Windows NT/2000伺服器最佳化

來源:互聯網
上載者:User
現在有很多人都認為微軟的東西漏洞太多,微軟的系統安全性極差,不過通過我在做各種系統的安全配置的過程中我總結出了一些經驗,特拿來與各位共用,其實各種系統都有很多漏洞,只不過微軟的東西用的人最多,普遍又是水平不是很高,不會作各種安全設定,所以才會讓人有現在網上的NT/2000服務性安全性都很差的感覺,其實NT/2000的伺服器如果真的做好了各項安全設定之後,其安全性絕對不會比nix系統差,如果你按照下面我說的做,我可以保證你95%以上的安全性,100%我可不敢保證,當然你必須要及時打上微軟的各種大大小小的補丁,呵呵,是誰,誰拿香蕉皮扔我,站出來!!呵呵,廢話少說,轉入正題。  1.初級篇:NT/2000系統本身的定製安裝與相關設定  用NT(2000)建立的WEB網站在所有的網站中佔了很大一部分比例,主要因為其易用性與易管理性,使該公司不必再投入大量的金錢在伺服器的管理上,這一點優於unix系統,不必請很專業的管理員,不必支付一份可以節省的高薪,呵呵,當然unix的管理員也不會失業,因為其開放源碼和windows系統無與倫比的速度,使得現在幾乎所有的大型伺服器全部採用unix系統。但對於中小型企業來說windows已經足夠,但NT的安全問題也一直比較突出,使得一些每個基於NT的網站都有一種如履薄冰的感覺,在此我給出一份安全解決方案,算是為中國的網路安全事業做出一份貢獻吧 (說明:本方案主要是針對建立Web網站的NT、2000伺服器安全,對於區域網路內的伺服器並不合適。)  一、 定製自己的NT/2000 SERVER  1. 版本的選擇:  WIN2000有各種語言的版本,對於我們來說,可以選擇英文版或簡體中文版,我強烈建議:在語言不成為障礙的情況下,請一定使用英文版。要知道,微軟的產品是以Bug &Patch而著稱的,中文版的Bug遠遠多於英文版,而補丁一般還會遲至少半個月(也就是說一般微軟公布了漏洞後你的機子還會有半個月處於無保護狀況)  2. 組件的定製:  win2000在預設情況下會安裝一些常用的組件,但是正是這個預設安裝是極度危險的你應該確切的知道你需要哪些服務,而且僅僅安裝你確實需要的服務,根據安全原則,最少的服務+最小的許可權=最大的安全。典型的WEB伺服器需要的最小工具選擇是:只安裝IIS的Com Files,IIS Snap-In,WWW Server組件。如果你確實需要安裝其他組件,請謹慎,特別是:Indexing Service, FrontPage 2000 Server Extensions, Internet Service Manager (HTML)這幾個危險服務。  二、 正確安裝NT/2000 SERVER  不論是NT還是2000,硬碟分區均為NTFS分區;  說明:  (1) NTFS比FAT分區多了安全控制功能,可以對不同的檔案夾設定不同的存取權限,安全性增強。  (2) 建議最好一次性全部安裝成NTFS分區,而不要先安裝成FAT分區再轉化為NTFS分區,這樣做在安裝了SP5和SP6的情況下會導致轉化不成功,甚至系統崩潰。  (3) 安裝NTFS分區有一個潛在的危險,就是目前大多數反病毒軟體沒有提供對磁碟片啟動後NTFS分區病毒的查殺,這樣一旦系統中了惡性病毒而導致系統不能正常啟動,後果就比較嚴重,因此及建議平時做好防病毒工作。  (4)分區和邏輯盤的分配。有一些朋友為了省事,將硬碟僅僅分為一個邏輯盤,所有的軟體都裝在C驅上,這是很不好的,建議最少建立兩個分區,一個系統磁碟分割,一個應用程式分區,這是因為,微軟的IIS經常會有泄漏源碼/溢出的漏洞,如果把系統和IIS放在同一個磁碟機會導致系統檔案的泄漏甚至入侵者遠程擷取ADMIN。推薦的安全配置是建立三個邏輯磁碟機,第一個大於2G,用來裝系統和重要的記錄檔,第二個放IIS,第三個放FTP,這樣無論IIS或FTP出了安全性漏洞都不會直接影響到系統目錄和系統檔案。要知道,IIS和FTP是對外服務的,比較容易出問題。而把IIS和FTP分開主要是為了防止入侵者上傳程式並從IIS中運行。  (5)安裝順序的選擇:win2000在安裝中有幾個順序是一定要注意的: 首先,何時接入網路:Win2000在安裝時有一個漏洞,在你輸入Administrator密碼後,系統就建立了ADMIN$的共用,但是並沒有用你剛剛輸入的密碼來保護它,這種情況一直持續到你再次啟動後,在此期間,任何人都可以通過ADMIN$進入你的機器;同時,只要安裝一完成,各種服務就會自動運行,而這時的伺服器是滿身漏洞,非常容易進入的,因此,在完整安裝並配置好win2000 SERVER之前,一定不要把主機接入網路。 其次,補丁的安裝:補丁的安裝應該在所有應用程式安裝完之後,因為補丁程式往往要替換/修改某些系統檔案,如果先安裝補丁再安裝應用程式有可能導致補丁不能起到應有的效果,例如:IIS的HotFix就要求每次更改IIS的配置都需要安裝  三、 安全配置NT/2000 SERVER  即使正確的安裝了WIN2000 SERVER,系統還是有很多的漏洞,還需要進一步進行細緻地配置。  1.連接埠:連接埠是電腦和外部網路相連的邏輯介面,也是電腦的第一道屏障,連接埠配置正確與否直接影響到主機的安全,一般來說,僅開啟你需要使用的連接埠會比較安全,配置的方法是在網卡屬性-TCP/IP-進階-選項-TCP/IP篩選中啟用TCP/IP篩選,不過對於win2000的連接埠過濾來說,有一個不好的特性:只能規定開哪些連接埠,不能規定關閉哪些連接埠,這樣對於需要開大量連接埠的使用者就比較痛苦。  2.IIS:IIS是微軟的組件中漏洞最多的一個,平均兩三個月就要出一個漏洞,而微軟的IIS預設安裝又實在不敢恭維,所以IIS的配置是我們的重點,現在大家跟著我一起來:首先,把C盤那個什麼Inetpub目錄徹底刪掉,在D盤建一個Inetpub(要是你不放心用預設目錄名也可以改一個名字,但是自己要記得)在IIS管理器中將主目錄指向D:\Inetpub;其次,那個IIS安裝時預設的什麼scripts等虛擬目錄一概刪除,如果你需要什麼許可權的目錄可以自己慢慢建,需要什麼許可權開什麼。(特別注意寫入權限和執行程式的許可權,沒有絕對的必要千萬不要給)第三,應用程式配置:在IIS管理器中刪除必須之外的任何無用映射,必須指的是ASP,ASA和其他你確實需要用到的檔案類型,例如你用到stml等(使用server side include),實際上90%的主機有了上面兩個映射就夠了,其餘的映射幾乎每個都有一個淒慘的故事:htw, htr, idq, ida……想知道這些故事?去查以前的漏洞列表吧。在IIS管理器中右擊主機->屬性->WWW服務編輯->主目錄配置->應用程式對應,然後就開始一個個刪吧(裡面沒有全選的,嘿嘿)。接著在剛剛那個視窗的應用程式調試書籤內將指令碼錯誤訊息改為發送文本(除非你想ASP出錯的時候使用者知道你的程式/網路/資料庫結構)錯誤文本寫什麼?隨便你喜歡,自己看著辦。點擊確定退出時別忘了讓虛擬網站繼承你設定的屬性。安裝新的Service Pack後,IIS的應用程式對應應重新設定。(說明:安裝新的Service Pack後,某些應用程式對應又會出現,導致出現安全性漏洞。這是管理員較易忽視的一點。)  為了對付日益增多的cgi漏洞掃描器,還有一個小技巧可以參考,在IIS中將HTTP404 Object Not Found出錯頁面通過URL重新導向到一個定製HTM檔案,可以讓目前絕大多數CGI漏洞掃描器失靈。其實原因很簡單,大多數CGI掃描器在編寫時為了方便,都是通過查看返回頁面的HTTP代碼來判斷漏洞是否存在的,例如,著名的IDQ漏洞一般都是通過取1.idq來檢驗,如果返回HTTP200,就認為是有這個漏洞,反之如果返回HTTP404就認為沒有,如果你通過URL將HTTP404出錯資訊重新導向到HTTP404.htm檔案,那麼所有的掃描無論存不存在漏洞都會返回HTTP200,90%的CGI掃描器會認為你什麼漏洞都有,結果反而掩蓋了你真正的漏洞,讓入侵者茫然無處下手,不過從個人角度來說,我還是認為紮紮實實做好安全設定比這樣的小技巧重要的多。  最後,為了保險起見,你可以使用IIS的備份功能,將剛剛的設定全部備份下來,這樣就可以隨時恢複IIS的安全配置。還有,如果你怕IIS負荷過高導致伺服器滿負荷死機,也可以在效能中開啟CPU限制,例如將IIS的最大CPU使用率限制在70%。3.帳號策略:(1)帳號儘可能少,且儘可能少用來登入;
  說明:網站帳號一般只用來做系統維護,多餘的帳號一個也不要,因為多一個帳號就會多一份被攻破的危險。
  (2)除過Administrator外,有必要再增加一個屬於Administrator 群組的帳號;
  說明:兩個Administrator 群組的帳號,一方面防止管理員一旦忘記一個帳號的口令還有一個備用帳號;另方面,一旦駭客攻破一個帳號並更改口令,我們還有有機會重新在短期內取得控制權。(3)所有帳號許可權需嚴格控制,輕易不要給帳號以特殊許可權;
  (4)將Administrator重新命名,改為一個不易猜的名字。其他一般帳號也應尊循這一原則。
  說明:這樣可以為駭客攻擊增加一層障礙。
  (5)將Guest帳號禁用,同時重新命名為一個複雜的名字,增加口令,並將它從Guest組刪掉;
  說明:有的駭客工具正是利用了guest 的弱點,可以將帳號從一般使用者提升到Administrator 群組。
  (6)給所有使用者帳號一個複雜的口令(系統帳號出外),長度最少在8位以上,且必須同時包含字母、數字、特殊字元。同時不要使用大家熟悉的單詞(如microsoft)、熟悉的鍵盤順序(如qwert)、熟悉的數字(如2000)等。
  說明:口令是駭客攻擊的重點,口令一旦被突破也就無任何系統安全可言了,而這往往是不少網管所忽視的地方,據我們的測試,僅字母加數位5位口令在幾分鐘內就會被攻破,而所推薦的方案則要安全的多。
  (7)口令必須定期更改(建議至少兩周該一次),且最好記在心裡,除此以外不要在任何地方做記錄;另外,如果在日誌審核中發現某個帳號被連續嘗試,則必須立刻更改此帳號(包括使用者名稱和口令);
  (8)在帳號屬性中設立鎖定次數,比如改帳號失敗登入次數超過5次即鎖定改帳號。這樣可以防止某些大規模的登入嘗試,同時也使管理員對該帳號提高警惕。
  4.安全日誌:Win2000的預設安裝是不開任何安全性稽核的!
  那麼請你到本地安全性原則->稽核原則中開啟相應的審核,推薦的審核是:
  賬戶管理 成功 失敗
  登入事件 成功 失敗
  對象訪問 失敗
  策略更改 成功 失敗
  特權使用 失敗
  系統事件 成功 失敗
  目錄服務訪問 失敗
  賬戶登入事件 成功 失敗
  審核項目少的缺點是萬一你想看發現沒有記錄那就一點都沒轍;審核項目太多不僅會佔用系統資源而且會導致你根本沒空去看,這樣就失去了審核的意義。 與之相關的是:
  在賬戶策略->密碼原則中設定:
  密碼複雜性要求 啟用
  密碼長度最小值 6位
  強制密碼曆史 5次
  最長存留期 30天
  在賬戶策略->賬戶鎖定策略中設定:
  賬戶鎖定 3次錯誤登入
  鎖定時間 20分鐘
  複位鎖定計數 20分鐘
  同樣,Terminal Service的安全日誌預設也是不開的,我們可以在Terminal Service Configration(遠程服務配置)-許可權-進階中配置安全性稽核,一般來說只要記錄登入、登出事件就可以了。
  5.目錄和檔案許可權:為了控制好伺服器上使用者的許可權,同時也為了預防以後可能的入侵和溢出,我們還必須非常小心地設定目錄和檔案的存取權限,NT的存取權限分為:讀取、寫入、讀取及執行、修改、列目錄、完全控制。在預設的情況下,大多數的檔案夾對所有使用者(Everyone這個組)是完全敞開的(Full Control),你需要根據應用的需要進行許可權重設。
  在進行許可權控制時,請記住以下幾個原則:
  1>限是累計的:如果一個使用者同時屬於兩個組,那麼他就有了這兩個組所允許的所有許可權;
  2>拒絕的許可權要比允許的許可權高(拒絕策略會先執行)如果一個使用者屬於一個被拒絕訪問某個資源的組,那麼不管其他的使用權限設定給他開放了多少許可權,他也一定不能訪問這個資源。所以請非常小心地使用拒絕,任何一個不當的拒絕都有可能造成系統無法正常運行;
  3>檔案許可權比檔案夾許可權高;
  4>利用使用者組來進行許可權控制是一個成熟的系統管理員必須具有的優良習慣之一;
  5>僅給使用者真正需要的許可權,許可權的最小化原則是安全的重要保障;
  6.只安裝一種作業系統;說明:安裝兩種以上作業系統,會給駭客以可乘之機,利用攻擊使系統重啟到另外一個沒有安全設定的作業系統(或者他熟悉的作業系統),進而進行破壞。
  7.安裝成獨立的網域控制站(Stand Alone),選擇工作群組成員,不選擇域;
  說明:主網域控制站(PDC)是區域網路中隊多台連網機器管理的一種方式,用於網站伺服器包含著安全隱患,使駭客有可能利用域方式的漏洞攻擊站台伺服器。
  8.將作業系統檔案所在分區與WEB資料包括其他應用程式所在的分區分開,並在安裝時最好不要使用系統預設的目錄,如將\WINNT改為其他目錄;
  說明:駭客有可能通過WEB網站的漏洞得到作業系統對作業系統某些程式的執行許可權,從而造成更大的破壞。同時如果採用IIS的話你應該在其設定中刪除掉所有的無用的映射,同時不要安裝索引服務,遠端站台管理與伺服器擴充最好也不要要,然後刪掉預設路徑下的www,整個刪,不要手軟,然後再硬碟的另一個硬碟建立存放你網站的檔案夾,同時一定記得開啟w3c日誌紀錄,切記(不過本人建議採用apache 1.3.24)
  系統安裝過程中一定本著最小服務原則,無用的服務一概不選擇,達到系統的最小安裝,多一個服務,多一份風險,呵呵,所以無用組件千萬不要安裝!
  9.關於補丁:在NT下,如果安裝了補丁程式,以後如果要從NT光碟片上安裝新的Windows程式,都要重新安裝一次補丁程式, 2000下不需要這樣做。
  說明:
  (1) 最新的補丁程式,表示系統以前有重大漏洞,非補不可了,對於區域網路內伺服器可以不是最新的,但網站必須安裝最新補丁,否則駭客可能會利用低版本補丁的漏洞對系統造成威脅。這是一部分管理員較易忽視的一點;
  (2) 安裝NT的SP5、SP6有一個潛在威脅,就是一旦系統崩潰重裝NT時,系統將不會認NTFS分區,原因是微軟在這兩個補丁中對NTFS做了改進。只能通過Windows 2000安裝過程中認NTFS,這樣會造成很多麻煩,建議同時做好資料備份工作。
  (3) 安裝Service Pack前應先在測試機器上安裝一次,以防因為例外原因導致機器死機,同時做好資料備份。
  盡量不安裝與WEB網站服務無關的軟體;
  說明:其他應用軟體有可能存在駭客熟知的安全性漏洞。
  10.解除NetBios與TCP/IP協議的綁定:說明:NetBois在區域網路內是不可缺少的功能,在網站伺服器上卻成了駭客掃描工具的首選目標。方法:NT:控制面版——網路——綁定——NetBios介面——禁用 2000:控制面版——網路和撥號連線——本網——屬性——TCP/IP——屬性——進階——WINS——禁用TCP/IP上的NETBIOS
  11.刪除所有的網際網路共用資源,在網路連接的設定中刪除檔案和列印共用,只留下TCP/IP協議。
  說明:NT與2000在預設情況下有不少網際網路共用資源,在區域網路內對網路管理和網路通訊有用,在網站伺服器上同樣是一個特大的安全隱患。(卸載“Microsoft 網路的檔案和印表機共用”。當查看“網路和撥號連線”中的任何串連屬性時,將顯示該選項。單擊“卸載”按鈕刪除該組件;清除“Microsoft 網路的檔案和印表機共用”複選框將不起作用。)
  方法:
  (1)NT:管理工具——伺服器管理員——共用目錄——停止分享;
  2000:控制面版——管理工具——計算及管理——共用資料夾———停止分享。
  但上述兩種方法太麻煩,伺服器每重啟一次,管理員就必須停止一次。
  (2)修改註冊表:
     運行Regedit,然後修改註冊表在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters下增加一個鍵
  
  Name: AutoShareServer
  Type: REG_DWORD
  value: 0
  然後重新啟動您的伺服器,磁碟分割共用去掉,但IPC共用仍存在,需每次重啟後手工刪除。
  12.改NTFS的安全許可權;說明:NTFS下所有檔案預設情況下對所有人(EveryOne)為完全控制許可權,這使駭客有可能使用一般使用者身份對檔案做增加、刪除、執行等操作,建議對一般使用者只給予讀取許可權,而只給管理員和System以完全控制許可權,但這樣做有可能使某些正常的指令碼程式不能執行,或者某些需要寫的操作不能完成,這時需要對這些檔案所在的檔案夾許可權變更,建議在做更改前先在測試機器上作測試,然後謹慎更改。
  13.加強資料備份;說明:這一點非常重要,網站的核心是資料,資料一旦遭到破壞後果不堪設想,而這往往是駭客們真正關心的東西;遺憾的是,不少網管在這一點上作的並不好,不是備份不完全,就是備份不及時。資料備份需要仔細計劃,制定出一個策略並作了測試以後才實施,而且隨著網站的更新,備份計劃也需要不斷地調整。
  14.只保留TCP/IP協議,刪除NETBEUI、IPX/SPX協議;說明:網站需要的通訊協議只有TCP/IP,而NETBEUI是一個只能用於區域網路的協議,IPX/SPX是面臨淘汰的協議,放在網站上沒有任何用處,反而會被某些駭客工具利用。
相關文章

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。

A Free Trial That Lets You Build Big!

Start building with 50+ products and up to 12 months usage for Elastic Compute Service

  • Sales Support

    1 on 1 presale consultation

  • After-Sales Support

    24/7 Technical Support 6 Free Tickets per Quarter Faster Response

  • Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.