Windows 2000 Server的安全性真的就那么差劲吗？No！说到底，安全的关键还是在于人的因素。如果配置得当，Windows 2000 Server的还是相当安全的。

    那么，Windows 2000 Server 的安全配置如下：

    首先要说明的一点是，世界上没有绝对的安全，我们的目标是达到如下的安全级别：除了那些坚定的并且熟练的黑客外，能够阻止绝大多数黑客访问系统。

    由于文章比较长，所以，我有必要在一开头的时候，向大家介绍一下本文的结构

    ·版本的选择问题

    ·安装，及其过程中应该注意的9个问题

    ·简单地做一些基本配置

    ·安装一些组件（如IIS）并做进一步的配置

    ·更进一步的配置（18个需要主要注意的地方）

    ·考虑物理安全性

    一、版本的选择问题：

    选择合适的版本是安装配置Windows 2000的第一步。

    国内的大多数使用者，因为不习惯英文界面的操作，而选择安装了Windows 2000 Server中文版。但是殊不知，从这第一步开始，就已经埋下了安全隐患。为什么这么说呢？大家都知道， 微软一向是以Bug和Patch着称的，过不了几天，就会有一个新的漏洞“问世”，紧跟着，微软就会发布相应的补丁。当然，首先发布的是英文版的补丁，而其他语言版本的补丁一般会延迟一段时间，在这一段时间里，我们的机器对攻击者来说，是赤裸裸的，任人宰割。

    所以，我强烈地建议大家尽量地安装英文版。

    还有一点，无论是什么语言版本，请不要安装任何Beta版本，因为大多数的Beta版本的操作系统都含有严重的安全缺陷。

    二、安装

    1、系统要求

    首先，我们一起来看看Windows 2000 Server对系统的要求：

    133MHz或更高的Pentium兼容的CPU；

    至少有256MB的RAM（也支持128MB；最大支持4GB ）；

    2GB的硬盘，至少有1.0GB的空闲空间（如果你是通过网络进行安装将需要额外的硬盘空间）；

    Windows 2000 Server最多支持在一台机器上有4个CPU ；

    VGA分辨率，或者更高档次分辨率的监视器；

    CD-ROM驱动器，推荐12速或者更快的速度；

    如果计算机不支持从光盘启动安装程序，则还要求有高密度的3.5寸软盘；

    如果从网络安装，需要一个或多个与Windows 2000 Server 兼容的网卡和相关的电缆。

[page]　　还有一点需要注意的是，在安装之前，最好确认一下你的硬件是否属于Windows 2000 Server的硬件兼容性列表（HCL）范围内，这是因为，微软只对那些列在Windows 2000 HCL中的设备提供经过测试的驱动程序。如果使用了没有列在HCL中的硬件，在安装过程中，或者安装之后， 可能会引发一些问题。

    2、实现途径

    实现Windows2000 Server 不外乎两种途径。一种是全新安装，另一种是从其他版本的Windows升级（Windows NT Server3.51或Windows NT Server4.0）。

    但是，为了避免升级以后带来的种种问题，建议执行全新安装。

    3、分区的问题

    有些人在装系统的时候偷懒，只做一个分区，直接安装系统。这样做会带来很大的风险，例如：只有一个分区的话，万一发生IIS缓冲区溢出会直接威胁到系统的安全。

    建议至少3个分区，最好是4个。如C，D，E，F

    C盘装系统，2G以上的空间，D盘装IIS，E为FTP，F盘放一些重要的数据。

    4、文件格式问题

    Windows 2000 Server 既支持FAT格式，也支持NTFS格式。但是我们建议采用NTFS格式，为什么呢？因为NTFS格式比FAT格式多了安全控制功能，可以对不同的文件，文件夹设置不同的访问权限，并且可以启用EFS（Encrypt File System）来加密文件，这样就只有授权用户才可以访问，从而提高安全性。而且最好在安装过程中，根据系统提示格式化成NTFS分区，而不要先安装成 FAT格式再转化为NTFS格式，因为这样做在有些情况下会导致转化不成功，导致数据的丢失，甚至系统崩溃。

    One coin has two side。NTFS也有它不理的方面---<1>目前大多数反病毒软件没有提供对软盘启动后NTFS分区病毒的查杀，这样一旦系统中了恶性病毒而导致系统不能正常启动，后果会比较严重，因此我们平时做好防病毒工作。<2>ADSs（NTFS交换数据流）是NTFS的一个特征，它是为了和HFS兼容而设计的。可是由于比较难于被发觉，所以对于管理员来说是一种危险，29A的Bennie和Ratter已经发布了一种叫做 W2K.Stream病毒，这个病毒就是利用ADSs的。更多的关于NTFS交换数据流的文章请参看：http://go.6to23.com /securityart/ta/ntfs.htm

    5、多系统的问题

    强烈建议，作为服务器的机器上只安装一个操作系统。因为，安装两个或两个以上的操作系统，会给黑客创造更多的机会。有心的攻击者可能会用DDOS攻击或其他手段，成功地让你系统重启，并进入另一个安全配置较差或根本没配置过的系统，从而击败你的系统。

    6、安装时的网络连接问题

    Win2000在安装时存在这样一个问题，当我们输入Administrator的密码之后，系统就建立了ADMIN$的共享，但是你刚刚输入的密码并没有“生效”，这种情况一直持续到系统再次启动，也就是说，在重启之前的这个过程中，任何人都可以通过ADMIN$进入机器。

    所以，在做完基本的安全配置之前，请不要连入网络。因为这个时候，真的可以说是“人为刀趄，我为鱼肉”。

    7、修改默认路径

    我们都知道，Windows 2000 的默认路径为（假如C是系统盘）C:Winnt，我们可以修改为C:win03478，等无规律的名称。这样也在一定程度上加强了对系统的保护。

    8、安装过程中的组件选择问题

    <1> 在Windows 2000 Server 中，IIS是默认安装的（而在即将发布的Windows Server 2003中，IIS6.0默认是不被安装的。这就好象在你的机子上开了一扇大门。所以，我们应该对IIS做一些基本的安全配置，而其中的第一步，就是修改默认安装路径路径，把它从系统所在的分区“ 搬”出去，但是，在安装过程中，如果选择默认安装IIS，我们是没法修改路径的。（除非通过自动安装安装脚本的设置可以改变路径）

    所以， 我们这个时候去掉IIS前面的勾，不安装IIS。

    <2>其他组件。对于一般的Web服务，以下几个服务是不必要的，而且是极其危险的，应该慎重对待：Indexing Service, FrontPage 2000 Server Extensions, Internet Service Manager （HTML）。

    9、补丁的安装时间

    补丁的安装应该在安装完所有需要的组件和应用程序以后，这是因为补丁程序往往要替换或者修改一些系统文件，如果先安装补丁再安装应用程序有可能导致补丁无效。

    Windows 2000 Server的安全配置就为大家介绍完了，希望大家已经掌握，就按照如上所述的步骤操作，相信你可以完成的。

第三十五届CIO班招生
国际CIO认证培训
首席数据官（CDO）认证培训

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。