鉴于本指南的目的,我们假定已有的安装未受到安全威胁。如果系统已存在安全威胁,您在开始以下基准步骤之前需要按照推荐方法将系统修复。要查看您的系统或网络安全是否已经受到威胁,请单击此处获取详细信息。本指南所提到的补充文档和更新可以在本工具包的目录部分找到。
本指南中的信息适用于:
- Microsoft Windows NT Server 4.0 企业版
- Microsoft Windows NT Workstation 4.0
- Microsoft Windows NT Server 4.0
要确定已有安装的当前状况通常很困难。除了要知道已经应用了哪些单独的补丁外,还要了解哪些服务正在运行。
- 因为 Web 服务器尤其容易遭到安全性攻击,所以只要系统不是用作 Web 服务器,就应该禁用 Internet Information Server (IIS)。
- 识别系统上正运行着哪些应用程序和 Service Pack 是非常重要的。Microsoft 强烈建议您识别在操作系统、Internet Explorer 和 IIS 上运行有哪些 Service Pack。
- 应该使用 Hfnetchk 工具来确定当前已安装的安全补丁。
既然已经安装并运行操作系统,接下来就是要确保其更加安全。依据步骤 1 中完成初始安装方式的不同,您可能需要跳过下面步骤中的某些步骤。
- 安装 Windows NT 4.0 Service Pack 6a。
有关在 Windows NT 4.0 上安装 Service Pack 的信息,可以从 Windows NT 4.0 SP6a Readme 文件和如何使用 Systems Management Server 1.2 以及 2.0 部署 Windows NT 4.0 SP6a 的文章中获得。
- 为了确保 Internet Explorer Web 浏览器的安全,可以有以下选择。
- 要满足最低的安全基准需求,可以安装 Internet Explorer 5.01 SP2。
或
- 安装 Internet Explorer 5.5 SP2,如果您想使用这种新版本 Web 浏览器的补充功能的话。
或
- 安装 Internet Explorer 6.0 或更高版本(推荐),如果您想使用这种新版本 Web 浏览器的补充功能的话。
- 如果安装并使用了 IIS,或者计划在将来使用它,您可以安装 Windows NT 4.0 Server Option Pack 或 Windows NT Workstation 4.0 Option Pack。该 Option Pack 会将您正在使用的 IIS 升级到 4.0 版本。
警告:请忽略该 Option Pack 尚未在 Service Pack 4.0 或更高版本上进行测试的警告消息。
- 如果想通过 Windows NT 4.0 Option Pack 来更新已安装的文件,可以重新安装 Windows NT 4.0 Service Pack 6a。
安装 Windows NT 4.0 Security Rollup 和两个安装 SRP 后的补丁。这些必须在安装了 Service Pack 6a 之后通过以下步骤安装。
- 安装 Windows NT 4.0 Security Roll-up。请不要重新启动。
- 安装 Q307866 的补丁。以防止安装 Windows NT 4.0 Security Rollup Package,运行修复并选择“验证 Windows NT 4.0 系统文件”后,旧版本的 Windows NT 4.0 文件可能会覆盖新版本的文件,从而导致在重新启动时发生 Stop 错误。重新启动。
- 安装 Q307866 的补丁。以防止安装 Windows NT 4.0 Security Rollup Package,运行修复并选择“验证 Windows NT 4.0 系统文件”后,旧版本的 Windows NT 4.0 文件可能会覆盖新版本的文件,从而导致在重新启动时发生 Stop 错误。请不要重新启动。
- 安装 Q305929 的补丁。在安装 Windows NT 4.0 Security Rollup Package 之后会显示出错消息“该证书含有无效数字签名”。重新启动。
- 安装 IIS 4.0 Rollup Patch(如果您想启用这些服务的话)。请记住:如果您脱机安装该操作系统并且正在运行 IIS 的话,除非本步骤已经完成,否则请不要将其连接到网络。
- 安装 Windows Media Player 6.4 Patch
步骤 3:进一步确保系统安全
要进一步确保系统的安全性,则必须遵循下列适用于您的安装情况的清单。
Microsoft Internet Information Server 4 安全清单
步骤 4:确保 Internet Information Server 的安全
现在您已安装了一个良好的安全补丁基准。Web 服务器尤其容易受到安全方面的攻击,Microsoft 已提供了该工具来帮助您。如果要在系统上运行 IIS,请参照以下步骤。
- 运行 IIS 锁定向导
利用此工具可即时配置 IIS 4.0 或 5.0 Web 服务器,以确保安全操作。它提供了两种模式:适合于多数基本 Web 服务器的明确模式以及允许管理员选择服务器所支持技术的高级模式。该工具提供了“撤消”功能,可以将上一步的锁定效果撤消。它还屏蔽所有对 IIS Web 服务器的请求,并且只允许那些符合管理员制定的规则的请求通过。这种做法帮助确保了服务器只对合法请求作出响应,从而大大提高了服务器的安全性。该工具允许管理员根据长度、字符集、内容和其他因素对请求进行过滤。通过自定义它所提供的默认规则集可满足特定服务器的需要。
步骤 5:持续的维护计划
现在您的系统已经安装了一个较好的安全基准,但是如果不经常进行维护,您的系统可能遭受到新形式的攻击。
- 使用 Hfnetchk 工具评估 Windows NT 4.0 操作系统中应用的安全补丁以及 Internet Information Services 4.0、SQL Server 7.0、SQL Server 2000(包括 Microsoft Data Engine [MSDE])和 Internet Explorer 5.01 及其更高版本的安全补丁。
当您在安装了如上所述的安全基准后运行 Hfnetchk 工具时,Hfnetchk 结果会显示有许多安全补丁尚未安装。此情况是真实的并且是所希望的结果。本文档只提供一个开始的基准。建议您实施必需的步骤确保所有重要的安全补丁已经成功安装。
每天您都应当在所有您负责进行安全管理的计算机上运行该工具,直到您确信所有推荐的补丁都已经得到应用为止。此时,您才能降低维护频率。部署新的安全补丁时,您应当继续使用该工具进行验证,并检测丢失的安全补丁。
- 订阅 Microsoft 安全通知服务。这是一项免费的电子邮件通知服务,Microsoft 利用该服务向预订者发送有关 Microsoft 产品安全的信息。
- 通过 Windows Update 网站获取最新推荐的和重要的更新。
- 出现新的安全补丁时,应用这些补丁是很重要的。Microsoft 创建了 Qchain 工具来将补丁链接在一起,以便安装多个补丁时只需重新启动一次。
©2001 Microsoft Corporation. 保留所有权利。