共用方式為

如何安全地安裝 Windows 2000

Overview

發佈日期: 2004 年 11 月 17 日 | 更新日期: 2006 年 5 月 31 日

本頁內容

本單元內容
目標
適用於
如何使用本單元
作業系統安裝
Windows 2000 安裝程序
選擇良好的密碼
Windows 2000 Service Pack 注意事項

本單元內容

本單元針對在安全環境中安裝 Microsoft® Windows® 2000 作業系統提供初始的安裝程序及建議。

回到頁首

目標

透過本單元即可:

  • 安全地安裝 Windows 2000 作業系統

  • 指出 Windows 2000 系統的相關密碼問題

  • 指出 Windows 2000 的 Service Pack 考量

回到頁首

適用於

本單元適用於下列產品及技術:

  • Microsoft Windows 2000 作業系統

  • 作業系統安裝

回到頁首

如何使用本單元

本單元可作為安全安裝和更新 Windows 2000 系統的指南。

若要充分瞭解本單元:

  • 請參閱 <Windows 2000 安全性設定>單元。本單元提供詳盡的安全性設定說明文件,可用來增進 Windows 2000 的安全性。

  • 請參閱 <Windows 2000 安全性設定工具>單元。此單元著重在可供套用安全設定的 Windows 2000 工具。

  • 請參閱 <Windows 2000 預設安全性原則設定>。此單元指出可套用到各種 Windows 2000 系統角色的預設安全性原則設定。

  • 請參閱 <Windows 2000 使用者權利和權限設定>。此單元指出 Windows 2000 中的預設使用者權限指派,並提供一份<Windows 2000 安全性設定>所建議的變更清單。

  • 使用檢查清單Windows 2000 安全性設定檢查清單 >。此單元包含安全性檢查清單,可用來評估系統安全性,以確保所有設定變更均已完成。

  • 使用隨附的 How To 文件:

    • 《如何在 Windows 2000 中設定和套用安全性範本》

回到頁首

作業系統安裝

本節提供 Windows 2000 系列作業系統的初始安裝程序。

準備安裝

在安裝過程中,安裝程式將會詢問有關 Windows 2000 的安裝及設定方式的資訊。開始執行安裝前,請先收集硬體資訊並確定設定選項,以準備安裝 Windows 2000 作業系統。下列檢查清單提供一些指引,在您開始安裝之前,可根據這些指引資訊來決定安裝事項。

[表 1]:Windows 2000 安裝前檢查清單

   資訊 說明
  硬體相容性 檢查並確認所有硬體與 Windows 2000 作業系統的相容性。硬體元件包括:主機板、網路介面卡、視訊卡、音效卡和 CD-ROM 光碟機。有關其他詳細資訊,請參閱《The Windows 2000 Hardware Compatibility List (HCL) (英文)》,網址是:https://www.microsoft.com/windows2000/server/howtobuy/upgrading/compat/
  磁碟空間 確定系統具有充足的磁碟空間。建議至少提供 2 GB 的磁碟空間來安裝 Windows 2000。
  磁碟分割 確定磁碟分割需求,並謹記安裝 Windows 2000 作業系統所需的最低磁碟空間建議。
  檔案系統 您必須將檔案系統設定為 NTFS 以便啟用安全性設定。大家常誤以為執行 FAT 磁碟分割的系統比較容易復原。這不是事實。FAT 只會削弱您的安全性,而不會簡化復原作業。
  安裝方式 決定要從安裝開機磁片、CD-ROM、或透過網路來安裝 Windows 2000 作業系統。本文件所提供的程序將解說如何從開機磁片或 CD-ROM 進行安裝。
  服務元件 安裝之前先決定作業系統安裝後所需的服務。安裝伺服器時,必須將 Microsoft Active Directory®、DNS、WINS、或 DHCP 列入考量。
[](#mainsection)[回到頁首](#mainsection) ### Windows 2000 安裝程序 #### 安裝方式 您可以將 Windows 2000 當作現有的 Windows 作業系統升級或全新的作業系統來安裝。為了確保安全起見,Windows 2000 應該是電腦上唯一安裝的作業系統,您應該將 Windows 2000 安裝在新分割區上。也就是說安裝 Windows 2000 之前,您必須移除先前安裝在電腦的硬碟分割區的所有作業系統。 Windows 2000 作業系統共有三種安裝方式: - 安裝開機磁片 - 此安裝方式適用於不支援可開機 CD-ROM 磁碟的舊型電腦。以下將不再贅述。 - CD-ROM。 - 透過網路 - 除非網路環境的安全無虞,否則不建議執行此安裝方式。 #### 從可開機的 CD-ROM 啟始安裝 使用可開機的 CD-ROM 是安裝 Windows 2000 最簡易快速的方法。但是為了確保在安裝過程中不會損及電腦安全,您應該中斷網路連線,直到安裝完成並且您已經安裝最新的 Service Pack。 從可開機 CD-ROM 開始安裝,如下所示: 1. 將光碟插入光碟機。 2. 重新啟動電腦並等候安裝程式顯示對話方塊。許多電腦都會要求您在開機過程中按下任意按鍵,以便從 CD-ROM 開機。 3. 遵循螢幕上的安裝指示。 本單元的餘下部分將告訴您最安全的系統安裝方式。此處並不打算提供逐步解說的完整安裝流程。 #### 設定磁碟分割 在系統初始的文字模式安裝過程中,安裝程式將會詢問要將 Windows 2000 安裝在何處。\[圖 1\] 顯示會出現的對話。若有多個磁碟分割或硬碟,畫面上會全數顯示。下列 \[圖 1\] 所顯示的範例是沒有分割的 40 GB 硬碟。 **重要事項:**基於安全性考量,您應使用此對話來刪除系統中所有其他的作業系統磁碟分割。 就工作站而言,您應使用磁碟上的所有空間來當作安裝磁碟分割。就伺服器而言,您應使用單一磁碟上大約 4 GB 的空間來當作作業系統。系統中的其餘空間應保留給資料檔案、服務、公用程式等等來使用。您應避免將使用者資料檔案儲存在伺服器的開機磁碟分割中。但是工作站卻可以這麼做,因為可讓使用者更容易找到他們的資料。 ![](images/Dd277452.secmod225_01(zh-tw,TechNet.10).jpg) *\[圖 1\]:磁碟分割選擇* 建立磁碟分割後的下一步是格式化磁碟分割。對於所有重視安全性的系統,您都必須將所有磁碟分割格式化為 NTFS 磁碟分割。唯有使用 NTFS 的系統才能提供合理的安全保障。 #### 指派系統管理員帳戶密碼 \[圖 2\] 所示的 \[電腦名稱以及系統管理員密碼\] 對話方塊,提供設定預設系統管理員 (Administrator) 帳戶密碼的管道。如何設定良好密碼的特定指示記述於<選擇良好的密碼>一節中。在安裝過程中,為內建系統管理員帳戶設定良好的密碼是十分重要的。 ![](images/Dd277452.secmod225_02(zh-tw,TechNet.10).jpg) *\[圖 2\]:\[電腦名稱及系統管理員密碼\] 對話* #### 為 Windows 2000 Server 產品選擇服務元件 在 \[Windows 2000 元件\] 對話方塊 (如 \[圖 3\] 所示) 中,為正在安裝的伺服器選擇必要的元件。在安裝期間,此對話方塊可讓您加入或移除元件。您可接受 Windows 2000 Professional 的預設設定,但需要在安裝時修改 Windows 2000 Server 的設定。 1. 有些元件會降低系統的安全性,因此不應選取。這些元件包括**簡單 TCP/IP 服務**及**SNMP 通訊協定**。 2. 安裝伺服器時,根據安裝預設設定,\[Windows 2000 元件\] 對話方塊將會選取**索引服務**、**Internet Information Service (IIS)**、以及**指令碼偵錯工具**。然而,大部分系統都不需要這些元件。對非網頁伺服器而言,應取消選取 **IIS** 和**指令碼偵錯工具**。對於無須使用檔案索引來搜尋檔案的系統而言,應取消選取**索引服務**。請注意,執行 Microsoft Exchange 2000 的系統必須安裝一部份的 IIS。但是,Exchange 2000 的安全性設定不在本指南的討論範圍之內。有關 Exchange 2000 Server 的詳細資訊,請參閱《Security Operations Guide for Exchange 2000 Server (英文)》,網址是:

0128-0159 0306-0307 0312 0319-0320
0329-0331 0383 0385-0406 0408-0409
0411-0414 0418-0424 0426 0428-0429
0433-0437 0439-0447 0449-0450 0452-0460
0477 0480-0483 0494-0495 0497-0608
0610-0631 0633-0696 0699 0701-0707
0709 0711 0716 0718-0729
0731 0733-0767 0773-0775 0777
0779-0781 0783-0806 0808-0816 0819-0893
0895-0912 0914 0918-0919 0921-0927
0929-0930 0933 0935-0936 0938-0944
0947 0950-0955 0957-0959 0961-0962
0965 0967-1024    
許多環境都無法讓整個系統停用 LMHash。例如藉由開機到 DOS 磁碟來在網路上安裝的作業系統就是這種情形。DOS 不支援 NT 雜湊演算法,因此必須使用 LMHash。DOS 也不支援在密碼中使用 ALT 字元。可能的話,所有環境都應停用全系統的 LMHashes;此外,上述技巧還可以用來加強所有環境中的個人密碼。 對於敏感帳戶 (例如服務帳戶和系統管理員帳戶),您應使用 ALT 字元。一般而言,這些帳戶比普通的使用者帳戶需要更周延的保護,而這些帳戶的使用者也會願意使用複雜度高的密碼。必須注意的是,在密碼中使用 ALT 字元將會打斷修復主控台。使用 ALT 字元來設定密碼時,請謹記這一點。 [](#mainsection)[回到頁首](#mainsection) ### Windows 2000 Service Pack 注意事項 Windows 2000 Professional、Windows 2000 Server 以及 Windows 2000 Advanced Server 的 Windows 2000 Service Pack 可提供 Windows 2000 作業系統的最新更新內容。這些更新內容匯集了以下層面的修正項目:應用程式相容性、作業系統穩定性、安全性及安裝。每個 Service Pack 更新內容都是累積式的,其中會包含前版 Windows 2000 Service Pack 中的所有更新內容。 Windows 2000 後置 Service Pack Hotfix 所提供的產品更新可解決 Service Pack 版次間可能發生的特定問題。所有 Hotfix 通常都會加入各個後繼的 Service Pack 版次中。例如,Windows 2000 Service Pack 3 包含 Service Pack 2 的所有更新內容,再加上所有 Service Pack 2 後置 Hotfix。 #### Windows 2000 Service Pack 加密 Windows 2000 Service Packs 2 與更新版本支援使用高度加密 (128 位元) 作為預設設定,並且會自動從標準加密 (56 位元) 升級作業系統 (如果尚未升級的話)。您無法停用或解除安裝此功能。如果在安裝後移除 Service Pack,作業系統會繼續使用 128 位元加密,而不會恢復成 56 位元加密。 但是有一個例外。Protected Store 是由 Internet Explorer 4.0 引入的資料存放區。Protected Store 正逐漸由 Data Protection API 所取代。但是在預設的狀況下,Protected Store 中的資料 (例如 IE 使用者名稱和密碼) 是使用弱加密來保護,而且在安裝 Service Pack 時不會升級此加密。若要升級 Protected Store 的加密,您必須在安裝 Service Pack 2 或更新版本過後,執行下列命令: ``` Keymigrt.exe Keymigrt.exe –m ```

keymigrt.exe 公用程式也可以進行下列轉換:

keymigrt [-f] [-v] [-u] [-m] [-s]
CAPI Key upgrade utility
    -f - Force key upgrade
    -e - Force Encryption Settings upgrade
    -v - Verbose
    -u - Allow upgrade of UI protected keys
    -m - Upgrade machine keys
    -s - Show current state, but make no modifications

有關 keymigrt.exe 詳細資訊,以及如何下載此工具,請參閱 Microsoft Security Bulletin MS00-032,網址是:https://www.microsoft.com/technet/security/bulletin/MS00-032.asp

安裝 Service Pack 及 Hotfix 更新前的建議動作

  • 安裝任何 Service Pack 或 Hotfix 更新之前,請

    1. 關閉所有應用程式。

    2. 更新緊急修復磁片 (ERD):

      1. 按一下 [開始] 上,並依序指向 [程式集]、[附屬應用程式]、[系統工具],再按一下 [備份]。

        備份公用程式介面

        [圖 5]:備份公用程式介面

      2. 在 [歡迎] 索引標籤上按一下 [緊急修復磁片]。

      3. 在 [緊急修復磁片] 視窗中,選擇 [同時也將登錄檔備份到修復目錄],以便將目前的登錄檔儲存至 %systemroot%\Repair 資料夾中稱為 \RegBack 的資料夾。如果發生失敗事件而需要復原系統時,這個步驟就很有用。

      4. 按一下 [確定],以建立 ERD。

      5. 建立 ERD 後,[表 3] 所述的檔案將會從 %systemroot%\Repair 資料夾複製到磁片上。

      [表 3]:ERD 建立時複製到磁片的檔案

      檔案名稱 內容
      Autoexec.nt %systemroot%\System32\Autoexec.nt 的複本,可用來初始化 MS-DOS 環境。
      Config.nt %systemroot%\System32\Autoexec.nt 的複本,可用來初始化 MS-DOS 環境。
      Setup.log 關於安裝程式和循環重複性檢查 (CRC) 資訊的記錄檔,可用於緊急修復程序。此檔案具有唯讀、系統和隱藏屬性,除非將電腦設定為顯示所有檔案,否則不會看見它。

    3. 執行電腦的完整備份作業,包括登錄檔。

    4. 根據更新需求檢查可用磁碟空間,更新需求通常記錄在對應的讀我檔案中。

    5. 如果最近曾進行系統變更,可能必須重新啟動電腦,再安裝 Service Pack 更新。

安裝 Service Pack 及 Hotfix 更新

您可以從 Service Pack CD、網路磁碟、或從下列網址的 Windows 2000 Service Pack 網站來安裝最新的 Windows 2000 Service Pack: https://www.microsoft.com/windows2000/downloads/servicepacks/

每種安裝方式的詳細程序都記錄在 Service Pack 讀我檔案中。在安裝過程中,Service Pack 程式會在電腦中安裝自己的檔案,並且自動建立 Service Pack 安裝程式所變更的檔案及設定備份。備份檔案會儲存在 %systemroot% 資料夾的 $NTServicepackUninstall$ 資料夾中。

回到頁首

  • Last updated on