WIN2000服務器安全配置(二)_Windows教程

三、 安全配置WIN2000 SERVER
    即使正確的安裝了WIN2000 SERVER，系統還是有很多的漏洞，還需要進一步進行細致地配置。
    1．端口：端口是計算機和外部網絡相連的邏輯接口，也是計算機的第一道屏障，端口配置正確與否直接影響到主機的安全，一般來說，僅打開你需要使用的端口會比較安全，配置的方法是在網卡屬性-TCP/IP-高級-選項-TCP/IP篩選中啟用TCP/IP篩選，不過對于win2000的端口過濾來說，有一個不好的特性：只能規定開哪些端口，不能規定關閉哪些端口，這樣對于需要開大量端口的用戶就比較痛苦。
    2．IIS：IIS是微軟的組件中漏洞最多的一個，平均兩三個月就要出一個漏洞，而微軟的IIS默認安裝又實在不敢恭維，所以IIS的配置是我們的重點，現在大家跟著我一起來：
首先，把C盤那個什么Inetpub目錄徹底刪掉，在D盤建一個Inetpub（要是你不放心用默認目錄名也可以改一個名字，但是自己要記得），在IIS管理器中將主目錄指向D:\Inetpub；
    其次，那個IIS安裝時默認的什么scripts等虛擬目錄一概刪除（罪惡之源呀，忘了？我們雖然已經把Inetpub從系統盤挪出來了，但是還是小心為上），如果你需要什么權限的目錄可以自己慢慢建，需要什么權限開什么（特別注意寫權限和執行程序的權限，沒有絕對的必要千萬不要給）。
    第三，應用程序配置：在IIS管理器中刪除必須之外的任何無用映射，必須指的是ASP，ASA和其他你確實需要用到的文件類型，例如你用到stml等（使用server side include），實際上90%的主機有了上面兩個映射就夠了，其余的映射幾乎每個都有一個凄慘的故事：htw, htr, idq, ida……想知道這些故事？去查以前的漏洞列表吧。什么？找不到在哪里刪？在IIS管理器中右擊主機->屬性->WWW服務編輯->主目錄->配置->應用程序映射，然后就開始一個個刪吧（里面沒有全選的，嘿嘿）。接著在剛剛那個窗口的應用程序調試書簽內將腳本錯誤消息改為發送文本（除非你想ASP出錯的時候用戶知道你的程序/網絡/數據庫結構）錯誤文本寫什么？隨便你喜歡，自己看著辦。點擊確定退出時別忘了讓虛擬站點繼承你設定的屬性。
    為了對付日益增多的cgi漏洞掃描器，還有一個小技巧可以參考，在IIS中將HTTP404 Object Not Found出錯頁面通過URL重定向到一個定制HTM文件，可以讓目前絕大多數CGI漏洞掃描器失靈。其實原因很簡單，大多數CGI掃描器在編寫時為了方便，都是通過查看返回頁面的HTTP代碼來判斷漏洞是否存在的，例如，著名的IDQ漏洞一般都是通過取1.idq來檢驗，如果返回HTTP200，就認為是有這個漏洞，反之如果返回HTTP404就認為沒有，如果你通過URL將HTTP404出錯信息重定向到HTTP404.htm文件，那么所有的掃描無論存不存在漏洞都會返回HTTP200，90%的CGI掃描器會認為你什么漏洞都有，結果反而掩蓋了你真正的漏洞，讓入侵者茫然無處下手（武俠小說中常說全身漏洞反而無懈可擊，難道說的就是這個境界）？不過從個人角度來說，我還是認為扎扎實實做好安全設置比這樣的小技巧重要的多。
    最后，為了保險起見，你可以使用IIS的備份功能，將剛剛的設定全部備份下來，這樣就可以隨時恢復IIS的安全配置。還有，如果你怕IIS負荷過高導致服務器滿負荷死機，也可以在性能中打開CPU限制，例如將IIS的最大CPU使用率限制在70%。