網(wǎng)絡(luò)安全應(yīng)該是網(wǎng)絡(luò)管理的一個(gè)重點(diǎn),如何構(gòu)建安全的企業(yè)網(wǎng),是每個(gè)企業(yè)網(wǎng)管的重要工作,Windows 2000 Advance Serve是比較流行的服務(wù)器操作系統(tǒng)之一,但是要想安全的配置微軟的這個(gè)操作系統(tǒng),卻不是一件容易的事。下面我就自己的工作經(jīng)驗(yàn),談?wù)刉indows 2000 Advance Serve網(wǎng)絡(luò)的安全設(shè)置.
一、 定制自己的Windows 2000 Advance Serve
1. 版本的選擇:Win2000有各種語(yǔ)言的版本,對(duì)于我們來(lái)說(shuō),可以選擇英文版或簡(jiǎn)體中文版,我強(qiáng)烈建議:在語(yǔ)言不成為障礙的情況下,請(qǐng)一定使用英文版。要知道,微軟的產(chǎn)品是以Bug & Patch而著稱(chēng)的,中文版的Bug遠(yuǎn)遠(yuǎn)多于英文版,而補(bǔ)丁一般還會(huì)遲至少半個(gè)月(也就是說(shuō)一般微軟公布了漏洞后你的機(jī)子還會(huì)有半個(gè)月處于無(wú)保護(hù)狀況)。
2. 組件的安裝:Win2000在默認(rèn)情況下進(jìn)行典型安裝,不過(guò)這種安裝的系統(tǒng)是脆弱的,不夠安全的,根據(jù)安全原則,最少的服務(wù)+最小的權(quán)限=最大的安全。請(qǐng)根據(jù)自己服務(wù)器的所需要求做出合理的配置。
3.根據(jù)用途對(duì)服務(wù)器進(jìn)行單獨(dú)管理:就是說(shuō)如果你根據(jù)企業(yè)的各種需要作出有不同功能的服務(wù)器,原則上是一臺(tái)服務(wù)服務(wù)器只提供單獨(dú)的服務(wù),如域控制器,文件服務(wù)器,備份服務(wù)器,WEB服務(wù)器,FTP服務(wù)器等等。
二、合理安裝Windows 2000 Advance Serve
1.安裝Windows 2000 Advance Serve,建議最少CREATE兩個(gè)分區(qū),一個(gè)系統(tǒng)分區(qū),一個(gè)應(yīng)用程序分區(qū)。
2.順序的選擇:Windows 2000 Advance Serve在安裝中有幾個(gè)順序是一定要注意的:
首先,Windows 2000 Advance Serve在安裝時(shí)有一個(gè)漏洞,在你輸入Administrator密碼后,系統(tǒng)就建立了ADMIN$的共享,但是并沒(méi)有用你剛剛輸入的密碼來(lái)保護(hù)它,這種情況一直持續(xù)到你再次啟動(dòng)后,在此期間,任何人都可以通過(guò)ADMIN$進(jìn)入你的機(jī)器;只要安裝一完成,各種服務(wù)就會(huì)自動(dòng)運(yùn)行,而這時(shí)的服務(wù)器是滿(mǎn)身漏洞,非常容易進(jìn)入的,因此,在完全安裝并配置好Win2000 Server之前,一定不要把主機(jī)接入網(wǎng)絡(luò)。
其次,補(bǔ)丁的安裝:補(bǔ)丁的安裝應(yīng)該在所有應(yīng)用程序安裝完之后,因?yàn)檠a(bǔ)丁程序往往要替換/修改某些系統(tǒng)文件,如果先安裝補(bǔ)丁再安裝應(yīng)用程序有可能導(dǎo)致補(bǔ)丁不能起到應(yīng)有的效果。
三、 安全配置Win2000 Server
即使正確的安裝了Win2000 SERVER,系統(tǒng)還是有很多的漏洞,還需要進(jìn)一步進(jìn)行細(xì)致地配置。
1.PORT:PORT是計(jì)算機(jī)和外部網(wǎng)絡(luò)相連的邏輯接口,端口配置正確與否直接影響到主機(jī)的安全,一般來(lái)說(shuō),僅打開(kāi)你需要使用的端口會(huì)比較安全,配置的方法是在網(wǎng)卡屬性-TCP/IP-高級(jí)-選項(xiàng)-TCP/IP篩選中啟用TCP/IP篩選。
2.IIS:IIS是微軟的組件中漏洞最多的一個(gè),所以IIS的配置是我們的重點(diǎn):
首先,DELTREE C:\INETPUB ,在c盤(pán)以外creat Inetpub在IIS管理器中將主目錄指向x:\Inetpub;
其次,那個(gè)IIS安裝時(shí)默認(rèn)的什么scripts等虛擬目錄一概刪除
第三,應(yīng)用程序配置:在IIS管理器中刪除必須之外的任何無(wú)用映射,必須指的是ASP, ASA和其他你確實(shí)需要用到的文件類(lèi)型,例如你用到stml等(使用server side include),實(shí)際上90%的主機(jī)有了上面兩個(gè)映射就夠了,在IIS管理器中右擊主機(jī)->屬性->WWW服務(wù) 編輯->主目錄 配置->應(yīng)用程序映射,刪除你不需要的映射。
最后,為了保險(xiǎn)起見(jiàn),你可以使用IIS的備份功能,將剛剛的設(shè)定全部備份下來(lái),這樣就可以隨時(shí)恢復(fù)IIS的安全配置。
3.賬號(hào)安全:
Windows 2000 Advance Serve的賬號(hào)安全是另一個(gè)重點(diǎn)。Windows 2000 Advance Serve的本地安全策略(如果是域服務(wù)器就是在域服務(wù)器安全和域安全策略中)就有這樣的選項(xiàng)RestrictAnonymous(匿名連接的額外限制),這個(gè)選項(xiàng)有三個(gè)值:
0:None. Rely on default permissions(無(wú),取決于默認(rèn)的權(quán)限)
1:Do not allow enumeration of SAM accounts and shares(不允許枚舉SAM帳號(hào)和共享)
2:No access without explicit anonymous permissions(沒(méi)有顯式匿名權(quán)限就不允許訪(fǎng)問(wèn))
0:系統(tǒng)默認(rèn)的,什么限制都沒(méi)有,遠(yuǎn)程用戶(hù)可以知道你機(jī)器上所有的賬號(hào)、組信息、共享目錄、網(wǎng)絡(luò)傳輸列表等等,對(duì)服務(wù)器來(lái)說(shuō)這樣的設(shè)置非常危險(xiǎn)。
1:只允許非NULL用戶(hù)存取SAM賬號(hào)信息和共享信息。
2:在Win2000中才支持,不過(guò)會(huì)失去所有的共享,在企業(yè)中這基本上是不可能的。
所以我建議大家選擇1,另外還有最好把a(bǔ)dministrator 改名。
4.安全日志:打開(kāi)本地安全策略->審核策略中打開(kāi)相應(yīng)的審核,必須的審核是:
賬戶(hù)管理 成功 失敗
登錄事件 成功 失敗
對(duì)象訪(fǎng)問(wèn) 失敗
策略更改 成功 失敗
特權(quán)使用 失敗
系統(tǒng)事件 成功 失敗
目錄服務(wù)訪(fǎng)問(wèn) 失敗
賬戶(hù)登錄事件 成功 失敗
與之相關(guān)的是:
在賬戶(hù)策略->密碼策略中設(shè)定:
密碼復(fù)雜性要求 啟用
密碼長(zhǎng)度最小值 8位
強(qiáng)制密碼歷史 3次
最長(zhǎng)存留期 30天
在賬戶(hù)策略->賬戶(hù)鎖定策略中設(shè)定:
賬戶(hù)鎖定 3次錯(cuò)誤登錄
鎖定時(shí)間 30分鐘
復(fù)位鎖定計(jì)數(shù) 30分鐘
6.目錄和文件權(quán)限:
Windows 2000 Advance Serve的訪(fǎng)問(wèn)權(quán)限分為:讀取、寫(xiě)入、讀取及執(zhí)行、修改、列目錄、完全控制。在默認(rèn)的情況下,大多數(shù)的文件夾對(duì)所有用戶(hù)(Everyone這個(gè)組)是完全敞開(kāi)的(Full Control),你需要根據(jù)應(yīng)用的需要進(jìn)行權(quán)限重設(shè)。
在進(jìn)行權(quán)限控制時(shí),請(qǐng)記住以下幾個(gè)原則:
1>權(quán)限是累計(jì)的:如果一個(gè)用戶(hù)同時(shí)屬于兩個(gè)組,那么他就有了這兩個(gè)組所允許的所有權(quán)限;
2>拒絕的權(quán)限要比允許的權(quán)限高(拒絕策略會(huì)先執(zhí)行)如果一個(gè)用戶(hù)屬于一個(gè)被拒絕訪(fǎng)問(wèn)某個(gè)資源的組,那么不管其他的權(quán)限設(shè)置給他開(kāi)放了多少權(quán)限,他也一定不能訪(fǎng)問(wèn)這個(gè)資源;
3>文件權(quán)限比文件夾權(quán)限高(這個(gè)不用解釋了吧?)
4>利用用戶(hù)組來(lái)進(jìn)行權(quán)限控制是一個(gè)成熟的系統(tǒng)管理員必須具有的優(yōu)良習(xí)慣之一;
5>僅給用戶(hù)真正需要的權(quán)限,權(quán)限的最小化原則是安全的重要保障;
6.預(yù)防DoS:
在注冊(cè)表HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters中更改以下值可以幫助你防御一定強(qiáng)度的DoS攻擊
SynAttackProtect REG_DWORD 2
EnablePMTUDiscovery REG_DWORD 0
NoNameReleaseOnDemand REG_DWORD 1
EnableDeadGWDetect REG_DWORD 0
KeepAliveTime REG_DWORD 300,000
PerformRouterDiscovery REG_DWORD 0
EnableICMPRedirects REG_DWORD 0
ICMP攻擊:ICMP的風(fēng)暴攻擊和碎片攻擊也是Windows 2000 Advance Serve比較頭疼的攻擊方法,其實(shí)應(yīng)付的方法也很簡(jiǎn)單,Win2000自帶一個(gè)Routing & Remote Access工具,這個(gè)工具初具路由器的雛形,在這個(gè)工具中,我們可以輕易的定義輸入輸出包過(guò)濾器。
實(shí)際上,安全和應(yīng)用在很多時(shí)候是矛盾的,所以你要對(duì)所涉及的各種折衷選擇有比較深刻的認(rèn)識(shí),畢竟服務(wù)器是給用戶(hù)用的,安全原則不能妨礙系統(tǒng)應(yīng)用。
網(wǎng)絡(luò)安全是一項(xiàng)系統(tǒng)工程,它不僅有空間的跨度,還有時(shí)間的跨度。部分系統(tǒng)/網(wǎng)絡(luò)管理員認(rèn)為進(jìn)行了安全配置Windows 2000 Advance Serve是足夠安全的,其實(shí)這其中有個(gè)誤區(qū):我們只能說(shuō)一臺(tái)服務(wù)器在一定的情況下,一定的時(shí)間內(nèi)是安全的,隨著網(wǎng)絡(luò)結(jié)構(gòu)的變化、新的漏洞的發(fā)現(xiàn),管理員/用戶(hù)的操作,安全狀況是時(shí)刻改變的,我們要不斷的對(duì)我們的網(wǎng)絡(luò)進(jìn)行有效的設(shè)置維護(hù)其安全和滿(mǎn)足我們的應(yīng)用,時(shí)刻關(guān)注新的發(fā)現(xiàn),對(duì)安全的原則作出相應(yīng)的修改,這樣,才是系統(tǒng)/網(wǎng)絡(luò)管理員工作的正確方向。
