Web站点的 Win2000服务器安全解决方案

榆林企业商务网电话：3838555传真：3899555:webmaster@yldns.com１Win2000服务器安全方案总则用windows2000建立的Web站点在所有的网站中占了很大一部分比例，但windows2000的安全问题也一直比较突出，使得一些每个基于windows2000的网站都有一种如履薄冰的感觉，然而微软并没有明确的解决方案，只是推出了一个个补丁程序，各种安全文档上对于windows2000的安全描述零零碎碎，给人们的感觉是无所适从。于是，有的网管干脆什么措施也不采取，有的忙着下各种各样的补丁程序，有的在安装了防火墙以后就以为万事大吉了。这种现状直接导致了大量网站的windows2000安全性参差不齐。只有极少数windows2000网站有较高的安全性，大部分网站的安全性很差。为此，我公司决心对windows2000主要漏洞予以搜集整理，同时，站在整体的高度，力图找出一套用windows2000建立安全站点的解决方案来，让榆林教育网安全的使用windows2000服务器。Web站点的Win2000服务器安全解决方案对windows2000来说web站点主要解决的安全问题如下：Web应用程序;Internet信息服务(IIS)5.0;Windows2000AdvancedServer操作系统;IP安全标准(IPSec)策略;远程管理与监视;SQLServer2000;密码。解决方案：（说明：本方案主要是针对建立Web站点的windows2000服务器安全，对于局域网内的服务器并不合适。）榆林企业商务网电话：3838555传真：3899555:webmaster@yldns.com２一、安装：1.硬盘分区为NTFS分区；说明：（1）NTFS比FAT分区多了安全控制功能，可以对不同的文件夹设置不同的访问权限，安全性增强。（2）建议最好一次性全部安装成NTFS分区，而不要先安装成FAT分区再转化为NTFS分区，这样做在安装了SP4的情况下会导致转化不成功，甚至系统崩溃。（3）安装NTFS分区有一个潜在的危险，就是目前大多数反病毒软件没有提供对软盘启动后NTFS分区病毒的查杀，这样一旦系统中了恶性病毒而导致系统不能正常启动，后果就比较严重，因此平时做好防病毒工作是必要的。2.只安装一种操作系统；说明：安装两种以上操作系统，会给黑客以可乘之机，利用攻击使系统重启到另外一个没有安全设置的操作系统（或者他熟悉的操作系统），进而进行破坏。3.安装成独立的域控制器（StandAlone）,选择工作组成员，不选择域；说明：主域控制器（PDC）是局域网中队多台联网机器管理的一种方式，用于网站服务器包含着安全隐患，使黑客有可能利用域方式的漏洞攻击站点服务器。4.将操作系统文件所在分区与Web数据包括其他应用程序所在榆林企业商务网电话：3838555传真：3899555:webmaster@yldns.com３的分区分开，并在安装时最好不要使用系统默认的目录，如将\WINNT改为其他目录；说明：黑客有可能通过Web站点的漏洞得到操作系统对操作系统某些程序的执行权限，从而造成更大的破坏。5.Windows程序，都要重新安装一次补丁程序，windows2000下更需要这样做。说明：（1）最新的补丁程序，表示系统以前有重大漏洞，非补不可了，对于局域网内服务器可以不是最新的，但站点必须安装最新补丁，否则黑客可能会利用低版本补丁的漏洞对系统造成威胁。这是一部分管理员较易忽视的一点；（2）安装windows2000的SP4有一个潜在威胁，就是一旦系统崩溃重装windows2000时，系统将不会认NTFS分区，原因是微软在这个补丁中对NTFS做了改进。只能通过Windows2000安装过程中认NTFS，这样会造成很多麻烦，建议同时做好数据备份工作。（3）安装ServicePack前应先在测试机器上安装一次，以防因为例外原因导致机器死机，同时做好数据备份。6.尽量不安装与Web站点服务无关的软件；说明：其他应用软件有可能存在黑客熟知的安全漏洞。二、windows2000设置：1.帐号策略：（1）帐号尽可能少，且尽可能少用来登录；榆林企业商务网电话：3838555传真：3899555:webmaster@yldns.com４说明：网站帐号一般只用来做系统维护，多余的帐号一个也不要，因为多一个帐号就会多一份被攻破的危险。（2）除过Administrator外，有必要再增加一个属于管理员组的帐号；说明：两个管理员组的帐号，一方面防止管理员一旦忘记一个帐号的口令还有一个备用帐号；另方面，一旦黑客攻破一个帐号并更改口令，我们还有机会重新在短期内取得控制权。（3）所有帐号权限需严格控制，轻易不要给帐号以特殊权限；（4）将Administrator重命名，改为一个不易猜的名字。其他一般帐号也应遵循这一原则。说明：这样可以为黑客攻击增加一层障碍。（5）将Guest帐号禁用，同时重命名为一个复杂的名字，增加口令，并将它从Guest组删掉；说明：有的黑客工具正是利用了guest的弱点，可以将帐号从一般用户提升到管理员组。（6）给所有用户帐号一个复杂的口令（系统帐号出外），长度最少在8位以上，且必须同时包含字母、数字、特殊字符。同时不要使用大家熟悉的单词（如microsoft）、熟悉的键盘顺序（如qwert）、熟悉的数字（如2000）等。说明：口令是黑客攻击的重点，口令一旦被突破也就无任何系统安全可言了，而这往往是不少网管所忽视的地方，据我们的测试，仅字母加数字的5位口令在几分钟内就会被攻破，而所推荐的方案则要榆林企业商务网电话：3838555传真：3899555:webmaster@yldns.com５安全的多。（7）口令必须定期更改（建议至少两周改一次），且最好记在心里，除此以外不要在任何地方做记录；另外，如果在日志审核中发现某个帐号被连续尝试，则必须立刻更改此帐号（包括用户名和口令）；（8）在帐号属性中设立锁定次数，比如改帐号失败登录次数超过5次即锁定改帐号。这样可以防止某些大规模的登录尝试，同时也使管理员对该帐号提高警惕。2.解除NetBios与TCP/IP协议的绑定说明：NetBois在局域网内是不可缺少的功能，在网站服务器上却成了黑客扫描工具的首选目标。方法：控制面版——网络和拨号连接——本地网络——属性——TCP/IP——属性——高级——WINS——禁用TCP/IP上的NETBIOS。3.删除所有的网络共享资源说明：windows2000在默认情况下有不少网络共享资源，在局域网内对网络管理和网络通讯有用，在网站服务器上同样是一个特大的安全隐患。（卸载“Microsoft网络的文件和打印机共享”。当查看“网络和拨号连接”中的任何连接属性时，将显示该选项。单击“卸载”按钮删除该组件；清除“Microsoft网络的文件和打印机共享”复选框将不起作用。）方法：(1)控制面版——管理工具——计算及管理——共享文件夹———停止共享。但上述两种方法太麻烦，服务器每重启一次，管理员就榆林企业商务网电话：3838555传真：3899555:webmaster@yldns.com６必须停止一次（2）修改注册表：运行Regedit，然后修改注册表在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters下增加一个键Name:AutoShareServerType:REG_DWORDValue:0然后重新启动您的服务器，磁盘分区共享去掉，但IPC共享仍存在，需每次重启后手工删除。4.改NTFS的安全权限；说明：NTFS下所有文件默认情况下对所有人（EveryOne）为完全控制权限，这使黑客有可能使用一般用户身份对文件做增加、删除、执行等操作，建议对一般用户只给予读取权限，而只给管理员和System以完全控制权限，但这样做有可能使某些正常的脚本程序不能执行，或者某些需要写的操作不能完成，这时需要对这些文件所在的文件夹权限进行更改，建议在做更改前先在测试机器上作测试，然后慎重更改。5.系统启动的等待时间设置为0秒，控制面板-系统-启动/关闭，然后将列表显示的默认值“30”改为“0”。（或者在boot.ini里将TimeOut的值改为0）6.只开放必要的端口，关闭其余端口。说明：缺省情况下，所有的端口对外开放，黑客就会利用扫描工具扫描那些端口可以利用，这对安全是一个严重威胁。端口扫描在网络扫描中大约占了96%，UDP（UserDatagramProtocol）服务次之，榆林企业商务网电话：3838555传真：3899555:webmaster@yldns.com７占3.7%。除了这两种之外，剩余的0.3%是用户名和密码扫描、NetBIOS域登录信息和SNMP管理数据等。TelAviv大学已经开始努力防止蠕虫攻击和对NetBIOS弱点的网络攻击，因为这些攻击可能会感染所有的Windows系统。同时，在发送流量之前，要求ISP对所有的NetBIOS流量进行过滤。现将一些常用端口列表如下：（附）10种最易受攻击的端口端口协议应用程序21TCPFTP25TCPSMTP53TCPDNS80TCPHTTPSERVER榆林企业商务网电话：3838555传真：3899555:webmaster@yldns.com８1433TCPSQLSERVER5631TCPPCANYWHERE5632UDPPCANYWHERE7.加强日志审核；说明：日志任何包括事件查看器中的应用、系统、安全日志，IIS中的、SMTP、FTP日志、SQLSERVER日志等，从中可以看出某些攻击迹象，因此每天查看日志是保证系统安全的必不可少的环节。安全日志缺省是不记录，帐号审核可以从域用户管理器——规则——审核中选择指标；NTFS中对文件的审核从资源管理器中选取。要注意的一点是，只需选取你真正关心的指标就可以了，如果全选，则记录数目太大，反而不利于分析；另外太多对系统资源也是一种浪费。8.加强数据备份；说明：这一点非常重要，站点的核心是数据，数据一旦遭到破坏后果不堪设想，而这往往是黑客们真正关心的东西；遗憾的是，不少网管在这一点上做的并不好，不是备份不完全，就是备份不及时。数据备份需要仔细计划，制定出一个策略并作了测试以后才实施，而且随着网站的更新，备份计划也需要不断地调整。9.只保留TCP/IP协议，删除NETBEUI、IPX/SPX协议；说明：网站需要的通讯协议只有TCP/IP，而NETBEUI是一个只能用于局域网的协议，IPX/SPX是面临淘汰的协议，放在网站上没有榆林企业商务网电话：3838555传真：3899555:webmaster@yldns.com９任何用处，反而会被某些黑客工具利用。10.停掉没有用的服务，只保留与网站有关的服务和服务器某些必须的服务。说明：有些服务比如RAS服务、Spooler服务等会给黑客带来可乘之机，如果确实没有用处建议禁止掉，同时也能节约一些系统资源。但要注意