1、Windows 服务器终极安全设置与优化指南 上海整形 上海整形医院 上海整形美容医院 美白针价格不会作各种安全设置,所以才会让人有现在网上的 NT/2000 服务性安全性都很差的感觉,其实NT/2000 的服务器如果真的做好了各项安全设置之后,其安全性绝对不会比 nix 系统差,如果你按照下面我说的做,我可以保证你 95%以上的安全性,100%我可不敢保证,当然你必须要及时打上微软的各种大大小小的补丁,呵呵,是谁,谁拿。上海整形 上海整形医院 上海整形美容医院 美白针价格正文:现在有很多人都认为微软的东西漏洞太多,微软的系统安全性极差,不过通过我在做各种系统的安全配置的过程中我总结出了一些经
2、验,特拿来与各位共享,其实各种系统都有很多漏洞,只不过微软的东西用的人最多,普遍又是水平不是很高,不会作各种安全设置,所以才会让人有现在网上的 NT/2000服务性安全性都很差的感觉,其实 NT/2000 的服务器如果真的做好了各项安全设置之后,其安全性绝对不会比 nix 系统差,如果你按照下面我说的做,我可以保证你 95%以上的安全性,100%我可不敢保证,当然你必须要及时打上微软的各种大大小小的补丁,呵呵,是谁,谁拿香蕉皮扔我,站出来!呵呵,废话少说,转入正题。1。初级篇:NT/2000 系统本身的定制安装与相关设置用 NT(2000)建立的 WEB 站点在所有的网站中占了很大一部分比例,
3、主要因为其易用性与易管理性,使该公司不必再投入大量的金钱在服务器的管理上,这一点优于 nix 系统,不必请很专业的管理员,不必支付一份可以节省的高薪,呵呵,当然 nix 的管理员也不会失业,因为其开放源码和 windows 系统无与伦比的速度,使得现在几乎所有的大型服务器全部采用 nix 系统。但对于中小型企业来说 windows 已经足够,但 NT 的安全问题也一直比较突出,使得一些每个基于 NT 的网站都有一种如履薄冰的感觉,在此我给出一份安全解决方案,算是为中国的网络安全事业做出一份贡献吧(说明:本方案主要是针对建立 Web 站点的NT、2000 服务器安全,对于局域网内的服务器并不合适
4、。)一、定制自己的 NT/2000SERVER1版本的选择:WIN2000 有各种语言的版本,对于我们来说,可以选择英文版或简体中文版,我强烈建议:在语言不成为障碍的情况下,请一定使用英文版。要知道,微软的产品是以 Bug&Patch 而著称的,中文版的 Bug 远远多于英文版,而补丁一般还会迟至少半个月(也就是说一般微软公布了漏洞后你的机子还会有半个月处于无保护状况)上海整形 上海整形医院 上海整形美容医院 美白针价格2组件的定制:win2000 在默认情况下会安装一些常用的组件,但是正是这个默认安装是极度危险的你应该确切的知道你需要哪些服务,而且仅仅安装你确实需要的服务,根据安全原则,最少
5、的服务+最小的权限=最大的安全。典型的 WEB 服务器需要的最小组件选择是:只安装 IIS 的 ComFiles,IISSnap-In,WWWServer 组件。如果你确实需要安装其他组件,请慎重,特别是:IndexingService,FrontPage2000ServerExtensions,InternetServiceManager(HTML)这几个危险服务。二、正确安装 NT/2000SERVER不论是 NT 还是 2000,硬盘分区均为 NTFS 分区;说明:(1)NTFS 比 FAT 分区多了安全控制功能,可以对不同的文件夹设置不同的访问权限,安全性增强。(2)建议最好一次性全部
6、安装成 NTFS 分区,而不要先安装成 FAT 分区再转化为 NTFS 分区,这样做在安装了 SP5 和 SP6 的情况下会导致转化不成功,甚至系统崩溃。(3)安装 NTFS 分区有一个潜在的危险,就是目前大多数反病毒软件没有提供对软盘启动后 NTFS 分区病毒的查杀,这样一旦系统中了恶性病毒而导致系统不能正常启动,后果就比较严重,因此及建议平时做好防病毒工作。(4)分区和逻辑盘的分配有一些朋友为了省事,将硬盘仅仅分为一个逻辑盘,所有的软件都装在 C 驱上,这是很不好的,建议最少建立两个分区,一个系统分区,一个应用程序分区,这是因为,微软的 IIS 经常会有泄漏源码/溢出的漏洞,如果把系统和
7、IIS 放在同一个驱动器会导致系统文件的泄漏甚至入侵者远程获取 ADMIN。推荐的安全配置是建立三个逻辑驱动器,第一个大于 2G,用来装系统和重要的日志文件,第二个放 IIS,第三个放 FTP,这样无论 IIS 或 FTP 出了安全漏洞都不会直接影响到系统目录和系统文件。要知道,IIS 和 FTP是对外服务的,比较容易出问题。而把 IIS 和 FTP 分开主要是为了防止入侵者上传程序并从 IIS 中运行。(5)安装顺序的选择:win2000 在安装中有几个顺序是一定要注意的:首先,何时接入网络:Win2000 在安装时有一个漏洞,在你输入 Administrator 密码后,系统就建立了 AD
8、MIN$的共享,但是并没有用你刚刚输入的密码来保护它,这种情况一直持续到你再次启动后,在此期间,任何人都可以通过 ADMIN$进入你的机器;同时,只要安装一完成,各种服务就会自动运行,而这时的服务器是满身漏洞,非常容易进入的,因此,在完全安装并配置好 win2000SERVER 之前,一定不要把主机接入网络。其次,补丁的安装:补丁的安装应该在所有应用程序安装完之后,因为补丁程序往往要替换/修改某些系统文件,如果先安装补丁再安装应用程序有可能导致补丁不能起到应有的效果,例如:IIS 的 HotFix 就要求每次更改 IIS 的配置都需要安装三、安全配置 NT/2000SERVER即使正确的安装了
9、 WIN2000SERVER,系统还是有很多的漏洞,还需要进一步进行细致地配置。1端口:端口是计算机和外部网络相连的逻辑接口,也是计算机的第一道屏障,端口配置正确与否直接影响到主机的安全,一般来说,仅打开你需要使用的端口会比较安全,配置的方法是在网卡属性-TCP/IP-高级-选项-TCP/IP 筛选中启用 TCP/IP 筛选,不过对于 win2000 的端口过滤来说,有一个不好的特性:只能规定开哪些端口,不能规定关闭哪些端口,这样对于需要开大量端口的用户就比较痛苦。2IIS:IIS 是微软的组件中漏洞最多的一个,平均两三个月就要出一个漏洞,而微软的 IIS 默认安装又实在不敢恭维,所以 IIS
10、 的配置是我们的重点,现在大家跟着我一起来:首先,把 C 盘那个什么 Inetpub 目录彻底删掉,在 D 盘建一个 Inetpub(要是你不放心用默认目录名也可以改一个名字,但是自己要记得)在IIS 管理器中将主目录指向 D:Inetpub;其次,那个 IIS 安装时默认的什么 scripts 等虚拟目录一概删除,如果你需要什么权限的目录可以自己慢慢建,需要什么权限开什么。(特别注意写权限和执行程序的权限,没有绝对的必要千万不要给)第三,应用程序配置:在 IIS 管理器中删除必须之外的任何无用映射,必须指的是 ASP,ASA 和其他你确实需要用到的文件类型,例如你用到 stml 等(使用 s
11、erversideinclude),实际上 90%的主机有了上面两个映射就够了,其余的映射几乎每个都有一个凄惨的故事:htw,htr,idq,ida想知道这些故事?去查以前的漏洞列表吧。在 IIS 管理器中右击主机-属性-WWW 服务编辑-主目录配置-应用程序映射,然后就开始一个个删吧(里面没有全选的,嘿嘿)。接着在刚刚那个窗口的应用程序调试书签内将脚本错误消息改为发送文本(除非你想 ASP 出错的时候用户知道你的程序/网络/数据库结构)错误文本写什么?随便你喜欢,自己看着办。点击确定退出时别忘了让虚拟站点继承你设定的属性。安装新的 ServicePack 后,IIS 的应用程序映射应重新设置
12、。(说明:安装新的ServicePack 后,某些应用程序映射又会出现,导致出现安全漏洞。这是管理员较易忽视的一点。)上海整形 上海整形医院 上海整形美容医院 美白针价格为了对付日益增多的 cgi 漏洞扫描器,还有一个小技巧可以参考,在 IIS 中将HTTP404ObjectNotFound 出错页面通过 URL 重定向到一个定制 HTM 文件,可以让目前绝大多数 CGI 漏洞扫描器失灵。其实原因很简单,大多数 CGI 扫描器在编写时为了方便,都是通过查看返回页面的 HTTP 代码来判断漏洞是否存在的,例如,著名的 IDQ 漏洞一般都是通过取 1。idq 来检验,如果返回 HTTP200,就认
13、为是有这个漏洞,反之如果返回 HTTP404 就认为没有,如果你通过 URL 将 HTTP404 出错信息重定向到HTTP404。htm 文件,那么所有的扫描无论存不存在漏洞都会返回 HTTP200,90%的 CGI 扫描器会认为你什么漏洞都有,结果反而掩盖了你真正的漏洞,让入侵者茫然无处下手,不过从个人角度来说,我还是认为扎扎实实做好安全设置比这样的小技巧重要的多。最后,为了保险起见,你可以使用 IIS 的备份功能,将刚刚的设定全部备份下来,这样就可以随时恢复 IIS 的安全配置。还有,如果你怕 IIS 负荷过高导致服务器满负荷死机,也可以在性能中打开 CPU 限制,例如将 IIS 的最大
14、CPU 使用率限制在 70%。3。帐号策略:(1)帐号尽可能少,且尽可能少用来登录;说明:网站帐号一般只用来做系统维护,多余的帐号一个也不要,因为多一个帐号就会多一份被攻破的危险。(2)除过 Administrator 外,有必要再增加一个属于管理员组的帐号;说明:两个管理员组的帐号,一方面防止管理员一旦忘记一个帐号的口令还有一个备用帐号;另方面,一旦黑客攻破一个帐号并更改口令,我们还有有机会重新在短期内取得控制权。(3)所有帐号权限需严格控制,轻易不要给帐号以特殊权限;(4)将 Administrator 重命名,改为一个不易猜的名字。其他一般帐号也应尊循这一原则。说明:这样可以为黑客攻击增
15、加一层障碍。(5)将 Guest 帐号禁用,同时重命名为一个复杂的名字,增加口令,并将它从Guest 组删掉;说明:有的黑客工具正是利用了 guest 的弱点,可以将帐号从一般用户提升到管理员组。(6)给所有用户帐号一个复杂的口令(系统帐号出外),长度最少在 8 位以上,且必须同时包含字母、数字、特殊字符。同时不要使用大家熟悉的单词(如 microsoft)、熟悉的键盘顺序(如 qwert)、熟悉的数字(如 2000)等。上海整形 上海整形医院 上海整形美容医院 美白针价格说明:口令是黑客攻击的重点,口令一旦被突破也就无任何系统安全可言了,而这往往是不少网管所忽视的地方,据我们的测试,仅字母加
16、数字的 5 位口令在几分钟内就会被攻破,而所推荐的方案则要安全的多。(7)口令必须定期更改(建议至少两周该一次),且最好记在心里,除此以外不要在任何地方做记录;另外,如果在日志审核中发现某个帐号被连续尝试,则必须立刻更改此帐号(包括用户名和口令);(8)在帐号属性中设立锁定次数,比如改帐号失败登录次数超过 5 次即锁定改帐号。这样可以防止某些大规模的登录尝试,同时也使管理员对该帐号提高警惕。4安全日志:Win2000 的默认安装是不开任何安全审核的!那么请你到本地安全策略-审核策略中打开相应的审核,推荐的审核是:账户管理成功失败登录事件成功失败对象访问失败策略更改成功失败特权使用失败系统事件成
17、功失败目录服务访问失败账户登录事件成功失败审核项目少的缺点是万一你想看发现没有记录那就一点都没辙;审核项目太多不仅会占用系统资源而且会导致你根本没空去看,这样就失去了审核的意义。与之相关的是:在账户策略-密码策略中设定:密码复杂性要求启用密码长度最小值 6 位强制密码历史 5 次最长存留期 30 天在账户策略-账户锁定策略中设定:账户锁定 3 次错误登录锁定时间 20 分钟复位锁定计数 20 分钟同样,TerminalService 的安全日志默认也是不开的,我们可以在TerminalServiceConfigration(远程服务配置)-权限-高级中配置安全审核,一般来说只要记录登录、注销事件就可以了。5。目录和文件权限:为了控制好服务器上用户的权限,同时也为了预防以后可能的入侵和溢出,我们还必须非常小心地设置目录和文件的访问权限,NT 的访问权限分为:读取、写入、读取及执行、修改、列目录、完全控制。在默认的情况下,大多数的文件夹对所有用户(Everyone 这个组)是完全敞开的(FullControl),你需要根据应用的需要进行权限重设。http:/
