我是这样来做win2000 server的安全的

通常,很多人都为配置win2000 server安全而绞尽脑汁,网上也有很多类似的文章!

除了大家通常做的一些设置外,这里我想说的是关于选择软件防火墙和本地策略的一些设置,小弟才疏学浅
如果有不对的地方,还望大家海涵!

以前,我用过wingate ,winrout等等,后来慢慢发现其实iss的blackice也不错,能有效防止一些连接过渡的IP地址,这样至少可以阻挡一些普通的洪水包攻击.
至于病毒防火墙,之前一直信赖诺顿8.x企业版,其实后来发现并不像我想象中那么出色,经过朋友推荐,有一款mcfee用了以后发现,很适合我,可以闲置一些目录,包括system32下的执行文件生成,运行等,查毒速度也比诺顿快很多.

至于本地策略这块,因为我的机器除了提供http服务外,还提供mail,ftp,sqlserver等服务,需要的端口依次有,20,21,25,80,110,3001~3002(这两个是给servu的pasv模式用的),3389,为了杜绝漏洞的危机,我首先在本地IP安全策略里面添加一条,所有IP到我的IP,所有连接类型,全部---阻止!做好这条以后,如果你是通过3389连接服务器的,可千万别"指派",否则你就惨了,呵呵!


然后再做一个in的策略,把20,21,25,80,3389,110,3001~3002,依次开放,

再做一个out的策略,把80,110.25,tcp53,udp53,一次开放.


然后在网卡的tcp筛选里面,依次开放需要的tcp和udp端口!

在帐户锁定策略里面,建立帐户锁定,我一般设置3次无效登陆,锁定10000分钟,不留机会给试图破解3389弱口令的人.

在本地策略的安全选项中,修改"对匿名连接的额外限制"为B-不允许枚举SAM帐号和共享,默认的设置是A

当然,如果高兴的话,你可以把系统管理员帐号改掉,但是不建议在安全选项里面改,因为那样会影响相关的配置文件,公钥策略也要做相应改动的.

至于如何删除硬盘默认共享,如何停止不必要的服务等,这里就不一一阐述了.

全部完成后,指派策略运行,然后随便用个scan的工具去检查服务有效端口,一般是看不到3389的,

另外要题的是,很多人喜欢改3389端口号,其实只要是用终端服务,不管你怎么改3389端口号,黑客还是会有机可乘的,除非你舍弃使用终端服务器而用其它代替,比如pcanywhere,那要比3389审核更严格,但是你必需要开放tcp 的5631和Udp的5632端口,多一个端口通常就多一个隐患,另外最烦的问题是,pcanywhere界面可以兼容增强16色功能,远程连接速度比较慢,占用系统资源也比3389大很多!