一旦启动和运行Windows，我们应该如何保护它以及怎样安装IIS（Internet信息服务器）呢？

　　前面几个部分的文章已经讨论过VMware Server如何工作、如何准备主机服务器以及如何安装Windows。在本文中，TechTarget中国的特约专家Andrew Kutz将讨论如何保护Windows Server 2003和安装IIS。

　　Windows安全性

　　下面介绍几种让Windows更加安全的方法。

　　伪造管理员帐户

　　创建伪管理员帐户是一个摆脱某些爱管闲事的人的好方法。虽然这并不能防止真正的黑客企图，但是加密至少还会让诚实的人保持诚实，对吧?

　　给管理员帐户重新命名，如“lucy”，然后断开之后重新连接。连接之后，立刻创建一个新的帐户，命名为“Administrator”。剪切（不要复制）原管理员帐户的描述（现在叫“lucy”）粘贴到伪管理员帐户的描述中。把新管理员帐户的密码设置得很长很长（密码的复杂性并不那么重要，尽管安全专家20年前就说过密码应该复杂），用50个或更多字符，然后禁用这个帐户。这只是“深入防守”的一个实例。

　　保护数据区

　　接下来，在E盘创建如下文件夹层次：
　　DATA
 　　var
　　 log
 　　mail
 　　vms
 　　tmp

　　有人可能会发现它和标准*NIX文件夹名有相似之处。短目录名简明扼要，如果它不名一文，就不要用了。

　　在var目录下设置安全性，只允许SYSTEM帐户和Administrator帐户组享有完全控制权。移除var文件夹的所有其它许可，在子文件夹中，用适用于var的许可替换所有现有许可。

　　事务日志

　　现在，打开注册表编辑器，设置以下一些值：

- HKLMSYSTEMCurrentControlSetServicesEventlogApplicationFile - "e:varlogapplog.evt"
- HKLMSYSTEMCurrentControlSetServicesEventlogSecurityFile - "e:varlogseclog.evt"
- HKLMSYSTEMCurrentControlSetServicesEventlogSystemFile - "e:varlogsyslog.evt"

　　重启计算机，以便新的事务日志设置生效。

　　防火墙

　　重启之后，打开Windows防火墙设置，为所有连接开启防火墙，打开远程桌面端口（3389号端口，远程管理），902号端口（VMware Server 远程控制台），8222号端口和8333号端口（分别是VMware网站为HTTP和HTTPS使用的端口）。

　　在防火墙属性窗口打开后，配置防火墙的日志文件设置是个不错的想法。设置防火墙日志文件地址为“e:varlogpfirewall.log”。最好把防火墙日志文件的默认大小增加一些，如10M。

　　服务禁用

　　还有一种确保服务器安全的方法是禁用服务器不需要运行的一些服务。下面一些服务可以放心的禁用，VMware Server仍会工作：

Alerter - ClipBook - Computer Browser - Distributed File System - Distributed Link Tracking Client - Distributed Link Tracking Server - File Replication - Indexing Service - Messenger - NetMeeting Remote Desktop Sharing - Network DDE - Network DDE DSDM - Remote Access Auto Connection Manager - Remote Access Connection Manager - Removable Storage - Telephony - Uninterupptable Power Supply - WinHTTP Web Proxy Auto-Discovery Service

　　IIS

　　现在，我们把注意力转向一些配置IIS的策略。

　　限制MIME（多用途互联网邮件扩展）类型

　　重要提示：如果这是个现成的Web服务器 ，一定要非常小心这一步。它可能导致Web服务器完全停止所有服务内容。所以，要小心谨慎。

　　MIME类型会告诉IIS如何根据文件的扩展名处理各种类型的文件。例如，.exe扩展名的MIME类型是“application/octet-stream”，IIS就知道它是一个二进制文件了。

　　这一步会移除IIS能识别的所有MIME类型。这似乎比较过激，但是你可以这样考虑：如果一个新的IIS漏洞被发现，而且它依赖于IIS能够服务扩展名为“ida”的文件，由于IIS不识别这个MIME类型而不能服务这个文件，那么会发生什么？答案是什么都不发生。这个文件将不会被服务，服务器就不会受到这个特定的漏洞利用的威胁。

　　打开IIS管理器，右击本地电脑，点击属性，然后点击“MIME类型”按钮。现在，点击第一个条目然后按下SHIFT键。展开下拉卷轴，点击最后一个条目。

　　如果正确完成，会选择整个列表（CTRL-A在这里无效）。点击“移除”按钮，确定警告提示。这时，列表中就应该没有MIME类型了。

 
　　点击“确定”，然后再次“确定”。

　　这一步限制了IIS服务任何非系统MIME类型。但是IIS需要能够服务某些文件，如扩展名为.html的文件。这个问题将在下文中解决。

　　IIS日志

　　在IIS管理器中，右击“网站”文件夹，选择属性，会出现一个窗口，默认选择的是“网站”标签。确保选中“启用日志”复选框。

　　点击“属性”标签，选中“文件命名和rollover使用本地时间”复选框，设置“日志文件目录”为“e:varlog”。

 
　　点击“高级”选项，确保选中所有扩展的选项，然后点击“确定”。

　　默认内容页

　　点击“文档”选项，移除所有默认的内容页，然后退选“启用默认内容页”复选框。现在，这个窗口应该是这样的：

 
　　点击“确定”。

　　默认网站和默认应用池

　　有一个避免受攻击的方法是设置主机头名（host header value）。这可以使从Web服务器80号端口对IP地址的直接攻击完全失效，当设置主机头名后，如果HTTP请求向服务器提供所设置的主机标头字段，这个请求才有效。

　　要设置这个值，展开“网站”文件夹，右击“默认网站”，点击属性会打开一个新窗口“默认网站属性”。点击窗口右上方的“高级”按钮，会出现一个新窗口“高级网站鉴定”。选择有默认IP地址的条目，点击“编辑”按钮。设置主机头名为服务器FQDN，点击“确定”。

 
　　现在，这个窗口应该像这样。

　　现在攻击者就不可能轻易地强迫“默认网站”使用服务器的IP地址了。倒不是说这非常重要，因为下一步是禁用“默认网站”和“默认应用池”。

　　展开“网站”文件夹。现在，右击“默认网站”文本，单击“停止”。接下来，展开“默认应用池”文件夹，右击“默认应用池”，单击“停止”。

　　因为VMware Server不适用默认网站，所以禁用默认网站和服务于它的应用池很安全。之所以禁用了网站之后还要设置主机头名，是为了防止万一系统管理员偶然启用网站。

　　之所以不删除默认网站和默认应用池，是因为默认网站在IIS Metabase中有特殊意义。它是唯一网站ID为1的网站，有些应用需要IIS Metabase中存在ID为1的网站，不然会出严重问题。