服务器安全（三） (1)

1.初级篇：NT/2000系统本身的定制安装与相关设置
　　用NT（2000）建立的WEB站点在所有的网站中占了很大一部分比例，主要因为其易用性与易管理性，使该公
司不必再投入大量的金钱在服务器的管理上，这一点优于nix系统，不必请很专业的管理员，不必支付一份可以
节省的高薪，呵呵，当然nix的管理员也不会失业，因为其开放源码和windows系统无与伦比的速度，使得现在
几乎所有的大型服务器全部采用nix系统。但对于中小型企业来说windows已经足够，但NT的安全问题也一直比
较突出，使得一些每个基于NT的网站都有一种如履薄冰的感觉，在此我给出一份安全解决方案，算是为中国的
网络安全事业做出一份贡献吧 （说明：本方案主要是针对建立Web站点的NT、2000服务器安全，对于局域网内
的服务器并不合适。）
　　一、 定制自己的NT/2000 SERVER
1． 版本的选择：
WIN2000有各种语言的版本，对于我们来说，可以选择英文版或简体中文版，我强烈建议：在语言不成为障碍的
情况下，请一定使用英文版。要知道，微软的产品是以Bug &Patch而著称的，中文版的Bug远远多于英文版，而
补丁一般还会迟至少半个月（也就是说一般微软公布了漏洞后你的机子还会有半个月处于无保护状况）
2． 组件的定制：
win2000在默认情况下会安装一些常用的组件，但是正是这个默认安装是极度危险的你应该确切的知道你需要哪
些服务，而且仅仅安装你确实需要的服务，根据安全原则，最少的服务+最小的权限=最大的安全。典型的WEB服
务器需要的最小组件选择是：只安装IIS的Com Files，IIS Snap-In，WWW Server组件。如果你确实需要安装其
他组件，请慎重，特别是：Indexing Service, FrontPage 2000 Server Extensions, Internet Service
Manager (HTML)这几个危险服务。
　　二、 正确安装NT/2000 SERVER
　　
　　不论是NT还是2000，硬盘分区均为NTFS分区；
　　说明：
　　（1） NTFS比FAT分区多了安全控制功能，可以对不同的文件夹设置不同的访问权限，安全性增强。
　　（2） 建议最好一次性全部安装成NTFS分区，而不要先安装成FAT分区再转化为NTFS分区，这样做在安装了
SP5和SP6的情况下会导致转化不成功，甚至系统崩溃。
　　（3） 安装NTFS分区有一个潜在的危险，就是目前大多数反病毒软件没有提供对软盘启动后NTFS分区病毒
的查杀，这样一旦系统中了恶性病毒而导致系统不能正常启动，后果就比较严重，因此及建议平时做好防病毒
工作。
（4）分区和逻辑盘的分配
有一些朋友为了省事，将硬盘仅仅分为一个逻辑盘，所有的软件都装在C驱上，这是很不好的，建议最少建立两
个分区，一个系统分区，一个应用程序分区，这是因为，微软的IIS经常会有泄漏源码/溢出的漏洞，如果把系
统和IIS放在同一个驱动器会导致系统文件的泄漏甚至入侵者远程获取ADMIN。推荐的安全配置是建立三个逻辑
驱动器，第一个大于2G，用来装系统和重要的日志文件，第二个放IIS，第三个放FTP，这样无论IIS或FTP出了
安全漏洞都不会直接影响到系统目录和系统文件。要知道，IIS和FTP是对外服务的，比较容易出问题。而把IIS
和FTP分开主要是为了防止入侵者上传程序并从IIS中运行。
（5）安装顺序的选择：
win2000在安装中有几个顺序是一定要注意的： 首先，何时接入网络：Win2000在安装时有一个漏洞，在你输入
Administrator密码后，系统就建立了ADMIN$的共享，但是并没有用你刚刚输入的密码来保护它，这种情况一直
持续到你再次启动后，在此期间，任何人都可以通过ADMIN$进入你的机器；同时，只要安装一完成，各种服务
就会自动运行，而这时的服务器是满身漏洞，非常容易进入的，因此，在完全安装并配置好win2000 SERVER之
前，一定不要把主机接入网络。 其次，补丁的安装：补丁的安装应该在所有应用程序安装完之后，因为补丁程
序往往要替换/修改某些系统文件，如果先安装补丁再安装应用程序有可能导致补丁不能起到应有的效果，例如
：IIS的HotFix就要求每次更改IIS的配置都需要安装
　　 三、 安全配置NT/2000 SERVER
即使正确的安装了WIN2000 SERVER，系统还是有很多的漏洞，还需要进一步进行细致地配置。
1．端口：
端口是计算机和外部网络相连的逻辑接口，也是计算机的第一道屏障，端口配置正确与否直接影响到主机的安
全，一般来说，仅打开你需要使用的端口会比较安全，配置的方法是在网卡属性-TCP/IP-高级-选项-TCP/IP筛
选中启用TCP/IP筛选，不过对于win2000的端口过滤来说，有一个不好的特性：只能规定开哪些端口，不能规定
关闭哪些端口，这样对于需要开大量端口的用户就比较痛苦。
2．IIS：
IIS是微软的组件中漏洞最多的一个，平均两三个月就要出一个漏洞，而微软的IIS默认安装又实在不敢恭维，
所以IIS的配置是我们的重点，现在大家跟着我一起来：首先，把C盘那个什么Inetpub目录彻底删掉，在D盘建
一个Inetpub（要是你不放心用默认目录名也可以改一个名字，但是自己要记得）在IIS管理器中将主目录指向
D:Inetpub；其次，那个IIS安装时默认的什么scripts等虚拟目录一概删除，如果你需要什么权限的目录可以
自己慢慢建，需要什么权限开什么。（特别注意写权限和执行程序的权限，没有绝对的必要千万不要给）第三
，应用程序配置：在IIS管理器中删除必须之外的任何无用映射，必须指的是ASP,ASA和其他你确实需要用到的
文件类型，例如你用到stml等（使用server side include），实际上90%的主机有了上面两个映射就够了，其
余的映射几乎每个都有一个凄惨的故事：htw, htr, idq, ida……想知道这些故事？去查以前的漏洞列表吧。
在IIS管理器中右击主机->属性->WWW服务 编辑->主目录配置->应用程序映射，然后就开始一个个删吧（里面没
有全选的，嘿嘿）。接着在刚刚那个窗口的应用程序调试书签内将脚本错误消息改为发送文本（除非你想ASP出
错的时候用户知道你的程序/网络/数据库结构）错误文本写什么？随便你喜欢，自己看着办。点击确定退出时
别忘了让虚拟站点继承你设定的属性。安装新的Service Pack后，IIS的应用程序映射应重新设置。（说明：安
装新的Service Pack后，某些应用程序映射又会出现，导致出现安全漏洞。这是管理员较易忽视的一点。）
为了对付日益增多的cgi漏洞扫描器，还有一个小技巧可以参考，在IIS中将HTTP404 Object Not Found出错页
面通过URL重定向到一个定制HTM文件，可以让目前绝大多数CGI漏洞扫描器失灵。其实原因很简单，大多数CGI
扫描器在编写时为了方便，都是通过查看返回页面的HTTP代码来判断漏洞是否存在的，例如，著名的IDQ漏洞一
般都是通过取1.idq来检验，如果返回HTTP200，就认为是有这个漏洞，反之如果返回HTTP404就认为没有，如果
你通过URL将HTTP404出错信息重定向到HTTP404.htm文件，那么所有的扫描无论存不存在漏洞都会返回HTTP200
，90%的CGI扫描器会认为你什么漏洞都有，结果反而掩盖了你真正的漏洞，让入侵者茫然无处下手,不过从个人
角度来说，我还是认为扎扎实实做好安全设置比这样的小技巧重要的多。
最后，为了保险起见，你可以使用IIS的备份功能，将刚刚的设定全部备份下来，这样就可以随时恢复IIS的安
全配置。还有，如果你怕IIS负荷过高导致服务器满负荷死机，也可以在性能中打开CPU限制，例如将IIS的最大
CPU使用率限制在70%。
3.帐号策略：
　　（1）帐号尽可能少，且尽可能少用来登录；
　　说明：网站帐号一般只用来做系统维护，多余的帐号一个也不要，因为多一个帐号就会多一份被攻破的危
险。
　　（2）除过Administrator外，有必要再增加一个属于管理员组的帐号；
　　说明：两个管理员组的帐号，一方面防止管理员一旦忘记一个帐号的口令还
　　有一个备用帐号；另方面，一旦黑客攻破一个帐号并更改口令，我们还有
　　有机会重新在短期内取得控制权。
　　（3）所有帐号权限需严格控制
（4）将Administrator重命名，改为一个不易猜的名字。其他一般帐号也应尊循这一原则。
　　说明：这样可以为黑客攻击增加一层障碍。
　　（5）将Guest帐号禁用，同时重命名为一个复杂的名字，增加口令，并将它从
　　Guest组删掉；
　　说明：有的黑客工具正是利用了guest 的弱点，可以将帐号从一般用户提
　　升到管理员组。
　　（6）给所有用户帐号一个复杂的口令（系统帐号出外），长度最少在8位以上， 且必须同时包含字母、数
字、特殊字符。同时不要使用大家熟悉的单词（如microsoft）、熟悉的键盘顺序（如qwert）、熟悉的数字（
如2000）等。
　　说明：口令是黑客攻击的重点，口令一旦被突破也就无任何系统安全可言了，而这往往是不少网管所忽视
的地方，据我们的测试，仅字母加数字的5位口令在几分钟内就会被攻破，而所推荐的方案则要安全的多。
　　（7）口令必须定期更改（建议至少两周该一次），且最好记在心里，除此以外不要在任何地方做记录；另
外，如果在日志审核中发现某个帐号被连续尝试，则必须立刻更改此帐号（包括用户名和口令）；
　　（8）在帐号属性中设立锁定次数，比如改帐号失败登录次数超过5次即锁定改帐号。这样可以防止某些大
规模的登录尝试，同时也使管理员对该帐号提高警惕。
4．安全日志：
Win2000的默认安装是不开任何安全审核的！
那么请你到本地安全策略->审核策略中打开相应的审核，推荐的审核是：
账户管理 成功 失败
登录事件 成功 失败
对象访问 失败
策略更改 成功 失败
特权使用 失败
系统事件 成功 失败
目录服务访问 失败
账户登录事件 成功 失败
审核项目少的缺点是万一你想看发现没有记录那就一点都没辙；审核项目太多不仅会占用系统资源而且会导致
你根本没空去看，这样就失去了审核的意义。 与之相关的是：
在账户策略->密码策略中设定：
密码复杂性要求 启用
密码长度最小值 6位
强制密码历史 5次
最长存留期 30天
在账户策略->账户锁定策略中设定：
账户锁定 3次错误登录
锁定时间 20分钟
复位锁定计数 20分钟
同样，Terminal Service的安全日志默认也是不开的，我们可以在Terminal Service Configration（远程服务
配置）-权限-高级中配置安全审核，一般来说只要记录登录、注销事件就可以了。
5.目录和文件权限：
为了控制好服务器上用户的权限，同时也为了预防以后可能的入侵和溢出，我们还必须非常小心地设置目录和
文件的访问权限，NT的访问权限分为：读取、写入、读取及执行、修改、列目录、完全控制。在默认的情况下
，大多数的文件夹对所有用户（Everyone这个组）是完全敞开的（Full Control），你需要根据应用的需要进
行权限重设。
在进行权限控制时，请记住以下几个原则：
1>限是累计的：如果一个用户同时属于两个组，那么他就有了这两个组所允许的所有权限；
2>拒绝的权限要比允许的权限高（拒绝策略会先执行）如果一个用户属于一个被拒绝访问某个资源的组
，那么不管其他的权限设置给他开放了多少权限，他也一定不能访问这个资源。所以请非常小心地使用拒绝，
任何一个不当的拒绝都有可能造成系统无法正常运行；
3>文件权限比文件夹权限高
4>利用用户组来进行权限控制是一个成熟的系统管理员必须具有的优良习惯之一；
5>仅给用户真正需要的权限，权限的最小化原则是安全的重要保障；
6.只安装一种操作系统；
　　说明：安装两种以上操作系统，会给黑客以可乘之机，利用攻击使系统重启到另外一个没有安全设置的操
作系统（或者他熟悉的操作系统），进而进行破坏。
7.安装成独立的域控制器（Stand Alone）,选择工作组成员，不选择域；
　　说明：主域控制器（PDC）是局域网中队多台联网机器管理的一种方式，用于网站服务器包含着安全隐患，
使黑客有可能利用域方式的漏洞攻击站点服务器。
　　
8.将操作系统文件所在分区与WEB数据包括其他应用程序所在的分区分开，并在安装时最好不要使用系统默
认的目录，如将WINNT改为

亿恩科技地址(ADD)：郑州市黄河路129号天一大厦608室 邮编(ZIP)：450008 传真(FAX)：0371-60123888
   联系：亿恩小凡
   QQ：89317007
   电话:0371-63322206

服务器租用/服务器托管中国五强！虚拟主机域名注册顶级提供商！15年品质保障！--亿恩科技[ENKJ.COM]