Web站點的Win服務器安全解決方案
用NT(2000)建立的Web站點在所有的網(wǎng)站中占了很大一部分比例,但NT的安全問題也一直比較突出,使得一些每個基于NT的網(wǎng)站都有一種如履薄冰的感覺,然而微軟并沒有明確的堅決方案,只是推出了一個個補丁程序,各種安全文檔上對于NT的安全描述零零碎碎,給人們的感覺是無所適從。于是,有的網(wǎng)管干脆什么措施也不采取,有的忙著下各種各樣的補丁程序,有的在安裝了防火墻以后就以為萬事大吉了。這種現(xiàn)狀直接導致了大量網(wǎng)站的NT安全性參差不齊。只有極少數(shù)NT網(wǎng)站有較高的安全性,大部分網(wǎng)站的安全性很差。為此,瑞星公司決心對NT主要漏洞予以搜集整理,同時,站在整體的高度,力圖找出一套用NT建立安全站點的解決方案來,讓用戶放心使用NT(2000)建立Web站點。
解決方案:(說明:本方案主要是針對建立Web站點的NT、2000服務器安全,對于局域網(wǎng)內(nèi)的服務器并不合適。)
一、安裝:
1.不論是NT還是2000,硬盤分區(qū)均為NTFS分區(qū);
說明:
(1)NTFS比FAT分區(qū)多了安全控制功能,可以對不同的文件夾設置不同的訪問權(quán)限,安全性增強。
(2)建議最好一次性全部安裝成NTFS分區(qū),而不要先安裝成FAT分區(qū)再轉(zhuǎn)化為NTFS分區(qū),這樣做在安裝了SP5和SP6的情況下會導致轉(zhuǎn)化不成功,甚至系統(tǒng)崩潰。
(3)安裝NTFS分區(qū)有一個潛在的危險,就是目前大多數(shù)反病毒軟件沒有提供對軟盤啟動后NTFS分區(qū)病毒的查殺,這樣一旦系統(tǒng)中了惡性病毒而導致系統(tǒng)不能正常啟動,后果就比較嚴重,因此及建議平時做好防病毒工作。
2.只安裝一種操作系統(tǒng);
說明:安裝兩種以上操作系統(tǒng),會給黑客以可乘之機,利用攻擊使系統(tǒng)重啟到另外一個沒有安全設置的操作系統(tǒng)(或者他熟悉的操作系統(tǒng)),進而進行破壞。
3.安裝成獨立的域控制器(StandAlone),選擇工作組成員,不選擇域;
說明:主域控制器(PDC)是局域網(wǎng)中隊多臺聯(lián)網(wǎng)機器管理的一種方式,用于網(wǎng)站服務器包含著安全隱患,使黑客有可能利用域方式的漏洞攻擊站點服務器。
4.將操作系統(tǒng)文件所在分區(qū)與Web數(shù)據(jù)包括其他應用程序所在的分區(qū)分開,并在安裝時最好不要使用系統(tǒng)默認的目錄,如將\WINNT改為其他目錄;
說明:黑客有可能通過Web站點的漏洞得到操作系統(tǒng)對操作系統(tǒng)某些程序的執(zhí)行權(quán)限,從而造成更大的破壞。
5.Windows程序,都要重新安裝一次補丁程序,2000下不需要這樣做。
說明:
(1)最新的補丁程序,表示系統(tǒng)以前有重大漏洞,非補不可了,對于局域網(wǎng)內(nèi)服務器可以不是最新的,但站點必須安裝最新補丁,否則黑客可能會利用低版本補丁的漏洞對系統(tǒng)造成威脅。這是一部分管理員較易忽視的一點;
(2)安裝NT的SP5、SP6有一個潛在威脅,就是一旦系統(tǒng)崩潰重裝NT時,系統(tǒng)將不會認NTFS分區(qū),原因是微軟在這兩個補丁中對NTFS做了改進。只能通過Windows2000安裝過程中認NTFS,這樣會造成很多麻煩,建議同時做好數(shù)據(jù)備份工作。
(3)安裝ServicePack前應先在測試機器上安裝一次,以防因為例外原因?qū)е聶C器死機,同時做好數(shù)據(jù)備份。
6.盡量不安裝與Web站點服務無關的軟件;
說明:其他應用軟件有可能存在黑客熟知的安全漏洞。
二、NT設置:
1.帳號策略:
(1)帳號盡可能少,且盡可能少用來登錄;
說明:網(wǎng)站帳號一般只用來做系統(tǒng)維護,多余的帳號一個也不要,因為多一個帳號就會多一份被攻破的危險。
(2)除過Administrator外,有必要再增加一個屬于管理員組的帳號;
說明:兩個管理員組的帳號,一方面防止管理員一旦忘記一個帳號的口令還有一個備用帳號;另方面,一旦黑客攻破一個帳號并更改口令,我們還有機會重新在短期內(nèi)取得控制權(quán)。
(3)所有帳號權(quán)限需嚴格控制,輕易不要給帳號以特殊權(quán)限;
(4)將Administrator重命名,改為一個不易猜的名字。其他一般帳號也應尊循著一原則。
說明:這樣可以為黑客攻擊增加一層障礙。
(5)將Guest帳號禁用,同時重命名為一個復雜的名字,增加口令,并將它從Guest組刪掉;
說明:有的黑客工具正是利用了guest的弱點,可以將帳號從一般用戶提升到管理員組。
(6)給所有用戶帳號一個復雜的口令(系統(tǒng)帳號出外),長度最少在8位以上,且必須同時包含字母、數(shù)字、特殊字符。同時不要使用大家熟悉的單詞(如microsoft)、熟悉的鍵盤順序(如qwert)、熟悉的數(shù)字(如2000)等。
說明:口令是黑客攻擊的重點,口令一旦被突破也就無任何系統(tǒng)安全可言了,而這往往是不少網(wǎng)管所忽視的地方,據(jù)我們的測試,僅字母加數(shù)字的5位口令在幾分鐘內(nèi)就會被攻破,而所推薦的方案則要安全的多。
(7)口令必須定期更改(建議至少兩周該一次),且最好記在心里,除此以外不要在任何地方做記錄;另外,如果在日志審核中發(fā)現(xiàn)某個帳號被連續(xù)嘗試,則必須立刻更改此帳號(包括用戶名和口令);
(8)在帳號屬性中設立鎖定次數(shù),比如改帳號失敗登錄次數(shù)超過5次即鎖定改帳號。這樣可以防止某些大規(guī)模的登錄嘗試,同時也使管理員對該帳號提高警惕。
2.解除NetBios與TCP/IP協(xié)議的綁定
說明:NetBois在局域網(wǎng)內(nèi)是不可缺少的功能,在網(wǎng)站服務器上卻成了黑客掃描工具的首選目標。方法:NT:控制面版——網(wǎng)絡——綁定——NetBios接口——禁用2000:控制面版——網(wǎng)絡和撥號連接——本地網(wǎng)絡——屬性——TCP/IP——屬性——高級——WINS——禁用TCP/IP上的NETBIOS
3.刪除所有的網(wǎng)絡共享資源
說明:NT與2000在默認情況下有不少網(wǎng)絡共享資源,在局域網(wǎng)內(nèi)對網(wǎng)絡管理和網(wǎng)絡通訊有用,在網(wǎng)站服務器上同樣是一個特大的安全隱患。(卸載“Microsoft網(wǎng)絡的文件和打印機共享”。當查看“網(wǎng)絡和撥號連接”中的任何連接屬性時,將顯示該選項。單擊“卸載”按鈕刪除該組件;清除“Microsoft網(wǎng)絡的文件和打印機共享”復選框?qū)⒉黄鹱饔谩?
方法:
(1)NT:管理工具——服務器管理器——共享目錄——停止共享;
2000:控制面版——管理工具——計算及管理——共享文件夾———停止共享
但上述兩種方法太麻煩,服務器每重啟一次,管理員就必須停止一次
(2)修改注冊表:
運行Regedit,然后修改注冊表在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters下增加一個鍵
Name:AutoShareServer
Type:REG_DWORD
Value:0
然后重新啟動您的服務器,磁盤分區(qū)共享去掉,但IPC共享仍存在,需每次重啟后手工刪除。
4.改NTFS的安全權(quán)限;
說明:NTFS下所有文件默認情況下對所有人(EveryOne)為完全控制權(quán)限,這使黑客有可能使用一般用戶身份對文件做增加、刪除、執(zhí)行等操作,建議對一般用戶只給予讀取權(quán)限,而只給管理員和System以完全控制權(quán)限,但這樣做有可能使某些正常的腳本程序不能執(zhí)行,或者某些需要寫的操作不能完成,這時需要對這些文件所在的文件夾權(quán)限進行更改,建議在做更改前先在測試機器上作測試,然后慎重更改。
5.系統(tǒng)啟動的等待時間設置為0秒,控制面板->系統(tǒng)->啟動/關閉,然后將列表顯示的默認值“30”改為“0”。(或者在boot.ini里將TimeOut的值改為0)
6.只開放必要的端口,關閉其余端口。
說明:缺省情況下,所有的端口對外開放,黑客就會利用掃描工具掃描那些端口可以利用,這對安全是一個嚴重威脅。
現(xiàn)將一些常用端口列表如下:
端口協(xié)議應用程序
21TCPFTP
25TCPSMTP
53TCPDNS
80TCPHTTPSERVER
1433TCPSQLSERVER
5631TCPPCANYWHERE
5632UDPPCANYWHERE
6(非端口)IP協(xié)議
8(非端口)IP協(xié)議
7.加強日志審核;
說明:日志任何包括事件查看器中的應用、系統(tǒng)、安全日志,IIS中的WWW、SMTP、FTP日志、SQLSERVER日志等,從中可以看出某些攻擊跡象,因此每天查看日志是保證系統(tǒng)安全的必不可少的環(huán)節(jié)。安全日志缺省是不記錄,帳號審核可以從域用戶管理器——規(guī)則——審核中選擇指標;NTFS中對文件的審核從資源管理器中選取。要注意的一點是,只需選取你真正關心的指標就可以了,如果全選,則記錄數(shù)目太大,反而不利于分析;另外太多對系統(tǒng)資源也是一種浪費。
8.加強數(shù)據(jù)備份;
說明:這一點非常重要,站點的核心是數(shù)據(jù),數(shù)據(jù)一旦遭到破壞后果不堪設想,而這往往是黑客們真正關心的東西;遺憾的是,不少網(wǎng)管在這一點上作的并不好,不是備份不完全,就是備份不及時。數(shù)據(jù)備份需要仔細計劃,制定出一個策略并作了測試以后才實施,而且隨著網(wǎng)站的更新,備份計劃也需要不斷地調(diào)整。
9.只保留TCP/IP協(xié)議,刪除NETBEUI、IPX/SPX協(xié)議;
說明:網(wǎng)站需要的通訊協(xié)議只有TCP/IP,而NETBEUI是一個只能用于局域網(wǎng)的協(xié)議,IPX/SPX是面臨淘汰的協(xié)議,放在網(wǎng)站上沒有任何用處,反而會被某些黑客工具利用。
10.停掉沒有用的服務,只保留與網(wǎng)站有關的服務和服務器某些必須的服務。
說明:有些服務比如RAS服務、Spooler服務等會給黑客帶來可乘之機,如果確實沒有用處建議禁止掉,同時也能節(jié)約一些系統(tǒng)資源。但要注意有些服務是操作系統(tǒng)必須的服務,建議在停掉前查閱幫助文檔并首先在測試服務器上作一下測試。
11.隱藏上次登錄用戶名,修改注冊表Winnt4.0:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon中增
關鍵詞:Win服務器,解決方案
閱讀本文后您有什么感想? 已有 人給出評價!
- 1
- 1
- 1
- 1
- 1
- 1