鉴于本指南的目的,我们假定已有的安装未受到安全威胁。如果系统已存在安全威胁,您在开始以下基准步骤之前需要按照推荐方法将系统修复。要查看您的系统或网络安全是否已经受到威胁,请单击此处获取详细信息。本指南所提到的其他文档和更新包含在 Microsoft 安全工具包的目录一节中。
本指南中的信息适用于:
Microsoft Windows 2000 Datacenter Server 客户应与其解决方案提供商联系以获得有关确保其系统安全的指导原则。
要确定已有安装的当前状况通常很困难。除了要知道已经应用了哪些单独的补丁外,还要了解哪些服务正在运行。
由于 Web 服务器尤其容易受到安全方面的攻击,如果系统不用作 Web 服务器,就应禁用 Internet Information Server (IIS)。
确定系统上正在运行哪些应用程序和 Service Pack 是非常重要的。Microsoft 特别建议您确定正在运行的操作系统、Internet Explorer 以及 IIS 的 Sevrice Pack 级别。
应使用 Hfnetchk 工具来检查当前安装了哪些安全补丁。
既然已经安装并运行操作系统,接下来就是要确保其更加安全。依据步骤 1 中完成初始安装方式的不同,您可能需要跳过下面步骤中的某些步骤。
- 安装最新的 Windows 2000 Service Pack 。有关如何安装 Service Pack 的详细信息,请参阅 Microsoft Windows 2000 Service Pack 安装和部署指南。
- 在确保 Internet Explorer Web 浏览器的安全时,您可以进行如下选择:
- 继续使用 Internet Explorer 5.01 SP2,它包含在 Windows 2000 Service Pack 2 之中。
或
- 安装 Internet Explorer 5.5 SP2 - 如果希望利用此新版 Web 浏览器中的新增功能的话。
或
- 安装 Internet Explorer 6.0 或更高版本(推荐) - 如果希望利用此新版 Web 浏览器中的新增功能的话。
- 安装 IIS Security Rollup Package - 如果打算启用这些服务的话。请记住:如果是在脱机状态下安装的操作系统,并且运行 IIS,则在完成此步骤之前不应将其连接到网络。
要进一步确保系统的安全,则必须遵循下列适用于您的安装情况的清单。
Microsoft Internet Information Services 5 安全检查清单
现在您已安装了一个良好的安全补丁基准。Web 服务器尤其容易受到安全方面的攻击,Microsoft 已提供了该工具来帮助您。如果要在系统上运行 IIS,请参照以下步骤。
- 运行 IIS 锁定向导
利用此工具可即时配置 IIS 4.0 或 5.0 Web 服务器,以确保安全操作。它提供了两种模式:适合于多数基本 Web 服务器的明确模式以及允许管理员选择服务器所支持技术的高级模式。该工具提供了“撤消”功能,可以将上一步的锁定效果撤消。它还屏蔽所有对 IIS Web 服务器的请求,并且只允许那些符合管理员制定的规则的请求通过。这种做法帮助确保了服务器只对合法请求作出响应,从而大大提高了服务器的安全性。该工具允许管理员根据长度、字符集、内容和其他因素对请求进行过滤。通过自定义它所提供的默认规则集可满足特定服务器的需要。
要修正 Microsoft Windows Media Player (WMP) 某些版本中的已知易受攻击的方面,需执行以下操作。打开 WMP,单击“帮助”,然后单击“关于 Windows Media Player”,以检查所运行的版本。执行适用于相应版本的指令。
- 早于 Windows Media Player 6.4 的版本 - 无需执行任何操作
- Windows Media Player 6.4 版本 - 安装此安全补丁
- Windows Media Player 7.0 版 - 升级到 Windows Media Player 7.1 版并安装此安全补丁
- Windows Media Player Version 7.1 版 - 安装此安全补丁
现在您的系统已经安装了一个较好的安全基准,但是如果不经常进行维护,您的系统可能遭受到新形式的攻击。
- 使用 Hfnetchk 工具来评估已对 Windows 2000 操作系统应用了哪些安全补丁以及对 Internet Information Services 5.0、SQL Server 7.0、SQL Server 2000(包括 Microsoft Data Engine [MSDE])和 Internet Explorer 5.01 或更高版本应用了哪些安全补丁。
当您在安装了如上所述的安全基准后运行 Hfnetchk 工具时,Hfnetchk 结果会显示有许多安全补丁尚未安装。此情况是真实的并且是所希望的结果。本文档只提供一个开始的基准。建议执行必需步骤以确保安装所有重要安全补丁。
每天您都应当在所有您负责进行安全管理的计算机上运行该工具,直到您确信所有推荐的补丁都已经得到应用为止。此时,您才能降低维护频率。部署新的安全补丁时,您应当继续使用该工具进行验证,并检测丢失的安全补丁。- 订阅 Microsoft Security Notification Service。这是一项免费的电子邮件通知服务,Microsoft 利用该服务向预订者发送有关 Microsoft 产品安全的信息。
- 使用 Windows Update 网站查阅最新的建议和重要更新。
- 下载 Windows 重要更新通知 3.0 工具就不会再错过重要更新了。无论何时发布新的重要补丁,您都将会得到通知。
- 出现新的安全补丁时,应用这些补丁是很重要的。Microsoft 创建了 Qchain 工具来将补丁链接在一起,以便安装多个补丁时只需重新启动一次。
一旦完成,就可在此安装中运行 Sysprep,并且可以使用非 Microsoft 映像工具,将其作为未来服务器的安全基准映像来存储。然后可以在需要时采用映像供应商所提供的步骤将此映像应用到服务器。如果此映像是 Windows 2000 Professional 安装,您可以从 Windows 2000 RIS Server 获得此映像。
©2001 Microsoft Corporation. 保留所有权利。