Windows服务器安全解决方案-服务器专区

Windows服务器安全解决方案

作者：网络　佚名编辑： IT168 2005-10-16 00:00

　　【IT168 服务器学院】目前Internet上的服务器，Windows Server是占有一定的比例的，但是由于Windows Sever的突出安全问题，Microsoft也迟迟没有提出比较可行的解决方案，只是推出这一个又一个的补丁，使得Windows Server的用户整天担惊受怕。

　　我们经过长期的摸索和考究，对网络的零零碎碎的安全文档进行了整理，总结出一套解决方案，具体如下：

　　解决方案：

　　一、系统安装

　　1. 磁盘分区格式

　　1）一台要用来作为网络服务器的Windows Server，硬盘的分区格式一定要是NTFS，NTFS的分区格式远比FAT分区格式来得安全的多，在NTFS 格式下，用户可以对不同的文件夹设置不同的的权限，增强服务器的安全性。

　　2）另一点要注意的是，我们对硬盘进行分区，最好是一次性进行，把分区都分成NTFS格式，可别先分成FAT格式，再进行转换，这样很容易导致系统出问题，甚至崩溃。

　　3）由于NTFS分区格式的特殊性，用户无法通过软盘启动进行杀毒，所以要提醒用户，一定要做好系统的防毒工作。

　　2. 操作系统安装

　　1）操作系统安装，一定要做到一台服务器只安装一个系统，才不会给居心不良的人有可乘之机，增加了服务器的安全隐患。

　　2）操作系统安装时，系统文件不要装在默认的目录(WINNT)，要选择安装一个新的目录进行安装；Web目录和系统不要放在同一个分区，防止有人通过Web权限漏洞，访问系统文件、文件夹。

　　3）安装完操作系统，一定要先更新系统必要的补丁，直到没有补丁可更新。

　　4）尽量少安装与Web服务不相关的软件。

　　二、系统设置

　　1. 帐户设置

　　1）尽可能少的有效帐户，没有用的一律不要，多一个帐户就多一个安全隐患。

　　2）可以有两个管理帐户，以防忘记密码，或者被人修改了密码，做后备用。

　　3）要加强帐户管理，不要轻易给特殊权限。

　　4）给管理帐户改名字，不要保留默认的名字，这个容易被猜到。其他非管理帐户也尽量遵循这一原则。

　　5）将Guest帐户禁用，改成一个复杂的名称并加上密码，然后将它从Guests组删除。

　　6）帐户密码规则，所有帐户（系统帐号除外）密码最好是8位以上，密码最好是特殊符号、数字、大小写字母的搭配。不要避免使用单词。

　　7）帐户密码要定期进行更改，密码最好熟记在脑中，不要在其他地方做记录；另外，如果发现日志中有连续尝试登陆的帐户，要立即更改其帐户名及口令。

　　8）在系统中加设帐户错误登陆锁定的次数，防止连续的登陆尝试，并能有效提高管理员的警惕性。

　　2. 网络设置

　　1）只保留TCP/IP协议，其他全部删除。

　　2）NetBIOS常常是网络黑客的扫描目标，这里我们要禁用它。

　　操作方法：网络连接->本地连接属性->高级->WINS选项->禁用Tcp/Ip上的NetBIOS->确定。

　　3）只允许一些必要的端口

　　如：

　　21 TCP FTP

　　25 TCP SMTP

　　53 TCP DNS

　　80 TCP HTTP

　　1433 TCP SQL SERVER

　　3389 TCP TERMINAL SERVICES

　　5631 TCP PCANYWHERE

　　等一些常用的端口。特别提醒：安装蓝芒域名虚拟主机关系系统需要开放19888端口。

　　4）

　　3. 删除没有必要的共享，提高安全性

　　操作方法：运行Regedit，

　　(1) 在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters下增加一值

　　Name： AutoShareServer

　　Type：REG-DWORD

　　Value：0

　　(2) 在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa 下增加一值

　　Name：restrictanonymous

　　Type：REG_DWORD

　　Value：0

　　4. 修改权限

　　Windows 2000 Server的NTFS分区默认权限都是Everyone完全控制权限，这样给服务器的安全带来了一定的安全隐患。我们建议，所有NTFS 分区只给管理员和SYSTEM完全控制权限。有特殊权限需求的目录可单独设置。

　　5. 修改计算机某些特性

　　操作方法：控制面板->系统->高级->启动和故障恢复->取消显示操作系统列表->取消发送警报->取消写入调试信息- >完成。

　　6. 禁止一些没有必要的服务。

　　具体操作位置：控制面版->管理工具->服务

　　需要停掉的服务，例如：Alerter、Computer Browser、Distributed File System、Intersite Messaging、Kerberos Key Distribution Center、Remote Registry Service、Routing and Remote Access等等。

　　7. 安全日志

　　Win2000的默认安装是不开任何安全审核的！

　　那么请你到本地安全策略->审核策略中打开相应的审核，推荐的审核是：

　　账户管理成功失败

　　登录事件成功失败

　　对象访问失败

　　策略更改成功失败

　　特权使用失败

　　系统事件成功失败

　　目录服务访问失败

　　账户登录事件成功失败

　　审核项目少的缺点是万一你想看发现没有记录那就一点都没辙；审核项目太多不仅会占用系统资源而且会导致你根本没空去看，这样就失去了审核的意义。与之相关的是：

　　在账户策略->密码策略中设定：

　　密码复杂性要求启用

　　密码长度最小值 6位

　　强制密码历史 5次

　　最长存留期 30天

　　在账户策略->账户锁定策略中设定：

　　账户锁定 3次错误登录

　　锁定时间 20分钟

　　复位锁定计数 20分钟

　　同样，Terminal Service的安全日志默认也是不开的，我们可以在Terminal Service Configration（远程服务配置）->权限->高级中配置安全审核，一般来说只要记录登录、注销事件就可以了

　　8. IIS设置

　　只安装管理器、公共文档和WWW服务。

　　尽量减少IIS中没有必要的映射，大多数用户只留asp,asa就可以了。

　　Web目录需要IUSR读写权限，IIS中只开放读取权限。

　　有效利用IIS中IP禁止访问列表。

　　完善日志功能，以便查找问题，加强监控。

　　9. FTP设置

　　禁止对FTP的匿名访问。

　　注意用户权限的开放度。

关注我们