服務器終極安全設置與優化指南
- 發布于:2022-12-06
- 共 187 人圍觀
1.初級篇:NT/2000系統本身的定制安裝與相關設置
用NT(2000)建立的WEB站點在所有的網站中占了很大一部分比例,主要因為其易用性與易管理性,使該公司不必再投入大量的金錢在服務器的管理上,這一點優于nix系統,不必請很專業的管理員,不必支付一份可以節省的高薪,呵呵,當然nix的管理員也不會失業,因為其開放源碼和windows系統無與倫比的速度,使得現在幾乎所有的大型服務器全部采用nix系統。但對于中小型企業來說windows已經足夠,但NT的安全問題也一直比較突出,使得一些每個基于NT的網站都有一種如履薄冰的感覺,在此我給出一份安全解決方案,算是為中國的網絡安全事業做出一份貢獻吧 (說明:本方案主要是針對建立Web站點的NT、2000服務器安全,對于局域網內的服務器并不合適。)
一、 定制自己的NT/2000 SERVER
1. 版本的選擇:
WIN2000有各種語言的版本,對于我們來說,可以選擇英文版或簡體中文版,我強烈建議:在語言不成為障礙的情況下,請一定使用英文版。要知道,微軟的產品是以Bug &Patch而著稱的,中文版的Bug遠遠多于英文版,而補丁一般還會遲至少半個月(也就是說一般微軟公布了漏洞后你的機子還會有半個月處于無保護狀況)
2. 組件的定制:
win2000在默認情況下會安裝一些常用的組件,但是正是這個默認安裝是極度危險的你應該確切的知道你需要哪些服務,而且僅僅安裝你確實需要的服務,根據安全原則,最少的服務+最小的權限=最大的安全。典型的WEB服務器需要的最小組件選擇是:只安裝IIS的Com Files,IIS Snap-In,WWW Server組件。如果你確實需要安裝其他組件,請慎重,特別是:Indexing Service, FrontPage 2000 Server Extensions, Internet Service Manager (HTML)這幾個危險服務。
二、 正確安裝NT/2000 SERVER
不論是NT還是2000,硬盤分區均為NTFS分區;
說明:
(1) NTFS比FAT分區多了安全控制功能,可以對不同的文件夾設置不同的訪問權限,安全性增強。
(2) 建議最好一次性全部安裝成NTFS分區,而不要先安裝成FAT分區再轉化為NTFS分區,這樣做在安裝了SP5和SP6的情況下會導致轉化不成功,甚至系統崩潰。
(3) 安裝NTFS分區有一個潛在的危險,就是目前大多數反病毒軟件沒有提供對軟盤啟動后NTFS分區病毒的查殺,這樣一旦系統中了惡性病毒而導致系統不能正常啟動,后果就比較嚴重,因此及建議平時做好防病毒工作。
(4)分區和邏輯盤的分配
有一些朋友為了省事,將硬盤僅僅分為一個邏輯盤,所有的軟件都裝在C驅上,這是很不好的,建議最少建立兩個分區,一個系統分區,一個應用程序分區,這是因為,微軟的IIS經常會有泄漏源碼/溢出的漏洞,如果把系統和IIS放在同一個驅動器會導致系統文件的泄漏甚至入侵者遠程獲取ADMIN。推薦的安全配置是建立三個邏輯驅動器,第一個大于2G,用來裝系統和重要的日志文件,第二個放IIS,第三個放FTP,這樣無論IIS或FTP出了安全漏洞都不會直接影響到系統目錄和系統文件。要知道,IIS和FTP是對外服務的,比較容易出問題。而把IIS和FTP分開主要是為了防止入侵者上傳程序并從IIS中運行。
(5)安裝順序的選擇:
win2000在安裝中有幾個順序是一定要注意的: 首先,何時接入網絡:Win2000在安裝時有一個漏洞,在你輸入Administrator密碼后,系統就建立了ADMIN$的共享,但是并沒有用你剛剛輸入的密碼來保護它,這種情況一直持續到你再次啟動后,在此期間,任何人都可以通過ADMIN$進入你的機器;同時,只要安裝一完成,各種服務就會自動運行,而這時的服務器是滿身漏洞,非常容易進入的,因此,在完全安裝并配置好win2000 SERVER之前,一定不要把主機接入網絡。 其次,補丁的安裝:補丁的安裝應該在所有應用程序安裝完之后,因為補丁程序往往要替換/修改某些系統文件,如果先安裝補丁再安裝應用程序有可能導致補丁不能起到應有的效果,例如:IIS的HotFix就要求每次更改IIS的配置都需要安裝
三、 安全配置NT/2000 SERVER
即使正確的安裝了WIN2000 SERVER,系統還是有很多的漏洞,還需要進一步進行細致地配置。
1.端口:
端口是計算機和外部網絡相連的邏輯接口,也是計算機的第一道屏障,端口配置正確與否直接影響到主機的安全,一般來說,僅打開你需要使用的端口會比較安全,配置的方法是在網卡屬性-TCP/IP-高級-選項-TCP/IP篩選中啟用TCP/IP篩選,不過對于win2000的端口過濾來說,有一個不好的特性:只能規定開哪些端口,不能規定關閉哪些端口,這樣對于需要開大量端口的用戶就比較痛苦。
2.IIS:
IIS是微軟的組件中漏洞最多的一個,平均兩三個月就要出一個漏洞,而微軟的IIS默認安裝又實在不敢恭維,所以IIS的配置是我們的重點,現在大家跟著我一起來:首先,把C盤那個什么Inetpub目錄徹底刪掉,在D盤建一個Inetpub(要是你不放心用默認目錄名也可以改一個名字,但是自己要記得)在IIS管理器中將主目錄指向D:\Inetpub;其次,那個IIS安裝時默認的什么scripts等虛擬目錄一概刪除,如果你需要什么權限的目錄可以自己慢慢建,需要什么權限開什么。(特別注意寫權限和執行程序的權限,沒有絕對的必要千萬不要給)第三,應用程序配置:在IIS管理器中刪除必須之外的任何無用映射,必須指的是ASP,ASA和其他你確實需要用到的文件類型,例如你用到stml等(使用server side include),實際上90%的主機有了上面兩個映射就夠了,其余的映射幾乎每個都有一個凄慘的故事:htw, htr, idq, ida……想知道這些故事?去查以前的漏洞列表吧。在IIS管理器中右擊主機->屬性->WWW服務 編輯->主目錄配置->應用程序映射,然后就開始一個個刪吧(里面沒有全選的,嘿嘿)。接著在剛剛那個窗口的應用程序調試書簽內將腳本錯誤消息改為發送文本(除非你想ASP出錯的時候用戶知道你的程序/網絡/數據庫結構)錯誤文本寫什么?隨便你喜歡,自己看著辦。點擊確定退出時別忘了讓虛擬站點繼承你設定的屬性。安裝新的Service Pack后,IIS的應用程序映射應重新設置。(說明:安裝新的Service Pack后,某些應用程序映射又會出現,導致出現安全漏洞。這是管理員較易忽視的一點。)
為了對付日益增多的cgi漏洞掃描器,還有一個小技巧可以參考,在IIS中將HTTP404 Object Not Found出錯頁面通過URL重定向到一個定制HTM文件,可以讓目前絕大多數CGI漏洞掃描器失靈。其實原因很簡單,大多數CGI掃描器在編寫時為了方便,都是通過查看返回頁面的HTTP代碼來判斷漏洞是否存在的,例如,著名的IDQ漏洞一般都是通過取1.idq來檢驗,如果返回HTTP200,就認為是有這個漏洞,反之如果返回HTTP404就認為沒有,如果你通過URL將HTTP404出錯信息重定向到HTTP404.htm文件,那么所有的掃描無論存不存在漏洞都會返回HTTP200,90%的CGI掃描器會認為你什么漏洞都有,結果反而掩蓋了你真正的漏洞,讓入侵者茫然無處下手,不過從個人角度來說,我還是認為扎扎實實做好安全設置比這樣的小技巧重要的多。
最后,為了保險起見,你可以使用IIS的備份功能,將剛剛的設定全部備份下來,這樣就可以隨時恢復IIS的安全配置。還有,如果你怕IIS負荷過高導致服務器滿負荷死機,也可以在性能中打開CPU限制,例如將IIS的最大CPU使用率限制在70%。
3.帳號策略:
(1)帳號盡可能少,且盡可能少用來登錄;
說明:網站帳號一般只用來做系統維護,多余的帳號一個也不要,因為多一個帳號就會多一份被攻破的危險。
(2)除過Administrator外,有必要再增加一個屬于管理員組的帳號;
說明:兩個管理員組的帳號,一方面防止管理員一旦忘記一個帳號的口令還
有一個備用帳號;另方面,一旦黑客攻破一個帳號并更改口令,我們還有
有機會重新在短期內取得控制權。
(3)所有帳號權限需嚴格控制,輕易不要給帳號以特殊權限;
(4)將Administrator重命名,改為一個不易猜的名字。其他一般帳號也應尊循這一原則。
說明:這樣可以為黑客攻擊增加一層障礙。
(5)將Guest帳號禁用,同時重命名為一個復雜的名字,增加口令,并將它從
Guest組刪掉;
說明:有的黑客工具正是利用了guest 的弱點,可以將帳號從一般用戶提
升到管理員組。
(6)給所有用戶帳號一個復雜的口令(系統帳號出外),長度最少在8位以上, 且必須同時包含字母、數字、特殊字符。同時不要使用大家熟悉的單詞(如microsoft)、熟悉的鍵盤順序(如qwert)、熟悉的數字(如2000)等。
說明:口令是黑客攻擊的重點,口令一旦被突破也就無任何系統安全可言了,而這往往是不少網管所忽視的地方,據我們的測試,僅字母加數字的5位口令在幾分鐘內就會被攻破,而所推薦的方案則要安全的多。
(7)口令必須定期更改(建議至少兩周該一次),且最好記在心里,除此以外不要在任何地方做記錄;另外,如果在日志審核中發現某個帳號被連續嘗試,則必須立刻更改此帳號(包括用戶名和口令);
(8)在帳號屬性中設立鎖定次數,比如改帳號失敗登錄次數超過5次即鎖定改帳號。這樣可以防止某些大規模的登錄嘗試,同時也使管理員對該帳號提高警惕。
4.安全日志:
Win2000的默認安裝是不開任何安全審核的!
那么請你到本地安全策略->審核策略中打開相應的審核,推薦的審核是:
賬戶管理 成功 失敗
登錄事件 成功 失敗
對象訪問 失敗
策略更改 成功 失敗
特權使用 失敗
系統事件 成功 失敗
目錄服務訪問 失敗
賬戶登錄事件 成功 失敗
審核項目少的缺點是萬一你想看發現沒有記錄那就一點都沒轍;審核項目太多不僅會占用系統資源而且會導致你根本沒空去看,這樣就失去了審核的意義。 與之相關的是:
在賬戶策略->密碼策略中設定:
密碼復雜性要求 啟用
密碼長度最小值 6位
強制密碼歷史 5次
最長存留期 30天
在賬戶策略->賬戶鎖定策略中設定:
賬戶鎖定 3次錯誤登錄
鎖定時間 20分鐘
復位鎖定計數 20分鐘
同樣,Terminal Service的安全日志默認也是不開的,我們可以在Terminal Service Configration(遠程服務配置)-權限-高級中配置安全審核,一般來說只要記錄登錄、注銷事件就可以了。
5.目錄和文件權限:
為了控制好服務器上用戶的權限,同時也為了預防以后可能的入侵和溢出,我們還必須非常小心地設置目錄和文件的訪問權限,NT的訪問權限分為:讀取、寫入、讀取及執行、修改、列目錄、完全控制。在默認的情況下,大多數的文件夾對所有用戶(Everyone這個組)是完全敞開的(Full Control),你需要根據應用的需要進行權限重設。
在進行權限控制時,請記住以下幾個原則:
1>限是累計的:如果一個用戶同時屬于兩個組,那么他就有了這兩個組所允許的所有權限;
2>拒絕的權限要比允許的權限高(拒絕策略會先執行)如果一個用戶屬于一個被拒絕訪問某個資源的組,那么不管其他的權限設置給他開放了多少權限,他也一定不能訪問這個資源。所以請非常小心地使用拒絕,任何一個不當的拒絕都有可能造成系統無法正常運行;
3>文件權限比文件夾權限高
4>利用用戶組來進行權限控制是一個成熟的系統管理員必須具有的優良習慣之一;
5>僅給用戶真正需要的權限,權限的最小化原則是安全的重要保障;
6.只安裝一種操作系統;
說明:安裝兩種以上操作系統,會給黑客以可乘之機,利用攻擊使系統重啟到另外一個沒有安全設置的操作系統(或者他熟悉的操作系統),進而進行破壞。
7.安裝成獨立的域控制器(Stand Alone),選擇工作組成員,不選擇域;
說明:主域控制器(PDC)是局域網中隊多臺聯網機器管理的一種方式,用于網站服務器包含著安全隱患,使黑客有可能利用域方式的漏洞攻擊站點服務器。
8.將操作系統文件所在分區與WEB數據包括其他應用程序所在的分區分開,并在安裝時最好不要使用系統默認的目錄,如將\WINNT改為其他目錄;
說明:黑客有可能通過WEB站點的漏洞得到操作系統對操作系統某些程序的執行權限,從而造成更大的破壞。同時如果采用IIS的話你應該在其設置中刪除掉所有的無用的映射,同時不要安裝索引服務,遠程站點管理與服務器擴展最好也不要要,然后刪掉默認路徑下的www,整個刪,不要手軟,然后再硬盤的另一個硬盤建立存放你網站的文件夾,同時一定記得打開w3c日志紀錄,切記(不過本人建議采用apache 1.3.24)
系統安裝過程中一定本著最小服務原則,無用的服務一概不選擇,達到系統的最小安裝,多一個服務,多一份風險,呵呵,所以無用組件千萬不要安裝!
9.關于補丁:在NT下,如果安裝了補丁程序,以后如果要從NT光盤上安裝新的Windows程序,都要重新安裝一次補丁程序, 2000下不需要這樣做。
說明:
(1) 最新的補丁程序,表示系統以前有重大漏洞,非補不可了,對于局域網內服務器可以不是最新的,但站點必須安裝最新補丁,否則黑客可能會利用低版本補丁的漏洞對系統造成威脅。這是一部分管理員較易忽視的一點;
(2) 安裝NT的SP5、SP6有一個潛在威脅,就是一旦系統崩潰重裝NT時,系統將不會認NTFS分區,原因是微軟在這兩個補丁中對NTFS做了改進。只能通過Windows 2000安裝過程中認NTFS,這樣會造成很多麻煩,建議同時做好數據備份工作。
(3) 安裝Service Pack前應先在測試機器上安裝一次,以防因為例外原因導致機器死機,同時做好數據備份。
盡量不安裝與WEB站點服務無關的軟件;
說明:其他應用軟件有可能存在黑客熟知的安全漏洞。
10.解除NetBios與TCP/IP協議的綁定
說明:NetBois在局域網內是不可缺少的功能,在網站服務器上卻成了黑客掃描工具的首選目標。方法:NT:控制面版——網絡——綁定——NetBios接口——禁用 2000:控制面版——網絡和撥號連接——本地網絡——屬性——TCP/IP——屬性——高級——WINS——禁用TCP/IP上的NETBIOS
11.刪除所有的網絡共享資源,在網絡連接的設置中刪除文件和打印共享,只留下TCP/IP協議
說明:NT與2000在默認情況下有不少網絡共享資源,在局域網內對網絡管理和網絡通訊有用,在網站服務器上同樣是一個特大的安全隱患。(卸載“Microsoft 網絡的文件和打印機共享”。當查看“網絡和撥號連接”中的任何連接屬性時,將顯示該選項。單擊“卸載”按鈕刪除該組件;清除“Microsoft 網絡的文件和打印機共享”復選框將不起作用。)
方法:
(1)NT:管理工具——服務器管理器——共享目錄——停止共享;
2000:控制面版——管理工具——計算及管理——共享文件夾———停止共享
但上述兩種方法太麻煩,服務器每重啟一次,管理員就必須停止一次
(2)修改注冊表:
運行Regedit,然后修改注冊表在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters下增加一個鍵
Name: AutoShareServer
Type: REG_DWORD
value: 0
然后重新啟動您的服務器,磁盤分區共享去掉,但IPC共享仍存在,需每次重啟后手工刪除。
12.改NTFS的安全權限;
說明:NTFS下所有文件默認情況下對所有人(EveryOne)為完全控制權限,這使黑客有可能使用一般用戶身份對文件做增加、刪除、執行等操作,建議對一般用戶只給予讀取權限,而只給管理員和System以完全控制權限,但這樣做有可能使某些正常的腳本程序不能執行,或者某些需要寫的操作不能完成,這時需要對這些文件所在的文件夾權限進行更改,建議在做更改前先在測試機器上作測試,然后慎重更改。
13.加強數據備份;
說明:這一點非常重要,站點的核心是數據,數據一旦遭到破壞后果不堪設想,而這往往是黑客們真正關心的東西;遺憾的是,不少網管在這一點上作的并不好,不是備份不完全,就是備份不及時。數據備份需要仔細計劃,制定出一個策略并作了測試以后才實施,而且隨著網站的更新,備份計劃也需要不斷地調整。
14.只保留TCP/IP協議,刪除NETBEUI、IPX/SPX協議;
說明:網站需要的通訊協議只有TCP/IP,而NETBEUI是一個只能用于局域網的協議,IPX/SPX是面臨淘汰的協議,放在網站上沒有任何用處,反而會被某些黑客工具利用。
15.不要起用IP轉發功能,控制面板->網絡->協議->TCP/IP協議->屬性,使這個選框為空。(NT)
說明:缺省情況下,NT的IP轉發功能是禁止的,但注意不要啟用,否則它會具有路由作用,被黑客利用來對其他服務器進行攻擊。
16.安裝最新的MDAC(http://www.microsoft.com/data/download.htm)
說明:MDAC為數據訪問部件,通常程序對數據庫的訪問都通過它,但它也是黑客攻擊的目標,為防止以前版本的漏洞可能會被帶入升級后的版本,建議卸載后安裝最新的版本。注意:在安裝最新版本前最好先做一下測試,因為有的數據訪問方式或許在新版本中不再被支持,這種情況下可以通過修改注冊表來檔漏洞,祥見漏洞測試文檔。
17.設置IP拒絕訪問列表
說明:對于WWW服務,可以拒絕一些對站點有攻擊嫌疑的地址;尤其對于FTP服務,如果只是自己公司上傳文件,就可以只允許本公司的IP訪問改FTP服務,這樣,安全性大為提高。
18.禁止對FTP服務的匿名訪問
說明:如果允許對FTP服務做匿名訪問,該匿名帳戶就有可能被利用來獲取更多的信息,以致對系統造成危害。
19.建議使用W3C擴充日志文件格式,每天記錄客戶IP地址,用戶名,服務器端口,方法,URI字根,HTTP狀態,用戶代理,而且每天均要審查日志。(最好不要使用缺省的目錄,建議更換一個記日志的路徑,同時設置日志的訪問權限,只允許管理員和system為Full Control)
說明:作為一個重要措施,既可以發現攻擊的跡象,采取預防措施,也可以作為受攻擊的一個證據。
20.慎重設置WEB站點目錄的訪問權限,一般情況下,不要給予目錄以寫入和允許目錄瀏覽權限。只給予.ASP文件目錄以腳本的權限,而不要給與執行權限。
說明:目錄訪問權限必須慎重設置,否則會被黑客利用。
標簽:
