个人网络安全防卫手册(3)

　　2.网络服务的安全性

　　所谓网络服务是指一般人上网要做的事情。例如，用浏览器在WWW上面获知讯息，以E-mail方式与远方的朋友联络，使用FTP传输文件或是Telnet到BBS站，与网友们聊个天南地北。虽然网络上可以做这么多事，但只要稍不小心，可能你在不知不觉中，已经受到黑客的入侵了。因此了解网络服务的安全性，是你必备的上网常识喔!

　　(1)WWW世界的陷阱:当你在使用IE或Netscape浏览器遨游在WWW中时，必须要小心某些看似怪异，或者主题不明确的网站。可别以为浏览网页不会有什么问题，殊不知点点网页上的按钮，也可以让黑客从你的计算机中将你的密码文件回传到自己的计算机中。而且，这只是其中一种从WWW上窃取资料的方法。

　　(2)FTP:FTP是一种文件传输的服务，通过网络上架设的FTP主机，管理者可以提供访客上传或下载文件的服务，但这也同样存在着资料被黑客恶意入侵破坏的风险。而且这些网站有许多是所谓的“地下网站”，专门提供一些非法软件的取得服务，而这些软件由于来源不明，内含病毒或黑客程序的机率相当高，若没有高度的警觉心，你就很有可能成为黑客的下一个目标。

　　(3)E-mail:E-mail恐怕是每个上网者必用的网络服务。它强调实时、迅速、环保等多种优质条件的特性，使现在的人们大大地改变了以往用纸跟邮票来传送邮件的习惯。不过E-mail是目前网络上传递病毒与黑客程序最佳的途径。唯有加强自己本身的危机意识和网络安全常识，才能在享受这个科技带来的便利外，更能多一层安全上的保障。

　　(4)Telnet:Telnet是一种远程登录的网络服务。这个技术最常见的应用就是BBS。只要你接触网络有一段时间，应该都见识过BBS的威力吧!在一开始时，系统会要求你键入账号和密码，而当你键入数据时，这组账号及密码会以不加密的方式，直接送到提供服务的主机端。这段过程，相当容易遭到有心人士的从中撷取资料，而对于一般人惯性的将许多账号及密码都设为同一组的缘故，恐怕这个损失将难以估计了。

　　(5)NEWS:这是网络上供人讨论网站的新闻群组，由于这样的群组强调纯文字的特性，舍弃了图片与其他费时的网络资源，因此深获一般想上网获得实时讯息的朋友喜爱。不过在NEWS上常常有许多内容及吸引人的广告文章，让人产生一种不劳而获的幻想。若警觉性不高，可能你就中了黑客的圈套，而一步一步陷进去了。

　　三、操作系统安全配置

　　操作系统是你使用计算机的起点，所有对资料、文件的操作都需要通过操作系统来协同完成。由于操作系统本身所存在的一些缺陷，使得黑客能在你的计算机系统中随意进出。配置一个安全的计算机系统，将黑客“拒之门外”。

　　(一)Windows 2000服务器安全配置

　　1. 定制自己的Windows 2000 Server

　　(1)版本的选择:Windows 2000有各种语言的版本，对于我们来说，可以选择英文版或简体中文版。强烈建议，在语言不成为障碍的情况下，请一定使用英文版。要知道，微软的产品是以Bug & Patch而著称的，中文版的Bug远远多于英文版，而补丁一般还会迟至少半个月(也就是说一般微软公布了漏洞后你的机子还会有半个月处于无保护状况)。

　　(2)组件的定制:Windows 2000在默认情况下会安装一些常用的组件。但是，正是这个默认安装是极度危险的你应该确切地知道你需要哪些服务，而且仅仅安装你确实需要的服务。根据安全原则，最少的服务+最小的权限=最大的安全。典型的Web服务器需要的最小组件选择是:只安装IIS的ComFiles、IIS Snap-In、WWW Server组件。如果你确实需要安装其他组件，请慎重，特别是Indexing Service、FrontPage 2000 Server Extensions、Internet Service Manager(HTML)这几个危险服务。

　　(3)管理应用程序的选择:选择一个好的远程管理软件是非常重要的事，这不仅仅是安全方面的要求，也是应用方面的需要。Windows 2000的终端服务是基于RDP(远程桌面协议)的远程控制软件，它速度快，操作方便，比较适合用来进行常规操作。但是，终端服务也有其不足之处，由于它使用的是虚拟桌面，当你使用终端服务进行安装软件或重启服务器等与真实桌面交互的操作时，往往会出现哭笑不得的现象，例如，使用终端服务重启微软的认证服务器(Compaq, IBM等)可能会直接关机。所以，为了安全起见，建议再配备一个远程控制软件作为辅助，与终端服务互补，如PcAnyWhere就是一个不错的选择。

　　2. 正确安装Windows 2000 Server

　　(1)分区和逻辑盘的分配。有一些朋友为了省事，将硬盘仅仅分为一个逻辑盘，所有的软件都装在C盘上。建议最少建立两个分区，一个系统分区，一个应用程序分区，这是因为，微软的IIS经常会有泄漏源码/溢出的漏洞，如果把系统和IIS放在同一个驱动器会导致系统文件的泄漏甚至入侵者远程获取Admin。推荐的安全配置是建立三个逻辑驱动器，第一个大于2GB，用来装系统和重要的日志文件，第二个放IIS，第三个放FTP，这样无论IIS或FTP出了安全漏洞都不会直接影响到系统目录和系统文件。

　　(2)安装顺序的选择:Windows 2000在安装中有几个顺序是一定要注意的:

　　首先，何时接入网络。Windows 2000在安装时有一个漏洞，在你输入Administrator密码后，系统就建立了ADMIN$的共享，但是并没有用你刚刚输入的密码来保护它，这种情况一直持续到你再次启动后，在此期间，任何人都可以通过ADMIN$进入你的机器;同时，只要安装一完成，各种服务就会自动运行，而这时的服务器是满身漏洞，非常容易进入的，因此，在完全安装并配置好Windows 2000之前，一定不要把主机接入网络。

　　其次，补丁的安装。补丁的安装应该在所有应用程序安装完之后，因为补丁程序往往要替换/修改某些系统文件，如果先安装补丁再安装应用程序有可能导致补丁不能起到应有的效果。例如，IIS的HotFix就要求每次更改IIS的配置都需要安装。