Win2K Internet服務(wù)器安全構(gòu)建指南 三、Win2K安裝后要重點考慮的安全配置信息 操作系統(tǒng)安裝完畢后，建議執(zhí)行如下安全配置： 1、安裝微軟高級加密包（Microsoft High Encryption Pack），將服務(wù)器升級為128位加密。 默認(rèn)狀態(tài)下，服務(wù)器軟件的加密狀態(tài)處于較低級別，我們必須手工將其配置為128位加密。而且，這項工作應(yīng)該在創(chuàng)建帳號和組之前進(jìn)行，這樣就可以保證在服務(wù)器上創(chuàng)建的所有項目都是128位加密級別的。 2、安裝最新的SP軟件包和Hotfixes 微軟的產(chǎn)品是老裁縫做的，不打補丁不漂亮的，所以管理員們要經(jīng)常訪問以下地址看看是否又有新補丁面世： http://www.microsoft.com/windows2000/downloads/default.asp 這個地址包含了大量關(guān)于Win2K的信息，對日常管理Win2K服務(wù)器非常有參考價值。關(guān)于HotFixes有一點需要注意：只在系統(tǒng)需要的時候才安裝相應(yīng)HotFix。因為，并不是每個服務(wù)器都需要所有的HotFix，其中有一些hotfix修復(fù)的漏洞只存在于某些特定配置中。 3、對系統(tǒng)服務(wù)的啟動方式重新進(jìn)行規(guī)劃 默認(rèn)狀態(tài)下，許多服務(wù)都隨系統(tǒng)啟動而啟動。但由于有些服務(wù)因為啟動帳號身份的權(quán)限過大，有可能埋下安全隱患地雷，因此必須對所有服務(wù)的啟動方式進(jìn)行重新規(guī)劃。規(guī)劃的原則應(yīng)該是：除非絕對必要，關(guān)閉該服務(wù)。;

以下是我們認(rèn)為應(yīng)該處于“自動啟動狀態(tài)的基本服務(wù)： ● DNS Client：如果服務(wù)器需要主動與其它服務(wù)器進(jìn)行通信，就需要這個服務(wù)。許多Web服務(wù)器僅僅是對請求進(jìn)行應(yīng)答而自身并不發(fā)出請求，這時就不需要DNS Client了。 ● Event Log：事件日志，用于記錄程序和 Windows 發(fā)送的事件消息。事件日志包含對診斷問題有所幫助的信息，可以在“事件查看器中查看報告。 ● Logical Disk Manager：邏輯磁盤管理器監(jiān)視狗服務(wù)，用于管理本地磁盤驅(qū)動器和可移動設(shè)備。 ● Network Connections：管理“網(wǎng)絡(luò)和撥號連接文件夾中對象，在其中可以查看局域網(wǎng)和遠(yuǎn)程連接。 ● Protected Storage：提供對敏感數(shù)據(jù)(如私鑰)的保護(hù)性存儲，以便防止未授權(quán)的服務(wù)、過程或用戶對其的非法訪問。 ● Remote Procedure Call (RPC)：遠(yuǎn)程過程調(diào)用服務(wù)，用于在一個系統(tǒng)上使用程序執(zhí)行遠(yuǎn)程系統(tǒng)上的指令或程序。 ● Security Accounts Manager (SAM)：安全帳號管理服務(wù)，用于維護(hù)本地用戶帳戶的安全信息。 ● Windows Management Instrumentation(WMI)：Windows管理器，提供系統(tǒng)管理信息，如果沒有它，就沒有可訪問的管理控制臺來執(zhí)行系統(tǒng)管理。 ● Windows Management Instrumentation Driver Extensions：Windows管理器驅(qū)動器擴展，也是MMC所要求的，用于與驅(qū)動程序間交換系統(tǒng)管理信息。 以下是我們認(rèn)為應(yīng)該處于“手動啟動狀態(tài)的基本服務(wù)： ● Logical Disk Manager Administrative Service：邏輯硬盤管理器管理服務(wù)，是磁盤管理請求的系統(tǒng)管理服務(wù)。 ● IIS Admin Service：IIS管理服務(wù)。 ● World Wide Web Publishing Service：WWW發(fā)布服務(wù),用于向Web 站點設(shè)置的特定端口（通常是80）發(fā)布Web內(nèi)容。