第十七章 Win2000Server安全配置入門
目前,WIN2000SERVER是比較流行的服務器操作係統之一,但是要想安全的配置微軟的這個操作係統,卻不是一件容易的事。本文試圖對win2000SERVER的安全配置進行初步的探討。
一、定製自己的WIN2000SERVER
1.版本的選擇:WIN2000有各種語言的版本,對於我們來說,可以選擇英文版或簡體中文版,我強烈建議:在語言不成為障礙的情況下,請一定使用英文版。要知道,微軟的產品是以Bug&Patch而著稱的,中文版的Bug遠遠多於英文版,而補丁一般還會遲至少半個月(也就是說一般微軟公布了漏洞後你的機子還會有半個月處於無保護狀況)
2.組件的定製:win2000在默認情況下會安裝一些常用的組件,但是正是這個默認安裝是極度危險的(米特尼科說過,他可以進入任何一台默認安裝的服務器,我雖然不敢這麼說,不過如果你的主機是WIN2000SERVER的默認安裝,我可以告訴你,你死定了)你應該確切的知道你需要哪些服務,而且僅僅安裝你確實需要的服務,根據安全原則,最少的服務+最小的權限=最大的安全。典型的WEB服務器需要的最小組件選擇是:隻安裝IIS的ComFiles,IISSnap-In,WWWServer組件。如果你確實需要安裝其他組件,請慎重,特別是:IndexingService,FrontPage2000ServerExtensions,InternetServiceManager(HTML)這幾個危險服務。
3.管理應用程序的選擇
選擇一個好的遠程管理軟件是非常重要的事,這不僅僅是安全方麵的要求,也是應用方麵的需要。Win2000的TerminalService是基於RDP(遠程桌麵協議)的遠程控製軟件,他的速度快,操作方便,比較適合用來進行常規操作。但是,TerminalService也有其不足之處,由於它使用的是虛擬桌麵,再加上微軟編程的不嚴謹,當你使用TerminalService進行安裝軟件或重起服務器等與真實桌麵交互的操作時,往往會出現哭笑不得的現象,例如:使用TerminalService重起微軟的認證服務器(Compaq,IBM等)可能會直接關機。所以,為了安全起見,我建議你再配備一個遠程控製軟件作為輔助,和TerminalService互補,象PcAnyWhere就是一個不錯的選擇。
二、正確安裝WIN2000SERVER
1.分區和邏輯盤的分配,有一些朋友為了省事,將硬盤僅僅分為一個邏輯盤,所有的軟件都裝在C驅上,這是很不好的,建議最少建立兩個分區,一個係統分區,一個應用程序分區,這是因為,微軟的IIS經常會有泄漏源碼/溢出的漏洞,如果把係統和IIS放在同一個驅動器會導致係統文件的泄漏甚至入侵者遠程獲取ADMIN。推薦的安全配置是建立三個邏輯驅動器,第一個大於2G,用來裝係統和重要的日誌文件,第二個放IIS,第三個放FTP,這樣無論IIS或FTP出了安全漏洞都不會直接影響到係統目錄和係統文件。要知道,IIS和FTP是對外服務的,比較容易出問題。而把IIS和FTP分開主要是為了防止入侵者上傳程序並從IIS中運行。(這個可能會導致程序開發人員和編輯的苦惱,管他呢,反正你是管理員J)
2.安裝順序的選擇:不要覺得:順序有什麼重要?隻要安裝好了,怎麼裝都可以的。錯!win2000在安裝中有幾個順序是一定要注意的:
首先,何時接入網絡:Win2000在安裝時有一個漏洞,在你輸入Administrator密碼後,係統就建立了ADMIN$的共享,但是並沒有用你剛剛輸入的密碼來保護它,這種情況一直持續到你再次啟動後,在此期間,任何人都可以通過ADMIN$進入你的機器;同時,隻要安裝一完成,各種服務就會自動運行,而這時的服務器是滿身漏洞,非常容易進入的,因此,在完全安裝並配置好win2000SERVER之前,一定不要把主機接入網絡。
其次,補丁的安裝:補丁的安裝應該在所有應用程序安裝完之後,因為補丁程序往往要替換/修改某些係統文件,如果先安裝補丁再安裝應用程序有可能導致補丁不能起到應有的效果,例如:IIS的HotFix就要求每次更改IIS的配置都需要安裝(變不變態?)
三、安全配置WIN2000SERVER
即使正確的安裝了WIN2000SERVER,係統還是有很多的漏洞,還需要進一步進行細致地配置。
1.端口:端口是計算機和外部網絡相連的邏輯接口,也是計算機的第一道屏障,端口配置正確與否直接影響到主機的安全
2.IIS:IIS是微軟的組件中漏洞最多的一個,平均兩三個月就要出一個漏洞,而微軟的IIS默認安裝又實在不敢恭維,所以IIS的配置是我們的重點,現在大家跟著我一起來:
首先,把C盤那個什麼Inetpub目錄徹底刪掉,在D盤建一個Inetpub(要是你不放心用默認目錄名也可以改一個名字,但是自己要記得)在IIS管理器中將主目錄指向D:\Inetpub;其次,那個IIS安裝時默認的什麼scripts等虛擬目錄一概刪除(罪惡之源呀,忘了http://www.target.com/scripts/..%c1%1c../winnt/system32/cmd.exe了?我們雖然已經把Inetpub從係統盤挪出來了,但是還是小心為上),如果你需要什麼權限的目錄可以自己慢慢建,需要什麼權限開什麼。(特別注意寫權限和執行程序的權限,沒有絕對的必要千萬不要給)