Windows服务器终极安全设置与优化指南

　　在进行权限控制时，请记住以下几个原则：

　　1>限是累计的：如果一个用户同时属于两个组，那么他就有了这两个组所允许的所有权限；

　　2>拒绝的权限要比允许的权限高（拒绝策略会先执行）如果一个用户属于一个被拒绝访问某个资源的组，那么不管其他的权限设置给他开放了多少权限，他也一定不能访问这个资源。所以请非常小心地使用拒绝，任何一个不当的拒绝都有可能造成系统无法正常运行；

　　3>文件权限比文件夹权限高

　　4>利用用户组来进行权限控制是一个成熟的系统管理员必须具有的优良习惯之一；

　　5>仅给用户真正需要的权限，权限的最小化原则是安全的重要保障；

　　6.只安装一种操作系统；

　　说明：安装两种以上操作系统，会给黑客以可乘之机，利用攻击使系统重启到另外一个没有安全设置的操作系统（或者他熟悉的操作系统），进而进行破坏。

　　7.安装成独立的域控制器（Stand Alone）,选择工作组成员，不选择域；

　　说明：主域控制器（PDC）是局域网中队多台联网机器管理的一种方式，用于网站服务器包含着安全隐患，使黑客有可能利用域方式的漏洞攻击站点服务器。


　　8.将操作系统文件所在分区与WEB数据包括其他应用程序所在的分区分开，并在安装时最好不要使用系统默认的目录，如将WINNT改为其他目录；

　　说明：黑客有可能通过WEB站点的漏洞得到操作系统对操作系统某些程序的执行权限，从而造成更大的破坏。同时如果采用IIS的话你应该在其设置中删除掉所有的无用的映射，同时不要安装索引服务，远程站点管理与服务器扩展最好也不要要，然后删掉默认路径下的www，整个删，不要手软，然后再硬盘的另一个硬盘建立存放你网站的文件夹，同时一定记得打开w3c日志纪录，切记（不过本人建议采用apache 1.3.24）


　　系统安装过程中一定本着最小服务原则，无用的服务一概不选择，达到系统的最小安装，多一个服务，多一份风险，呵呵，所以无用组件千万不要安装！

　　9.关于补丁：在NT下，如果安装了补丁程序，以后如果要从NT光盘上安装新的Windows程序,都要重新安装一次补丁程序， 2000下不需要这样做。

　　说明：


　　（1） 最新的补丁程序，表示系统以前有重大漏洞，非补不可了，对于局域网内服务器可以不是最新的，但站点必须安装最新补丁，否则黑客可能会利用低版本补丁的漏洞对系统造成威胁。这是一部分管理员较易忽视的一点；

　　（2） 安装NT的SP5、SP6有一个潜在威胁，就是一旦系统崩溃重装NT时，系统将不会认NTFS分区，原因是 微软在这两个补丁中对NTFS做了改进。只能通过Windows 2000安装过程中认NTFS，这样会造成很多麻烦，建议同时做好数据备份工作。

　　（3） 安装Service Pack前应先在测试机器上安装一次，以防因为例外原因导致机器死机，同时做好数据备份。


　　尽量不安装与WEB站点服务无关的软件；

　　说明：其他应用软件有可能存在黑客熟知的安全漏洞。


　　10.解除NetBios与TCP/IP协议的绑定


　　说明：NetBois在局域网内是不可缺少的功能，在网站服务器上却成了黑客扫描工具的首选目标。方法：NT：控制面版——网络——绑定—— NetBios接口——禁用 2000：控制面版——网络和拨号连接——本地网络——属性——TCP/IP——属性——高级——WINS——禁用 TCP/IP上的NETBIOS


　　11.删除所有的网络共享资源，在网络连接的设置中删除文件和打印共享，只留下TCP/IP协议


　　说明：NT与2000在默认情况下有不少网络共享资源，在局域网内对网络管理和网络通讯有用，在网站服务器上同样是一个特大的安全隐患。（卸载 “ Microsoft 网络的文件和打印机共享”。当查看“网络和拨号连接”中的任何连接属性时，将显示该选项。单击“卸载”按钮删除该组件；清除 “ Microsoft 网络的文件和打印机共享”复选框将不起作用。）

　　方法：

　　(1)NT:管理工具——服务器管理器——共享目录——停止共享;

　　2000:控制面版——管理工具——计算及管理——共享文件夹———停止共享

　　但上述两种方法太麻烦，服务器每重启一次，管理员就必须停止一次

　　（2）修改注册表：

　　运行Regedit，然后修改注册表在HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters下增加一个键

　　Name: AutoShareServer

　　Type: REG_DWORD

　　value: 0

　　然后重新启动您的服务器，磁盘分区共享去掉，但IPC共享仍存在，需每次重启后手工删除。


　　12.改NTFS的安全权限；

　　说明：NTFS下所有文件默认情况下对所有人（EveryOne）为完全控制权限，这使黑客有可能使用一般用户身份对文件做增加、删除、执行等操作，建议对一般用户只给予读取权限，而只给管理员和System以完全控制权限，但这样做有可能使某些正常的脚本程序不能执行，或者某些需要写的操作不能完成，这时需要对这些文件所在的文件夹权限进行更改，建议在做更改前先在测试机器上作测试，然后慎重更改。


　　13.加强数据备份；

　　说明：这一点非常重要，站点的核心是数据，数据一旦遭到破坏后果不堪设想，而这往往是黑客们真正关心的东西；遗憾的是，不少网管在这一点上作的并不好，不是备份不完全，就是备份不及时。数据备份需要仔细计划，制定出一个策略并作了测试以后才实施，而且随着网站的更新，备份计划也需要不断地调整。


　　14.只保留TCP/IP协议，删除NETBEUI、IPX/SPX协议；

　　说明：网站需要的通讯协议只有TCP/IP，而NETBEUI是一个只能用于局域网的协议，IPX/SPX是面临淘汰的协议，放在网站上没有任何用处，反而会被某些黑客工具利用。　　


　　15.不要起用IP转发功能，控制面板->网络->协议->TCP/IP协议->属性，使这个选框为空。（NT）

　　说明：缺省情况下，NT的IP转发功能是禁止的，但注意不要启用，否则它会具有路由作用，被黑客利用来对其他服务器进行攻击。


　　16.安装最新的MDAC（http://www.microsoft.com/data/download.htm）

　　说明：MDAC为数据访问部件，通常程序对数据库的访问都通过它，但它也是黑客攻击的目标，为防止以前版本的漏洞可能会被带入升级后的版本，建议卸载后安装最新的版本。注意：在安装最新版本前最好先做一下测试，因为有的数据访问方式或许在新版本中不再被支持，这种情况下可以通过修改注册表来档漏洞，祥见漏洞测试文档。


　　17.设置IP拒绝访问列表

　　说明：对于WWW服务，可以拒绝一些对站点有攻击嫌疑的地址；尤其对于FTP服务，如果只是自己公司上传文件，就可以只允许本公司的IP访问改FTP服务，这样，安全性大为提高。


　　18.禁止对FTP服务的匿名访问

　　说明：如果允许对FTP服务做匿名访问，该匿名帐户就有可能被利用来获取更多的信息，以致对系统造成危害。


　　19.建议使用W3C扩充日志文件格式，每天记录客户IP地址，用户名，服务器端口，方法，URI字根，HTTP状态，用户代理，而且每天均要审查日志。（最好不要使用缺省的目录，建议更换一个记日志的路径，同时设置日志的访问权限，只允许管理员和system为Full Control）

　　说明：作为一个重要措施，既可以发现攻击的迹象，采取预防措施，也可以作为受攻击的一个证据。


　　20.慎重设置WEB站点目录的访问权限，一般情况下，不要给予目录以写入和允许目录浏览权限。只给予.ASP文件目录以脚本的权限，而不要给与执行权限。

　　说明：目录访问权限必须慎重设置，否则会被黑客利用。


　　21.ASP编程安全：


　　安全不仅是网管的事，编程人员也必须在某些安全细节上注意，养成良好的安全习惯，否则，会给黑客造成可乘之机。目前，大多数网站上的ASP程序有这样那样的安全漏洞，但如果写程序的时候注意的话，还是可以避免的。


　　涉及用户名与口令的程序最好封装在服务器端，尽量少的在ASP文件里出现，涉及到与数据库连接地用户名与口令应给予最小的权限。

　　说明：用户名与口令，往往是黑客们最感兴趣的东西，如果被通过某种方式看到源代码，后果是严重的。因此要尽量减少它们在ASP文件中的出现次数。出现次数多得用户名与口令可以写在一个位置比较隐蔽的包含文件中。如果涉及到与数据库连接，理想状态下只给它以执行存储过程的权限，千万不要直接给予该用户以修改、插入、删除记录的权限。


　　需要经过验证的ASP页面，可跟踪上一个页面的文件名，只有从上一页面转进来的会话才能读取这个页面。

　　说明：现在的需要经过验证的ASP程序多是在页面头部加一个判断语句，但这还不够，有可能被黑客绕过验证直接进入，因此有必要跟踪上一个页面。具体漏洞见所附漏洞文档。


　　防止ASP主页.inc文件泄露问题

　　当存在asp 的主页正在制作并没有进行最后调试完成以前，可以被某些搜索引擎机动追加为搜索对象，如果这时候有人利用搜索引擎对这些网页进行查找，会得到有关文件的定位，并能在浏览器中察看到数据库地点和结构的细节揭示完整的源代码。

　　解决方案：程序员应该在网页发布前对其进行彻底的调试；安全专家需要固定asp 包含文件以便外部的用户不能看他们。 首先对 .inc 文件内容进行加密，其次也可以使用 .asp 文件代替 .inc 文件使用户无法从浏览器直接观看文件的源代码。.inc 文件的文件名不用使用系统默认的或者有特殊含义容易被用户猜测到的，尽量使用无规则的英文字母。


　　注意某些ASP编辑器会自动备份asp文件，会被下载的漏洞

　　在有些编辑asp程序的工具，当创建或者修改一个asp文件时，编辑器自动创建一个备份文件，比如：UltraEdit就会备份一个..bak文件，如你创建或者修改了some.asp，编辑器自动生成一个叫some.asp.bak文件，如果你没有删除这个 bak文件，攻击有可以直接下载 some.asp.bak文件，这样some.asp的源程序就会给下载。


　　在处理类似留言板、BBS等输入框的ASP程序中，最好屏蔽掉HTML、javascript、VBScript语句，如无特殊要求，可以限定只允许输入字母与数字，屏蔽掉特殊字符。同时对输入字符的长度进行限制。而且不但在客户端进行输入合法性检查，同时要在服务器端程序中进行类似检查。

　　说明：输入框是黑客利用的一个目标，他们可以通过输入脚本语言等对用户客户端造成损坏； 如果该输入框涉及到数据查询，他们会利用特殊查询输入得到更多的数据库数据，甚至是表的全部。因此必须对输入框进行过滤。但如果为了提高效率仅在客户端进行输入合法性检查，仍有可能被绕过，因此必须在服务器端再做一次检查。


　　防止ACCESS mdb 数据库有可能被下载的漏洞

　　在用ACCESS做后台数据库时，如果有人通过各种方法知道或者猜到了服务器的ACCESS数据库的路径和数据库名称，那么他能够下载这个ACCESS数据库文件，这是非常危险的。

　　解决方法：

　　(1) 为你的数据库文件名称起个复杂的非常规的名字，并把他放在几目录下。所谓 "非常规"， 打个比方： 比如有个数据库要保存的是有关书籍的信息， 可不要把他起个"book.mdb"的名字，起个怪怪的名称，比如d34ksfslf.mdb， 再把他放在如. /kdslf/i44/studi/ 的几层目录下，这样黑客要想通过猜的方式得到你的ACCESS数据库文件就难上加难了。

上一篇：资深网管教你两步走对付DdoS攻

下一篇：保护无线路由器　消灭来自无形中的威胁

昵称 (必填)

验证码 (必填)