如何安全地安裝 Windows 2000

Overview

發佈日期: 2004 年 11 月 17 日 | 更新日期: 2006 年 5 月 31 日


本頁內容

本單元內容
目標
適用於
如何使用本單元
作業系統安裝
Windows 2000 安裝程序
選擇良好的密碼
Windows 2000 Service Pack 注意事項

本單元內容

本單元針對在安全環境中安裝 Microsoft® Windows® 2000 作業系統提供初始的安裝程序及建議。

目標

透過本單元即可:

  • 安全地安裝 Windows 2000 作業系統

  • 指出 Windows 2000 系統的相關密碼問題

  • 指出 Windows 2000 的 Service Pack 考量


適用於

本單元適用於下列產品及技術:

  • Microsoft Windows 2000 作業系統

  • 作業系統安裝


如何使用本單元

本單元可作為安全安裝和更新 Windows 2000 系統的指南。

若要充分瞭解本單元:

  • 請參閱 <Windows 2000 安全性設定>單元。本單元提供詳盡的安全性設定說明文件,可用來增進 Windows 2000 的安全性。

  • 請參閱 <Windows 2000 安全性設定工具>單元。此單元著重在可供套用安全設定的 Windows 2000 工具。

  • 請參閱 <Windows 2000 預設安全性原則設定>。此單元指出可套用到各種 Windows 2000 系統角色的預設安全性原則設定。

  • 請參閱 <Windows 2000 使用者權利和權限設定>。此單元指出 Windows 2000 中的預設使用者權限指派,並提供一份<Windows 2000 安全性設定>所建議的變更清單。

  • 使用檢查清單Windows 2000 安全性設定檢查清單 >。此單元包含安全性檢查清單,可用來評估系統安全性,以確保所有設定變更均已完成。

  • 使用隨附的 How To 文件:

    • 《如何在 Windows 2000 中設定和套用安全性範本》


作業系統安裝

本節提供 Windows 2000 系列作業系統的初始安裝程序。

準備安裝

在安裝過程中,安裝程式將會詢問有關 Windows 2000 的安裝及設定方式的資訊。開始執行安裝前,請先收集硬體資訊並確定設定選項,以準備安裝 Windows 2000 作業系統。下列檢查清單提供一些指引,在您開始安裝之前,可根據這些指引資訊來決定安裝事項。

[表 1]:Windows 2000 安裝前檢查清單

  

資訊

說明

 

Dd277452.mnp_checkbox(zh-tw,TechNet.10).gif

硬體相容性

檢查並確認所有硬體與 Windows 2000 作業系統的相容性。硬體元件包括:主機板、網路介面卡、視訊卡、音效卡和 CD-ROM 光碟機。有關其他詳細資訊,請參閱《The Windows 2000 Hardware Compatibility List (HCL) (英文)》,網址是:http://www.microsoft.com/windows2000/server/howtobuy/upgrading/compat/

 

Dd277452.mnp_checkbox(zh-tw,TechNet.10).gif

磁碟空間

確定系統具有充足的磁碟空間。建議至少提供 2 GB 的磁碟空間來安裝 Windows 2000。

 

Dd277452.mnp_checkbox(zh-tw,TechNet.10).gif

磁碟分割

確定磁碟分割需求,並謹記安裝 Windows 2000 作業系統所需的最低磁碟空間建議。

 

Dd277452.mnp_checkbox(zh-tw,TechNet.10).gif

檔案系統

您必須將檔案系統設定為 NTFS 以便啟用安全性設定。大家常誤以為執行 FAT 磁碟分割的系統比較容易復原。這不是事實。FAT 只會削弱您的安全性,而不會簡化復原作業。

 

Dd277452.mnp_checkbox(zh-tw,TechNet.10).gif

安裝方式

決定要從安裝開機磁片、CD-ROM、或透過網路來安裝 Windows 2000 作業系統。本文件所提供的程序將解說如何從開機磁片或 CD-ROM 進行安裝。

 

Dd277452.mnp_checkbox(zh-tw,TechNet.10).gif

服務元件

安裝之前先決定作業系統安裝後所需的服務。安裝伺服器時,必須將 Microsoft Active Directory®、DNS、WINS、或 DHCP 列入考量。


Windows 2000 安裝程序

安裝方式

您可以將 Windows 2000 當作現有的 Windows 作業系統升級或全新的作業系統來安裝。為了確保安全起見,Windows 2000 應該是電腦上唯一安裝的作業系統,您應該將 Windows 2000 安裝在新分割區上。也就是說安裝 Windows 2000 之前,您必須移除先前安裝在電腦的硬碟分割區的所有作業系統。

Windows 2000 作業系統共有三種安裝方式:

  • 安裝開機磁片 - 此安裝方式適用於不支援可開機 CD-ROM 磁碟的舊型電腦。以下將不再贅述。

  • CD-ROM。

  • 透過網路 - 除非網路環境的安全無虞,否則不建議執行此安裝方式。

從可開機的 CD-ROM 啟始安裝

使用可開機的 CD-ROM 是安裝 Windows 2000 最簡易快速的方法。但是為了確保在安裝過程中不會損及電腦安全,您應該中斷網路連線,直到安裝完成並且您已經安裝最新的 Service Pack。

從可開機 CD-ROM 開始安裝,如下所示:

  1. 將光碟插入光碟機。

  2. 重新啟動電腦並等候安裝程式顯示對話方塊。許多電腦都會要求您在開機過程中按下任意按鍵,以便從 CD-ROM 開機。

  3. 遵循螢幕上的安裝指示。

本單元的餘下部分將告訴您最安全的系統安裝方式。此處並不打算提供逐步解說的完整安裝流程。

設定磁碟分割

在系統初始的文字模式安裝過程中,安裝程式將會詢問要將 Windows 2000 安裝在何處。[圖 1] 顯示會出現的對話。若有多個磁碟分割或硬碟,畫面上會全數顯示。下列 [圖 1] 所顯示的範例是沒有分割的 40 GB 硬碟。

重要事項:基於安全性考量,您應使用此對話來刪除系統中所有其他的作業系統磁碟分割。

就工作站而言,您應使用磁碟上的所有空間來當作安裝磁碟分割。就伺服器而言,您應使用單一磁碟上大約 4 GB 的空間來當作作業系統。系統中的其餘空間應保留給資料檔案、服務、公用程式等等來使用。您應避免將使用者資料檔案儲存在伺服器的開機磁碟分割中。但是工作站卻可以這麼做,因為可讓使用者更容易找到他們的資料。

磁碟分割選擇

[圖 1]:磁碟分割選擇


建立磁碟分割後的下一步是格式化磁碟分割。對於所有重視安全性的系統,您都必須將所有磁碟分割格式化為 NTFS 磁碟分割。唯有使用 NTFS 的系統才能提供合理的安全保障。

指派系統管理員帳戶密碼

[圖 2] 所示的 [電腦名稱以及系統管理員密碼] 對話方塊,提供設定預設系統管理員 (Administrator) 帳戶密碼的管道。如何設定良好密碼的特定指示記述於<選擇良好的密碼>一節中。在安裝過程中,為內建系統管理員帳戶設定良好的密碼是十分重要的。

[電腦名稱及系統管理員密碼] 對話

[圖 2]:[電腦名稱及系統管理員密碼] 對話

為 Windows 2000 Server 產品選擇服務元件

在 [Windows 2000 元件] 對話方塊 (如 [圖 3] 所示) 中,為正在安裝的伺服器選擇必要的元件。在安裝期間,此對話方塊可讓您加入或移除元件。您可接受 Windows 2000 Professional 的預設設定,但需要在安裝時修改 Windows 2000 Server 的設定。

  1. 有些元件會降低系統的安全性,因此不應選取。這些元件包括簡單 TCP/IP 服務SNMP 通訊協定

  2. 安裝伺服器時,根據安裝預設設定,[Windows 2000 元件] 對話方塊將會選取索引服務Internet Information Service (IIS)、以及指令碼偵錯工具。然而,大部分系統都不需要這些元件。對非網頁伺服器而言,應取消選取 IIS 指令碼偵錯工具。對於無須使用檔案索引來搜尋檔案的系統而言,應取消選取索引服務。請注意,執行 Microsoft Exchange 2000 的系統必須安裝一部份的 IIS。但是,Exchange 2000 的安全性設定不在本指南的討論範圍之內。有關 Exchange 2000 Server 的詳細資訊,請參閱《Security Operations Guide for Exchange 2000 Server (英文)》,網址是:

    http://www.microsoft.com/technet/security/prodtech/mailexch/opsguide/default.asp

注意:由於多數網路上蠕蟲猖獗,威脅無安全性的系統,因此在安裝 Service Pack 3 或更新版本以前,您應該將執行 IIS 的系統安裝在獨立的網路區段上或中斷其網路連線。

選取 Windows 2000 元件

[圖 3]:選取 Windows 2000 元件

將 Windows 2000 Server 轉換為網域控制站

若要建置網域控制站,首先您必須要安裝 Windows 2000 Server 系列產品之一,再將系統升級為網域控制站。使用 DCPromo.exe 工具即可完成這項作業。在升級的過程中,將會出現標示為 [權限] 的對話方塊請參閱 [圖 4])。此對話依預設會選取 [與前版 Windows 2000 伺服器相容的使用權限]。選取此選項後,「每個人」群組便會成為 Windows 2000 前版的 Compatible Access 群組的成員。此群組能夠讀取存取 Active Directory 中所有物件的全部屬性。如此會造成嚴重安全性漏洞的危機。如果您的系統已經升級,您可以檢查 Windows 2000 前版的 Compatible Access 群組成員資格來確定是否已選取此核取方塊。如果「每個人」屬於該群組的成員,請將它移除,然後重新開機所有網域控制站。由於掌管此存取的存取權杖會在開機時建立,因此有必要重新開機。

對於新安裝而言,如果不需要非 Windows 2000 伺服器及用戶端的存取,則應選取 [使用權限只和 Windows 2000 伺服器相容] 選項。這只是第一個實例範例,教您如何在缺乏舊版相容性的情況下來顯著增強安全性。

Active Directory 使用權限對話

[圖 4]:Active Directory 使用權限對話


選擇良好的密碼

非常多的系統安全性有賴於選擇良好的密碼。本節將詳細討論這個主題。不過,若要瞭解如何在 Windows 2000 中選擇良好的密碼,首先必須對作業系統儲存密碼的方式有基本認識。

Windows 2000 密碼表示

在預設的狀況下,Windows 2000 決不會以純文字形式來儲存使用者密碼。而是使用兩種不同的密碼表示來儲存密碼,一般稱為「雜湊」。使用兩種表示的用意在於支援舊版相容性。

LMHash

LMHash 又稱為 Lan Manager 雜湊,以技術層面而言根本不是雜湊。其處理方式如下:

  1. 將密碼中的所有小寫字元轉換成大寫

  2. 使用 NULL 字元填補密碼,直到密碼的長度正好是 14 個字元

  3. 將密碼分成各 7 個字元的兩個區塊

  4. 分別使用上述區塊作為 DES 機碼,來加密特定字串

  5. 將兩段密碼文字串連成 128 位元的字串,並儲存結果

用來產生 LMHash 的演算法使得雜湊很容易被破解。首先,即使是長度超過 8 個字元的密碼也可能在兩個分離的區塊中遭受攻擊。其次,整個小寫字元集都可以直接略過。這表示大部分的密碼破解工具開始會先破解 LMHashes,然後只要改變已破解密碼的第一個字元,即可產生區分大小寫的密碼。請注意,無論是從遠端或本機登入 Windows 2000 系統,您都必須使用保留大小寫的密碼。

NTHash

NTHash 又稱為 Unicode 雜湊,因為它可支援完整的 Unicode 字元集。NTHash 的處理方法是採用純文字密碼,並產生其 MD4 雜湊。然後儲存 MD4 雜湊。NTHash 比 LMHash 更能夠抵抗 Brute Force 攻擊。以相同密碼而言,對 NTHash 進行 Brute Force 攻擊要比對 LMHash 進行 Brute Force 攻擊需要更長的多個數量級。

良好密碼的構成要素為何?

構成合適密碼的一般原則如下:

  • 超過 7 個字元 (否則 LMHash 的另一半將使用 NULL 密碼來加密)。

  • 至少包含下列四種字元集中的三種項目:

    • 大寫字元

    • 小寫字元

    • 數字

    • 非英數字元

  • 不包含使用者姓名、使用者名稱或常用單字的任何部分。

密碼篩選器會強制要求此複雜設定,您可以視需求使用「群組原則」來取得密碼篩選器。此外,系統管理員可以撰寫自訂的密碼篩選器來自訂複雜性需求。舉例而言,自訂的篩選器可以強制密碼排除公司名稱的任何部分,或要求其他複雜設定。有關如何撰寫此篩選器的詳細資訊,請參閱《Password Filters in the Microsoft Windows Software Development Kit (英文)》,網址是: http://msdn.microsoft.com/library/en-us/security/Security/password_filters.asp

但是,這類密碼多半還是很容易被破解。此處提供幾個步驟,可進一步提高密碼的破解難度:

  • 使用「上排」(Upper Row) 以外的非英數字元。上排字元是指按住 SHIFT 鍵時所鍵入的任何數字鍵。多數密碼破解者都知道上排字元是最常用來增加密碼亂度的方法,因此會從這方面開始破解。

  • 使用 ALT 字元。ALT 字元是指按住 ALT 鍵 (膝上型電腦則是按住 FN+ALT 鍵) 時所鍵入的三或四個數字鍵台上的數字 (膝上型電腦則是重疊數字鍵台)。大部分的密碼破解者都無法測試絕大多數的 ALT 字元。

  • 不允許儲存 LMHash。

許多方法可以避免儲存 LMHash。但是,您可以使用特定的方式來建構密碼,依逐個帳戶的基礎來控制 LMHash 的建立。

首先,如果密碼超過 14 個字元,系統便無法產生 LMHash。在 Windows 2000 中,最多可設定 127 個字元的密碼。

其次,如果密碼包含特定 ALT 字元,系統也無法產生 LMHash。第二點比較微妙,因為雖然有些 ALT 字元能夠移除 LMHash 來有效強化密碼,但其他 ALT 字元卻會大幅減弱密碼安全性,因為這些字元在儲存前會被轉換為一般的小寫字母。但是有很多字元可用來增強密碼。[表 1 ] 列出所有 1024 以下的字元,使用這些字元時,不會產生 LMHash。

[表 2] 防止產生 LMHash 的 ALT 字元

0128-0159

0306-0307

0312

0319-0320

0329-0331

0383

0385-0406

0408-0409

0411-0414

0418-0424

0426

0428-0429

0433-0437

0439-0447

0449-0450

0452-0460

0477

0480-0483

0494-0495

0497-0608

0610-0631

0633-0696

0699

0701-0707

0709

0711

0716

0718-0729

0731

0733-0767

0773-0775

0777

0779-0781

0783-0806

0808-0816

0819-0893

0895-0912

0914

0918-0919

0921-0927

0929-0930

0933

0935-0936

0938-0944

0947

0950-0955

0957-0959

0961-0962

0965

0967-1024

 

 


許多環境都無法讓整個系統停用 LMHash。例如藉由開機到 DOS 磁碟來在網路上安裝的作業系統就是這種情形。DOS 不支援 NT 雜湊演算法,因此必須使用 LMHash。DOS 也不支援在密碼中使用 ALT 字元。可能的話,所有環境都應停用全系統的 LMHashes;此外,上述技巧還可以用來加強所有環境中的個人密碼。

對於敏感帳戶 (例如服務帳戶和系統管理員帳戶),您應使用 ALT 字元。一般而言,這些帳戶比普通的使用者帳戶需要更周延的保護,而這些帳戶的使用者也會願意使用複雜度高的密碼。必須注意的是,在密碼中使用 ALT 字元將會打斷修復主控台。使用 ALT 字元來設定密碼時,請謹記這一點。

Windows 2000 Service Pack 注意事項

Windows 2000 Professional、Windows 2000 Server 以及 Windows 2000 Advanced Server 的 Windows 2000 Service Pack 可提供 Windows 2000 作業系統的最新更新內容。這些更新內容匯集了以下層面的修正項目:應用程式相容性、作業系統穩定性、安全性及安裝。每個 Service Pack 更新內容都是累積式的,其中會包含前版 Windows 2000 Service Pack 中的所有更新內容。

Windows 2000 後置 Service Pack Hotfix 所提供的產品更新可解決 Service Pack 版次間可能發生的特定問題。所有 Hotfix 通常都會加入各個後繼的 Service Pack 版次中。例如,Windows 2000 Service Pack 3 包含 Service Pack 2 的所有更新內容,再加上所有 Service Pack 2 後置 Hotfix。

Windows 2000 Service Pack 加密

Windows 2000 Service Packs 2 與更新版本支援使用高度加密 (128 位元) 作為預設設定,並且會自動從標準加密 (56 位元) 升級作業系統 (如果尚未升級的話)。您無法停用或解除安裝此功能。如果在安裝後移除 Service Pack,作業系統會繼續使用 128 位元加密,而不會恢復成 56 位元加密。

但是有一個例外。Protected Store 是由 Internet Explorer 4.0 引入的資料存放區。Protected Store 正逐漸由 Data Protection API 所取代。但是在預設的狀況下,Protected Store 中的資料 (例如 IE 使用者名稱和密碼) 是使用弱加密來保護,而且在安裝 Service Pack 時不會升級此加密。若要升級 Protected Store 的加密,您必須在安裝 Service Pack 2 或更新版本過後,執行下列命令:


Keymigrt.exe
Keymigrt.exe –m

keymigrt.exe 公用程式也可以進行下列轉換:


keymigrt [-f] [-v] [-u] [-m] [-s]
CAPI Key upgrade utility
    -f - Force key upgrade
    -e - Force Encryption Settings upgrade
    -v - Verbose
    -u - Allow upgrade of UI protected keys
    -m - Upgrade machine keys
    -s - Show current state, but make no modifications

有關 keymigrt.exe 詳細資訊,以及如何下載此工具,請參閱 Microsoft Security Bulletin MS00-032,網址是:http://www.microsoft.com/technet/security/bulletin/MS00-032.asp

安裝 Service Pack 及 Hotfix 更新前的建議動作

  • 安裝任何 Service Pack 或 Hotfix 更新之前,請

    1. 關閉所有應用程式。

    2. 更新緊急修復磁片 (ERD):

      1. 按一下 [開始] 上,並依序指向 [程式集]、[附屬應用程式]、[系統工具],再按一下 [備份]。

        備份公用程式介面

        [圖 5]:備份公用程式介面


      2. 在 [歡迎] 索引標籤上按一下 [緊急修復磁片]。

      3. 在 [緊急修復磁片] 視窗中,選擇 [同時也將登錄檔備份到修復目錄],以便將目前的登錄檔儲存至 %systemroot%\Repair 資料夾中稱為 \RegBack 的資料夾。如果發生失敗事件而需要復原系統時,這個步驟就很有用。

      4. 按一下 [確定],以建立 ERD。

      5. 建立 ERD 後,[表 3] 所述的檔案將會從 %systemroot%\Repair 資料夾複製到磁片上。

      [表 3]:ERD 建立時複製到磁片的檔案

      檔案名稱

      內容

      Autoexec.nt

      %systemroot%\System32\Autoexec.nt 的複本,可用來初始化 MS-DOS 環境。

      Config.nt

      %systemroot%\System32\Autoexec.nt 的複本,可用來初始化 MS-DOS 環境。

      Setup.log

      關於安裝程式和循環重複性檢查 (CRC) 資訊的記錄檔,可用於緊急修復程序。此檔案具有唯讀、系統和隱藏屬性,除非將電腦設定為顯示所有檔案,否則不會看見它。


    3. 執行電腦的完整備份作業,包括登錄檔。

    4. 根據更新需求檢查可用磁碟空間,更新需求通常記錄在對應的讀我檔案中。

    5. 如果最近曾進行系統變更,可能必須重新啟動電腦,再安裝 Service Pack 更新。

安裝 Service Pack 及 Hotfix 更新

您可以從 Service Pack CD、網路磁碟、或從下列網址的 Windows 2000 Service Pack 網站來安裝最新的 Windows 2000 Service Pack: http://www.microsoft.com/windows2000/downloads/servicepacks/

每種安裝方式的詳細程序都記錄在 Service Pack 讀我檔案中。在安裝過程中,Service Pack 程式會在電腦中安裝自己的檔案,並且自動建立 Service Pack 安裝程式所變更的檔案及設定備份。備份檔案會儲存在 %systemroot% 資料夾的 $NTServicepackUninstall$ 資料夾中。


顯示: