服務(wù)器安全（三） (1)

發(fā)布時(shí)間: 2012/9/9 15:56:25

1.初級(jí)篇：NT/2000系統(tǒng)本身的定制安裝與相關(guān)設(shè)置
　　用NT（2000）建立的WEB站點(diǎn)在所有的網(wǎng)站中占了很大一部分比例，主要因?yàn)槠湟子眯耘c易管理性，使該公
司不必再投入大量的金錢(qián)在服務(wù)器的管理上，這一點(diǎn)優(yōu)于nix系統(tǒng)，不必請(qǐng)很專(zhuān)業(yè)的管理員，不必支付一份可以
節(jié)省的高薪，呵呵，當(dāng)然nix的管理員也不會(huì)失業(yè)，因?yàn)槠溟_(kāi)放源碼和windows系統(tǒng)無(wú)與倫比的速度，使得現(xiàn)在
幾乎所有的大型服務(wù)器全部采用nix系統(tǒng)。但對(duì)于中小型企業(yè)來(lái)說(shuō)windows已經(jīng)足夠，但NT的安全問(wèn)題也一直比
較突出，使得一些每個(gè)基于NT的網(wǎng)站都有一種如履薄冰的感覺(jué)，在此我給出一份安全解決方案，算是為中國(guó)的
網(wǎng)絡(luò)安全事業(yè)做出一份貢獻(xiàn)吧（說(shuō)明：本方案主要是針對(duì)建立Web站點(diǎn)的NT、2000服務(wù)器安全，對(duì)于局域網(wǎng)內(nèi)
的服務(wù)器并不合適。）
　　一、定制自己的NT/2000 SERVER
1．版本的選擇：
WIN2000有各種語(yǔ)言的版本，對(duì)于我們來(lái)說(shuō)，可以選擇英文版或簡(jiǎn)體中文版，我強(qiáng)烈建議：在語(yǔ)言不成為障礙的
情況下，請(qǐng)一定使用英文版。要知道，微軟的產(chǎn)品是以Bug &Patch而著稱(chēng)的，中文版的Bug遠(yuǎn)遠(yuǎn)多于英文版，而
補(bǔ)丁一般還會(huì)遲至少半個(gè)月（也就是說(shuō)一般微軟公布了漏洞后你的機(jī)子還會(huì)有半個(gè)月處于無(wú)保護(hù)狀況）
2．組件的定制：
win2000在默認(rèn)情況下會(huì)安裝一些常用的組件，但是正是這個(gè)默認(rèn)安裝是極度危險(xiǎn)的你應(yīng)該確切的知道你需要哪
些服務(wù)，而且僅僅安裝你確實(shí)需要的服務(wù)，根據(jù)安全原則，最少的服務(wù)+最小的權(quán)限=最大的安全。典型的WEB服
務(wù)器需要的最小組件選擇是：只安裝IIS的Com Files，IIS Snap-In，WWW Server組件。如果你確實(shí)需要安裝其
他組件，請(qǐng)慎重，特別是：Indexing Service, FrontPage 2000 Server Extensions, Internet Service
Manager (HTML)這幾個(gè)危險(xiǎn)服務(wù)。
　　二、正確安裝NT/2000 SERVER
　　
　　不論是NT還是2000，硬盤(pán)分區(qū)均為NTFS分區(qū)；
　　說(shuō)明：
　　（1） NTFS比FAT分區(qū)多了安全控制功能，可以對(duì)不同的文件夾設(shè)置不同的訪問(wèn)權(quán)限，安全性增強(qiáng)。
　　（2）建議最好一次性全部安裝成NTFS分區(qū)，而不要先安裝成FAT分區(qū)再轉(zhuǎn)化為NTFS分區(qū)，這樣做在安裝了
SP5和SP6的情況下會(huì)導(dǎo)致轉(zhuǎn)化不成功，甚至系統(tǒng)崩潰。
　�。�3）安裝NTFS分區(qū)有一個(gè)潛在的危險(xiǎn)，就是目前大多數(shù)反病毒軟件沒(méi)有提供對(duì)軟盤(pán)啟動(dòng)后NTFS分區(qū)病毒
的查殺，這樣一旦系統(tǒng)中了惡性病毒而導(dǎo)致系統(tǒng)不能正常啟動(dòng)，后果就比較嚴(yán)重，因此及建議平時(shí)做好防病毒
工作。
（4）分區(qū)和邏輯盤(pán)的分配
有一些朋友為了省事，將硬盤(pán)僅僅分為一個(gè)邏輯盤(pán)，所有的軟件都裝在C驅(qū)上，這是很不好的，建議最少建立兩
個(gè)分區(qū)，一個(gè)系統(tǒng)分區(qū)，一個(gè)應(yīng)用程序分區(qū)，這是因?yàn)椋④浀腎IS經(jīng)常會(huì)有泄漏源碼/溢出的漏洞，如果把系
統(tǒng)和IIS放在同一個(gè)驅(qū)動(dòng)器會(huì)導(dǎo)致系統(tǒng)文件的泄漏甚至入侵者遠(yuǎn)程獲取ADMIN。推薦的安全配置是建立三個(gè)邏輯
驅(qū)動(dòng)器，第一個(gè)大于2G，用來(lái)裝系統(tǒng)和重要的日志文件，第二個(gè)放IIS，第三個(gè)放FTP，這樣無(wú)論IIS或FTP出了
安全漏洞都不會(huì)直接影響到系統(tǒng)目錄和系統(tǒng)文件。要知道，IIS和FTP是對(duì)外服務(wù)的，比較容易出問(wèn)題。而把IIS
和FTP分開(kāi)主要是為了防止入侵者上傳程序并從IIS中運(yùn)行。
（5）安裝順序的選擇：
win2000在安裝中有幾個(gè)順序是一定要注意的：首先，何時(shí)接入網(wǎng)絡(luò)：Win2000在安裝時(shí)有一個(gè)漏洞，在你輸入
Administrator密碼后，系統(tǒng)就建立了ADMIN$的共享，但是并沒(méi)有用你剛剛輸入的密碼來(lái)保護(hù)它，這種情況一直
持續(xù)到你再次啟動(dòng)后，在此期間，任何人都可以通過(guò)ADMIN$進(jìn)入你的機(jī)器；同時(shí)，只要安裝一完成，各種服務(wù)
就會(huì)自動(dòng)運(yùn)行，而這時(shí)的服務(wù)器是滿(mǎn)身漏洞，非常容易進(jìn)入的，因此，在完全安裝并配置好win2000 SERVER之
前，一定不要把主機(jī)接入網(wǎng)絡(luò)。其次，補(bǔ)丁的安裝：補(bǔ)丁的安裝應(yīng)該在所有應(yīng)用程序安裝完之后，因?yàn)檠a(bǔ)丁程
序往往要替換/修改某些系統(tǒng)文件，如果先安裝補(bǔ)丁再安裝應(yīng)用程序有可能導(dǎo)致補(bǔ)丁不能起到應(yīng)有的效果，例如
：IIS的HotFix就要求每次更改IIS的配置都需要安裝
　　三、安全配置NT/2000 SERVER
即使正確的安裝了WIN2000 SERVER，系統(tǒng)還是有很多的漏洞，還需要進(jìn)一步進(jìn)行細(xì)致地配置。
1．端口：
端口是計(jì)算機(jī)和外部網(wǎng)絡(luò)相連的邏輯接口，也是計(jì)算機(jī)的第一道屏障，端口配置正確與否直接影響到主機(jī)的安
全，一般來(lái)說(shuō)，僅打開(kāi)你需要使用的端口會(huì)比較安全，配置的方法是在網(wǎng)卡屬性-TCP/IP-高級(jí)-選項(xiàng)-TCP/IP篩
選中啟用TCP/IP篩選，不過(guò)對(duì)于win2000的端口過(guò)濾來(lái)說(shuō)，有一個(gè)不好的特性：只能規(guī)定開(kāi)哪些端口，不能規(guī)定
關(guān)閉哪些端口，這樣對(duì)于需要開(kāi)大量端口的用戶(hù)就比較痛苦。
2．IIS：
IIS是微軟的組件中漏洞最多的一個(gè)，平均兩三個(gè)月就要出一個(gè)漏洞，而微軟的IIS默認(rèn)安裝又實(shí)在不敢恭維，
所以IIS的配置是我們的重點(diǎn)，現(xiàn)在大家跟著我一起來(lái)：首先，把C盤(pán)那個(gè)什么Inetpub目錄徹底刪掉，在D盤(pán)建
一個(gè)Inetpub（要是你不放心用默認(rèn)目錄名也可以改一個(gè)名字，但是自己要記得）在IIS管理器中將主目錄指向
D:Inetpub；其次，那個(gè)IIS安裝時(shí)默認(rèn)的什么scripts等虛擬目錄一概刪除，如果你需要什么權(quán)限的目錄可以
自己慢慢建，需要什么權(quán)限開(kāi)什么。（特別注意寫(xiě)權(quán)限和執(zhí)行程序的權(quán)限，沒(méi)有絕對(duì)的必要千萬(wàn)不要給）第三
，應(yīng)用程序配置：在IIS管理器中刪除必須之外的任何無(wú)用映射，必須指的是ASP,ASA和其他你確實(shí)需要用到的
文件類(lèi)型，例如你用到stml等（使用server side include），實(shí)際上90%的主機(jī)有了上面兩個(gè)映射就夠了，其
余的映射幾乎每個(gè)都有一個(gè)凄慘的故事：htw, htr, idq, ida……想知道這些故事？去查以前的漏洞列表吧。
在IIS管理器中右擊主機(jī)->屬性->WWW服務(wù) 編輯->主目錄配置->應(yīng)用程序映射，然后就開(kāi)始一個(gè)個(gè)刪吧（里面沒(méi)
有全選的，嘿嘿）。接著在剛剛那個(gè)窗口的應(yīng)用程序調(diào)試書(shū)簽內(nèi)將腳本錯(cuò)誤消息改為發(fā)送文本（除非你想ASP出
錯(cuò)的時(shí)候用戶(hù)知道你的程序/網(wǎng)絡(luò)/數(shù)據(jù)庫(kù)結(jié)構(gòu)）錯(cuò)誤文本寫(xiě)什么？隨便你喜歡，自己看著辦。點(diǎn)擊確定退出時(shí)
別忘了讓虛擬站點(diǎn)繼承你設(shè)定的屬性。安裝新的Service Pack后，IIS的應(yīng)用程序映射應(yīng)重新設(shè)置。（說(shuō)明：安
裝新的Service Pack后，某些應(yīng)用程序映射又會(huì)出現(xiàn)，導(dǎo)致出現(xiàn)安全漏洞。這是管理員較易忽視的一點(diǎn)。）
為了對(duì)付日益增多的cgi漏洞掃描器，還有一個(gè)小技巧可以參考，在IIS中將HTTP404 Object Not Found出錯(cuò)頁(yè)
面通過(guò)URL重定向到一個(gè)定制HTM文件，可以讓目前絕大多數(shù)CGI漏洞掃描器失靈。其實(shí)原因很簡(jiǎn)單，大多數(shù)CGI
掃描器在編寫(xiě)時(shí)為了方便，都是通過(guò)查看返回頁(yè)面的HTTP代碼來(lái)判斷漏洞是否存在的，例如，著名的IDQ漏洞一
般都是通過(guò)取1.idq來(lái)檢驗(yàn)，如果返回HTTP200，就認(rèn)為是有這個(gè)漏洞，反之如果返回HTTP404就認(rèn)為沒(méi)有，如果
你通過(guò)URL將HTTP404出錯(cuò)信息重定向到HTTP404.htm文件，那么所有的掃描無(wú)論存不存在漏洞都會(huì)返回HTTP200
，90%的CGI掃描器會(huì)認(rèn)為你什么漏洞都有，結(jié)果反而掩蓋了你真正的漏洞，讓入侵者茫然無(wú)處下手,不過(guò)從個(gè)人
角度來(lái)說(shuō)，我還是認(rèn)為扎扎實(shí)實(shí)做好安全設(shè)置比這樣的小技巧重要的多。
最后，為了保險(xiǎn)起見(jiàn)，你可以使用IIS的備份功能，將剛剛的設(shè)定全部備份下來(lái)，這樣就可以隨時(shí)恢復(fù)IIS的安
全配置。還有，如果你怕IIS負(fù)荷過(guò)高導(dǎo)致服務(wù)器滿(mǎn)負(fù)荷死機(jī)，也可以在性能中打開(kāi)CPU限制，例如將IIS的最大
CPU使用率限制在70%。
3.帳號(hào)策略：
　�。�1）帳號(hào)盡可能少，且盡可能少用來(lái)登錄；
　　說(shuō)明：網(wǎng)站帳號(hào)一般只用來(lái)做系統(tǒng)維護(hù)，多余的帳號(hào)一個(gè)也不要，因?yàn)槎嘁粋€(gè)帳號(hào)就會(huì)多一份被攻破的危
險(xiǎn)。
　�。�2）除過(guò)Administrator外，有必要再增加一個(gè)屬于管理員組的帳號(hào)；
　　說(shuō)明：兩個(gè)管理員組的帳號(hào)，一方面防止管理員一旦忘記一個(gè)帳號(hào)的口令還
　　有一個(gè)備用帳號(hào)；另方面，一旦黑客攻破一個(gè)帳號(hào)并更改口令，我們還有
　　有機(jī)會(huì)重新在短期內(nèi)取得控制權(quán)。
　　（3）所有帳號(hào)權(quán)限需嚴(yán)格控制
（4）將Administrator重命名，改為一個(gè)不易猜的名字。其他一般帳號(hào)也應(yīng)尊循這一原則。
　　說(shuō)明：這樣可以為黑客攻擊增加一層障礙。
　�。�5）將Guest帳號(hào)禁用，同時(shí)重命名為一個(gè)復(fù)雜的名字，增加口令，并將它從
　　Guest組刪掉；
　　說(shuō)明：有的黑客工具正是利用了guest 的弱點(diǎn)，可以將帳號(hào)從一般用戶(hù)提
　　升到管理員組。
　�。�6）給所有用戶(hù)帳號(hào)一個(gè)復(fù)雜的口令（系統(tǒng)帳號(hào)出外），長(zhǎng)度最少在8位以上，且必須同時(shí)包含字母、數(shù)
字、特殊字符。同時(shí)不要使用大家熟悉的單詞（如microsoft）、熟悉的鍵盤(pán)順序（如qwert）、熟悉的數(shù)字（
如2000）等。
　　說(shuō)明：口令是黑客攻擊的重點(diǎn)，口令一旦被突破也就無(wú)任何系統(tǒng)安全可言了，而這往往是不少網(wǎng)管所忽視
的地方，據(jù)我們的測(cè)試，僅字母加數(shù)字的5位口令在幾分鐘內(nèi)就會(huì)被攻破，而所推薦的方案則要安全的多。
　　（7）口令必須定期更改（建議至少兩周該一次），且最好記在心里，除此以外不要在任何地方做記錄；另
外，如果在日志審核中發(fā)現(xiàn)某個(gè)帳號(hào)被連續(xù)嘗試，則必須立刻更改此帳號(hào)（包括用戶(hù)名和口令）；
　�。�8）在帳號(hào)屬性中設(shè)立鎖定次數(shù)，比如改帳號(hào)失敗登錄次數(shù)超過(guò)5次即鎖定改帳號(hào)。這樣可以防止某些大
規(guī)模的登錄嘗試，同時(shí)也使管理員對(duì)該帳號(hào)提高警惕。
4．安全日志：
Win2000的默認(rèn)安裝是不開(kāi)任何安全審核的！
那么請(qǐng)你到本地安全策略->審核策略中打開(kāi)相應(yīng)的審核，推薦的審核是：
賬戶(hù)管理成功失敗
登錄事件成功失敗
對(duì)象訪問(wèn) 失敗
策略更改成功失敗
特權(quán)使用失敗
系統(tǒng)事件成功失敗
目錄服務(wù)訪問(wèn) 失敗
賬戶(hù)登錄事件成功失敗
審核項(xiàng)目少的缺點(diǎn)是萬(wàn)一你想看發(fā)現(xiàn)沒(méi)有記錄那就一點(diǎn)都沒(méi)轍；審核項(xiàng)目太多不僅會(huì)占用系統(tǒng)資源而且會(huì)導(dǎo)致
你根本沒(méi)空去看，這樣就失去了審核的意義。與之相關(guān)的是：
在賬戶(hù)策略->密碼策略中設(shè)定：
密碼復(fù)雜性要求啟用
密碼長(zhǎng)度最小值 6位
強(qiáng)制密碼歷史 5次
最長(zhǎng)存留期 30天
在賬戶(hù)策略->賬戶(hù)鎖定策略中設(shè)定：
賬戶(hù)鎖定 3次錯(cuò)誤登錄
鎖定時(shí)間 20分鐘
復(fù)位鎖定計(jì)數(shù) 20分鐘
同樣，Terminal Service的安全日志默認(rèn)也是不開(kāi)的，我們可以在Terminal Service Configration（遠(yuǎn)程服務(wù)
配置）-權(quán)限-高級(jí)中配置安全審核，一般來(lái)說(shuō)只要記錄登錄、注銷(xiāo)事件就可以了。
5.目錄和文件權(quán)限：
為了控制好服務(wù)器上用戶(hù)的權(quán)限，同時(shí)也為了預(yù)防以后可能的入侵和溢出，我們還必須非常小心地設(shè)置目錄和
文件的訪問(wèn)權(quán)限，NT的訪問(wèn)權(quán)限分為：讀取、寫(xiě)入、讀取及執(zhí)行、修改、列目錄、完全控制。在默認(rèn)的情況下
，大多數(shù)的文件夾對(duì)所有用戶(hù)（Everyone這個(gè)組）是完全敞開(kāi)的（Full Control），你需要根據(jù)應(yīng)用的需要進(jìn)
行權(quán)限重設(shè)。
在進(jìn)行權(quán)限控制時(shí)，請(qǐng)記住以下幾個(gè)原則：
1>限是累計(jì)的：如果一個(gè)用戶(hù)同時(shí)屬于兩個(gè)組，那么他就有了這兩個(gè)組所允許的所有權(quán)限；
2>拒絕的權(quán)限要比允許的權(quán)限高（拒絕策略會(huì)先執(zhí)行）如果一個(gè)用戶(hù)屬于一個(gè)被拒絕訪問(wèn)某個(gè)資源的組
，那么不管其他的權(quán)限設(shè)置給他開(kāi)放了多少權(quán)限，他也一定不能訪問(wèn)這個(gè)資源。所以請(qǐng)非常小心地使用拒絕，
任何一個(gè)不當(dāng)?shù)木芙^都有可能造成系統(tǒng)無(wú)法正常運(yùn)行；
3>文件權(quán)限比文件夾權(quán)限高
4>利用用戶(hù)組來(lái)進(jìn)行權(quán)限控制是一個(gè)成熟的系統(tǒng)管理員必須具有的優(yōu)良習(xí)慣之一；
5>僅給用戶(hù)真正需要的權(quán)限，權(quán)限的最小化原則是安全的重要保障；
6.只安裝一種操作系統(tǒng)；
　　說(shuō)明：安裝兩種以上操作系統(tǒng)，會(huì)給黑客以可乘之機(jī)，利用攻擊使系統(tǒng)重啟到另外一個(gè)沒(méi)有安全設(shè)置的操
作系統(tǒng)（或者他熟悉的操作系統(tǒng)），進(jìn)而進(jìn)行破壞。
7.安裝成獨(dú)立的域控制器（Stand Alone）,選擇工作組成員，不選擇域；
　　說(shuō)明：主域控制器（PDC）是局域網(wǎng)中隊(duì)多臺(tái)聯(lián)網(wǎng)機(jī)器管理的一種方式，用于網(wǎng)站服務(wù)器包含著安全隱患，
使黑客有可能利用域方式的漏洞攻擊站點(diǎn)服務(wù)器。
　　
8.將操作系統(tǒng)文件所在分區(qū)與WEB數(shù)據(jù)包括其他應(yīng)用程序所在的分區(qū)分開(kāi)，并在安裝時(shí)最好不要使用系統(tǒng)默
認(rèn)的目錄，如將WINNT改為