加固基於Windows 2003平台的WEB伺服器

基於Windows平台下IIS啟動並執行網站總給人一種感覺就是脆弱。早期的IIS確實存在很多問題，不過我個人認為自從Windows Server 2003發布後，IIS6及Windows Server 2003新的安全特性、更加完善的管理功能和系統的穩定性都有很大的增強。雖然從Windows Server 2003上可以看到微軟不準備再發展ASP，特別是不再對Access資料庫的完好支援，但是面對它的那些優勢迫使我不得不捨棄Windows 2000 Server。況且我也不需要運行太多的ASP+Access，因為我的程式都是PHP+MySQL(說實話我不喜歡微軟的ASP和ASPNET)，而且我確實信賴Windows Server 2003!

伺服器、網站，看到這些詞大家都會想到什麼，不只是效能更加關注的是它的安全問題。很多人都無法做到非常完美的安全強化，因為大部分的資料都來源互連網，而互連網的資料總不是那麼詳盡，畢竟每個伺服器的應用環境及運行程式不同。

我從事互連網這個行業只有2年時間，其間遇到了很多問題，我所管理的伺服器部分是開放式(PUBLIC)的，它是向互連網的使用者敞開的，所以我所面臨的問題就更加的多!安全性首當其要，其次是系統的穩定性，最後才是效能。要知道伺服器上存在很多格式各樣的應用程式，有些程式本身就有缺陷，輕者造成伺服器當機，嚴重的會危及到伺服器的整個資料安全。

舉個例子，有一台運行著300多個網站的Windows 2000 Server，一段時間裡它經常Down機，發現記憶體流失特別快，幾分鐘時間記憶體使用量立刻飆升到900M甚至高達1.2G，這個時候通過遠程是無法訪問伺服器了，但是伺服器系統本身卻還在運行著。這個問題著實讓我頭疼了很長一段時間，因為如果要排查故障就要從這些網站入手，而網站的數量阻礙了我的解決進度。後來通過Filemon監控檔案讀取來縮小排查範圍，之後對可疑網站進行隔離，最終找到故障點並解決。要知道一段小小的代碼就可以讓運行IIS5的 Windows 2000 Server 掛掉!而在Windows Server 2003下，應用程式的層級低中進階變更為了程式池，這樣我們就可以對一個池進行設定對記憶體和CPU進行保護。它的這一特性讓我減輕了很多的工作量並且系統也穩定了很多。

另外嚴重的就是安全性的問題了，無論任何文章都有一個宗旨就是盡量在伺服器少開放連接埠，並開放必要的服務，禁止安裝與伺服器無關的應用程式。在 Windows 2000 Server中，目錄許可權都是Everyone，很多服務都是以SYSTEM許可權來啟動並執行，如Serv-U FTP 這款出色的FTP伺服器平台曾經害苦了不少人，它的溢出漏洞可以使入侵者輕鬆的擷取系統完全控制權，如果做到呢?就是因為Serv-U FTP服務使用SYSTEM許可權來運行，SYSTEM的權利比Administrator的權利可大的多， 註冊表SAM項它是可以直接存取和修改的，這樣入侵者便利用這一特性輕鬆在註冊表中複製一個超級管理員帳號並擷取對系統的完全控制許可權。

我的目標：加固WEB伺服器系統，使之提高並完善其穩定性及安全性。

系統內容：Windows Server 2003 Enterprise Edition With Service Pack 1(以下簡稱W2k3SP1)，WEB平台為IIS6，FTP平台為Serv-U FTP Server

安裝配置作業系統

安裝作業系統，在安裝前先要先去調整伺服器的BIOS設定，關閉不需要的I/O，這樣節省資源又可以避免一些硬體驅動問題。務必斷開伺服器與網路的串連，在系統沒有完成安全配置前不要將它接入網路。在安裝過程中如果網卡是PNP類型的，那麼應當為其網路屬性只配置允許使用TCP/IP協議，並關閉在 TCP/IP上的NETBIOS，為了提供更安全的保證，應該啟用TCP/IP篩選，並不開放任何TCP連接埠。完成作業系統的安裝後，初次開機 W2K3SP1，會彈出安全警告介面，主要是讓你立刻線上升級系統更新補丁，並配置自動更新功能，這個人性化的功能是W2K3SP1所專屬的，在沒有關閉這個警告視窗前，系統是一個安全啟動並執行狀態，這時我們應當儘快完成系統的線上更新。

修改Administrator和Guest這兩個帳號的密碼使其口令變的複雜，並通過組策略工具為這兩個敏感帳號更名。修改位置在組策略中Computer Configuration-Windows Settings-Security Setting-Local Policies-Security Options下，這樣做可以避免入侵者馬上發動對此帳號的密碼窮舉攻擊。

伺服器通常都是通過遠程進行管理的，所以我使用系統內建的組件 “遠端桌面”來對系統進行遠端管理。之所以選擇它，因為它是系統內建的組件預設安裝只需要去啟用它就可以使用，支援磁碟機映射、剪下板映射等應用，並且只要用戶端是WindowsXP PRO都會內建串連組件非常方便，最主要還有一點它是免費的。當然第三方優秀的軟體也有如：PCAnyWhere，使用它可以解決Remote Desktop無法在本地環境模式下工作的缺點。為了防止入侵者輕易地發現此服務並使用窮舉攻擊手段，可以修改遠端桌面的監聽連接埠：

1. 運行 Regedt32 並轉到此項：

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

注意：上面的登錄機碼是一個路徑;它已換行以便於閱讀。

2. 找到“PortNumber”子項，您會看到值 00000D3D，它是 3389 的十六進位表示形式。使用十六進位數值修改此連接埠號碼，並儲存新值。

要更改終端伺服器上某個特定串連的連接埠，請按照下列步驟操作： 運行 Regedt32 並轉到此項：

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\connection

注意：上面的登錄機碼是一個路徑;它已換行以便於閱讀。