Web站點(diǎn)的Win服務(wù)器安全解決方案
用NT(2000)建立的Web站點(diǎn)在所有的網(wǎng)站中占了很大一部分比例,但NT的安全問題也一直比較突出,使得一些每個(gè)基于NT的網(wǎng)站都有一種如履薄冰的感覺,然而微軟并沒有明確的堅(jiān)決方案,只是推出了一個(gè)個(gè)補(bǔ)丁程序,各種安全文檔上對(duì)于NT的安全描述零零碎碎,給人們的感覺是無所適從。于是,有的網(wǎng)管干脆什么措施也不采取,有的忙著下各種各樣的補(bǔ)丁程序,有的在安裝了防火墻以后就以為萬事大吉了。這種現(xiàn)狀直接導(dǎo)致了大量網(wǎng)站的NT安全性參差不齊。只有極少數(shù)NT網(wǎng)站有較高的安全性,大部分網(wǎng)站的安全性很差。為此,瑞星公司決心對(duì)NT主要漏洞予以搜集整理,同時(shí),站在整體的高度,力圖找出一套用NT建立安全站點(diǎn)的解決方案來,讓用戶放心使用NT(2000)建立Web站點(diǎn)。
解決方案:(說明:本方案主要是針對(duì)建立Web站點(diǎn)的NT、2000服務(wù)器安全,對(duì)于局域網(wǎng)內(nèi)的服務(wù)器并不合適。)
一、安裝:
1.不論是NT還是2000,硬盤分區(qū)均為NTFS分區(qū);
說明:
(1)NTFS比FAT分區(qū)多了安全控制功能,可以對(duì)不同的文件夾設(shè)置不同的訪問權(quán)限,安全性增強(qiáng)。
(2)建議最好一次性全部安裝成NTFS分區(qū),而不要先安裝成FAT分區(qū)再轉(zhuǎn)化為NTFS分區(qū),這樣做在安裝了SP5和SP6的情況下會(huì)導(dǎo)致轉(zhuǎn)化不成功,甚至系統(tǒng)崩潰。
(3)安裝NTFS分區(qū)有一個(gè)潛在的危險(xiǎn),就是目前大多數(shù)反病毒軟件沒有提供對(duì)軟盤啟動(dòng)后NTFS分區(qū)病毒的查殺,這樣一旦系統(tǒng)中了惡性病毒而導(dǎo)致系統(tǒng)不能正常啟動(dòng),后果就比較嚴(yán)重,因此及建議平時(shí)做好防病毒工作。
2.只安裝一種操作系統(tǒng);
說明:安裝兩種以上操作系統(tǒng),會(huì)給黑客以可乘之機(jī),利用攻擊使系統(tǒng)重啟到另外一個(gè)沒有安全設(shè)置的操作系統(tǒng)(或者他熟悉的操作系統(tǒng)),進(jìn)而進(jìn)行破壞。
3.安裝成獨(dú)立的域控制器(StandAlone),選擇工作組成員,不選擇域;
說明:主域控制器(PDC)是局域網(wǎng)中隊(duì)多臺(tái)聯(lián)網(wǎng)機(jī)器管理的一種方式,用于網(wǎng)站服務(wù)器包含著安全隱患,使黑客有可能利用域方式的漏洞攻擊站點(diǎn)服務(wù)器。
4.將操作系統(tǒng)文件所在分區(qū)與Web數(shù)據(jù)包括其他應(yīng)用程序所在的分區(qū)分開,并在安裝時(shí)最好不要使用系統(tǒng)默認(rèn)的目錄,如將\WINNT改為其他目錄;
說明:黑客有可能通過Web站點(diǎn)的漏洞得到操作系統(tǒng)對(duì)操作系統(tǒng)某些程序的執(zhí)行權(quán)限,從而造成更大的破壞。
5.Windows程序,都要重新安裝一次補(bǔ)丁程序,2000下不需要這樣做。
說明:
(1)最新的補(bǔ)丁程序,表示系統(tǒng)以前有重大漏洞,非補(bǔ)不可了,對(duì)于局域網(wǎng)內(nèi)服務(wù)器可以不是最新的,但站點(diǎn)必須安裝最新補(bǔ)丁,否則黑客可能會(huì)利用低版本補(bǔ)丁的漏洞對(duì)系統(tǒng)造成威脅。這是一部分管理員較易忽視的一點(diǎn);
(2)安裝NT的SP5、SP6有一個(gè)潛在威脅,就是一旦系統(tǒng)崩潰重裝NT時(shí),系統(tǒng)將不會(huì)認(rèn)NTFS分區(qū),原因是微軟在這兩個(gè)補(bǔ)丁中對(duì)NTFS做了改進(jìn)。只能通過Windows2000安裝過程中認(rèn)NTFS,這樣會(huì)造成很多麻煩,建議同時(shí)做好數(shù)據(jù)備份工作。
(3)安裝ServicePack前應(yīng)先在測(cè)試機(jī)器上安裝一次,以防因?yàn)槔庠驅(qū)е聶C(jī)器死機(jī),同時(shí)做好數(shù)據(jù)備份。
6.盡量不安裝與Web站點(diǎn)服務(wù)無關(guān)的軟件;
說明:其他應(yīng)用軟件有可能存在黑客熟知的安全漏洞。
二、NT設(shè)置:
1.帳號(hào)策略:
(1)帳號(hào)盡可能少,且盡可能少用來登錄;
說明:網(wǎng)站帳號(hào)一般只用來做系統(tǒng)維護(hù),多余的帳號(hào)一個(gè)也不要,因?yàn)槎嘁粋€(gè)帳號(hào)就會(huì)多一份被攻破的危險(xiǎn)。
(2)除過Administrator外,有必要再增加一個(gè)屬于管理員組的帳號(hào);
說明:兩個(gè)管理員組的帳號(hào),一方面防止管理員一旦忘記一個(gè)帳號(hào)的口令還有一個(gè)備用帳號(hào);另方面,一旦黑客攻破一個(gè)帳號(hào)并更改口令,我們還有機(jī)會(huì)重新在短期內(nèi)取得控制權(quán)。
(3)所有帳號(hào)權(quán)限需嚴(yán)格控制,輕易不要給帳號(hào)以特殊權(quán)限;
(4)將Administrator重命名,改為一個(gè)不易猜的名字。其他一般帳號(hào)也應(yīng)尊循著一原則。
說明:這樣可以為黑客攻擊增加一層障礙。
(5)將Guest帳號(hào)禁用,同時(shí)重命名為一個(gè)復(fù)雜的名字,增加口令,并將它從Guest組刪掉;
說明:有的黑客工具正是利用了guest的弱點(diǎn),可以將帳號(hào)從一般用戶提升到管理員組。
(6)給所有用戶帳號(hào)一個(gè)復(fù)雜的口令(系統(tǒng)帳號(hào)出外),長(zhǎng)度最少在8位以上,且必須同時(shí)包含字母、數(shù)字、特殊字符。同時(shí)不要使用大家熟悉的單詞(如microsoft)、熟悉的鍵盤順序(如qwert)、熟悉的數(shù)字(如2000)等。
說明:口令是黑客攻擊的重點(diǎn),口令一旦被突破也就無任何系統(tǒng)安全可言了,而這往往是不少網(wǎng)管所忽視的地方,據(jù)我們的測(cè)試,僅字母加數(shù)字的5位口令在幾分鐘內(nèi)就會(huì)被攻破,而所推薦的方案則要安全的多。
(7)口令必須定期更改(建議至少兩周該一次),且最好記在心里,除此以外不要在任何地方做記錄;另外,如果在日志審核中發(fā)現(xiàn)某個(gè)帳號(hào)被連續(xù)嘗試,則必須立刻更改此帳號(hào)(包括用戶名和口令);
(8)在帳號(hào)屬性中設(shè)立鎖定次數(shù),比如改帳號(hào)失敗登錄次數(shù)超過5次即鎖定改帳號(hào)。這樣可以防止某些大規(guī)模的登錄嘗試,同時(shí)也使管理員對(duì)該帳號(hào)提高警惕。
2.解除NetBios與TCP/IP協(xié)議的綁定
說明:NetBois在局域網(wǎng)內(nèi)是不可缺少的功能,在網(wǎng)站服務(wù)器上卻成了黑客掃描工具的首選目標(biāo)。方法:NT:控制面版——網(wǎng)絡(luò)——綁定——NetBios接口——禁用2000:控制面版——網(wǎng)絡(luò)和撥號(hào)連接——本地網(wǎng)絡(luò)——屬性——TCP/IP——屬性——高級(jí)——WINS——禁用TCP/IP上的NETBIOS
3.刪除所有的網(wǎng)絡(luò)共享資源
說明:NT與2000在默認(rèn)情況下有不少網(wǎng)絡(luò)共享資源,在局域網(wǎng)內(nèi)對(duì)網(wǎng)絡(luò)管理和網(wǎng)絡(luò)通訊有用,在網(wǎng)站服務(wù)器上同樣是一個(gè)特大的安全隱患。(卸載“Microsoft網(wǎng)絡(luò)的文件和打印機(jī)共享”。當(dāng)查看“網(wǎng)絡(luò)和撥號(hào)連接”中的任何連接屬性時(shí),將顯示該選項(xiàng)。單擊“卸載”按鈕刪除該組件;清除“Microsoft網(wǎng)絡(luò)的文件和打印機(jī)共享”復(fù)選框?qū)⒉黄鹱饔谩?
方法:
(1)NT:管理工具——服務(wù)器管理器——共享目錄——停止共享;
2000:控制面版——管理工具——計(jì)算及管理——共享文件夾———停止共享
但上述兩種方法太麻煩,服務(wù)器每重啟一次,管理員就必須停止一次
(2)修改注冊(cè)表:
運(yùn)行Regedit,然后修改注冊(cè)表在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters下增加一個(gè)鍵
Name:AutoShareServer
Type:REG_DWORD
Value:0
然后重新啟動(dòng)您的服務(wù)器,磁盤分區(qū)共享去掉,但I(xiàn)PC共享仍存在,需每次重啟后手工刪除。
4.改NTFS的安全權(quán)限;
說明:NTFS下所有文件默認(rèn)情況下對(duì)所有人(EveryOne)為完全控制權(quán)限,這使黑客有可能使用一般用戶身份對(duì)文件做增加、刪除、執(zhí)行等操作,建議對(duì)一般用戶只給予讀取權(quán)限,而只給管理員和System以完全控制權(quán)限,但這樣做有可能使某些正常的腳本程序不能執(zhí)行,或者某些需要寫的操作不能完成,這時(shí)需要對(duì)這些文件所在的文件夾權(quán)限進(jìn)行更改,建議在做更改前先在測(cè)試機(jī)器上作測(cè)試,然后慎重更改。
5.系統(tǒng)啟動(dòng)的等待時(shí)間設(shè)置為0秒,控制面板->系統(tǒng)->啟動(dòng)/關(guān)閉,然后將列表顯示的默認(rèn)值“30”改為“0”。(或者在boot.ini里將TimeOut的值改為0)
6.只開放必要的端口,關(guān)閉其余端口。
說明:缺省情況下,所有的端口對(duì)外開放,黑客就會(huì)利用掃描工具掃描那些端口可以利用,這對(duì)安全是一個(gè)嚴(yán)重威脅。
現(xiàn)將一些常用端口列表如下:
端口協(xié)議應(yīng)用程序
21TCPFTP
25TCPSMTP
53TCPDNS
80TCPHTTPSERVER
1433TCPSQLSERVER
5631TCPPCANYWHERE
5632UDPPCANYWHERE
6(非端口)IP協(xié)議
8(非端口)IP協(xié)議
7.加強(qiáng)日志審核;
說明:日志任何包括事件查看器中的應(yīng)用、系統(tǒng)、安全日志,IIS中的WWW、SMTP、FTP日志、SQLSERVER日志等,從中可以看出某些攻擊跡象,因此每天查看日志是保證系統(tǒng)安全的必不可少的環(huán)節(jié)。安全日志缺省是不記錄,帳號(hào)審核可以從域用戶管理器——規(guī)則——審核中選擇指標(biāo);NTFS中對(duì)文件的審核從資源管理器中選取。要注意的一點(diǎn)是,只需選取你真正關(guān)心的指標(biāo)就可以了,如果全選,則記錄數(shù)目太大,反而不利于分析;另外太多對(duì)系統(tǒng)資源也是一種浪費(fèi)。
8.加強(qiáng)數(shù)據(jù)備份;
說明:這一點(diǎn)非常重要,站點(diǎn)的核心是數(shù)據(jù),數(shù)據(jù)一旦遭到破壞后果不堪設(shè)想,而這往往是黑客們真正關(guān)心的東西;遺憾的是,不少網(wǎng)管在這一點(diǎn)上作的并不好,不是備份不完全,就是備份不及時(shí)。數(shù)據(jù)備份需要仔細(xì)計(jì)劃,制定出一個(gè)策略并作了測(cè)試以后才實(shí)施,而且隨著網(wǎng)站的更新,備份計(jì)劃也需要不斷地調(diào)整。
9.只保留TCP/IP協(xié)議,刪除NETBEUI、IPX/SPX協(xié)議;
說明:網(wǎng)站需要的通訊協(xié)議只有TCP/IP,而NETBEUI是一個(gè)只能用于局域網(wǎng)的協(xié)議,IPX/SPX是面臨淘汰的協(xié)議,放在網(wǎng)站上沒有任何用處,反而會(huì)被某些黑客工具利用。
10.停掉沒有用的服務(wù),只保留與網(wǎng)站有關(guān)的服務(wù)和服務(wù)器某些必須的服務(wù)。
說明:有些服務(wù)比如RAS服務(wù)、Spooler服務(wù)等會(huì)給黑客帶來可乘之機(jī),如果確實(shí)沒有用處建議禁止掉,同時(shí)也能節(jié)約一些系統(tǒng)資源。但要注意有些服務(wù)是操作系統(tǒng)必須的服務(wù),建議在停掉前查閱幫助文檔并首先在測(cè)試服務(wù)器上作一下測(cè)試。
11.隱藏上次登錄用戶名,修改注冊(cè)表Winnt4.0:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon中增
關(guān)鍵詞:Win服務(wù)器,解決方案
閱讀本文后您有什么感想? 已有 人給出評(píng)價(jià)!
- 1
- 1
- 1
- 1
- 1
- 1