Windows 2000 Server 系统安装后的简单安全配置

一、系统的安装

   正常情况下Internet 信息服务(IIS)只需要选择三项：
Internet服务管理器 + Word Wide Web服务器 + 公用文件
附件和工具可以全部勾除(平常是用不到的)，再加上终端服务即可，其它统统勾除!

关于磁盘分区: 正常情况下，C盘分10G已经非常足够使用，其它的应用软件均安装到D盘，如提供FTP服务的SERV-U，以免系统崩溃后要全新安装系统 的时间需要备份C盘数据。

二、补丁安装

   装完系统后，如果安装的系统是没有打过SP4的，请先安装WINDOWS 2000 sp4，然后进入Windows Update在线更新所有补丁。也可以下载补丁集(chinaz.com提供 的下载)直接安时间排序打上，以免浪费时间，微软的网站有时候非常慢的。

三、系统安全设置

    1，用户管理
       删除TsInternetUser用户，并且将Guest用户改名禁用并且更改一个复杂的密码！
       更改Administrator的用户名以及密码！

    2，不让系统显示上次登录的用户名，具体操作如下： 　　
　　   修改注册表“HKLM\Software\Microsoft\WindowsNT\Current Version\Winlogon\Dont Display
 Last User Name”的键值，把REG_SZ 的键值改成1。

    3，禁止建立空连接　
　　默认情况下，任何用户可通过空连接连上服务器，枚举账号并猜测密码。可以通过以下两种方法禁止
建立空连接。 　　
　　（1）修改注册表 　　
　　Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成1。 　　
　　（2）修改Win 2000的本地安全策略 　　
　　设置“本地安全策略→本地策略→选项”中的RestrictAnonymous（匿名连接的额外限制）为“不容
许枚举SAM账号和共享”。

    4，打开安全审核

管理工具--本地安全策略--本地策略--审核策略，正常情况下一共是9项  

推荐设置为：
   审核策略更改：成功 失败
   审核登录事件：成功 失败
   审核对象访问：失败
   审核特权使用：失败
   审核系统事件：成功 失败
   审核目录服务访问：失败
   审核账户登录事件：成功 失败
　 审核账户管理：成功 失败
   审核策略不需要全部打开，如对象访问的成功项。否则将会占用过多的系统资源。

5，IP安全策略的配置。
       可下载现成的策略直接导入(详细配置方法可见网上文章)，如http://1982y.com/temp/www.ipsec ，下载后在管理工具--本地安全策略--IP安全策略 点右键选择-所有任务--导入策略，导入后，指派为新IP安全策略，然后在管理工具--本地安全策略--安全设置 点右键选择重新加载

6，关闭不必要和危险的系统服务

一个新安装好的windows 2000 server系统，默认应该是存在以下服务，设置为以下状态：

     Alerter  -    禁用      Application Management -    禁用

     Automatic Updates -    可禁用

     Background Intelligent Transfer Service   -    禁用

     ClipBook -    禁用

     COM+ Event System -    手动

     Computer Browser  -    禁用

     DHCP Client   -    禁用

     Distributed File System     -    禁用

     Distributed Link Tracking Client -    自动

     Distributed Link Tracking Server -    禁用

     Distributed Transaction Coordinator  -    自动

     DNS Client    -    自动

     Event Log     -    自动

     Fax Service   -    禁用

     File Replication  -    禁用

     IIS Admin Service    -  自动

     Indexing Service   -  手动

     Internet Connection Sharing   -  手动

     Intersite Messaging     禁用

     IPSEC Policy Agent  - 自动

     Kerberos Key Distribution Center - 禁用

     License Logging Service   -  禁用

     Logical Disk Manager -  自动

     Logical Disk Manager Administrative Service - 手动

     Messenger   -  禁用

     Microsoft Search - 禁用 (本服务在装了SQLSERVER2000 SP3后出现)

     Net Logon - 手动

     NetMeeting Remote Desktop Sharing - 手动

     Network Connections - 自动

     Network DDE - 手动

     Network DDE DSDM - 手动

     NT LM Security Support Provider  - 手动

     Performance Logs and Alerts  - 手动

     Plug and Play 自动

     Print Spooler 禁用

     Protected Storage 自动

     QoS RSVP   - 手动

     Remote Access Auto Connection Manager   - 手动

     Remote Access Connection Manager   - 手动

     Remote Procedure Call (RPC) - 自动

     Remote Procedure Call (RPC) Locator  - 手动

     Remote Registry Service         必须禁用

     Removable Storage       -    自动

     Routing and Remote Access  - 禁用

     RunAs Service   - 禁用

     Security Accounts Manager       自动

     Smart Card   - 手动

     Smart Card Helper   - 手动

     System Event Notification       自动

     Task Scheduler              必须禁用

     TCP/IP NetBIOS Helper Service   必须禁用

     Telephony       - 手动

     Telnet   禁用

     Terminal Services        - 自动

     Uninterruptible Power Supply   - 手动

     Utility Manager   - 手动

     Windows Installer   - 手动

     Windows Management Instrumentation                 自动

     Windows Management Instrumentation Driver Extensions    自动

     Windows Time   - 手动

     Wireless Configuration   - 手动

     Workstation       自动

     World Wide Web Publishing Service    自动

     做为一个管理员，应该知道各种服务都是做什么用的，例如有人入侵后须及时发现是否运行了一些入侵者留下的服务。