当前位置: 首页 > 图文教程 > 服务器 > 安全防护 > Web站点的Win服务器安全解决方案

安全防护
2003服务器A级BT安全配置指南(12)
2003服务器A级BT安全配置指南(13)
修改用户控制权限管理自启动文件
IIS6.0下建立FTP“用户隔离”站点
SQL Server数据库安全规划全攻略(1)
从IIS到SQL Server数据库安全
匿名FTP的安全设定(1)
匿名FTP的安全设定(2)
SQL Server防范措施(2)
域名解析优化也会有麻烦
10个步骤保护IIS Web服务器安全
突破SQL错误提示上传webshell
判断Web数据库方式的一个小经验
sqlserver取得网站路径的几种方法以及比较(1)
sqlserver取得网站路径的几种方法以及比较(2)
阿江的WINDOWS服务器安全设置
RAdmin 服务端高级配置(2)
Win2000安全检查清单(1)
Win2000安全检查清单(2)
Win2000安全检查清单(3)

安全防护 中的 Web站点的Win服务器安全解决方案


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-18   浏览: 88 ::
收藏到网摘: n/a

用NT(2000)建立的Web站点在所有的网站中占了很大一部分比例,但NT的安全问题也一直比较突出,使得一些每个基于NT的网站都有一种如履薄冰的感觉,然而微软并没有明确的坚决方案,只是推出了一个个补丁程序,各种安全文档上对于NT的安全描述零零碎碎,给人们的感觉是无所适从。于是,有的网管干脆什么措施也不采取,有的忙着下各种各样的补丁程序,有的在安装了防火墙以后就以为万事大吉了。这种现状直接导致了大量网站的NT安全性参差不齐。只有极少数NT网站有较高的安全性,大部分网站的安全性很差。为此,瑞星公司决心对NT主要漏洞予以搜集整理,同时,站在整体的高度,力图找出一套用NT建立安全站点的解决方案来,让用户放心使用NT(2000)建立Web站点。

解决方案:(说明:本方案主要是针对建立Web站点的NT、2000服务器安全,对于局域网内的服务器并不合适。)

一、安装:

1.不论是NT还是2000,硬盘分区均为NTFS分区;

说明:

(1)NTFS比FAT分区多了安全控制功能,可以对不同的文件夹设置不同的访问权限,安全性增强。

(2)建议最好一次性全部安装成NTFS分区,而不要先安装成FAT分区再转化为NTFS分区,这样做在安装了SP5和SP6的情况下会导致转化不成功,甚至系统崩溃。

(3)安装NTFS分区有一个潜在的危险,就是目前大多数反病毒软件没有提供对软盘启动后NTFS分区病毒的查杀,这样一旦系统中了恶性病毒而导致系统不能正常启动,后果就比较严重,因此及建议平时做好防病毒工作。

2.只安装一种操作系统;

说明:安装两种以上操作系统,会给黑客以可乘之机,利用攻击使系统重启到另外一个没有安全设置的操作系统(或者他熟悉的操作系统),进而进行破坏。

3.安装成独立的域控制器(StandAlone),选择工作组成员,不选择域;

说明:主域控制器(PDC)是局域网中队多台联网机器管理的一种方式,用于网站服务器包含着安全隐患,使黑客有可能利用域方式的漏洞攻击站点服务器。

4.将操作系统文件所在分区与Web数据包括其他应用程序所在的分区分开,并在安装时最好不要使用系统默认的目录,如将\WINNT改为其他目录;

说明:黑客有可能通过Web站点的漏洞得到操作系统对操作系统某些程序的执行权限,从而造成更大的破坏。

5.Windows程序,都要重新安装一次补丁程序,2000下不需要这样做。

说明:

(1)最新的补丁程序,表示系统以前有重大漏洞,非补不可了,对于局域网内服务器可以不是最新的,但站点必须安装最新补丁,否则黑客可能会利用低版本补丁的漏洞对系统造成威胁。这是一部分管理员较易忽视的一点;

(2)安装NT的SP5、SP6有一个潜在威胁,就是一旦系统崩溃重装NT时,系统将不会认NTFS分区,原因是微软在这两个补丁中对NTFS做了改进。只能通过Windows2000安装过程中认NTFS,这样会造成很多麻烦,建议同时做好数据备份工作。

(3)安装ServicePack前应先在测试机器上安装一次,以防因为例外原因导致机器死机,同时做好数据备份。

6.尽量不安装与Web站点服务无关的软件;

说明:其他应用软件有可能存在黑客熟知的安全漏洞。

二、NT设置:

1.帐号策略:

(1)帐号尽可能少,且尽可能少用来登录;

说明:网站帐号一般只用来做系统维护,多余的帐号一个也不要,因为多一个帐号就会多一份被攻破的危险。

(2)除过Administrator外,有必要再增加一个属于管理员组的帐号;

说明:两个管理员组的帐号,一方面防止管理员一旦忘记一个帐号的口令还有一个备用帐号;另方面,一旦黑客攻破一个帐号并更改口令,我们还有机会重新在短期内取得控制权。

(3)所有帐号权限需严格控制,轻易不要给帐号以特殊权限;

(4)将Administrator重命名,改为一个不易猜的名字。其他一般帐号也应尊循着一原则。

说明:这样可以为黑客攻击增加一层障碍。

(5)将Guest帐号禁用,同时重命名为一个复杂的名字,增加口令,并将它从Guest组删掉;

说明:有的黑客工具正是利用了guest的弱点,可以将帐号从一般用户提升到管理员组。

(6)给所有用户帐号一个复杂的口令(系统帐号出外),长度最少在8位以上,且必须同时包含字母、数字、特殊字符。同时不要使用大家熟悉的单词(如microsoft)、熟悉的键盘顺序(如qwert)、熟悉的数字(如2000)等。

说明:口令是黑客攻击的重点,口令一旦被突破也就无任何系统安全可言了,而这往往是不少网管所忽视的地方,据我们的测试,仅字母加数字的5位口令在几分钟内就会被攻破,而所推荐的方案则要安全的多。

(7)口令必须定期更改(建议至少两周该一次),且最好记在心里,除此以外不要在任何地方做记录;另外,如果在日志审核中发现某个帐号被连续尝试,则必须立刻更改此帐号(包括用户名和口令);

(8)在帐号属性中设立锁定次数,比如改帐号失败登录次数超过5次即锁定改帐号。这样可以防止某些大规模的登录尝试,同时也使管理员对该帐号提高警惕。

2.解除NetBios与TCP/IP协议的绑定

说明:NetBois在局域网内是不可缺少的功能,在网站服务器上却成了黑客扫描工具的首选目标。方法:NT:控制面版——网络——绑定——NetBios接口——禁用2000:控制面版——网络和拨号连接——本地网络——属性——TCP/IP——属性——高级——WINS——禁用TCP/IP上的NETBIOS

3.删除所有的网络共享资源

说明:NT与2000在默认情况下有不少网络共享资源,在局域网内对网络管理和网络通讯有用,在网站服务器上同样是一个特大的安全隐患。(卸载“Microsoft网络的文件和打印机共享”。当查看“网络和拨号连接”中的任何连接属性时,将显示该选项。单击“卸载”按钮删除该组件;清除“Microsoft网络的文件和打印机共享”复选框将不起作用。)

方法:

(1)NT:管理工具——服务器管理器——共享目录——停止共享;

2000:控制面版——管理工具——计算及管理——共享文件夹———停止共享

但上述两种方法太麻烦,服务器每重启一次,管理员就必须停止一次

(2)修改注册表:

运行Regedit,然后修改注册表在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters下增加一个键

Name:AutoShareServer

Type:REG_DWORD

Value:0

然后重新启动您的服务器,磁盘分区共享去掉,但IPC共享仍存在,需每次重启后手工删除。

4.改NTFS的安全权限;

说明:NTFS下所有文件默认情况下对所有人(EveryOne)为完全控制权限,这使黑客有可能使用一般用户身份对文件做增加、删除、执行等操作,建议对一般用户只给予读取权限,而只给管理员和System以完全控制权限,但这样做有可能使某些正常的脚本程序不能执行,或者某些需要写的操作不能完成,这时需要对这些文件所在的文件夹权限进行更改,建议在做更改前先在测试机器上作测试,然后慎重更改。

5.系统启动的等待时间设置为0秒,控制面板->系统->启动/关闭,然后将列表显示的默认值“30”改为“0”。(或者在boot.ini里将TimeOut的值改为0)

6.只开放必要的端口,关闭其余端口。

说明:缺省情况下,所有的端口对外开放,黑客就会利用扫描工具扫描那些端口可以利用,这对安全是一个严重威胁。

现将一些常用端口列表如下:

端口协议应用程序

21TCPFTP

25TCPSMTP

53TCPDNS

80TCPHTTPSERVER

1433TCPSQLSERVER

5631TCPPCANYWHERE

5632UDPPCANYWHERE

6(非端口)IP协议

8(非端口)IP协议

7.加强日志审核;

说明:日志任何包括事件查看器中的应用、系统、安全日志,IIS中的WWW、SMTP、FTP日志、SQLSERVER日志等,从中可以看出某些攻击迹象,因此每天查看日志是保证系统安全的必不可少的环节。安全日志缺省是不记录,帐号审核可以从域用户管理器——规则——审核中选择指标;NTFS中对文件的审核从资源管理器中选取。要注意的一点是,只需选取你真正关心的指标就可以了,如果全选,则记录数目太大,反而不利于分析;另外太多对系统资源也是一种浪费。

8.加强数据备份;

说明:这一点非常重要,站点的核心是数据,数据一旦遭到破坏后果不堪设想,而这往往是黑客们真正关心的东西;遗憾的是,不少网管在这一点上作的并不好,不是备份不完全,就是备份不及时。数据备份需要仔细计划,制定出一个策略并作了测试以后才实施,而且随着网站的更新,备份计划也需要不断地调整。

9.只保留TCP/IP协议,删除NETBEUI、IPX/SPX协议;

说明:网站需要的通讯协议只有TCP/IP,而NETBEUI是一个只能用于局域网的协议,IPX/SPX是面临淘汰的协议,放在网站上没有任何用处,反而会被某些黑客工具利用。

10.停掉没有用的服务,只保留与网站有关的服务和服务器某些必须的服务。

说明:有些服务比如RAS服务、Spooler服务等会给黑客带来可乘之机,如果确实没有用处建议禁止掉,同时也能节约一些系统资源。但要注意有些服务是操作系统必须的服务,建议在停掉前查阅帮助文档并首先在测试服务器上作一下测试。

11.隐藏上次登录用户名,修改注册表Winnt4.0:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon中增加DontDisplayLastUserName,将其值设为1。Windows2000中该项已经存在,只需将其值改为1。