WIN服务器安全设置Word下载.docx

1、使用Terminal Service重起微软的认证服务器（Compaq, IBM等）可能会直接关机。所以，为了安全起见，我建议你再配备一个远程控制软件作为辅助，和Terminal Service互补，象PcAnyWhere就是个不错的选择。二、 正确安装WIN2000 SERVER 1分区和逻辑盘的分配，有一些朋友为了省事，将硬盘仅仅分为一个逻辑盘，所有的软件都装在C驱上，这是非常不好的，建议最少建立两个分区，一个系统分区，一个应用程式分区，这是因为，微软的IIS经常会有泄漏源码/溢出的漏洞，如果把系统和IIS放在同一个驱动器会导致系统文件的泄漏甚至入侵者远程获取ADMIN。推荐的安全设置是建

2、立三个逻辑驱动器，第一个大于2G，用来装系统和重要的日志文件，第二个放IIS，第三个放FTP，这样无论IIS或FTP出了安全漏洞都不会直接影响到系统目录和系统文件。要知道，IIS和FTP是对外服务的，比较容易出问题。而把IIS和FTP分开主要是为了防止入侵者上传程式并从IIS中运行。（这个可能会导致程式研发人员和编辑的苦恼，管他呢，反正你是管理员J） 中国网管论坛2安装顺序的选择：不要觉得：顺序有什么重要？只要安装好了，怎么装都能的。错！win2000在安装中有几个顺序是一定要注意的：首先，何时接入网络：Win2000在安装时有一个漏洞，在你输入Administrator密码后，系统就建立了A

3、DMIN$的共享，不过并没有用你刚刚输入的密码来保护他，这种情况一直持续到你再次启动后，在此期间，所有人都能通过ADMIN$进入你的机器；同时，只要安装一完成，各种服务就会自动运行，而这时的服务器是满身漏洞，非常容易进入的，因此，在完全安装并设置好win2000 SERVER之前，一定不要把主机接入网络。其次，补丁的安装：补丁的安装应该在所有应用程式安装完之后，因为补丁程式往往要替换/修改某些系统文件，如果先安装补丁再安装应用程式有可能导致补丁不能起到应有的效果，例如：IIS的HotFix就需求每次更改IIS的设置都需要安装（变不变态？） 三、 安全设置WIN2000 SERVER 即使正确的

4、安装了WIN2000 SERVER，系统还是有非常多的漏洞，还需要进一步进行细致地设置。1端口：端口是计算机和外部网络相连的逻辑接口，也是计算机的第一道屏障，端口设置正确和否直接影响到主机的安全，一般来说，仅打开你需要使用的端口会比较安全，设置的方法是在网卡属性-TCP/IP-高级-选项-TCP/IP筛选中启用TCP/IP筛选，不过对于win2000的端口过滤来说，有一个不好的特性：只能规定开哪些端口，不能规定关闭哪些端口，这样对于需要开大量端口的用户就比较痛苦。BBS.bitsCN.com网管论坛2IIS：IIS是微软的组件中漏洞最多的一个，平均两三个月就要出一个漏洞，而微软的IIS默认安装

5、又实在不敢恭维，所以IIS的设置是我们的重点，目前大家跟着我一起来：首先，把C盘那个什么Inetpub目录完全删掉，在D盘建一个Inetpub（要是你不放心用默认目录名也能改一个名字，不过自己要记得）在IIS管理器中将主目录指向D:Inetpub；其次，那个IIS安装时默认的什么scripts等虚拟目录一概删除（罪恶之源呀， 第三，应用程式设置：在IIS管理器中删除必须之外的所有无用映射，必须指的是ASP, ASA和其他你确实需要用到的文件类型，例如你用到stml等（使用server side include），实际上90%的主机有了上面两个映射就够了，其余的映射几乎每个都有一个凄惨的故事：h

6、tw, htr, idq, ida想知道这些故事？去查以前的漏洞列表吧。什么？未找到在哪里删？在IIS管理器中右击主机-属性-WWW服务编辑-主目录设置-应用程式映射，然后就开始一个个删吧（里面没有全选的，嘿嘿）。接着在刚刚那个窗口的应用程式调试书签内将脚本错误消息改为发送文本（除非你想ASP出错的时候用户知道你的程式/网络/数据库结构）错误文本写什么？随便你喜欢，自己看着办。点击确定退出时别忘了让虚拟站点继承你设定的属性。中国_网管联盟 为了对付日益增多的cgi漏洞扫描器，更有一个小技巧能参考，在IIS中将HTTP404 Object Not Found出错页面通过URL重定向到一个制定HT

7、M文件，能让目前绝大多数CGI漏洞扫描器失灵。其实原因非常简单，大多数CGI扫描器在编写时为了方便，都是通过查看返回页面的HTTP代码来判断漏洞是否存在的，例如，著名的IDQ漏洞一般都是通过取1.idq来检验，如果返回HTTP200，就认为是有这个漏洞，反之如果返回HTTP404就认为没有，如果你通过URL将HTTP404出错信息重定向到HTTP404.htm文件，那么所有的扫描无论存不存在漏洞都会返回HTTP200，90%的CGI扫描器会认为你什么漏洞都有，结果反而掩盖了你真正的漏洞，让入侵者茫然无处下手（武侠小说中常说全身漏洞反而无懈可击，难道说的就是这个境界？）不过从个人角度来说，我还是

8、认为扎扎实实做好安全设置比这样的小技巧重要的多。最后，为了保险起见，你能使用IIS的备份功能，将刚刚的设定全部备份下来，这样就能随时恢复IIS的安全设置。更有，如果你怕IIS负荷过高导致服务器满负荷死机，也能在性能中打开CPU限制，例如将IIS的最大CPU使用率限制在70%。3账号安全：Win2000的账号安全是另一个重点，首先，Win2000的默认安装允许所有用户通过空用户得到系统所有账号/共享列表，这个本来是为了方便局域网用户共享文件的，不过一个远程用户也能得到你的用户列表并使用暴力法破解用户密码。非常多朋友都知道能通过更改注册表Local_MachineSystemCurrentCont

9、rolSetControlLSA-RestrictAnonymous = 1来禁止139空连接，实际上win2000的本地安全策略（如果是域服务器就是在域服务器安全和域安全策略中）就有这样的选项RestrictAnonymous（匿名连接的额外限制），这个选项有三个值：0：None. Rely on default permissions（无，取决于默认的权限） 1：Do not allow enumeration of SAM accounts and shares（不允许枚举SAM帐号和共享） 2：No access without explicit anonymous permissio

10、ns（没有显式匿名权限就不允许访问） bitsCN.nET中国网管博客 0这个值是系统默认的，什么限制都没有，远程用户能知道你机器上所有的账号、组信息、共享目录、网络传输列表（NetServerTransportEnum等等，对服务器来说这样的设置非常危险。1这个值是只允许非NULL用户存取SAM账号信息和共享信息。2这个值是在win2000中才支持的，需要注意的是，如果你一旦使用了这个值，你的共享估计就全部完蛋了，所以我推荐你还是设为1比较好。好了，入侵者目前没有办法拿到我们的用户列表，我们的账户安全了慢着，至少更有一个账户是能跑密码的，这就是系统内建的administrator，怎么办？我

11、改改改，在计算机管理-用户账号中右击administrator然后改名，改成什么随便你，只要能记得就行了。不对不对，我都已改了用户名了，怎么还是有人跑我管理员的密码？幸好我的密码够长，不过这也不是办法呀？嗯，那肯定是在本地或Terminal Service的登录界面看到的，好吧，我们再来把HKEY_LOCAL_MACHINESOFTWAREMicrosoft视窗系统NTCurrentVersionwinlogon项中的Dont Display Last User Name串数据改成1，这样系统不会自动显示上次的登录用户名。 中国.网管联盟 将服务器注册表HKEY_LOCAL_ MACHINES

12、OFTWAREMicrosoft 视窗系统NTCurrentVersionWinlogon项中的Dont Display Last User Name串数据修改为1，隐藏上次登陆控制台的用户名。（哇，世界清静了） 5安全日志：我遇见过这样的情况，一台主机被别人入侵了，系统管理员请我去追查凶手，我登录进去一看：安全日志是空的，倒，请记住：Win2000的默认安装是不开所有安全审核的！那么请你到本地安全策略-审核策略中打开相应的审核，推荐的审核是：账户管理 成功 失败 登录事件 成功 失败 对象访问 失败 策略更改 成功 失败 特权使用 失败 系统事件 成功 失败 目录服务访问 失败 账户登录事件

13、 成功 失败 审核项目少的缺点是万一你想看发现没有记录那就一点都没辙；审核项目太多不仅会占用系统资源而且会导致你根本没空去看，这样就失去了审核的意义。和之相关的是：DL.bitsCN.com网管软件下载在账户策略-密码策略中设定：密码复杂性需求 启用 密码长度最小值 6位 强制密码历史 5次 最长存留期 30天 账户锁定策略中设定：账户锁定 3次错误登录 锁定时间 20分钟 复位锁定计数 20分钟 同样，Terminal Service的安全日志默认也是不开的，我们能在Terminal Service Configration（远程服务设置）-权限-高级中设置安全审核，一般来说只要记录登录、注

14、销事件就能了。7.目录和文件权限：为了控制好服务器上用户的权限，同时也为了预防以后可能的入侵和溢出，我们还必须非常小心地设置目录和文件的访问权限，NT的访问权限分为：读取、写入、读取及执行、修改、列目录、完全控制。在默认的情况下，大多数的目录对所有用户（Everyone这个组）是完全敞开的（Full Control），你需要根据应用的需要进行权限重设。在进行权限控制时，请记住以下几个原则：1限是累计的：如果一个用户同时属于两个组，那么他就有了这两个组所允许的所有权限；bitsCN_com2拒绝的权限要比允许的权限高（拒绝策略会先执行）如果一个用户属于一个被拒绝访问某个资源的组，那么不管其他的权

15、限设置给他开放了多少权限，他也一定不能访问这个资源。所以请非常小心地使用拒绝，所有一个不当的拒绝都有可能造成系统无法正常运行；3文件权限比目录权限高（这个不用解释了吧？4利用用户组来进行权限控制是个成熟的系统管理员必须具有的优良习惯之一；5仅给用户真正需要的权限，权限的最小化原则是安全的重要保障；8.预防DoS：在注册表HKLMSYSTEMCurrentControlSetServicesTcpipParameters中更改以下值能帮助你防御一定强度的DoS攻击 SynAttackProtect REG_DWORD 2 EnablePMTUDiscovery REG_DWORD 0 NoNam

16、eReleaseOnDemand REG_DWORD 1 EnableDeadGWDetect REG_DWORD 0 KeepAliveTime REG_DWORD 300,000 PerformRouterDiscovery REG_DWORD 0 EnableICMPRedirects REG_DWORD 0 ICMP攻击：ICMP的风暴攻击和碎片攻击也是NT主机比较头疼的攻击方法，其实应付的方法也非常简单，win2000自带一个Routing & Remote Access工具，这个工具初具路由器的雏形（微软真是的，什么都要做？听说最近又要做防火墙了）在这个工具中，我们能轻易的定义输入

17、输出包过滤器，例如，设定输入ICMP代码255丢弃就表示丢弃所有的外来ICMP报文（让你炸？我丢、丢、丢） bitsCN.nET中国网管博客 四、需要注意的一些事：实际上，安全和应用在非常多时候是矛盾的，因此，你需要在其中找到平衡点，毕竟服务器是给用户用而不是做OPEN HACK的，如果安全原则妨碍了系统应用，那么这个安全原则也不是个好的原则。网络安全是一项系统工程，他不仅有空间的跨度，更有时间的跨度。非常多朋友（包括部分系统管理员）认为进行了安全设置的主机就是安全的，其实这其中有个误区：我们只能说一台主机在一定的情况一定的时间上是安全的，随着网络结构的变化、新的漏洞的发现，管理员/用户的操作

18、，主机的安全状况是随时随地变化着的，只有让安全意识和安全制度贯穿整个过程才能做到真正的安全。 bitsCN.nET中国网管博客 本文在撰写过程中参阅了大量Win2000安全的文章，在此向这些作者表示感谢。Win2000 Server入侵监测 shotgun?yesky 入侵检测初步 上一章我们谈到了Win2000 Server的安全设置，经过精心设置的Win2000服务器能防御90%以上的入侵和渗透，不过，就象上一章结束时我所提到的：系统安全是个连续的过程，随着新漏洞的出现和服务器应用的变化，系统的安全状况也在不断变化着；同时由于攻防是矛盾的统一体，道消魔长和魔消道长也在不断的转换中，因此，再

19、高明的系统管理员也不能确保一台正在提供服务的服务器长时间绝对不被入侵。所以，安全设置服务器并不是安全工作的结束，相反却是漫长乏味的安全工作的开始，本文我们将初步探讨Win2000服务器入侵检测的初步技巧，希望能帮助你长期维护服务器的安全。 www_bitscn_com 本文中所说的入侵检测指的是利用Win2000 Server自身的功能及系统管理员自己编写的软件/脚本进行的检测，使用防火墙（Firewall）或入侵监测系统（IDS）的技巧并不在本文的讨论范围之内。目前假定：我们有一台Win2000 Server的服务器，并且经过了初步的安全设置（关于安全设置的详情能参阅Win2000 Serv

20、er安全设置入门），在这种情况下，大部分的入侵者将被拒之门外。（哈哈，我管理员能回家睡大觉去了）慢着，我说的是大部分，不是全部，经过初步安全设置的服务器虽然能防御绝大多数的Script kid（脚本族-只会用别人写的程式入侵服务器的人），遇见了真正的高手，还是不堪一击的。虽然说真正的高手不会随便进入别人的服务器，不过也难保有几个品行不端的邪派高手看上了你的服务器。（我真的这么衰么？）而且，在漏洞的发现和补丁的发布之间往往有一段时间的真空，所有知道漏洞资料的人都能乘虚而入，这时，入侵检测技术就显得非常的重要。入侵的检测主要还是根据应用来进行，提供了相应的服务就应该有相应的检测分析系统来进行保护，

21、对于一般的主机来说，主要应该注意以下几个方面：1、 基于80端口入侵的检测 WWW服务大概是最常见的服务之一了，而且由于这个服务面对广大用户，服务的流量和复杂度都非常高，所以针对这个服务的漏洞和入侵技巧也最多。对于NT来说，IIS一直是系统管理员比较头疼的一部分（恨不得关了80端口），不过好在IIS自带的日志功能从某种程度上能成为入侵检测的得力帮手。IIS自带的日志文件默认存放在System32/LogFiles目录下，一般是按24小时滚动的，在IIS管理器中能对他进行周详的设置。（具体怎么配我不管你，不过你要是不周详记录，回头查不到入侵者的IP可不要哭） 目前我们再假设（怎么老是假设呀，烦不

22、烦？）别急呀，我不能为了写这篇文章真的去黑掉一台主机，所以只好假设了，我们假设一台WEB服务器，开放了WWW服务，你是这台服务器的系统管理员，已小心地设置了IIS，使用W3C扩展的日志格式，并至少记录了时间（Time）、客户端IP（Client IP）、方法（Method）、URI资源（URI Stem）、URI查询（URI Query），协议状态（Protocol Status），我们用最近比较流行的Unicode漏洞来进行分析：打开IE的窗口，在地址栏输入：127.0.0.1/scripts/.%c1% 1c./winnt/system32/cmd.exe?/c+dir 默认的情况下你能看

23、到目录列表（什么？你已做过安全设置了，看不到？恢复默认安装，我们要做个实验），让我们来看看IIS的日志都记录了些什么，打开Ex010318.log（Ex代表W3C扩展格式，后面的一串数字代表日志的记录日期）：07:42:58 127.0.0.1 GET /scripts/./winnt/system32cmd.exe /c+dir 200上面这行日志表示在格林威治时间07:58（就是北京时间23:58），有一个家伙（入侵者）从127.0.0.1的IP在你的机器上利用Unicode漏洞（%c1%1c被解码为，实际的情况会因为视窗系统语言版本的不同而有略微的差别）运行了cmd.exe，参数是/c

24、dir，运行结果成功（HTTP 200代表正确返回）。（哇，记录得可真够全的，以后不敢随便乱玩Unicode了） bbs.bitsCN.com 大多数情况下，IIS的日志会忠实地记录他接收到的所有请求（也有特别的不被IIS记录的攻击，这个我们以后再讨论），所以，一个优秀的系统管理员应该擅长利用这点来发现入侵的企图，从而保护自己的系统。不过，IIS的日志动辄数十兆、流量大的网站甚至数十G，人工检查几乎没有可能，唯一的选择就是使用日志分析软件，用所有语言编写一个日志分析软件（其实就是文本过滤器）都非常简单，不过考虑到一些实际情况（比如管理员不会写程式，或服务器上一时未找到日志分析软件），我能告诉大

25、家一个简单的方法，比方说你想知道有没有人从80端口上试图取得你的Global.asa文件，能使用以下的CMD命令：find Global.asa ex010318.log /i这个命令使用的是NT自带的find.exe工具（所以不怕紧急情况找不着），能轻松的从文本文件中找到你想过滤的字符串，是需要查询的字符串，ex010318.log是待过滤的文本文件，/i代表忽略大小写。因为我无意把这篇文章写成微软的Help文件，所以关于这个命令的其他参数及他的增强版FindStr.exe的用法请去查看Win2000的帮助文件。无论是基于日志分析软件或是Find命令，你都能建立一张敏感字符串列表，包含已有的

26、IIS漏洞（比如+.htr）及未来将要出现的漏洞可能会调用的资源（比如Global.asa或cmd.exe），通过过滤这张不断更新的字符串表，一定能尽早了解入侵者的行动。bitsCN.Com需要提醒的是，使用所有日志分析软件都会占用一定的系统资源，因此，对于IIS日志分析这样低优先级的任务，放在夜里空闲时自动执行会比较合适，如果再写一段脚本把过滤后的可疑文本发送给系统管理员，那就更加完美了。同时，如果敏感字符串表较大，过滤策略复杂，我建议还是用C写一个专用程式会比较合算。2、 基于安全日志的检测 通过基于IIS日志的入侵监测，我们能提前知道窥伺者的行踪（如果你处理失当，窥伺者随时会变成入侵者）

27、，不过IIS日志不是万能的，他在某种情况下甚至不能记录来自80端口的入侵，根据我对IIS日志系统的分析，IIS只有在一个请求完成后才会写入日志，换言之，如果一个请求中途失败，日志文件中是不会有他的踪影的（这里的中途失败并不是指发生HTTP400错误这样的情况，而是从TCP层上没有完成HTTP请求，例如在POST大量数据时异常中断），对于入侵者来说，就有可能绕过日志系统完成大量的活动。而且，对于非80 Only的主机，入侵者也能从其他的服务进入服务器，因此，建立一套完整的安全监测系统是非常必要的。bitsCN.nET中国网管博客Win2000自带了相当强大的安全日志系统，从用户登录到特权的使用都

28、有非常周详的记录，可惜的是，默认安装下安全审核是关闭的，以至于一些主机被黑后根本没法追踪入侵者。所以，我们要做的第一步是在管理工具-本地安全策略-本地策略-审核策略中打开必要的审核，一般来说，登录事件和账户管理是我们最关心的事件，同时打开成功和失败审核非常必要，其他的审核也要打开失败审核，这样能使得入侵者步步维艰，一不小心就会露出马脚。仅仅打开安全审核并没有完全解决问题，如果没有非常好的设置安全日志的大小及覆盖方式，一个老练的入侵者就能够通过洪水般的伪造入侵请求覆盖掉他真正的行踪。通常情况下，将安全日志的大小指定为50MB并且只允许覆盖7天前的日志能避免上述情况的出现。设置了安全日志却不去检查跟没有设置安全日志几乎相同糟糕（唯一的好处是被黑了以后能追查入侵者），所以，制定一个安全日志的检查机制也是非常重要的，作为安全日志，推荐的检查时间是每天上午，这是因为，入侵者喜欢夜间行动（速度快呀，要不你入侵到一半的时候连不上了，那可是哭都哭不出来）上午上班第一件事正好看看