Windows伺服器安全解決方案

Windows伺服器安全解決方案

 

目前Internet上的伺服器，Windows Server是佔有一定的比例的，但是由於Windows Sever的突出安全問題，Microsoft也遲遲沒有提出比較可行的解決方案，只是推出這一個又一個的補丁，使得Windows Server的使用者整天擔驚受怕。

我們經過長期的摸索和考究，對網路的零零碎碎的安全文檔進行了整理，總結出一套解決方案，具體如下：

解決方案：

一、系統安裝

1. 磁碟分割格式

1）一台要用來作為網路伺服器的Windows Server，硬碟的分區格式一定要是NTFS，NTFS的分區格式遠比FAT分區格式來得安全的多，在NTFS格式下，使用者可以對不同的檔案夾設定不同的的許可權，增強伺服器的安全性。

2）另一點要注意的是，我們對硬碟進行分區，最好是一次性進行，把分區都分成NTFS格式，可別先分成FAT格式，再進行轉換，這樣很容易導致系統出問題，甚至崩潰。

3）由於NTFS分區格式的特殊性，使用者無法通過磁碟片啟動進行殺毒，所以要提醒使用者，一定要做好系統的防毒工作。

2. 作業系統安裝

1）作業系統安裝，一定要做到一台伺服器只安裝一個系統，才不會給居心不良的人有可乘之機，增加了伺服器的安全隱患。

2）作業系統安裝時，系統檔案不要裝在預設的目錄(WINNT)，要選擇安裝一個新的目錄進行安裝；Web目錄和系統不要放在同一個分區，防止有人通過Web許可權漏洞，訪問系統檔案、檔案夾。

3）安裝完作業系統，一定要先更新系統必要的補丁，直到沒有補丁可更新。

4）盡量少安裝與Web服務不相關的軟體。

二、系統設定

1. 帳戶設定

1） 儘可能少的有效帳戶，沒有用的一律不要，多一個帳戶就多一個安全隱患。

2） 可以有兩個管理帳戶，以防忘記密碼，或者被人修改了密碼，做後備用。

3） 要加強帳戶管理，不要輕易給特殊許可權。

4） 給管理帳戶改名字，不要保留預設的名字，這個容易被猜到。其他非管理帳戶也盡量遵循這一原則。

5） 將Guest帳戶禁用，改成一個複雜的名稱並加上密碼，然後將它從Guests組刪除。

6） 帳戶密碼規則，所有帳戶（系統帳號除外）密碼最好是8位以上，密碼最好是特殊符號、數字、大小寫字母的搭配。不要避免使用單詞。

7） 帳戶密碼要定期變更，密碼最好熟記在腦中，不要在其他地方做記錄；另外，如果發現日誌中有連續嘗試登陸的帳戶，要立即更改其帳戶名稱及口令。

8） 在系統中加設帳戶錯誤登陸鎖定的次數，防止連續的登陸嘗試，並能有效提高管理員的警惕性。

2. 網路設定

1）只保留TCP/IP協議，其他全部刪除。

2）NetBIOS常常是網路駭客的掃描目標，這裡我們要禁用它。

操作方法：網路連接->本地串連屬性->進階->WINS選項->禁用Tcp/Ip上的NetBIOS->確定。

3）只允許一些必要的連接埠

如：

21 TCP FTP

25 TCP SMTP

53 TCP DNS

80 TCP HTTP

1433 TCP SQL SERVER

3389 TCP TERMINAL SERVICES

5631 TCP PCANYWHERE

等一些常用的連接埠。特別提醒：安裝藍芒網域名稱虛擬機器主機關係系統需要開放19888連接埠。

4）

3. 刪除沒有必要的共用，提高安全性

操作方法：運行Regedit，

(1) 在HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/LanmanServer/Parameters下增加一值

Name： AutoShareServer

Type：REG-DWORD

Value：0

(2) 在HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Lsa 下增加一值

Name：restrictanonymous

Type：REG_DWORD

Value：0

4. 修改許可權

Windows 2000 Server的NTFS分區預設許可權都是Everyone完全控制許可權，這樣給伺服器的安全帶來了一定的安全隱患。我們建議，所有NTFS分區只給管理員和SYSTEM完全控制許可權。有特殊許可權需求的目錄可單獨設定。

5. 修改電腦某些特性

操作方法：控制台->系統->進階->啟動和故障恢複->取消顯示作業系統列表->取消發送警報->取消寫入調試資訊->完成。

6. 禁止一些沒有必要的服務。

具體操作位置：控制面版->管理工具->服務

需要停掉的服務，例如：Alerter、Computer Browser、Distributed File System、Intersite Messaging、Kerberos Key Distribution Center、Remote Registry Service、Routing and Remote Access等等。

7. 安全日誌

Win2000的預設安裝是不開任何安全性稽核的！

那麼請你到本地安全性原則->稽核原則中開啟相應的審核，推薦的審核是：

賬戶管理 成功 失敗

登入事件 成功 失敗

對象訪問 失敗

策略更改 成功 失敗

特權使用 失敗

系統事件 成功 失敗

目錄服務訪問 失敗

賬戶登入事件 成功 失敗

審核項目少的缺點是萬一你想看發現沒有記錄那就一點都沒轍；審核項目太多不僅會佔用系統資源而且會導致你根本沒空去看，這樣就失去了審核的意義。 與之相關的是：

在賬戶策略->密碼原則中設定：

密碼複雜性要求 啟用

密碼長度最小值 6位

強制密碼曆史 5次

最長存留期 30天

在賬戶策略->賬戶鎖定策略中設定：

賬戶鎖定 3次錯誤登入

鎖定時間 20分鐘

複位鎖定計數 20分鐘

同樣，Terminal Service的安全日誌預設也是不開的，我們可以在Terminal Service Configration（遠程服務配置）->許可權->進階中配置安全性稽核，一般來說只要記錄登入、登出事件就可以了

8. IIS設定

只安裝管理器、公用文檔和WWW服務。

盡量減少IIS中沒有必要的映射，大多數使用者只留asp,asa就可以了。

Web目錄需要IUSR讀寫權限，IIS中只開放讀取許可權。

有效利用IIS中IP禁止訪問列表。

完善日誌功能，以便尋找問題，加強監控。

9. FTP設定

禁止對FTP的匿名訪問。

注意使用者權限的開放度。