Windows伺服器安全配置經驗分享

現在有很多人都認為微軟的東西漏洞太多，微軟的系統安全性極差，不過通過我在做各種系統的安全配置的過程中我總結出了一些經驗，特拿來與各位共用，其實各種系統都有很多漏洞，只不過微軟的東西用的人最多，普遍又是水準不是很高， 不會作各種安全設置，所以才會讓人有現在網上用NT/2000服務性安全性都很差的感覺，其實NT/2000的伺服器如果真的做好了各項安全設置之後，其安全性絕對不會比nix系統差，如果你按照下面我說的做，我可以保證你95% 以上的安全性，100%我可不敢保證，當然你必須要及時打上微軟的各種大大小小的補丁，呵呵，是誰，誰拿香蕉皮扔我，站出來！！ 呵呵，廢話少說，轉入正題。





1.初級篇：NT/2000系統本身的定制安裝與相關設置


用NT（2000）建立的WEB網站在所有的網站中占了很大一部分比例，主要因為其易用性與易管理性，使該公司不必再投入大量的金錢在伺服器的管理上，這一點優於nix系統，不必請很專業的管理員，不必支付一份可以節省的高薪 ，呵呵，當然nix的管理員也不會失業，因為其開放源碼和windows系統無與倫比的速度，使得現在幾乎所有的大型伺服器全部採用nix系統。 但對於中小型企業來說windows已經足夠，但NT的安全問題也一直比較突出，使得一些每個基於NT的網站都有一種如履薄冰的感覺，在此我給出一份安全解決方案，算是為中國的網路安全事業做出一份貢獻吧 （說明：本方案主要是針對建立Web網站的NT、2000伺服器安全，對於局域網內的伺服器並不合適。 ）


一、 定制自己的NT/2000 SERVER


1． 版本的選擇：


WIN2000有各種語言的版本，對於我們來說，可以選擇英文版或簡體中文版，我強烈建議：在語言不成為障礙的情況下，請一定使用英文版。 要知道，微軟的產品是以Bug &Patch而著稱的，中文版的Bug遠遠多於英文版，而補丁一般還會遲至少半個月（也就是說一般微軟公佈了漏洞後你的機子還會有半個月處於無保護狀況）


2． 元件的定制：


win2000在預設情況下會安裝一些常用的元件，但是正是這個預設安裝是極度危險的你應該確切的知道你需要哪些服務，而且僅僅安裝你確實需要的服務，根據安全原則，最少的服務+最小的許可權=最大的安全。 典型的WEB伺服器需要的最小元件選擇是：只安裝IIS的Com Files，IIS Snap-In，WWW Server元件。 如果你確實需要安裝其他元件，請慎重，特別是：Indexing Service, FrontPage 2000 Server Extensions, Internet Service


Manager (HTML)這幾個危險服務。


二、 正確安裝NT/2000 SERVER





不論是NT還是2000，硬碟分區均為NTFS分區；


說明：


（1） NTFS比FAT分區多了安全控制功能，可以對不同的資料夾設置不同的存取權限，安全性增強。


（2） 建議最好一次性全部安裝成NTFS分區，而不要先安裝成FAT分區再轉化為NTFS分區，這樣做在安裝了


SP5和SP6的情況下會導致轉化不成功，甚至系統崩潰。


（3） 安裝NTFS分區有一個潛在的危險，就是目前大多數反病毒軟體沒有提供對軟碟啟動後NTFS分區病毒的查殺，這樣一旦系統中了惡性病毒而導致系統不能正常啟動，後果就比較嚴重，因此及建議平時做好防病毒


工作。


（4）分區和邏輯盤的分配


有一些朋友為了省事，將硬碟僅僅分為一個邏輯盤，所有的軟體都裝在C驅上，這是很不好的，建議最少建立兩個分區，一個系統磁碟分割，一個應用程式分區，這是因為，微軟的IIS經常會有洩漏源碼/溢出的漏洞， 如果把系統和IIS放在同一個磁碟機會導致系統檔的洩漏甚至入侵者遠端獲取ADMIN。 推薦的安全配置是建立三個邏輯磁碟機，第一個大於2G，用來裝系統和重要的日誌檔，第二個放IIS，第三個放FTP，這樣無論IIS或FTP出了


安全性漏洞都不會直接影響到系統目錄和系統檔。 要知道，IIS和FTP是對外服務的，比較容易出問題。 而把IIS和FTP分開主要是為了防止入侵者上傳程式並從IIS中運行。


（5）安裝順序的選擇：


win2000在安裝中有幾個順序是一定要注意的： 首先，何時接入網路：Win2000在安裝時有一個漏洞，在你輸入Administrator密碼後，系統就建立了ADMIN$的共用，但是並沒有用你剛剛輸入的密碼來保護它 ，這種情況一直持續到你再次啟動後，在此期間，任何人都可以通過ADMIN$進入你的機器；同時，只要安裝一完成，各種服務就會自動運行，而這時的伺服器是滿身漏洞，非常容易進入的，因此，在完整安裝並配置好win2000 SERVER之前，一定不要把主機接入網路。 其次，補丁的安裝：補丁的安裝應該在所有應用程式安裝完之後，因為補丁程式往往要替換/修改某些系統檔，如果先安裝補丁再安裝應用程式有可能導致補丁不能起到應有的效果，例如


：IIS的HotFix就要求每次更改IIS的配置都需要安裝


三、 安全配置NT/2000 SERVER


即使正確的安裝了WIN2000 SERVER，系統還是有很多的漏洞，還需要進一步進行細緻地配置。


1． 埠：


埠是電腦和外部網路相連的邏輯介面，也是電腦的第一道屏障，埠配置正確與否直接影響到主機的安全，一般來說，僅打開你需要使用的埠會比較安全，配置的方法是在網卡屬性-TCP/IP-高級-選項-TCP/ IP篩選中啟用TCP/IP篩選，不過對於win2000的埠過濾來說，有一個不好的特性：只能規定開哪些埠，不能規定關閉哪些埠，這樣對於需要開大量埠的使用者就比較痛苦。


2． IIS：


IIS是微軟的元件中漏洞最多的一個，平均兩三個月就要出一個漏洞，而微軟的IIS預設安裝又實在不敢恭維，所以IIS的配置是我們的重點，現在大家跟著我一起來：首先，把C盤那個什麼Inetpub目錄徹底刪掉， 在D盤建一個Inetpub（要是你不放心用預設目錄名也可以改一個名字，但是自己要記得）在IIS管理器中將主目錄指向D:Inetpub；其次，那個IIS安裝時預設的什麼scripts等虛擬目錄一概刪除， 如果你需要什麼許可權的目錄可以自己慢慢建，需要什麼許可權開什麼。 （特別注意寫許可權和執行程式的許可權，沒有絕對的必要千萬不要給）第三，應用程式佈建：在IIS管理器中刪除必須之外的任何無用映射，必須指的是ASP,ASA和其他你確實需要用到的檔案類型，例如你用到stml等（使用server side include），實際上90%的主機有了上面兩個映射就夠了，其餘的映射幾乎每個都有一個淒慘的故事：htw, htr, idq, ida...... 想知道這些故事？ 去查以前的漏洞清單吧。