本沒配置過的系統(tǒng)，從而擊敗你的系統(tǒng)。

6,安裝時的網絡連接問題

Win2000在安裝時存在這樣一個問題，當我們輸入Administrator的密碼之后，系統(tǒng)就建立了ADMIN$的共享，但是你剛剛輸入的密碼并沒有“生效”，這種情況一直持續(xù)到系統(tǒng)再次啟動，也就是說，在重啟之前的這個過程中，任何人都可以通過ADMIN$進入機器。

所以，在做完基本的安全配置之前，請不要連入網絡。因為這個時候，真的可以說是“人為刀趄，我為魚肉”。

7，修改默認路徑

我們都知道，Windows 2000 的默認路徑為（假如C是系統(tǒng)盤）C:\Winnt，我們可以修改為C:\win03478，等無規(guī)律的名稱。這樣也在一定程度上加強了對系統(tǒng)的保護。

8,安裝過程中的組件選擇問題

<1> 在Windows 2000 server 中，IIS是默認安裝的（而在即將發(fā)布的Windows Server 2003中，IIS6.0默認是不被安裝的。更多關于Windows Server 2003安全性的介紹，請參考我的了另一篇文章http://go.6to23.com/SecurityArt/mya/win2003.htm） ，這就好象在你的機子上開了一扇大門。所以，我們應該對IIS做一些基本的安全配置，而其中的第一步，就是修改默認安裝路徑路徑，把它從系統(tǒng)所在的分區(qū)“搬”出去，但是，在安裝過程中，如果選擇默認安裝IIS，我們是沒法修改路徑的。（除非通過自動安裝安裝腳本的設置可以改變路徑）

所以， 我們這個時候去掉IIS前面的勾，不安裝IIS。

<2>其他組件。對于一般的Web服務，以下幾個服務是不必要的，而且是極其危險的，應該慎重對待：Indexing Service, FrontPage 2000 Server Extensions, Internet Service Manager (HTML)。

9，補丁的安裝時間

補丁的安裝應該在安裝完所有需要的組件和應用程序以后，這是因為補丁程序往往要替換或者修改一些系統(tǒng)文件，如果先安裝補丁再安裝應用程序有可能導致補丁無效。

Windows 2000 Server的安全配置就為大家介紹完了，希望大家已經掌握，就按照如上所述的步驟操作，相信你可以完成的。

【編輯推薦】

1. 基于令牌的分布式身份驗證
2. Windows Server 2008藍屏漏洞揭秘
3. Windows 2000 Server入侵監(jiān)測
4. 如何為Windows Server 2008配置NAP服務
5. 配置Windows Server 2008防火墻讓系統(tǒng)更安全