配置最安全的Win2000服务器目前，WIN2000SERVER是比较流行的服务器操作系统之一，但是要想HYPERLINK"http://www.enet.com.cn/eschool/includes/zhuanti/zt/anquan/2.shtml"\t"_blank"安全的配置微软的这个操作系统，却不是一件容易的事。本文试图对WIN2000SERVER的安全配置进行初步的探讨。一、定制自己的WIN2000SERVER1．版本的选择：WIN2000有各种语言的版本，对于我们来说，可以选择英文版或简体中文版，我强烈建议：在语言不成为障碍的情况下，请一定使用英文版。要知道，微软的产品是以Bug&Patch而著称的，中文版的Bug远远多于英文版，而补丁一般还会迟至少半个月（也就是说一般微软公布了HYPERLINK"http://www.enet.com.cn/eschool/includes/zhuanti/zt/anquan/2.shtml"\t"_blank"漏洞后你的机子还会有半个月处于无保护状况）2．组件的定制：win2000在默认情况下会安装一些常用的组件，但是正是这个默认安装是极度危险的（米特尼科说过，他可以进入任何一台默认安装的服务器，我虽然不敢这么说，不过如果你的主机是WIN2000SERVER的默认安装，我可以告诉你，你死定了）你应该确切的知道你需要哪些服务，而且仅仅安装你确实需要的服务，根据安全原则，最少的服务+最小的权限=最大的安全。典型的WEB服务器需要的最小组件选择是：只安装IIS的ComFiles，IISSnap-In，WWWServer组件。如果你确实需要安装其他组件，请慎重，特别是：IndexingService,FrontPage2000ServerExtensions,InternetServiceManager(HTML)这几个危险服务。3．管理应用程序的选择选择一个好的远程管理HYPERLINK"http://www.enet.com.cn/eschool/rjyy.shtml"\t"_blank"软件是非常重要的事，这不仅仅是安全方面的要求，也是应用方面的需要。Win2000的TerminalService是基于RDP（远程HYPERLINK"http://www.enet.com.cn/eschool/includes/zhuanti/zm/index.shtml"\t"_blank"桌面协议）的HYPERLINK"http://www.enet.com.cn/eschool/inforcenter/T20040216286823.html"\t"_blank"远程控制软件，他的速度快，操作方便，比较适合用来进行常规操作。但是，TerminalService也有其不足之处，由于它使用的是虚拟桌面，再加上微软编程的不严谨，当你使用TerminalService进行安装软件或重起服务器等与真实桌面交互的操作时，往往会出现哭笑不得的现象，例如：使用TerminalService重起微软的认证服务器（Compaq,IBM等）可能会直接关机。所以，为了安全起见，我建议你再配备一个远程控制软件作为辅助，和TerminalService互补，象PcAnyWhere就是一个不错的选择。二、正确安装WIN2000SERVER1．HYPERLINK"http://www.enet.com.cn/eschool/inforcenter/T20040302290652.html"\t"_blank"分区和逻辑盘的分配，有一些朋友为了省事，将HYPERLINK"http://www.enet.com.cn/eschool/includes/zhuanti/zt/yingpan/49.shtml"\t"_blank"硬盘仅仅分为一个逻辑盘，所有的软件都装在C驱上，这是很不好的，建议最少建立两个分区，一个系统分区，一个应用程序分区，这是因为，微软的IIS经常会有泄漏源码/溢出的漏洞，如果把系统和IIS放在同一个驱动器会导致系统文件的泄漏甚至HYPERLINK"http://www.enet.com.cn/eschool/wlyy.shtml"\t"_blank"入侵者远程获取ADMIN。推荐的安全配置是建立三个逻辑驱动器，第一个大于2G，用来装系统和重要的日志文件，第二个放IIS，第三个放FTP，这样无论IIS或FTP出了安全漏洞都不会直接影响到系统目录和系统文件。要知道，IIS和FTP是对外服务的，比较容易出问题。而把IIS和FTP分开主要是为了防止入侵者上传程序并从IIS中运行。（这个可能会导致程序开发人员和编辑的苦恼，管他呢，反正你是管理员J）2．安装顺序的