安全配置Windows2000服务器(2)_动易Cms教程

　　最后，为了保险起见，可以使用IIS的备份功能，将刚刚的设定全部备份下来，这样就可以随时恢复IIS的安全配置。还有，假如怕IIS负荷过高导致服务器死机，也可以在性能中打开CPU限制，如将IIS的最大CPU使用率限制在70%。

　　三、 账号安全

　　首先，WIN2K的默认安装答应任何用户通过空用户得到系统所有账号和共享列表，这本来是为了方便局域网用户共享资源和文件的，但是，同时任何一个远程用户也可以通过同样的方法得到你的用户列表，并可能使用暴力法破解用户密码给整个网络带来破坏。很多人都只知道更改注册表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous = 1来禁止空用户连接，实际上WIN2K的本地安全策略里（假如是域服务器就是在域服务器安全和域安全策略里）就有这样的选项RestrictAnonymous（匿名连接的额外限制），其中有三个值：

　　"0"：None， Rely on default permissions（无，取决于默认的权限）

　　"1"：Do not allow enumeration of SAM accounts and shares（不答应枚举SAM账号和共享）

　　"2"：No access without explicit anonymous permissions（没有显式匿名权限就不答应访问）

　　"0"这个值是系统默认的，没有任何限制，远程用户可以知道你机器上所有的账号、组信息、共享目录、网络传输列表(NetServerTransportEnum)等，对服务器来说这样的设置非常危险。"1"这个值是只答应非NULL用户存取SAM账号信息和共享信息。"2"这个值只有WIN2K才支持，需要注重的是，假如使用了这个值，就不能再共享资源了，所以还是推荐把数值设为"1"比较好。

　　四、 安全日志

　　这里需要注重：WIN2K的默认安装是不开任何安全审核的！那么就应该到"本地安全策略→审核策略"中打开相应的审核，这里需要说明的是，审核项目假如太少的话，你万一想查看的时候发现没有记录那就一点办法都没有，但是审核项目假如太多，不仅会占用大量的系统资源，而且你也可能根本没空去全部看完，这样就失去了审核的意义。推荐的审核如下：

　　"账户治理"、"登录事件"、"策略更改"、"系统事件"、"账户登录事件"需要把"成功"和"失败"都打开；"对象访问"、"特权使用"、"目录服务访问"就只打开"失败"。

　　与之相关的还有，在"账户策略→密码策略"中设定："密码复杂性要求启用"，"密码长度最小值6位"，"强制密码历史5次"，"最长存留期 30天"；在"账户策略→账户锁定策略"中设定："账户锁定3次错误登录"，"锁定时间20分钟"，"复位锁定计数20分钟"等。

　　Terminal Service的安全日志默认也是不启用的，可以在"Terminal Service Configration（远程服务配置）→权限→高级"中配置安全审核，一般来说只要记录登录、注销事件就可以了。

　　五、 目录和文件权限

　　为了控制好服务器上用户的权限，同时也为了预防以后可能的入侵和溢出，还必须非常小心地设置目录和文件的访问权限。NT的访问权限分为：读取、写入、读取及执行、修改、列目录、完全控制。在默认的情况下，大多数的文件夹对所有用户（Everyone这个组）是完全敞开的（Full Control），你需要根据应用的需要进行权限重设。在进行权限控制时，请记住以下几个原则：

　　1. 权限是累计的，假如一个用户同时属于两个组，那么他就有了这两个组所答应的所有权限。

　　2. 拒绝的权限要比答应的权限高（拒绝策略会先执行）。假如一个用户属于一个被拒绝访问某个资源的组，那么不管其他的权限设置给他开放了多少权限，他也一定不能访问这个资源。

　　3. 文件权限比文件夹权限高。

　　4. 利用用户组来进行权限控制是一个成熟的系统治理员必须具有的优良习惯。

　　5. 只给用户真正需要的权限，权限的最小化原则是安全的重要保障。

查看更多 动易Cms教程  动易Cms模板