Win2K Internet服務(wù)器安全構(gòu)建指南 三、Win2K安裝后要重點(diǎn)考慮的安全配置信息 操作系統(tǒng)安裝完畢后，建議執(zhí)行如下安全配置： 1、安裝微軟高級(jí)加密包（Microsoft High Encryption Pack），將服務(wù)器升級(jí)為128位加密。 默認(rèn)狀態(tài)下，服務(wù)器軟件的加密狀態(tài)處于較低級(jí)別，我們必須手工將其配置為128位加密。而且，這項(xiàng)工作應(yīng)該在創(chuàng)建帳號(hào)和組之前進(jìn)行，這樣就可以保證在服務(wù)器上創(chuàng)建的所有項(xiàng)目都是128位加密級(jí)別的。 2、安裝最新的SP軟件包和Hotfixes 微軟的產(chǎn)品是老裁縫做的，不打補(bǔ)丁不漂亮的，所以管理員們要經(jīng)常訪問以下地址看看是否又有新補(bǔ)丁面世： http://www.microsoft.com/windows2000/downloads/default.asp 這個(gè)地址包含了大量關(guān)于Win2K的信息，對(duì)日常管理Win2K服務(wù)器非常有參考價(jià)值。關(guān)于HotFixes有一點(diǎn)需要注意：只在系統(tǒng)需要的時(shí)候才安裝相應(yīng)HotFix。因?yàn)椋⒉皇敲總€(gè)服務(wù)器都需要所有的HotFix，其中有一些hotfix修復(fù)的漏洞只存在于某些特定配置中。 3、對(duì)系統(tǒng)服務(wù)的啟動(dòng)方式重新進(jìn)行規(guī)劃 默認(rèn)狀態(tài)下，許多服務(wù)都隨系統(tǒng)啟動(dòng)而啟動(dòng)。但由于有些服務(wù)因?yàn)閱?dòng)帳號(hào)身份的權(quán)限過大，有可能埋下安全隱患地雷，因此必須對(duì)所有服務(wù)的啟動(dòng)方式進(jìn)行重新規(guī)劃。規(guī)劃的原則應(yīng)該是：除非絕對(duì)必要，關(guān)閉該服務(wù)。;

以下是我們認(rèn)為應(yīng)該處于“自動(dòng)啟動(dòng)狀態(tài)的基本服務(wù)： ● DNS Client：如果服務(wù)器需要主動(dòng)與其它服務(wù)器進(jìn)行通信，就需要這個(gè)服務(wù)。許多Web服務(wù)器僅僅是對(duì)請(qǐng)求進(jìn)行應(yīng)答而自身并不發(fā)出請(qǐng)求，這時(shí)就不需要DNS Client了。 ● Event Log：事件日志，用于記錄程序和 Windows 發(fā)送的事件消息。事件日志包含對(duì)診斷問題有所幫助的信息，可以在“事件查看器中查看報(bào)告。 ● Logical Disk Manager：邏輯磁盤管理器監(jiān)視狗服務(wù)，用于管理本地磁盤驅(qū)動(dòng)器和可移動(dòng)設(shè)備。 ● Network Connections：管理“網(wǎng)絡(luò)和撥號(hào)連接文件夾中對(duì)象，在其中可以查看局域網(wǎng)和遠(yuǎn)程連接。 ● Protected Storage：提供對(duì)敏感數(shù)據(jù)(如私鑰)的保護(hù)性存儲(chǔ)，以便防止未授權(quán)的服務(wù)、過程或用戶對(duì)其的非法訪問。 ● Remote Procedure Call (RPC)：遠(yuǎn)程過程調(diào)用服務(wù)，用于在一個(gè)系統(tǒng)上使用程序執(zhí)行遠(yuǎn)程系統(tǒng)上的指令或程序。 ● Security Accounts Manager (SAM)：安全帳號(hào)管理服務(wù)，用于維護(hù)本地用戶帳戶的安全信息。 ● Windows Management Instrumentation(WMI)：Windows管理器，提供系統(tǒng)管理信息，如果沒有它，就沒有可訪問的管理控制臺(tái)來執(zhí)行系統(tǒng)管理。 ● Windows Management Instrumentation Driver Extensions：Windows管理器驅(qū)動(dòng)器擴(kuò)展，也是MMC所要求的，用于與驅(qū)動(dòng)程序間交換系統(tǒng)管理信息。 以下是我們認(rèn)為應(yīng)該處于“手動(dòng)啟動(dòng)狀態(tài)的基本服務(wù)： ● Logical Disk Manager Administrative Service：邏輯硬盤管理器管理服務(wù)，是磁盤管理請(qǐng)求的系統(tǒng)管理服務(wù)。 ● IIS Admin Service：IIS管理服務(wù)。 ● World Wide Web Publishing Service：WWW發(fā)布服務(wù),用于向Web 站點(diǎn)設(shè)置的特定端口（通常是80）發(fā)布Web內(nèi)容。