发信人: zenyw (hyln), 信区: Juniper 标 题: 怎样设置服务器之三―――――安全配置NT/2000 SERVE 发信站: 中国Cisco技术论坛 (Fri Apr 28 10:00:50 2006) 怎样设置服务器之三―――――安全配置NT/2000 SERVER 欢迎您来 http:www.tqidc.com 详请请在线咨询:[color=red][size=4]QQ:320047791[/color][/size] EmaiL:tq19@tqidc.com 联系电话:[color=red][size=4]0371--65388187 -803[/color][/size] 销售部 联系人:叶先生 即使正确的安装了WIN2000 SERVER,系统还是有很多的漏洞,还需要进一步进行细致地配 置。 1.端口: 端口是计算机和外部网络相连的逻辑接口,也是计算机的第一道屏障,端口配置正确与否 直接影响到主机的安全,一般来说,仅打开你需要使用的端口会比较安全,配置的方法是 在网卡属性-TCP/IP-高级-选项-TCP/IP筛选中启用TCP/IP筛选,不过对于win2000的端口过 滤来说,有一个不好的特性:只能规定开哪些端口,不能规定关闭哪些端口,这样对于需 要开大量端口的用户就比较痛苦。 2.IIS: IIS是微软的组件中漏洞最多的一个,平均两三个月就要出一个漏洞,而微软的IIS默认安 装又实在不敢恭维,所以IIS的配置是我们的重点,现在大家跟着我一起来:首先,把C盘 那个什么Inetpub目录彻底删掉,在D盘建一个Inetpub(要是你不放心用默认目录名也可以 改一个名字,但是自己要记得)在IIS管理器中将主目录指向D:\Inetpub;其次,那个IIS 安装时默认的什么scripts等虚拟目录一概删除,如果你需要什么权限的目录可以自己慢慢 建,需要什么权限开什么。(特别注意写权限和执行程序的权限,没有绝对的必要千万不 要给)第三,应用程序配置:在IIS管理器中删除必须之外的任何无用映射,必须指的是A SP,ASA和其他你确实需要用到的文件类型,例如你用到stml等(使用server side includ e),实际上90%的主机有了上面两个映射就够了,其余的映射几乎每个都有一个凄惨的故 事:htw, htr, idq, ida……想知道这些故事?去查以前的漏洞列表吧。在IIS管理器中右 击主机->属性->WWW服务 编辑->主目录配置->应用程序映射,然后就开始一个个删吧(里 面没有全选的,嘿嘿)。接着在刚刚那个窗口的应用程序调试书签内将脚本错误消息改为 发送文本(除非你想ASP出错的时候用户知道你的程序/网络/数据库结构)错误文本写什么?随便你喜欢,自己看着办。点击确定退出时别忘了让虚拟站点继 心闵瓒ǖ氖粜浴0沧靶碌腟ervice Pack后,IIS的应用程序映射应重新设置。(说明:安 装新的Service Pack后,某些应用程序映射又会出现,导致出现安全漏洞。这是管理员较 易忽视的一点。) 为了对付日益增多的cgi漏洞扫描器,还有一个小技巧可以参考,在IIS中将HTTP404 Obje ct Not Found出错页面通过URL重定向到一个定制HTM文件,可以让目前绝大多数CGI漏洞扫 描器失灵。其实原因很简单,大多数CGI扫描器在编写时为了方便,都是通过查看返回页面 的HTTP代码来判断漏洞是否存在的,例如,著名的IDQ漏洞一般都是通过取1.idq来检验, 如果返回HTTP200,就认为是有这个漏洞,反之如果返回HTTP404就认为没有,如果你通过 URL将HTTP404出错信息重定向到HTTP404.htm文件,那么所有的扫描无论存不存在漏洞都会 返回HTTP200,90%的CGI扫描器会认为你什么漏洞都有,结果反而掩盖了你真正的漏洞,让 入侵者茫然无处下手,不过从个人角度来说,我还是认为扎扎实实做好安全设置比这样的小 技巧重要的多。 最后,为了保险起见,你可以使用IIS的备份功能,将刚刚的设定全部备份下来,这样就可 以随时恢复IIS的安全配置。还有,如果你怕IIS负荷过高导致服务器满负荷死机,也可以 在性能中打开CPU限制,例如将IIS的最大CPU使用率限制在70% 3.帐号策略: (1)帐号尽可能少,且尽可能少用来登录; 说明:网站帐号一般只用来做系统维护,多余的帐号一个也不要,因为多一个帐号就 会多一份被攻破的危险。 (2)除过Administrator外,有必要再增加一个属于管理员组的帐号; 说明:两个管理员组的帐号,一方面防止管理员一旦忘记一个帐号的口令还 有一个备用帐号;另方面,一旦黑客攻破一个帐号并更改口令,我们还有 有机会重新 在短期内取得控制权。 (3)所有帐号权限需严格控制,轻易不要给帐号以特殊权限; (4)将Administrator重命名,改为一个不易猜的名字。其他一般帐号也应尊循这一 原则。 说明:这样可以为黑客攻击增加一层障碍。 (5)将Guest帐号禁用,同时重命名为一个复杂的名字,增加口令,并将它从 Guest 组删掉; 说明:有的黑客工具正是利用了guest 的弱点,可以将帐号从一般用户提 升到管理员 组。 (6)给所有用户帐号一个复杂的口令(系统帐号出外),长度最少在8位以上, 且必 须同时包含字母、数字、特殊字符。同时不要使用大家熟悉的单词(如microsoft)、熟悉 的键盘顺序(如qwert)、熟悉的数字(如2000)等。 说明:口令是黑客攻击的重点,口令一旦被突破也就无任何系统安全可言了,而这往 往是不少网管所忽视的地方,据我们的测试,仅字母加数字的5位口令在几分钟内就会被攻 破,而所推荐的方案则要安全的多。 (7)口令必须定期更改(建议至少两周该一次),且最好记在心里,除此以外不要在 任何地方做记录;另外,如果在日志审核中发现某个帐号被连续尝试,则必须立刻更改此 帐号(包括用户名和口令); (8)在帐号属性中设立锁定次数,比如改帐号失败登录次数超过5次即锁定改帐号。 这样可以防止某些大规模的登录尝试,同时也使管理员对该帐号提高警惕。 4.安全日志: Win2000的默认安装是不开任何安全审核的! 那么请你到本地安全策略->审核策略中打开相应的审核,推荐的审核是: 账户管理 成功 失败 登录事件 成功 失败 对象访问 失败 策略更改 成功 失败 特权使用 失败 系统事件 成功 失败 目录服务访问 失败 账户登录事件 成功 失败 审核项目少的缺点是万一你想看发现没有记录那就一点都没辙;审核项目太多不仅会占用 系统资源而且会导致你根本没空去看,这样就失去了审核的意义。 与之相关的是: 在账户策略->密码策略中设定: 密码复杂性要求 启用 密码长度最小值 6位 强制密码历史 5次 最长存留期 30天 在账户策略->账户锁定策略中设定: 账户锁定 3次错误登录 锁定时间 20分钟 复位锁定计数 20分钟 5.目录和文件权限:同样,Terminal Service的安全日志默认也是不开的,我们可以在Te rminal Service Configration(远程服务配置)-权限-高级中配置安全审核,一般来说只 要记录登录、注销事件就可以了。 为了控制好服务器上用户的权限,同时也为了预防以后可能的入侵和溢出,我们还必须非 常小心地设置目录和文件的访问权限,NT的访问权限分为:读取、写入、读取及执行、修 改、列目录、完全控制。在默认的情况下,大多数的文件夹对所 有用户(Everyone这个组)是完全敞开的(Full Control),你需要根据应用的需要进行 权限重设。 在进行权限控制时,请记住以下几个原则: 1>限是累计的:如果一个用户同时属于两个组,那么他就有了这两个组所允许的所有权限 ; 2>拒绝的权限要比允许的权限高(拒绝策略会先执行)如果一个用户属于一个被拒绝访问 某个资源的组,那么不管其他的权限设置给他开放了多少权限,他也一定不能访问这个资 源。所以请非常小心地使用拒绝,任何一个不当的拒绝都有可能造成系统无法正常运行; 3>文件权限比文件夹权限高 4>利用用户组来进行权限控制是一个成熟的系统管理员必须具有的优良习惯之一; 5>仅给用户真正需要的权限,权限的最小化原则是安全的重要保障; 6.只安装一种操作系统; 说明:安装两种以上操作系统,会给黑客以可乘之机,利用攻击使系统重启到另外一 个没有安全设置的操作系统(或者他熟悉的操作系统),进而进行破坏。 7.安装成独立的域控制器(Stand Alone),选择工作组成员,不选择域; 说明:主域控制器(PDC)是局域网中队多台联网机器管理的一种方式,用于网站服务 器包含着安全隐患,使黑客有可能利用域方式的漏洞攻击站点服务器。 8.将操作系统文件所在分区与WEB数据包括其他应用程序所在的分区分开,并在安装时最好 不要使用系统默认的目录,如将\WINNT改为其他目录; 说明:黑客有可能通过WEB站点的漏洞得到操作系统对操作系统某些程序的执行权限, 从而造成更大的破坏。同时如果采用IIS的话你应该在其设置中删除掉所有的无用的映射, 同时不要安装索引服务,远程站点管理与服务器扩展最好也不要,然后删掉默认路径下的 www,整个删,不要手软,然后再硬盘的另一个硬盘建立存放你网站的文件夹,同时一定记 得打开w3c日志纪录,切记(不过本人建议采用apache 1.3.24) 系统安装过程中一定本着最小服务原则,无用的服务一概不选择,达到系统的最小安装, 多一个服务,多一份风险,呵呵,所以无用组件千万不要安装! 9.关于补丁:在NT下,如果安装了补丁程序,以后如果要从NT光盘上安装新的Windows程序 ,都要重新安装一次补丁程序, 2000下不需要这样做。 七大因素决定虚拟主机价格 大家在购买双线虚拟空间的时候 肯定都有这样的体会,不知道是要买贵的好还是便宜的好 所以就出现了两种情况,一种是唯便宜是问的,专选那种便宜的, 一种则是挑价格高的这样几形成了两个极端.前者是那种爱图便宜的,俗话说的好,"便宜没 好货", 便宜的空间一般都是服务商做了手脚,其性价比根本就不是你要买的那种,用了以后问题就 出来了 服务器老出问题是长事,服务态度差劲,而选择那些高价格的空间,大多则是空间太浪费根本 就用不了 这么好的,还有就是买的是"水货空间"实际价格没有这么高,那么影响空间的价格因素是什 么呢? 根据多年的经验总结得出以下七个因素: 1 空间大小 2 IIS连接数 3 支持的文件类型 4 流量 5 CPU资源的占用率 6 操作系统 7 带宽 希望大家在买空间的时候能够参考一下! 双线空间全面升级,公司网站改版,为庆祝厦门公司成立,现在天桥数据促销活动。 [color=red][size=4]购买空间顶级域名:39元/年[/color][/size] [img]http://bbs.ccxx.net =1&Uin=320047791&Site=天桥小袁&Menu=yes][color=blue][size=4]和我交流 [/color][ /size][/url] 客服部,全天侯为您服务! 欢迎您来 http://bbs.ccxx.net http://bbs.ccxx.net 做人要厚道! 详情请在线咨询:[color=red][size=4]QQ:320047791[/color][/size] EmaiL:tq19@tqidc.com 联系电话:[color=red][size=4]0371--65388187 -803[/color][/size] [color=blue][size=4] 销售部 联单联系人: 叶先生 [/color][/size] 双线空间全面升级,公司网站改版,为庆祝厦门公司成立,现在天桥数据促销活动。 -- ※ 来源:.中国Cisco技术论坛 bbs.ccxx.net [FROM: 221.14.247.41] |