Windows伺服器安全解決方案
目前Internet上的伺服器,Windows Server是佔有一定的比例的,但是由於Windows Sever的突出安全問題,Microsoft也遲遲沒有提出比較可行的解決方案,只是推出這一個又一個的補丁,使得Windows Server的使用者整天擔驚受怕。
我們經過長期的摸索和考究,對網路的零零碎碎的安全文檔進行了整理,總結出一套解決方案,具體如下:
解決方案:
一、系統安裝
1. 磁碟分割格式
1)一台要用來作為網路伺服器的Windows Server,硬碟的分區格式一定要是NTFS,NTFS的分區格式遠比FAT分區格式來得安全的多,在NTFS格式下,使用者可以對不同的檔案夾設定不同的的許可權,增強伺服器的安全性。
2)另一點要注意的是,我們對硬碟進行分區,最好是一次性進行,把分區都分成NTFS格式,可別先分成FAT格式,再進行轉換,這樣很容易導致系統出問題,甚至崩潰。
3)由於NTFS分區格式的特殊性,使用者無法通過磁碟片啟動進行殺毒,所以要提醒使用者,一定要做好系統的防毒工作。
2. 作業系統安裝
1)作業系統安裝,一定要做到一台伺服器只安裝一個系統,才不會給居心不良的人有可乘之機,增加了伺服器的安全隱患。
2)作業系統安裝時,系統檔案不要裝在預設的目錄(WINNT),要選擇安裝一個新的目錄進行安裝;Web目錄和系統不要放在同一個分區,防止有人通過Web許可權漏洞,訪問系統檔案、檔案夾。
3)安裝完作業系統,一定要先更新系統必要的補丁,直到沒有補丁可更新。
4)盡量少安裝與Web服務不相關的軟體。
二、系統設定
1. 帳戶設定
1) 儘可能少的有效帳戶,沒有用的一律不要,多一個帳戶就多一個安全隱患。
2) 可以有兩個管理帳戶,以防忘記密碼,或者被人修改了密碼,做後備用。
3) 要加強帳戶管理,不要輕易給特殊許可權。
4) 給管理帳戶改名字,不要保留預設的名字,這個容易被猜到。其他非管理帳戶也盡量遵循這一原則。
5) 將Guest帳戶禁用,改成一個複雜的名稱並加上密碼,然後將它從Guests組刪除。
6) 帳戶密碼規則,所有帳戶(系統帳號除外)密碼最好是8位以上,密碼最好是特殊符號、數字、大小寫字母的搭配。不要避免使用單詞。
7) 帳戶密碼要定期變更,密碼最好熟記在腦中,不要在其他地方做記錄;另外,如果發現日誌中有連續嘗試登陸的帳戶,要立即更改其帳戶名稱及口令。
8) 在系統中加設帳戶錯誤登陸鎖定的次數,防止連續的登陸嘗試,並能有效提高管理員的警惕性。
2. 網路設定
1)只保留TCP/IP協議,其他全部刪除。
2)NetBIOS常常是網路駭客的掃描目標,這裡我們要禁用它。
操作方法:網路連接->本地串連屬性->進階->WINS選項->禁用Tcp/Ip上的NetBIOS->確定。
3)只允許一些必要的連接埠
如:
21 TCP FTP
25 TCP SMTP
53 TCP DNS
80 TCP HTTP
1433 TCP SQL SERVER
3389 TCP TERMINAL SERVICES
5631 TCP PCANYWHERE
等一些常用的連接埠。特別提醒:安裝藍芒網域名稱虛擬機器主機關係系統需要開放19888連接埠。
4)
3. 刪除沒有必要的共用,提高安全性
操作方法:運行Regedit,
(1) 在HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/LanmanServer/Parameters下增加一值
Name: AutoShareServer
Type:REG-DWORD
Value:0
(2) 在HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Lsa 下增加一值
Name:restrictanonymous
Type:REG_DWORD
Value:0
4. 修改許可權
Windows 2000 Server的NTFS分區預設許可權都是Everyone完全控制許可權,這樣給伺服器的安全帶來了一定的安全隱患。我們建議,所有NTFS分區只給管理員和SYSTEM完全控制許可權。有特殊許可權需求的目錄可單獨設定。
5. 修改電腦某些特性
操作方法:控制台->系統->進階->啟動和故障恢複->取消顯示作業系統列表->取消發送警報->取消寫入調試資訊->完成。
6. 禁止一些沒有必要的服務。
具體操作位置:控制面版->管理工具->服務
需要停掉的服務,例如:Alerter、Computer Browser、Distributed File System、Intersite Messaging、Kerberos Key Distribution Center、Remote Registry Service、Routing and Remote Access等等。
7. 安全日誌
Win2000的預設安裝是不開任何安全性稽核的!
那麼請你到本地安全性原則->稽核原則中開啟相應的審核,推薦的審核是:
賬戶管理 成功 失敗
登入事件 成功 失敗
對象訪問 失敗
策略更改 成功 失敗
特權使用 失敗
系統事件 成功 失敗
目錄服務訪問 失敗
賬戶登入事件 成功 失敗
審核項目少的缺點是萬一你想看發現沒有記錄那就一點都沒轍;審核項目太多不僅會佔用系統資源而且會導致你根本沒空去看,這樣就失去了審核的意義。 與之相關的是:
在賬戶策略->密碼原則中設定:
密碼複雜性要求 啟用
密碼長度最小值 6位
強制密碼曆史 5次
最長存留期 30天
在賬戶策略->賬戶鎖定策略中設定:
賬戶鎖定 3次錯誤登入
鎖定時間 20分鐘
複位鎖定計數 20分鐘
同樣,Terminal Service的安全日誌預設也是不開的,我們可以在Terminal Service Configration(遠程服務配置)->許可權->進階中配置安全性稽核,一般來說只要記錄登入、登出事件就可以了
8. IIS設定
只安裝管理器、公用文檔和WWW服務。
盡量減少IIS中沒有必要的映射,大多數使用者只留asp,asa就可以了。
Web目錄需要IUSR讀寫權限,IIS中只開放讀取許可權。
有效利用IIS中IP禁止訪問列表。
完善日誌功能,以便尋找問題,加強監控。
9. FTP設定
禁止對FTP的匿名訪問。
注意使用者權限的開放度。