如何配置一台NT对大家来说不是一件很困难的事,可是要配置一台安全性高的NT可就不那么容易了,作为一个好的系统管理人员,一定要学会怎么让你手中的NT 4达到真正的C2级。
 最重要的一点,经常留意一些安全站点,使用最新的Service Pack并时常打一些小补丁。
 硬盘必须Format 成NTFS格式,如果你现在使用的是FAT的文件格式,赶快用convert.exe转换成NTFS格式吧。
 关闭NTFS的8.3格式文件识别,这需要在HKEY_LOCAL_MACHINE\SYSTEM \CurrentControlSet\Control\FileSystem 中将NtfsDisable8dot3NameCreation的值设为“1”。
 系统启动的等待时间设置为0秒,控制面板->系统->启动/关闭,然后将列表显示的默认值“30”改为“0”。
 将你的Web服务器设置为独立的服务器,也能提高不少安全级别。
 Remove 你NT服务器上的其他系统OS/2,Linux……,以免他人从别的系统上修改你的NT系统。
 删除你的网络共享,你可以使用这样的命令net share /d,那些为了管理而设置的共享就必须通过修改注册表的方法来实现了,HKEY_LOCAL_MACHINE\SYSTEM \CurrentControlSet\Control\Services\LanmanServer\Parameters 的 AutoShareServer改为0。
 严格审核Success/Failed Logon/Logoff日志,域用户管理器->规则->审核。
 隐藏上次登陆用户名,修改注册表HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\Windows NT\Current Version\Winlogon 中的 DontDisplayLastUserName改为0。
 在你的logon对话框中把”Shutdown”按钮移走,修改注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\Current Version\Winlogon 中的 ShutdownWithoutLogon改为0。
 设定用户的口令长度,一般可以设到9位,密码位数到了这个数字再被猜出的可能性就很小了;关闭guest帐号,将Administrator帐号改名,并为管理员设置一个强壮的口令。
 Windows NT 有这样一个特征,他允许未认证的用户进入网络列举域内用户,如果你要禁止这个功能,修改HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA 中的RestrictAnonymous ,将它的值改为1。
 只有管理员能分配打印机和盘符,要完成这个功能必须使用Windows NT Resource Kit中的一个工具C2Conifg才可以完成。
 注册表允许远程修改,这么做是危险的,最好是禁止。
 最好不要绑定BetBIOS服务,以免被人使用Nbtstat等工具取得服务器的信息。
 禁止IP转发,控制面板->网络->协议->TCP/IP协议->属性,使这个选框为空。
 配置TCP/IP过滤,这样做你可能有很多服务被禁止,但可以减少许多许多不必要的麻烦,具体配置的方法是:控制面板->网络->协议-.TCP/IP协议->属性->高级->启用安全机制->配置,你可以这样配置TCP Ports 80和443(SSL的端口);不允许UDP端口;IP协议6,这是一个典型的安全配置,推荐使用。
 不妨运行一下SYSKEY程序,加密你的帐号数据库
 把一些工具从你的NT目录中转移到一个安全的目录,例如:cmd.exe,net.exe,telnet.exe,ftp.exe ……
这些就是NT 4的一些安全配置,如果你对你的服务器安全有较高的要求,这可以作为一个借鉴,也许我还遗忘了一些什么,希望大家能及时和我联系(adam2000@21cn.com)。
下面,我再谈谈NT 4的搭档IIS 4.0的一些安全配置方法。
 首先是安装一个能满足你需要的最小的IIS
 设置正确的Server访问控制权限
.EXE, .CGI,.DLL, .CMD, .PL 权限设置Everyone (X),Administrators (Full Control),System (Full Control)
.ASP 的权限设置 Everyone (X),Administrators (Full Control),System (Full Control)
.INC, .SHTML, .SHTM 的权限设置Everyone (X),Administrators (Full Control),System (Full Control)
.HTML, .GIF, .JPEG的权限设置 Everyone (R),Administrators (Full Control),System (Full Control) 。
 正确设置虚拟目录,建议把默认安装后的那些虚拟目录删除IIS --c:\inetpub\iissamples,IIS SDK--c:\inetpub\iissamples\sdk,Admin Scripts--c:\inetpub\AdminScripts,Data access--c:\Program Files\Common Files\System\msadc\Samples,这些目录将给你的系统带来不必要的麻烦。
 正确设置IIS日志访问权限,ACL:Administrators (Full Control),System (Full Control)。
 适当地设置IP拒绝访问列表,防止有些讨厌的家伙攻击你的Server。
 设置并使用Secure Sockets Layer
 删除一些你用不上的组件,regedit XXX.dll /u。
 删除这个虚拟目录IISADMPWD,因为它允许你重新设置你的管理员口令,实在是比较危险,还是不要的好。
 删除一些不必要的Scipt Mapping,象.htr,.idc,. shtm, .stm, .shtml,都可以删除。
 禁止RDS的支持,因为最近发现了一个他的bug,所以最好还是禁用的好。
 使用IIS登陆日志,每天记录客户IP地址,用户名,服务器端口,方法,URI字根,HTTP状态,用户代理。
 在你的ASP页面中加入对<FORM>输入的检测。
 禁止”Parent Paths”,也就是不让别人用”..”来访问你的上一层目录,设置办法:站点属性->主目录->配置->应用程序选项->启用上层目录,将它disable就可以了。
 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters 的 SSIEnableCmdDirective设置为1禁止远程调用command shell。
本文根据国外文章改编而成,根据国内的情况略有删除,如果你有什么不同的意见请mail to: adam2000@21cn.com ,同时也欢迎到 http://www.chinaasp.com 的安全技术论坛与我讨论。
请尊重作者的心血,转载请保持全文完整并保留作者信息!
1999、9、2
Adam
