轉貼!希望對大家win2000的管理有幫助~
作者:shotgun
目前,WIN2000 SERVER是比較流行的服務器操作系統之一,但是要想安
全的配置微軟的這個操作系統,卻不是一件容易的事。本文試圖對
win2000 SERVER的安全配置進行初步的探討。
一、 定制自己的WIN2000 SERVER;
1· 版本的選擇:WIN2000有各種語言的版本,對於我們來說,可以選擇英文版或簡體中文版,我強烈建議:在語言不成為障礙的情況下,請一定使用英文版。要知道,微軟的產品是以Bug & Patch而??稱的,中文版的Bug遠遠多於英文版,而補丁一般還會遲至少半個月(也就是說一般微軟公佈了漏洞後你的機子還會有半個月處於無保護狀況)
2· 組件的定制:win2000在默認情況下會安裝一些常用的組件,但是正是這個默認安裝是極度危險的(米特尼科說過,他可以進入任何一台默認安裝的服務器,我雖然不敢這麼說,不過如果你的主機是WIN2000 SERVER的默認安裝,我可以告訴你,你死定了)你應該確切的知道你需要哪些服務,而且僅僅安裝你確實需要的服務,根據安全原則,最少的服務+最小的權限=最大的安全。典型的WEB服務器需要的最小組件選擇是:只安裝IIS的Com Files,IIS Snap-In,WWW Server組件。如果你確實需要安裝其他組件,請慎重,特別是:Indexing Service, FrontPage 2000 Server Extensions, Internet Service Manager (HTML)這幾個危險服務。
3· 管理應用程序的選擇
選擇一個好的遠程管理軟件是非常重要的事,這不僅僅是安全方面的要求,也是應用方面的需要。Win2000的Terminal Service是基於RDP(遠程桌面協議)的遠程控制軟件,他的速度快,操作方便,比較適合用來進行常規操作。但是,Terminal Service也有其不足之處,由於它使用的是虛擬桌面,再加上微軟編程的不嚴謹,當你使用Terminal Service進行安裝軟件或重起服務器等與真實桌面交互的操作時,往往會出現哭笑不得的現象,例如:使用Terminal Service重起微軟的認證服務器(Compaq, IBM等)可能會直接關機。所以,為了安全起見,我建議你再配備一個遠程控制軟件作為輔助,和Terminal Service互補,象PcAnyWhere就是一個不錯的選擇。
二、 正確安裝WIN2000 SERVER
1·分區和邏輯盤的分配,有一些朋友為了省事,將硬盤僅僅分為一個邏輯盤,所有的軟件都裝在C驅上,這是很不好的,建議最少建立兩個分區,一個系統分區,一個應用程序分區,這是因為,微軟的IIS經常會有洩漏源碼/溢出的漏洞,如果把系統和IIS放在同一個驅動器會導致系統文件的洩漏甚至入侵者遠程獲取ADMIN。推薦的安全配置是建立三個邏輯驅動器,第一個大於2G,用來裝系統和重要的日誌文件,第二個放IIS,第三個放FTP,這樣無論IIS或FTP出了安全漏洞都不會直接影響到系統目錄和系統文件。要知道,IIS和FTP是對外服務的,比較容易出問題。而把IIS和FTP分開主要是為了防止入侵者上傳程序並從IIS中運行。(這個可能會導致程序開發人員和編輯的苦惱,管他呢,反正你是管理員J)
2·安裝順序的選擇:不要覺得:順序有什麼重要?只要安裝好了,怎麼裝都可以的。錯!win2000在安裝中有幾個順序是一定要注意的:
首先,何時接入網絡:Win2000在安裝時有一個漏洞,在你輸入Administrator密碼後,系統就建立了ADMIN$的共享,但是並沒有用你剛剛輸入的密碼來保護它,這種情況一直持續到你再次啟動後,在此期間,任何人都可以通過ADMIN$進入你的機器;同時,只要安裝一完成,各種服務就會自動運行,而這時的服務器是滿身漏洞,非常容易進入的,因此,在完全安裝並配置好win2000 SERVER之前,一定不要把主機接入網絡。
其次,補丁的安裝:補丁的安裝應該在所有應用程序安裝完之後,因為補丁程序往往要替換/修改某些系統文件,如果先安裝補丁再安裝應用程序有可能導致補丁不能起到應有的效果,例如:IIS的HotFix就要求每次更改IIS的配置都需要安裝(變不變態?)
三、 安全配置WIN2000 SERVER
即使正確的安裝了WIN2000 SERVER,系統還是有很多的漏洞,還需要進一步進行細致地配置。
1·端口:端口是計算機和外部網絡相連的邏輯接口,也是計算機的第一道屏障,端口配置正確與否直接影響到主機的安全,一般來說,僅打開你需要使用的端口會比較安全,配置的方法是在網卡屬性-TCP/IP-高級-選項-TCP/IP篩選中啟用TCP/IP篩選,不過對於win2000的端口過濾來說,有一個不好的特性:只能規定開哪些端口,不能規定關閉哪些端口,這樣對於需要開大量端口的用戶就比較痛苦。
2·IIS:IIS是微軟的組件中漏洞最多的一個,平均兩三個月就要出一個漏洞,而微軟的IIS默認安裝又實在不敢恭維,所以IIS的配置是我們的重點,現在大家跟著我一起來:
首先,把C盤那個什麼Inetpub目錄徹底刪掉,在D盤建一個Inetpub(要是你不放心用默認目錄名也可以改一個名字,但是自己要記得)在IIS管理器中將主目錄指向D:\Inetpub;
其次,那個IIS安裝時默認的什麼scripts等虛擬目錄一概刪除(罪惡之源呀,忘了http://www.target.com/scripts/..%c1%1c../winnt/system32/cmd.exe了?我們雖然已經把Inetpub從系統盤挪出來了,但是還是小心為上),如果你需要什麼權限的目錄可以自己慢慢建,需要什麼權限開什麼。(特別注意寫權限和執行程序的權限,沒有絕對的必要千萬不要給)
第三,應用程序配置:在IIS管理器中刪除必須之外的任何無用映射,必須指的是ASP, ASA和其他你確實需要用到的文件類型,例如你用到stml等(使用server side include),實際上90%的主機有了上面兩個映射就夠了,其餘的映射幾乎每個都有一個悽慘的故事:htw, htr, idq, ida……想知道這些故事?去查以前的漏洞列表吧。什麼?找不到在哪裏刪?在IIS管理器中右擊主機->屬性->WWW服務 編輯->主目錄 配置->應用程序映射,然後就開始一個個刪吧(裏面沒有全選的,嘿嘿)。接著在剛剛那個窗口的應用程序調試書簽內將腳本錯誤消息改為發送文本(除非你想ASP出錯的時候用戶知道你的程序/網絡/數據庫結構)錯誤文本寫什麼?隨便你喜歡,自己看著辦。點擊確定退出時別忘了讓虛擬站點繼承你設定的屬性。
為了對付日益增多的cgi漏洞掃描器,還有一個小技巧可以參考,在IIS中將HTTP404 Object Not Found出錯頁面通過URL重定向到一個定制HTM文件, ..
訪客只能看到部份內容,免費 加入會員 或由臉書 Google 可以看到全部內容