第二十三章 WinNT/2KWeb站點安全解決方案

用NT（2000）建立的Web站點在所有的網站中占了很大一部分比例，但NT的安全問題也一直比較突出，使得一些每個基於NT的網站都有一種如履薄冰的感覺，然而微軟並沒有明確的堅決方案，隻是推出了一個個補丁程序，各種安全文檔上對於NT的安全描述零零碎碎，給人們的感覺是無所適從。於是，有的網管幹脆什麼措施也不采取，有的忙著下各種各樣的補丁程序，有的在安裝了防火牆以後就以為萬事大吉了。這種現狀直接導致了大量網站的NT安全性參差不齊。隻有極少數NT網站有較高的安全性，大部分網站的安全性很差。為此，瑞星公司決心對NT主要漏洞予以搜集整理，同時，站在整體的高度，力圖找出一套用NT建立安全站點的解決方案來，讓用戶放心使用NT（2000）建立Web站點。

解決方案：（說明：本方案主要是針對建立Web站點的NT、2000服務器安全，對於局域網內的服務器並不合適。）

一、安裝：

1.不論是NT還是2000，硬盤分區均為NTFS分區；

說明：

（1）NTFS比FAT分區多了安全控製功能，可以對不同的文件夾設置不同的訪問權限，安全性增強。

（2）建議最好一次性全部安裝成NTFS分區，而不要先安裝成FAT分區再轉化為NTFS分區，這樣做在安裝了SP5和SP6的情況下會導致轉化不成功，甚至係統崩潰。

（3）安裝NTFS分區有一個潛在的危險，就是目前大多數反病毒軟件沒有提供對軟盤啟動後NTFS分區病毒的查殺，這樣一旦係統中了惡性病毒而導致係統不能正常啟動，後果就比較嚴重，因此及建議平時做好防病毒工作。

2.隻安裝一種操作係統；

說明：安裝兩種以上操作係統，會給黑客以可乘之機，利用攻擊使係統重啟到另外一個沒有安全設置的操作係統（或者他熟悉的操作係統），進而進行破壞。

3.安裝成獨立的域控製器（StandAlone）,選擇工作組成員，不選擇域；

說明：主域控製器（PDC）是局域網中隊多台聯網機器管理的一種方式，用於網站服務器包含著安全隱患，使黑客有可能利用域方式的漏洞攻擊站點服務器。

4.將操作係統文件所在分區與Web數據包括其他應用程序所在的分區分開，並在安裝時最好不要使用係統默認的目錄，如將\WINNT改為其他目錄；

說明：黑客有可能通過Web站點的漏洞得到操作係統對操作係統某些程序的執行權限，從而造成更大的破壞。

5.Windows程序，都要重新安裝一次補丁程序，2000下不需要這樣做。

說明：

（1）最新的補丁程序，表示係統以前有重大漏洞，非補不可了，對於局域網內服務器可以不是最新的，但站點必須安裝最新補丁，否則黑客可能會利用低版本補丁的漏洞對係統造成威脅。這是一部分管理員較易忽視的一點；

（2）安裝NT的SP5、SP6有一個潛在威脅，就是一旦係統崩潰重裝NT時，係統將不會認NTFS分區，原因是微軟在這兩個補丁中對NTFS做了改進。隻能通過Windows2000安裝過程中認NTFS，這樣會造成很多麻煩，建議同時做好數據備份工作。

（3）安裝ServicePack前應先在測試機器上安裝一次，以防因為例外原因導致機器死機，同時做好數據備份。

6.盡量不安裝與Web站點服務無關的軟件；

說明：其他應用軟件有可能存在黑客熟知的安全漏洞。

二、NT設置：

1.帳號策略：

（1）帳號盡可能少，且盡可能少用來登錄；

說明：網站帳號一般隻用來做係統維護，多餘的帳號一個也不要，因為多一個帳號就會多一份被攻破的危險。

（2）除過Administrator外，有必要再增加一個屬於管理員組的帳號；

說明：兩個管理員組的帳號，一方麵防止管理員一旦忘記一個帳號的口令還有一個備用帳號；另方麵，一旦黑客攻破一個帳號並更改口令，我們還有機會重新在短期內取得控製權。

（3）所有帳號權限需嚴格控製，輕易不要給帳號以特殊權限；

（4）將Administrator重命名，改為一個不易猜的名字。其他一般帳號也應尊循著一原則。

說明：這樣可以為黑客攻擊增加一層障礙。

（5）將Guest帳號禁用，同時重命名為一個複雜的名字，增加口令，並將它從Guest組刪掉；

說明：有的黑客工具正是利用了guest的弱點，可以將帳號從一般用戶提升到管理員組。

（6）給所有用戶帳號一個複雜的口令（係統帳號出外），長度最少在8位以上，且必須同時包含字母、數字、特殊字符。同時不要使用大家熟悉的單詞（如microsoft）、熟悉的鍵盤順序（如qwert）、熟悉的數字（如2000）等。

說明：口令是黑客攻擊的重點，口令一旦被突破也就無任何係統安全可言了，而這往往是不少網管所忽視的地方，據我們的測試，僅字母加數字的5位口令在幾分鍾內就會被攻破，而所推薦的方案則要安全的多。

（7）口令必須定期更改（建議至少兩周該一次），且最好記在心裏，除此以外不要在任何地方做記錄；另外，如果在日誌審核中發現某個帳號被連續嚐試，則必須立刻更改此帳號（包括用戶名和口令）；

（8）在帳號屬性中設立鎖定次數，比如改帳號失敗登錄次數超過5次即鎖定改帳號。這樣可以防止某些大規模的登錄嚐試，同時也使管理員對該帳號提高警惕。

2.解除NetBios與TCP/IP協議的綁定

說明：NetBois在局域網內是不可缺少的功能，在網站服務器上卻成了黑客掃描工具的首選目標。方法：NT：控製麵版--網絡--綁定--NetBios接口--禁用2000：控製麵版--網絡和撥號連接--本地網絡--屬性--TCP/IP--屬性--高級--WINS--禁用TCP/IP上的NETBIOS

3.刪除所有的網絡共享資源

說明：NT與2000在默認情況下有不少網絡共享資源，在局域網內對網絡管理和網絡通訊有用，在網站服務器上同樣是一個特大的安全隱患。（卸載"Microsoft網絡的文件和打印機共享"。當查看"網絡和撥號連接"中的任何連接屬性時，將顯示該選項。單擊"卸載"按鈕刪除該組件；清除"Microsoft網絡的文件和打印機共享"複選框將不起作用。）

方法：

(1)NT:管理工具--服務器管理器--共享目錄--停止共享;

2000:控製麵版--管理工具--計算及管理--共享文件夾---停止共享

但上述兩種方法太麻煩，服務器每重啟一次，管理員就必須停止一次

（2）修改注冊表：

運行Regedit，然後修改注冊表在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters下增加一個鍵

Name:AutoShareServer

Type:REG_DWORD

Value:0

然後重新啟動您的服務器，磁盤分區共享去掉，但IPC共享仍存在，需每次重啟後手工刪除。