论坛: 菜鸟乐园 标题: 构建安全服务器[转] 复制本贴地址    
作者: nallfather [nallfather]    论坛用户   登录
个人感觉还可以,所以转过来,欢迎高手再回贴补充

    随着Windows在桌面系统中的展开,越来越多的公司和个人采用了Windows NT系统;目前个人PC机装载的最为常见的操作系统是Windows 2000,其网络安全问题已成为日常网络管理的中心问题。为构建安全服务器系统,将黑客阻挡于系统之外,笔者吸取了以往的经验和自身的心得,提出以下建议供大家参考,欢迎指正。
首先,准备好干净的Windows 2000安装盘,可以是Server版,也可以是Advance Server版;收集最新最全的补丁程序,如SP1、SP2等;收集必要的应用程序补丁程序,如IIS5的补丁程序等。检查PC机的设备线路是否正常,特别注意将网线拔除,待安装配置的一切活动完成后再插上;可避免安装过程中善未加固的系统被黑客先行入侵。
接着,开始安装操作系统。尽量在一台PC机上只装一个操作系统,以免他人在另一个系统上修改你的NT系统,而给黑客提供另一个“后门”。一般给系统分三个区,其中一个区为系统分区,专门用来存放系统文件的,一般留1~2G空间;一个区专门安装应用程序和服务,可根据硬盘大小酌情划分;一个区提供备份。安装过程中,必须选择NTFS分区格式安装,该格式支持文件和目录访问权限的设置,否则根本无法指望指望服务器会安全;另外其他分区最好全部使用NTFS卷。选择自定义安装方式,从中选出必要的安装组件和服务,开始安装。
安装完成后,进入安全配置阶段。先配置系统,再安装配置相关服务,最后安装相应的补丁程序。注意:这个顺序不能调换,否则将适得其反。
一、关闭NTFS的8.3格式文件识别,这需要在HKEY_LOCAL_MACHINE\SYSTEM \CurrentControlSet\Control\FileSystem 中将NtfsDisable8dot3NameCreation的值设为“1”。
二、系统启动的等待时间设置为0秒,控制面板->系统->启动/关闭,然后将列表显示的默认值“30”改为“0”。
三、删除你的网络共享,你可以使用这样的命令net share /d,那些为了管理而设置的共享就必须通过修改注册表的方法来实现了,HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services\LanmanServer\Parameters 的 EnableSharedNetDrives改为0。
四、隐藏上次登陆用户名,修改注册表HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\Windows NT\Current Version\Winlogon 中的 DontDisplayLastUserName改为1。
五、在你的logon对话框中把“Shutdown”按钮移走,修改注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\Current Version\Winlogon 中的 ShutdownWithoutLogon改为0。
六、设定用户的口令长度,一般可以设到9位,密码位数到了这个数字再被猜出的可能性就很小了;关闭guest帐号或者为它设置一个复杂的密码;将Administrator帐号改名,并为管理员设置一个强壮的口令。选择好口令的原则主要有:(1)登录名称中字符不要重复或循环;(2)至少包含两个字母字符和一个非字母字符; (3)不是用户的姓名 ,不是相关人物、著名人物的姓名,不是用户的生日和电话号码及其他容易猜测的字符组合等;(4)要求用户定期更改口令。
七、Windows 2000 有这样一个特征,他允许未认证的用户进入网络列举域内用户,如果你要禁止这个功能,修改HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Control\LSA 中的RestrictAnonymous ,将它的值改为1。
八、最好不要绑定NetBIOS服务,以免被人使用Nbtstat等工具取得服务器的信息。
九、禁止IP转发,控制面板->网络->协议->TCP/IP协议->属性,使这个选框为空。
十、配置TCP/IP过滤,这样做你可能有很多服务被禁止,但可以减少许多许多不必要的麻烦,具体配置的方法是:控制面板->网络->协议-.TCP/IP协议->属性->高级->启用安全机制->配置,你可以这样配置TCP Ports 80和443(SSL的端口);不允许UDP端口;IP协议6,这是一个典型的安全配置,推荐使用。
十一、把一些工具从你的NT目录中转移到一个安全的目录,例如:cmd.exe,net.exe,telnet.exe,ftp.exe,tftp.exe,debug.exe,xcopy.exe 等,可以使黑客上来后找不到合适的工具和SHELL。
十二、确保注册表安全,取消或限制对regedit.exe,regedt32.exe的访问:利用regedit.exe或文件管理器设置只允许管理员访问注册表,其他任何用户不得访问注册表;利用regedt32.exe为注册表选项设置一定的安全权限。
十三、为防止未经授权的访问,可以利用域用户管理器启用安全审查功能,以便在事件查看器安全日志中记录未经授权的访问企图,以便尽早发现安全漏洞,但要结合工作实际,设置合理的审计规则,切忌审查事件太多,以免无时间全部审查安全问题。
十四、为堵住Windows 2000的登录漏洞,删除输入法的帮助文件:WINIME.CHM是输入法操作指南,一定要删除,WINSP.CHM是双拼输入法,一定要删除,WINZM.CHM是郑码输入法,一定要删除,WINPY.CHM是全拼输入法,一定要删除,还有一个是System32\IME\PINTLGNT\PINTLGNT.CHM,这是微软拼音输入法,可删可不删。
十五、为预防DoS(拒绝服务攻击),修改注册表HKLM\SYSTEM\CurrentControlSet\ Services\Tcpip\Parameters中更改以下值,可以帮助你防御一定强度的DoS攻击:
DeadGWDetectDefault REG_DWORD 0 
EnableICMPRedirects REG_DWORD 0
EnableSecurityFilters REG_DWORD 1
十六、禁止建立空连接。空会话连接是一个NetBIOS 连接,它建立在零长度的字符串,例如用户、口令和域名之上。它的作用是对共享和用户进行列举。这一功能可以被利用来通过 Everyone 用户组级的权限访问注册表,可列举出用户和共享的很多信息。这些信息能够被攻击者用来收集主机信息,从而能够发起更为有效的攻击。在注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA下添加键值RestrictAnonymous REG_DWORD 1。
修改完系统,接着开始配置IIS服务。IIS是微软的组件中漏洞最多的一个,平均两三个月就要出一个漏洞,若是按照微软的IIS默认安装,则是后患无穷。以下介绍提供一些关于IIS安全配置的方法:
一、安装一个能满足你需要的最小的IIS,并将你的Web服务器设置为独立的服务器,也能提高不少安全级别。
二、设置正确的Server访问控制权限:.EXE, .CGI,.DLL, .CMD, .PL 权限设置Everyone (X),Administrators (Full Control),System (Full Control);.ASP 的权限设置 Everyone (X),Administrators (Full Control),System (Full Control);.INC, .SHTML, .SHTM 的权限设置Everyone (X),Administrators (Full Control),System (Full Control);.HTML, .GIF, .JPEG的权限设置 Everyone (R),Administrators (Full Control),System (Full Control)。
三、把C盘根目录下的Inetpub目录彻底删掉,在D盘建一个Inetpub目录或者以其他名字命名的目录,将IIS管理器中将主目录指向D:\Inetpub。
四、正确设置虚拟目录,建议把默认安装后的那些虚拟目录删除。比如:scripts、iissamples等等,这些目录是最近流行的Unicode以及二次解码漏洞的载体。
五、正确设置IIS日志访问权限,ACL:Administrators (Full Control),System (Full Control)。防止入侵者修改日志以掩盖其入侵行径。
六、适当地设置IP拒绝访问列表,防止某些入侵源攻击你的Server。
七、在IIS管理器中删除必须之外的任何无用映射,必须指的是ASP, ASA和其他你确实需要用到的文件类型,例如你用到stml等(使用server side include),实际上90%的主机有了上面两个映射就够了。具体设置是在IIS管理器中右击主机->属性->WWW服务 编辑->主目录 配置->应用程序映射,然后一个个删除。特别注意删除.printer,.idq,.ida映射,这些是最近比较流行的缓冲区溢出漏洞,微软已发布了针对该漏洞的补丁,可到相关网站下载。
八、禁止别人访问你的上一层目录,设置办法:站点属性->主目录->配置->应用程序选项->启用父目录,将旁边的勾去掉就可以了。
九、删除一些你用不上的组件,使用regedit XXX.dll /u即可。
十、如果有可能,设置并使用Secure Sockets Layer。
最后,安装相关的补丁程序,以加固我们的系统。
安装完毕后,就可以插上网线或者打开modem安心地上网冲浪去了。


地主 发表时间: 05-10-22 13:33

回复: benet [benet]   论坛用户   登录
    真是辛苦你了,谢谢!!
   但是为什么不用Windows server 2003呢?
   它是继Windows 2000 和 Windows XP之后的
   完美结合版。
   我想用Windows server 2003之后,再进行
   相关的设置以后,安全性会更好一些。
     

B1层 发表时间: 05-10-23 10:00

论坛: 菜鸟乐园

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号