163-系统的安装.pptVIP

一、系统的安装 1、不要选择从网络上安装 2、要选择NTFS格式来分区 　　最好所有的分区都是NTFS格式，因为NTFS 格式的分区在安全性方面更加有保障。就算其他 分区采用别的格式(如FAT32)，但至少系统所在 的分区中应是NTFS格式。 另外，应用程序不要和系统放在同一个分 区中，以免攻击者利用应用程序的漏洞(如微软 的IIS的漏洞)导致系统文件的泄漏，甚至让入侵 者远程获取管理员权限。 3、系统版本的选择 WIN2000有各种语言的版本，对于我们来 说，可以选择英文版或简体中文版，我强烈建 议：在语言不成为障碍的情况下，请一定使用 英文版。要知道，微软的产品是以Bug Patch而著称的，中文版的Bug远远多于英文 版，而补丁一般还会迟至少半个月（也就是说 一般微软公布了漏洞后你的机子还会有半个月 处于无保护状况） 4、组件的定制 win2000在默认情况下会安装一些常用的组件， 但是正是这个默认安装是很危险的，你应该确切 的知道你需要哪些服务，而且仅仅安装你确实需 要的服务，根据安全原则，最少的服务+最小的权 限=最大的安全。典型的WEB服务器需要的最小组 件选择是：只安装IIS的Com Files，IIS Snap-In， WWW Server组件。如果你确实需要安装其他组件， 请慎重，特别是：Indexing Service, FrontPage 2000 Server Extensions, Internet Service Mana ger (HTML)这几个危险服务。 5、分区和逻辑盘的分配 建议最少建立两个分区，一个系统分区，一 个应用程序分区，这是因为，微软的IIS经常会有 泄漏源码/溢出的漏洞，如果把系统和IIS放在同 一个驱动器会导致系统文件的泄漏甚至入侵者远 程获取ADMIN。推荐的安全配置是建立三个逻辑 驱动器，第一个大于2G，用来装系统和重要的日 志文件，第二个放IIS，第三个放FTP，这样无论 IIS或FTP出了安全漏洞都不会直接影响到系统目 录和系统文件。 6、安装杀毒软件。 杀毒软件不仅能杀掉一些著名的病毒，还能 查杀大量木马和后门程序，因此一定要运行杀毒 程序并把它设为开机自动运行，并注意经常升级 病毒库。 7、安装防火墙。 8、安装系统补丁。 到微软网站下载必威体育精装版的补丁程序：经 常访问微软和一些安全站点，下载必威体育精装版的 Service Pack和漏洞补丁，是保障服务器 长久安全的惟一方法。 9、安装顺序的选择 首先，何时接入网络： Win2000在安装时的ADMIN$的共享的漏洞； 同时，只要安装一完成，各种服务就会自动运行， 而这时的服务器是满身漏洞，非常容易进入的， 因此，在完全安装并配置好Win2000 SERVER之 前，一定不要把主机接入网络。 其次，补丁的安装：补丁的安装应该在 所有应用程序安装完之后因为补丁程序往往要 替换/修改某些系统文件，如果先安装补丁再 安装应用程序有可能导致补丁不能起到应有的 效果，例如：IIS的HotFix就要求每次更改IIS 的配置都需要安装。 二、系统的安全设置 1、用户安全设置 1)、禁用Guest账号 　　在计算机管理的用户里面把Guest账号禁用。为了保险起见，最好给Guest加一个复杂的密码。 2)、限制不必要的用户 　　去掉所有的Duplicate User用户、测试用户、共享用户等等。用户组策略设置相应权限，并且经常检查系统的用户，删除已经不再使用的用户。 3)、创建两个管理员账号 　　创建一个一般权限用户用来收信以及处理一些日常事物，另一个拥有Administrators权限的用户只在需要的时候使用。 4)、把系统Administrator账号改名 　　大家都知道，Windows 2000的Administrator用户是不能被停用的，这意味着别人可以一遍又一遍地尝试这个用户的密码。尽量把它伪装成普通用户，比如改成Guesycludx。 5)、创建一个陷阱用户 　　什么是陷阱用户?即创建一个名为“Adminis trator”的本地用户，把它的权限设置成最低，什 么事也干不了，加上一个超过10位的 超级复杂密码。这样可以让想入侵的人慢慢忙一 段时间。 6)、把共享文件的权限从Everyone组改成授权用户不要把共享文件的用户设置成“Everyone”组，包括打印共享，默认的属性就是“Everyone”组的。 7)、开启用户策略 （不建议） 　　使用用户策略，分别设置复位用户锁定计数器时间为20分钟，用户锁定时间为20分钟，用户锁定阈值为3次。 8)、不让系统显示上次登录的用户名 （可选） 打开注册表编辑器并找到注