Windows服务器安全解决方案
目前Internet上的服务器,Windows Server是占有一定的比例的,但是由于Windows Sever的突出安全问题,Microsoft也迟迟没有提出比较可行的解决方案,只是推出这一个又一个的补丁,使得Windows Server的用户整天担惊受怕。
我们经过长期的摸索和考究,对网络的零零碎碎的安全文档进行了整理,总结出一套解决方案,具体如下:
解决方案:
一、系统安装
1. 磁盘分区格式
1)一台要用来作为网络服务器的Windows Server,硬盘的分区格式一定要是NTFS,NTFS的分区格式远比FAT分区格式来得安全的多,在NTFS格式下,用户可以对不同的文件夹设置不同的的权限,增强服务器的安全性。
2)另一点要注意的是,我们对硬盘进行分区,最好是一次性进行,把分区都分成NTFS格式,可别先分成FAT格式,再进行转换,这样很容易导致系统出问题,甚至崩溃。
3)由于NTFS分区格式的特殊性,用户无法通过软盘启动进行杀毒,所以要提醒用户,一定要做好系统的防毒工作。
2. 操作系统安装
1)操作系统安装,一定要做到一台服务器只安装一个系统,才不会给居心不良的人有可乘之机,增加了服务器的安全隐患。
2)操作系统安装时,系统文件不要装在默认的目录(WINNT),要选择安装一个新的目录进行安装;Web目录和系统不要放在同一个分区,防止有人通过Web权限漏洞,访问系统文件、文件夹。
3)安装完操作系统,一定要先更新系统必要的补丁,直到没有补丁可更新。
4)尽量少安装与Web服务不相关的软件。
二、系统设置
1. 帐户设置
1) 尽可能少的有效帐户,没有用的一律不要,多一个帐户就多一个安全隐患。
2) 可以有两个管理帐户,以防忘记密码,或者被人修改了密码,做后备用。
3) 要加强帐户管理,不要轻易给特殊权限。
4) 给管理帐户改名字,不要保留默认的名字,这个容易被猜到。其他非管理帐户也尽量遵循这一原则。
5) 将Guest帐户禁用,改成一个复杂的名称并加上密码,然后将它从Guests组删除。
6) 帐户密码规则,所有帐户(系统帐号除外)密码最好是8位以上,密码最好是特殊符号、数字、大小写字母的搭配。不要避免使用单词。
7) 帐户密码要定期进行更改,密码最好熟记在脑中,不要在其他地方做记录;另外,如果发现日志中有连续尝试登陆的帐户,要立即更改其帐户名及口令。
8) 在系统中加设帐户错误登陆锁定的次数,防止连续的登陆尝试,并能有效提高管理员的警惕性。
2. 网络设置
1)只保留TCP/IP协议,其他全部删除。
2)NetBIOS常常是网络黑客的扫描目标,这里我们要禁用它。
操作方法:网络连接->本地连接属性->高级->WINS选项->禁用Tcp/Ip上的NetBIOS->确定。
3)只允许一些必要的端口
如:
21 TCP FTP
25 TCP SMTP
53 TCP DNS
80 TCP HTTP
1433 TCP SQL SERVER
3389 TCP TERMINAL SERVICES
5631 TCP PCANYWHERE
等一些常用的端口。特别提醒:安装蓝芒域名虚拟主机关系系统需要开放19888端口。
4)
3. 删除没有必要的共享,提高安全性
操作方法:运行Regedit,
(1) 在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters下增加一值
Name: AutoShareServer
Type:REG-DWORD
Value:0
(2) 在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa 下增加一值
Name:restrictanonymous
Type:REG_DWORD
Value:0
4. 修改权限
Windows 2000 Server的NTFS分区默认权限都是Everyone完全控制权限,这样给服务器的安全带来了一定的安全隐患。我们建议,所有NTFS分区只给管理员和SYSTEM完全控制权限。有特殊权限需求的目录可单独设置。
5. 修改计算机某些特性
操作方法:控制面板->系统->高级->启动和故障恢复->取消显示操作系统列表->取消发送警报->取消写入调试信息->完成。
6. 禁止一些没有必要的服务。
具体操作位置:控制面版->管理工具->服务
需要停掉的服务,例如:Alerter、Computer Browser、Distributed File System、Intersite Messaging、Kerberos Key Distribution Center、Remote Registry Service、Routing and Remote Access等等。
7. 安全日志
Win2000的默认安装是不开任何安全审核的!
那么请你到本地安全策略->审核策略中打开相应的审核,推荐的审核是:
账户管理 成功 失败
登录事件 成功 失败
对象访问 失败
策略更改 成功 失败
特权使用 失败
系统事件 成功 失败
目录服务访问 失败
账户登录事件 成功 失败
审核项目少的缺点是万一你想看发现没有记录那就一点都没辙;审核项目太多不仅会占用系统资源而且会导致你根本没空去看,这样就失去了审核的意义。 与之相关的是:
在账户策略->密码策略中设定:
密码复杂性要求 启用
密码长度最小值 6位
强制密码历史 5次
最长存留期 30天
在账户策略->账户锁定策略中设定:
账户锁定 3次错误登录
锁定时间 20分钟
复位锁定计数 20分钟
同样,Terminal Service的安全日志默认也是不开的,我们可以在Terminal Service Configration(远程服务配置)->权限->高级中配置安全审核,一般来说只要记录登录、注销事件就可以了
8. IIS设置
只安装管理器、公共文档和WWW服务。
尽量减少IIS中没有必要的映射,大多数用户只留asp,asa就可以了。
Web目录需要IUSR读写权限,IIS中只开放读取权限。
有效利用IIS中IP禁止访问列表。
完善日志功能,以便查找问题,加强监控。
9. FTP设置
禁止对FTP的匿名访问。
注意用户权限的开放度。