セキュリティの設定Windows2000 Server

最初：インストール方法

I.バージョンの選択

言語が邪魔にならない場合は、英語版を使用することを強くお勧めします。ご存知のように、マイクロソフトの製品は"バグ&パッチ"として知られており、バグの中国語版は英語版よりはるかに多く、パッチは通常少なくとも半月後（つまり、一般的に）です。マイクロソフトがこの脆弱性を発表した後、あなたのサーバーは半ヶ月間保護されていないままになります。

2番目に、コンポーネントのカスタマイズ

WIN2Kはデフォルトでいくつかの一般的なコンポーネントをインストールしますが、このデフォルトインストールはセキュリティ原則"最小サービス+最小によると非常に危険です。アクセス許可=最大のセキュリティ」をクリックし、本当に必要なサービスのみをインストールします。ここでの特別な注意事項は、「インデックスサービス」、「FrontPage 2000 Server Extensions」、「インターネットサービスマネージャ」、これらの危険なサービスです。

3番目に、管理アプリケーションの選択

適切なリモート管理ソフトウェアを選択することは非常に重要です。これはセキュリティ要件だけでなく、アプリケーションのニーズでもあります。 WIN2KのターミナルサービスはRDP（Remote Desktop Protocol）をベースとしたリモートコントロールソフトウェアで、高速で操作が簡単で日常業務に適しています。仮想デスクトップを使用しているため、マイクロソフトのプログラミングは厳密ではないため、ターミナルサービスを使用してソフトウェアをインストールしたり、サーバーを再起動したり、実際のデスクトップと対話したりすると、頻繁に表示されます。たとえば、泣いたり笑ったりする現象。Microsoftの認証サーバー（Compaq、IBMなど）を再起動するためにターミナルサービスを使用すると、直接シャットダウンすることがあります。したがって、セキュリティ上の理由から、PcAnyWhereなどのターミナルサービスを補完するための補助としてリモートコントロールソフトウェアを装備することをお勧めします。

4番目に、パーティションと論理ディスクの割り当て

少なくとも2つのパーティション、1つのシステムパーティション、1つのアプリケーションパーティション。これは、MicrosoftのIIS（Internet Information Server）に抜け穴があることが多く、システムとIISが同じドライブに配置されていると、システムファイルが漏洩し、侵入者でもリモートから管理権限を取得できるためです。

3つの論理ドライブを作成することをお勧めします。1つはシステムと重要なログファイルをインストールするためのもの、2つ目はIISを配置するもの、3つ目はFTPを配置するものです。システムディレクトリとシステムファイルに直接影響します。

V.インストール順序の選択

システムをインストールすることができればそれが終了するとは思わないで、実際にはWIN2Kのインストール順序は非常に重要です。

まず、ネットワークへのアクセス時間に注意してください。 WIN2Kはインストールに脆弱性があります。つまり、Administratorのパスワードを入力した後、システムは「$ ADMIN」の共有を確立しますが、入力したパスワードでは保護されません。この状況はコンピュータが再起動するまで続きます。その間、誰でも" $ ADMIN>を使ってシステムに入ることができ、同時にインストールが完了すると、さまざまなサービスが自動的に実行され、サーバーには抜け穴がいっぱいになり、外部からの侵入が非常に簡単になります。したがって、WIN2Kサーバーのインストールと設定が完了するまでは、ホストをネットワークに接続しないでください。

次に、パッチのインストールに注意してください。パッチは特定のシステムファイルを置き換えたり変更したりすることが多いため、すべてのアプリケーションをインストールした後にパッチをインストールする必要があります。

2番目：セットアップ方法

WIN2Kサーバーが正しくインストールされていても、システムに抜け穴がたくさんあり、さらに詳しい設定が必要です。

I.ポート

ポートは、コンピューターと外部ネットワークとの間の論理的なインターフェースであり、コンピューターの最初の壁でもあります正しいポート構成は、ホストのセキュリティに直接影響します。

第二に、IIS

IISはマイクロソフトのコンポーネントの中で最も問題のあるコンポーネントです。平均2、3ヶ月は抜け穴になるでしょう、そしてマイクロソフトのIISのデフォルトインストールは本当にお世辞を言うので、 IISの構成が私たちの焦点です。

まず、Cドライブの下にあるInetpubディレクトリを削除し、DドライブにInetpubを作成し、IISマネージャでホームディレクトリをD：\\ Inetpubに指定します。
次に、IISをインストールしたときのデフォルトのスクリプトなどの仮想ディレクトリも削除されますので、必要に応じて後でディレクトリを作成することもできます（書き込み権限と実行プログラム権限には特に注意してください）。

次に、アプリケーションの設定があります。 IISマネージャで不要なマップを削除します（もちろん、ASP、ASAなどのように保持する必要があります）。 IISマネージャで、[ホスト]→[プロパティ]→[WWWサービスの編集]→[ホームディレクトリの設定]→[アプリケーションマッピング]の順にクリックし、1つずつ削除を開始します。次に、アプリケーションデバッグブックマークで、「スクリプトエラーメッセージ」が「テキスト送信」に変更されます。 [OK]をクリックします。設定したプロパティを仮想サイトに継承させることを忘れないでください。
最後に、安全を期すために、IISのバックアップ機能を使用してすべての設定をバックアップできるため、いつでもIISのセキュリティ設定を復元できます。また、IISの負荷が高すぎてサーバーがクラッシュした場合は、IISの最大CPU使用率を70％に制限するなど、パフォーマンスのCPU制限をオンにすることもできます。

III。アカウントのセキュリティ

まず第一に、WIN2Kのデフォルトのインストールでは、空のユーザーを介してすべてのアカウントとシステムの共有リストを取得することができます。同時に、どのリモートユーザーでも同じ方法でユーザーリストを取得できます。また、ブルートフォースを使用してユーザーパスワードをクラックしてネットワーク全体に損害をもたらす可能性があります。多くの人々は空のユーザー接続を無効にするためにレジストリLocal_Machine \\ System \\ CurrentControlSet \\ Control \\ LSA-RestrictAnonymous = 1を変更することだけを知っています、実際にはWIN2Kのローカルセキュリティポリシー（ドメインサーバーがドメインサーバーセキュリティとドメインセキュリティポリシーにある場合）そのようなオプションRestrictAnonymous（匿名接続の追加制限）があります。これには3つの値があります。

" 0"：なし、デフォルトのアクセス権に依存（デフォルトのアクセス権によってはなし）

" 1"：SAMアカウントと共有の列挙を許可しない

"" 2"：明示的な匿名権限なしでアクセス不可（明示的な匿名権限なし）アクセスを許可されていません）

" 0"この値はシステムのデフォルト値です制限はありませんリモートユーザーは、自分のマシン上のすべてのアカウント、グループ情報、共有ディレクトリ、ネットワーク転送リスト（NetServerTransportEnum）を知ることができます。この設定はサーバーにとって非常に危険です。 " 1"この値により、NULL以外のユーザーのみがSAMアカウント情報にアクセスし、情報を共有できるようになる。 「2」この値はWIN2Kでのみサポートされています。この値を使用すると、リソースを共有できなくなるため、値を「1」に設定することをお勧めします。

4つ、セキュリティログ

ここで注意を払う必要があります。WIN2Kのデフォルトインストールではセキュリティ監査が開かれません。次に、[ローカルセキュリティポリシー]→[監査ポリシー]の順に選択して、該当する監査を開きます。監査項目が少なすぎる場合、チェックしてレコードがないことを確認したい場合は、方法はありません。ただし、監査プロジェクトが多すぎると、多くのシステムリソースを消費するだけでなく、それらをすべて読む時間がなくなり、監査の意味が失われる可能性があります。推奨されるレビューは次のとおりです。

"アカウント管理"、"ログインイベント"、"ポリシー変更"、"システムイベント"、"アカウントログインイベント"要求" 「成功」および「失敗」がオンになり、「オブジェクトアクセス」、「特権の使用」、「ディレクトリサービスアクセス」、「ただ開く」「失敗」が表示されます。

これに関連し、[アカウント戦略]→[パスワードポリシー]で設定します。パスワードを複雑にするには、「パスワードの長さを6桁以上にする」を有効にする必要があります。パスワードの履歴を5回強制する、「最大保存期間30日」、「アカウント戦略→アカウントロックアウトポリシー」、「アカウントロック3回ログイン」、「ロック時間20」で設定「」分、「20分のロックカウントをリセット」など。

ターミナルサービスのセキュリティログもデフォルトでは有効になっていません。「ターミナルサービスの設定」→「権限」→「詳細」でセキュリティ監査を設定することができます。はい。

V.ディレクトリとファイルのアクセス権

サーバー上のユーザーのアクセス権を制御し、将来的に侵入やオーバーフローを防ぐためにも、ディレクトリとファイルのアクセス権を慎重に設定する必要があります。 。 NTのアクセス権は、読み取り、書き込み、読み取りと実行、変更、列ディレクトリ、フルコントロールに分けられます。デフォルトでは、ほとんどのフォルダはすべてのユーザー（全員）に対して完全に開かれているため、アプリケーションのニーズに基づいて権限を再設定する必要があります。

1.権限は累積的であるユーザーが同時に2つのグループに属している場合、その2つのグループによって許可されているすべての権限を持っています。 。

2.拒否されたアクセス許可が許可されたアクセス許可よりも大きい（拒否ポリシーが最初に実行されます）。ユーザーがリソースへのアクセスを拒否されているグループに属している場合、他のアクセス許可設定によって許可されているアクセス許可の数に関係なく、ユーザーはリソースにアクセスできないようにする必要があります。

3.ファイルのアクセス許可がフォルダのアクセス許可よりも高いです。

4.権限管理にユーザーグループを使用することは、熟練したシステム管理者が持っている必要がある良い習慣です。

5.ユーザーに本当の必要性を与えるだけで、権限を最小にするという原則はセキュリティの重要な保証です。

6. ICMP攻撃の防止：NTホストにとってICMPストーム攻撃やフラグメント攻撃も頭痛の種ですが、実際には対処方法も非常に簡単で、WIN2Kにはルーティングとリモートアクセスツールが付属しています。ルーターのプロトタイプ。このツールでは、入力パケットフィルタと出力パケットフィルタを簡単に定義できます。入力ICMPコード255が破棄に設定されている場合は、すべての外部ICMPパケットが破棄されることを意味します。

3番目：

に注意してください実際には、セキュリティとアプリケーションは矛盾していることが多いので、バランスポイントを見つける必要があります。結局のところ、サーバーは安全であればユーザー用です。この原則はシステムの適用を妨げ、そしてこのセキュリティ原則は良い原則ではありません。

ネットワークセキュリティは、一定のスペースだけでなく、一定の期間を持つシステム工学です。多くの友人（一部のシステム管理者を含む）は、安全に設定されたホストは安全であると考えていますが、実際にはここでは誤解があります。変更、新しい脆弱性の発見、管理者とユーザーの操作、ホストのセキュリティステータスは、いつでもどこでも変化しています。そして、セキュリティアウェアネスとセキュリティシステムだけが、プロセス全体を通して真に安全になり得ます。