Win2K Internet服務器安全構建指南 三、Win2K安裝后要重點考慮的安全配置信息 操作系統安裝完畢后，建議執行如下安全配置： 1、安裝微軟高級加密包（Microsoft High Encryption Pack），將服務器升級為128位加密。 默認狀態下，服務器軟件的加密狀態處于較低級別，我們必須手工將其配置為128位加密。而且，這項工作應該在創建帳號和組之前進行，這樣就可以保證在服務器上創建的所有項目都是128位加密級別的。 2、安裝最新的SP軟件包和Hotfixes 微軟的產品是老裁縫做的，不打補丁不漂亮的，所以管理員們要經常訪問以下地址看看是否又有新補丁面世： http://www.microsoft.com/windows2000/downloads/default.asp 這個地址包含了大量關于Win2K的信息，對日常管理Win2K服務器非常有參考價值。關于HotFixes有一點需要注意：只在系統需要的時候才安裝相應HotFix。因為，并不是每個服務器都需要所有的HotFix，其中有一些hotfix修復的漏洞只存在于某些特定配置中。 3、對系統服務的啟動方式重新進行規劃 默認狀態下，許多服務都隨系統啟動而啟動。但由于有些服務因為啟動帳號身份的權限過大，有可能埋下安全隱患地雷，因此必須對所有服務的啟動方式進行重新規劃。規劃的原則應該是：除非絕對必要，關閉該服務。;

以下是我們認為應該處于“自動啟動狀態的基本服務： ● DNS Client：如果服務器需要主動與其它服務器進行通信，就需要這個服務。許多Web服務器僅僅是對請求進行應答而自身并不發出請求，這時就不需要DNS Client了。 ● Event Log：事件日志，用于記錄程序和 Windows 發送的事件消息。事件日志包含對診斷問題有所幫助的信息，可以在“事件查看器中查看報告。 ● Logical Disk Manager：邏輯磁盤管理器監視狗服務，用于管理本地磁盤驅動器和可移動設備。 ● Network Connections：管理“網絡和撥號連接文件夾中對象，在其中可以查看局域網和遠程連接。 ● Protected Storage：提供對敏感數據(如私鑰)的保護性存儲，以便防止未授權的服務、過程或用戶對其的非法訪問。 ● Remote Procedure Call (RPC)：遠程過程調用服務，用于在一個系統上使用程序執行遠程系統上的指令或程序。 ● Security Accounts Manager (SAM)：安全帳號管理服務，用于維護本地用戶帳戶的安全信息。 ● Windows Management Instrumentation(WMI)：Windows管理器，提供系統管理信息，如果沒有它，就沒有可訪問的管理控制臺來執行系統管理。 ● Windows Management Instrumentation Driver Extensions：Windows管理器驅動器擴展，也是MMC所要求的，用于與驅動程序間交換系統管理信息。 以下是我們認為應該處于“手動啟動狀態的基本服務： ● Logical Disk Manager Administrative Service：邏輯硬盤管理器管理服務，是磁盤管理請求的系統管理服務。 ● IIS Admin Service：IIS管理服務。 ● World Wide Web Publishing Service：WWW發布服務,用于向Web 站點設置的特定端口（通常是80）發布Web內容。