Microsoft 安全工具包:
安装新的 Windows NT®4.0 系统并确保其安全
本简要指南旨在帮助您理解安全地安装新的 Windows NT 4 所必需的基本步骤。本指南所提到的其他文档以及更新文档位于此工具包的目录部分。
本指南中的信息适用于:
- Microsoft Windows NT Server 4.0 企业版
- Microsoft Windows NT Workstation 4.0
- Microsoft Windows NT Server 4.0
步骤 1: 执行基本安装
安装新的系统时,首先应确保系统所连接的网络环境没有因安全方面的攻击而受到威胁或者在将系统连接到受到威胁的网络之前禁用系统中容易受到威胁的服务。有关如何查明您的系统或网络安全是否已经受到威胁的详细信息,请单击此处。
请选择以下两种安装方法之一。
- 在不连接到网络的情况下安装 Windows NT 4.0。通常情况下使用 CD 完成此安装过程。
采 用基本方式安装的 Internet Information Server (IIS) 很容易受到安全攻击,在 Windows NT 4.0 SP 6a 和 IIS Security Roll-up Package 全部安装完成以前,应该保持禁用或者与网络断开连接。
- 在连接到没有潜在安全性威胁网络的情况下安装 Windows NT 4.0。
步骤 2: 确保基本安装的安全
既然已经安装并运行操作系统,接下来就是要确保其更加安全。依据步骤 1 中完成初始安装方式的不同,您可能需要跳过下面步骤中的某些步骤。
- 安装
Windows NT 4.0 SP 6a 。有关在 Windows NT 4.0 上安装 Service Packs 的信息,在 Windows NT 4.0 SP6a 自述文件和如何使用 Systems Management Server 1.2 及 2.0 配置 Windows NT 4.0 SP6a 中有所介绍。
- 在保证 Internet Explorer Web 浏览器的安全时您有如下选择。
- 安装 Internet Explorer 5.01 SP2 达到安全基准的最低要求。
或
- 安装 Internet Explorer 5.5 SP2,如果希望利用此新版 Web 浏览器中的新增功能的话。
或
- 安装 Internet Explorer 6.0 或更新版本(推荐),如果希望利用此新版 Web 浏览器中的新增功能的话。
- 安装 Windows NT 4.0 Server Option Pack 或者 Windows NT Workstation 4.0 Option Pack,如果 IIS 已经安装并运行或者您打算将来使用 IIS。Option Pack 会将您正在运行的 IIS 版本升级到 4.0。
警告: 请忽略 Option Pack 没有在 Service Pack 4.0 或更高版本上进行测试的警告信息。
- 重新安装 Windows NT 4.0 SP 6a 更新由 Windows NT 4.0 Option Pack 安装的文件。
安装 Windows NT 4.0 Security Rollup 和两个 SRP 后发布的补丁。必须在 Service Pack 6a 后使用下述步骤安装。
- 安装 Windows NT 4.0 Security Roll-up。请不要重新启动。
- 安装 Q307866 补丁。以防止安装 Windows NT 4.0 Security Rollup Package,运行修复并选择“验证 Windows NT 4.0 系统文件”后,旧版本的 Windows NT 4.0 文件可能会覆盖新版本的文件,从而导致在重新启动时发生 Stop 错误。重新启动。
- 安装 Q307866 补丁。以防止安装 Windows NT 4.0 Security Rollup Package,运行修复并选择“验证 Windows NT 4.0 系统文件”后,旧版本的 Windows NT 4.0 文件可能会覆盖新版本的文件,从而导致在重新启动时发生 Stop 错误。请不要重新启动。
- 安装 Q305929。在安装 Windows NT 4.0 Security Rollup Package 之后会显示出错消息“该证书含有无效数字签名”。重新启动。
- 安装 IIS 4.0 Rollup 补丁,如果打算启用这些服务。请记住:如果是在脱机情况下安装的系统,并且 IIS 已经运行,在本步骤完成之前不要将计算机连接到网络。
- 安装 Windows Media Player 6.4 补丁
步骤 3: 进一步确保基本安装的安全
要进一步确保系统的安全,则必须遵循下列适用于您的安装情况的清单。
Microsoft Internet Information Server 4 安全清单
步骤 4:确保 Internet Information Server 的安全
现在您已安装了一个良好的安全补丁基准。Web 服务器尤其容易受到安全方面的攻击,Microsoft 已提供了该工具来帮助您。如果在本系统运行 IIS,请遵循下列步骤。
- 运行 IIS 锁定向导
利 用此工具可即时配置 IIS 4.0 或 5.0 Web 服务器,以确保安全操作。适合于多数基本 Web 服务器的明确模式以及允许管理员选择服务器所支持技术的高级模式。该工具提供了“撤消”功能,可以将上一步的锁定效果撤消。它还屏蔽所有对 IIS Web 服务器的请求,并且只允许那些符合管理员制定的规则的请求通过。这种做法帮助确保了服务器只对合法请求作出响应,从而大大提高了服务器的安全性。该工具允 许管理员根据长度、字符集、内容和其他因素对请求进行过滤。通过自定义它所提供的默认规则集可满足特定服务器的需要。
步骤 5:持续的维护计划
现在您的系统已经安装了一个较好的安全基准,但是如果不经常进行维护,您的系统可能遭受到新形式的攻击。
- 使用 Hfnetchk 工具评 估 Windows NT 4.0 操作系统中应用的安全补丁以及 Internet Information Services 4.0、SQL Server 7.0、SQL Server 2000(包括 Microsoft Data Engine [MSDE])和 Internet Explorer 5.01 及其更高版本的安全补丁。
当您在安装了如上所述的安全基准后运行 Hfnetchk 工具时,Hfnetchk 结果会显示有许多安全补丁尚未安装。此情况是真实的并且是所希望的结果。本文档只提供一个开始的基准。建议您实施必需的步骤确保所有重要的安全补丁已经成功安装。
每天您都应当在所有您负责进行安全管理的计算机上运行该工具,直到您确信所有推荐的补丁都已经得到应用为止。此时,您才能降低维护频率。部署新的安全补丁时,您应当继续运行该工具进行验证,并检测丢失的安全补丁。
- 订阅 Microsoft Security Notification Service。这是一项免费的电子邮件通知服务,Microsoft 利用该服务向订户发送有关 Microsoft 产品安全的信息。
- 使用 Windows Update 网站检查最新建议和重要的更新。
- 出现新的安全补丁时,应用这些补丁是很重要的。Microsoft 创建了 Qchain 工具来将补丁链接在一起,以便安装多个补丁时只需重新启动一次。
©2001 Microsoft Corporation. 保留所有权利。