本简要指南旨在帮助您理解安全地安装新的 Windows 2000 副本所必需的基本步骤。本指南所提到的其他文档和更新包含在 Microsoft 安全工具包目录一节中。
本指南中的信息适用于:
Microsoft Windows 2000 Datacenter Server 客户应与其解决方案提供商联系以获得有关确保其系统安全的指导原则。
安装新的系统时,首先应确保系统所连接的网络环境没有因安全方面的攻击而受到威胁或者在将系统连接到受到威胁的网络之前禁用系统中容易受到威胁的服务。有关如何查明您的系统或网络安全是否已经受到威胁的详细信息,请单击此处。
请选择以下三种安装方法之一
- 在不与网络连接的情况下安装 Windows 2000。这通常是利用光盘来完成的。建议集成 Service Pack 来创建 Windows 2000 Service Pack 2 安装光盘。遵循 Service Pack 安装和部署指南来创建集成的安装并将安装共享刻录到光盘上。Internet Information Server (IIS) 的基本安装容易受到安全方面攻击的威胁,因此在安装 Windows 2000 Service Pack 2 和 IIS Security Roll-up Package 之前应禁用 IIS 或断开其与网络的连接。
- 利用包含禁用 IIS 项的 unattend.txt 文件安装 Windows 2000。有关如何在安装 Windows 2000 时使用 unattend.txt 文件的详细信息,请参阅“部署和规划指南”的第 13 章。
- 在连接没有受到威胁的网络的情况下安装 Windows 2000。建议在这种方法中使用集成的 Service Pack 安装共享。
既然已经安装并运行操作系统,接下来就是要确保其更加安全。依据步骤 1 中完成初始安装方式的不同,您可能需要跳过下面步骤中的某些步骤。
- 安装最新的 Windows 2000 Service Pack。有关如何安装 Service Pack 的详细信息,请参阅 Microsoft Windows 2000 Service Pack 安装和部署指南。
- 在确保 Internet Explorer Web 浏览器的安全时,您可以进行如下选择:
- 继续使用 Internet Explorer 5.01 SP2,它包含在 Windows 2000 Service Pack 2 之中。
或
- 安装 Internet Explorer 5.5 SP2 - 如果希望利用此新版 Web 浏览器中的新增功能的话。
或
- 安装 Internet Explorer 6.0 或更新版本(推荐),如果希望利用此新版 Web 浏览器中的新增功能的话。
- 安装 IIS Security Rollup Package - 如果打算启用这些服务的话。请记住:如果是在脱机状态下安装的操作系统,并且运行 IIS,则在完成此步骤之前不应将其连接到网络。
要进一步确保系统的安全,则必须遵循下列适用于您的安装情况的清单。
Microsoft Internet Information Services 5 安全清单
现在您已安装了一个良好的安全补丁基准。Web 服务器尤其容易受到安全方面的攻击,Microsoft 已提供了该工具来帮助您。如果在本系统运行 IIS,请遵循下列步骤。
- 运行 IIS 锁定向导
利用此工具可即时配置 IIS 4.0 或 5.0 Web 服务器,以确保安全操作。它提供了两种模式:适合于多数基本 Web 服务器的明确模式以及允许管理员选择服务器所支持技术的高级模式。该工具提供了“撤消”功能,可以将上一步的锁定效果撤消。它还屏蔽所有对 IIS Web 服务器的请求,并且只允许那些符合管理员制定的规则的请求通过。这种做法帮助确保了服务器只对合法请求作出响应,从而大大提高了服务器的安全性。该工具允许管理员根据长度、字符集、内容和其他因素对请求进行过滤。通过自定义它所提供的默认规则集可满足特定服务器的需要。
要修正 Microsoft Windows Media Player (WMP) 某些版本中的已知易受攻击的方面,需执行以下操作。打开 WMP,单击“帮助”,然后单击“关于 Windows Media Player”,以检查所运行的版本。执行适用于相应版本的指令。
- 早于 Windows Media Player 6.4 的版本 - 无需执行任何操作
- Windows Media Player 6.4 版 - 安装此安全补丁
- Windows Media Player 7.0 版 - 升级到 Windows Media Player 7.1 版并安装此安全补丁
- Windows Media Player Version 7.1 版 - 安装此安全补丁
现在您的系统已经安装了一个较好的安全基准,但是如果不经常进行维护,您的系统可能遭受到新形式的攻击。
- 使用 Hfnetchk 工具评估 Windows NT 4.0 操作系统中应用的安全补丁以及 Internet Information Services 4.0、SQL Server 7.0、SQL Server 2000(包括 Microsoft Data Engine [MSDE])和 Internet Explorer 5.01 及其更高版本的安全补丁。
当您在安装了如上所述的安全基准后运行 Hfnetchk 工具时,Hfnetchk 结果会显示有许多安全补丁尚未安装。此情况是真实的并且是所希望的结果。本文档只提供一个开始的基准。建议执行必需步骤以确保安装所有重要安全补丁。
每天您都应当在所有您负责进行安全管理的计算机上运行该工具,直到您确信所有推荐的补丁都已经得到应用为止。此时,您才能降低维护频率。部署新的安全补丁时,您应当继续使用该工具进行验证,并检测丢失的安全补丁。- 订阅 Microsoft Security Notification Service。这是一项免费的电子邮件通知服务,Microsoft 利用该服务向预订者发送有关 Microsoft 产品安全的信息。
- 使用 Windows Update 网站查阅建议的最新重要更新。
- 下载 Windows 重要更新通知 3.0 工具就不会再错过重要更新了。无论何时发布新的重要补丁,您都将会得到通知。
- 出现新的安全补丁时,应用这些补丁是很重要的。Microsoft 创建了 Qchain 工具来将补丁链接在一起,以便安装多个补丁时只需重新启动一次。
一旦完成,就可在此安装中运行 Sysprep,并且可以使用非 Microsoft 映像工具,将其作为未来服务器的安全基准映像来存储。然后可以在需要时采用映像供应商所提供的步骤将此映像应用到服务器。如果此映像是 Windows 2000 Professional 安装,您可以从 Windows 2000 RIS Server 获得此映像。
©2001 Microsoft Corporation. 保留所有权利。