安全配置Windows 2000服务器

ZDNetChina服务器站 x86技巧

1、正确地给硬盘分区

    在安装Windows 2000时，应至少建立两个逻辑分区，一个用作系统分区，另一个用作为应用程序分区。修改“我的文档”及“Outlook Express”等应用程序的默认文件夹位置，使其位置不在系统分区。如果要提供Web服务，推荐按如下设置分区:

    分区1应用于安装Windows 2000 Server系统；分区2应用于IIS服务；分区3应用于FTP服务；分区4用以存放其它一些资料文件。

    服务器应选择独立的服务器，选择工作组成员，不要选择域。

2、有选择性地安装组件

    不要按Windows 2000的默认安装组件，本着“最少的服务+最小的权限=最大的安全”原则，只选择安装需要的服务即可。例如：不作为Web服务器或FTP服务器就不安装IIS。常用Web服务器需要的最小组件是： Internet 服务管理器、WWW服务器和与其有关的辅助服务。

3、安装完毕后加入网络

    在安装完成Windows 2000操作系统后，不要立即把服务器加入网络，因为这时的服务器上的各种程序还没有打上补丁，存在各种漏洞，非常容易感染病毒和被入侵。

    应该在所有应用程序安装完之后依次打上各种补丁，因为补丁程序是针对不同应用程序而安装的，往往要替换或修改某些系统文件，如果先安装补丁再安装应用程序有可能导致补丁不能起到应有的效果。例如IIS的HotFix要求每次更改IIS的配置时都需要重新安装。

    还有，如果怕IIS负荷过高导致服务器死机，也可以在性能中打开CPU限制，如将IIS的最大CPU使用率限制在70%。

正确设置和管理账户

1、停止使用用Guest账户，并给Guest 加一个复杂的密码。

2、账户要尽可能少，并且要经常用一些扫描工具查看一下系统账户、账户权限及密码。删除停用的账户，常用的扫描软件有：流光、HSCAN、X－SCAN、STAT　SCANNER等。正确配置账户的权限，密码至少应不少于8位，且要数字、大小写字母，以及数字的上档键混用，这样就较难破译。

3、增加登录的难度，在“账户策略→密码策略”中设定：“密码复杂性要求启用”，“密码长度最小值8位”，“强制密码历史5次”，“最长存留期 30天”；在“账户策略→账户锁定策略”设定：“账户锁定3次错误登录”，“锁定时间20分钟”，“复位锁定计数20分钟”等，增加了登录的难度对系统的安全大有好处。

4、把系统Administrator账号改名，名称不要带有Admin等字样; 创建一个陷阱帐号，如创建一个名为“Administrator”的本地帐户，把权限设置成最低，什么事也干不了，并且加上一个超过10位的超级复杂密码。这样可以让那些 Scripts忙上一段时间了，并且可以借此发现他们的入侵企图。

5、不让系统显示上次登录的用户名，具体操作如下：

    将注册表中“Hkey\Software\Microsoft\ WindowsNT\ Current Version\Winlogon\Dont Display Last User Name”的键值改为1。

正确地设置目录和文件权限

    为了控制好服务器上用户的权限，同时也为了预防以后可能的入侵和溢出，还必须非常小心地设置目录和文件的访问权限。Windows 2000的访问权限分为：读取、写入、读取及执行、修改、列目录、完全控制。在默认的情况下，大多数的文件夹对所有用户（Everyone这个组）是完全控制的（Full Control），您需要根据应用的需要重新设置权限。在进行权限控制时，请记住以下几个原则：

1、权限是累计的，如果一个用户同时属于两个组，那么他就有了这两个组所允许的所有权限。

2、拒绝的权限要比允许的权限高（拒绝策略会先执行）。如果一个用户属于一个被拒绝访问某个资源的组，那么不管其他的权限设置给他开放了多少权限，他也一定不能访问这个资源。

3、 文件权限比文件夹权限高。

4、 利用用户组来进行权限控制是一个成熟的系统管理员必须具有的优良习惯。

5、 只给用户真正需要的权限，权限的最小化原则是安全的重要保障。

6、 预防ICMP攻击。ICMP的风暴攻击和碎片攻击是NT主机比较头疼的攻击方法，而Windows 2000应付的方法很简单。Windows 2000自带一个Routing & Remote Access工具，这个工具初具路由器的雏形。在这个工具中，我们可以轻易地定义输入输出包过滤器。如设定输入ICMP代码255丢弃就表示丢弃所有的外来ICMP报文。

网络服务安全管理

1、关闭不需要的服务

    只留必需的服务，多一些服务可能会给系统带来更多的安全因素。如Windows 2000的Terminal Services（终端服务）、IIS（web服务）、RAS（远程访问服务）等，这些都有产生漏洞的可能。

2、关闭不用的端口

    只开放服务需要的端口与协议。

    具体方法为：按顺序打开“网上邻居→属性→本地连接→属性→Internet 协议→属性→高级→选项→TCP/IP筛选→属性”，添加需要的TCP、UDP端口以及IP协议即可。根据服务开设口，常用的TCP口有：80口用于Web服务；21用于FTP服务；25口用于SMTP；23口用于Telnet服务；110口用于POP3。常用的UDP端口有：53口－DNS域名解析服务；161口－snmp简单的网络管理协议。8000、4000用于OICQ，服务器用8000来接收信息，客户端用4000发送信息。

3、禁止建立空连接

    默认情况下，任何用户可通过空连接连上服务器，枚举账号并猜测密码。空连接用的端口是139，通过空连接，可以复制文件到远端服务器，计划执行一个任务，这就是一个漏洞。可以通过以下两种方法禁止建立空连接：

（1） 修改注册表中　Local_Machine\System\

    CurrentControlSet\Control\LSA-RestrictAnonymous 的值为1。

（2） 修改Windows 2000的本地安全策略。设置“本地安全策略→本地策略→选项”中的RestrictAnonymous（匿名连接的额外限制）为“不容许枚举SAM账号和共享”。

    首先，Windows 2000的默认安装允许任何用户通过空连接得到系统所有账号和共享列表，这本来是为了方便局域网用户共享资源和文件的，但是，同时任何一个远程用户也可以通过同样的方法得到您的用户列表，并可能使用暴力法破解用户密码给整个网络带来破坏。很多人都只知道更改注册表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous = 1来禁止空用户连接，实际上Windows 2000的本地安全策略里（如果是域服务器就是在域服务器安全和域安全策略里）就有RestrictAnonymous选项，其中有三个值：“0”这个值是系统默认的，没有任何限制，远程用户可以知道您机器上所有的账号、组信息、共享目录、网络传输列表(NetServerTransportEnum)等；“1”这个值是只允许非NULL用户存取SAM账号信息和共享信息；“2”这个值只有Windows 2000才支持，需要注意的是，如果使用了这个值，就不能再共享资源了，所以还是推荐把数值设为“1”比较好。

网络服务安全配置

1、修改默认端口。终端服务的默认端口为3389，可考虑修改为别的端口。修改方法为：

    服务器端：打开注册表，在“HKLM\SYSTEM\Current ControlSet\Control\Terminal Server\Win Stations”处找到类似RDP-TCP的子键，修改PortNumber值。

    客户端：按正常步骤建一个客户端连接，选中这个连接，在“文件”菜单中选择导出，在指定位置会生成一个后缀为.cns的文件。打开该文件，修改“Server Port”值为与服务器端的PortNumber对应的值。然后再导入该文件（方法：菜单→文件→导入），这样客户端就修改了端口。

2、安全配置Internet 服务管理器。对IIS服务安全配置如下：

(1)停止默认的Web服务，建立新的Web服务，将其主目录设为其他（非inetpub）目录，最好不和主系统点用一个分区。如果使用系统默认的Web服务，那么通过较简单的攻击，就可以黑掉服务器。

(2) 删除原默认安装的Inetpub目录（在安装系统的盘上）。

(3) 删除系统盘下的虚拟目录，如：_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。

3、不要设置Frontpage服务器扩展服务，如果开设，那么就可以远程在Frontpage下打开您的主页文件进行修改。

4、删除不必要的IIS扩展名映射。方法是：右键单击“默认Web站点→属性→主目录→配置”，打开应用程序窗口，去掉不必要的应用程序映射。如不用到其他映射，只保留.asp、.asa两映射即可。

安全的管理数据文件

1、常备份，要经常把要数据备份到专用的备份服务器，备份完毕后，可将备份服务器与网络隔离。

2、关闭默认共享。Windows 2000安装好以后，系统会创建一些隐藏的共享（如C$、D$等），在命令态下可用net share命令查看它们，这些共享要删除。不过当机器重新启动后，这些共享又会重新开启，需每次启动后都删除。

3、正确设置文件的共享权限 ，设置共享文件时，要注意把共享文件的权限从“everyone”组改成“授权用户”，包括打印共享，这样即使连接上去看到也无法查阅。

4、防止文件名欺骗，用显示所有文件名和文件夹以及显示文件类型扩展名来有效地防止文件名欺骗。如防止以.txt或.exe为扩展名的恶意文件被显示为.txt文件，大意打开该文件被攻，双击“我的电脑→工具→文件夹选项→查看”，选择“显示所有文件和文件夹”属性设置，去掉“隐藏已知文件类型扩展名”属性设置。

5、启用Terminal Service的安全日志，系统默认是不启用的。可以通过“Terminal Service Configration→权限→高级”中配置安全审核，记录登录、注销事件就可以了。

    启用日志，利用软件随时检测网络流量

    发现有异常随时查看日志文件，是不是有人在攻击。

    最后建议有条件的用户购买硬件防火墙。