前言:最近剛到網絡公司擔當系統管理員,下面就依照自己的經驗和環境做一下Windows2000服務器的安全配置和優化。
以下是虛擬主機的操作系統和服務器軟件:
OS:Win2k Advancd Server
ftp server:Serv-u 6.0.2
www server: IIS
mail server: WebEasyMail 3.5.3.1 企業版
防火墻:天網防火墻個人版
殺毒軟件:McAfee VirusScan Enterprise 8.0.i版
遠程管理軟件:Terminal Services終端服務
下面我來說一下從安裝系統、安裝服務器應用程序、安全設置和優化的過程。
1.硬盤分區和安裝系統
關于分區我強烈建議大家選擇NTFS文件格式,不僅NTFS文件系統可以給我們帶來很高的安全性,而且對于做WEB服務的虛擬主機來說磁盤配額很最要.還有文件和文件夾的壓縮都給我們這些系統管理員提供了很高便利性。
在分區之前和大家說一下,一定要合理的設置分區。合理的分區不僅可以給我們帶來工作的方便,還可以提高系統的安全和穩定性。我的硬盤一共分了5個區(120G)。
C盤用來裝操作系統的文件。D盤用來存儲各個WEB站點的文件。E盤用來保存IIS日志文件、Internet臨時文件夾和頁面文件。F盤用來裝應用程序。就是說所有的應用程序都安裝在F盤里。G盤用來保存備份文件和一些常用的工具。大家可以根據自己的情況合理的設置分區,而不必一一對應。下面就是安裝系統了,在安裝系統的時候組件的選擇一定要僅僅安裝自己需要的組件,而一些用不到的組件我們不要安裝。那些用不到的組件會給我們帶來一些意想不到的“驚喜”。在安裝IIS的時候把FrontPage2000服務器擴展、Ineternet服務管理器(HTML)、NNTP Server、SMTP Server、文件傳輸協議(FTP)服務器的復選框去掉。以保證這些用不到的服務不會給我們帶來安全隱患。
把Internet臨時文件夾移動到非系統分區中,如我的設置是E盤: Internet Explorer-右擊-屬性-Ineternet臨時文件-設置-移動文件夾,選擇相應的分區。把虛擬內存頁面文件移動到到非系統分區中,,如我的設置是E盤:我的電腦-右擊-屬性-高級選項卡-性能選項-更改,設置初始大小和最大值,重啟計算機。注意:以上兩項操作都必需重啟后生效。
2.為用戶提供正常的服務。
在D盤里面為各個WEB站點建立相應的文件夾,以保證各個站點的文件存儲在相應的文件夾中。在IIS里面建立相應的WEB站點、設置和相應的主機頭、主目錄、端口、IP地址。對應的在Serv-u里面建立相應的用戶,以指向各自的WEB文件夾中,以便日后維護上傳、下載的需要。在WebEasyMail里面設置相應的各個域的郵件用戶、和容量等。關于服務器軟件的安裝問題,請您自己參考相應的文章。
3.服務的配置
在Windows里面有很多服務,這些服務都是為了不同的需求而提供的。在這里我們要根據自己的環境來配置服務,禁用那些不要的服務.老生常談的一句話:"最少的服務+最小權限=最大的安全".
禁用那些用不到的服務:Alerter、ClipBook、Computer Browser、 Distributed File System、Indexing Service、Internet Connection Sharing、Messenger、NetMeeting Remote Desktop Sharing、Print Spooler、Remote Registry Service、Smart Card、Task Scheduler、TCP/IP NetBIOS Helper Service、Telnet、Windows Time、Workstation.關于為什么禁用Workstation服務我會在下面說到。
4.端口的配置
下面我來說一下怎樣關閉常見的危險端口和一些無用的共享,如:默認共享。
在本地連接-屬性中,把"Microsoft網絡的文件和打印機共享"卸載掉。在選定的組件中之留下TCP/IP協議和Microsoft網絡客戶端.大家可能會說為什么要留Microsoft網絡客戶端,根據前幾天的調試,如果不裝它的話,重新啟動IIS的時候會提示“服務不能啟動,無法驗證的服務”。選中TCP/IP協議-屬性-高級-WINS-禁用TCP/IP上的Netbios選項。
把HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\GraphicsDrivers\DCI,Timeout雙字節值改為0 。建議大家設為0.這個鍵值對玩游戲有用,做虛擬主機我們用不到。
把HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa項下的數值restrictanonymous,由0改為1。
在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters項下新建雙字節值AutoShareServer值為0。
在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters項下新建雙字節值SMBDeviceEnabled值為0。
在防火墻中添加IP規則,允許21、25、80、110。禁止135端口。最后啟動禁止所有別的端口的通過。
我們也可以通過系統自帶的本地安全策略和TCP/IP篩選來設置相應打開和關閉的端口。
5.IIS和權限設置
為了使IIS運行的更穩定和安全我們需要修改它,如:刪除一些不用的映射、日志的設置等。
下面是我的IIS的設置情況:
Internet信息服務-計算機名稱-屬性-WWW服務(編輯)-主目錄-配置-應用程序映射,刪除下面的應用程序映射:.htr、.idc、.printer、.cer、.shtm、.stm 、.cdx 。只保留.asp和.asa映射。對一般的應用比如運行ASP,已經夠用了。多出那些無用的安全映射會給系統帶來不必要的麻煩。
在進程選項卡的腳本文件高速緩存中把放入高速緩存的最多ASP文件數設成300,以改善ASP文件的執行效率。在應用程序調試選項卡中選中"發送文本錯誤消息給客戶"以防止通過錯誤消息來取得系統、網絡、數據庫的信息。
在Internet信息服務-計算機名稱-屬性-WWW服務(編輯)-服務選項卡選中HTTP壓縮的壓縮靜態文件,提高執行效率。在一個非系統分區中建立日志文件夾,來保存各個站點的日志。如我設置的分區是E,在分區中建立IISlog目錄,用它來保存各個站點的日志文件,而不用系統默認的路徑。把各個站點的日志指向IISlog文件夾中。
設置如下:Internet服務管理器-Web站點-屬性-Web站點選項卡-活動日志格式-屬性-日志文件目錄,把日志指向IISlog文件夾中。以便于以后我們查看日志的方便。為了保證系統的安全和各個站點FSO,在本地用戶和組中為各個站點用戶創建相應的用戶,設置相應的密碼,并把所屬的默認組User刪去,加入到guests組中。在各個Web站點的屬性-目錄安全性-匿名訪問和驗證控制-編輯-匿名訪問使用帳號的對話框中選中自己站點相對應的用戶帳戶.我們在D盤各個站點文件夾的屬性-安全選項卡去掉父系繼承來的權限,把這個文件夾的訪問權限設成redblood(這個用戶是我改名后的管理員,我會在后面提到的)完全控制(FC)、SYSTEM(FC)、和Web站點對應用戶的修改、讀取及運行、列出文件夾目錄、讀取、寫入權限。這樣當其中的一個WEB站點被上傳ASP木馬,就不會危害其它的站點,因為他只有這個Web站點的權限而沒有其它站點權限。
把各個分區的權限設成只有redblood和system完全控制.但是要注意一點,如果你的頁面文件通過設置而放到其它的分區中,比如我放到了E盤中,你除了給這個分區redblood、system的完全控制權限外還必須給這個分區everyone的讀權限,否則重啟的時候會報錯!
在C:\Program Files\Common Files文件夾屬性對話框安全選項卡中,取消"允許將來自父系的可繼承權限傳播給該對象",訪問權限設成redblood、system完全控制,everyone讀取及運行、列出文件夾目錄、讀取。因為ASP連接數據庫的時候會用到這個目錄。然后把WINNT目錄也按照同樣的方法來設置成和Common Files文件夾同樣的權限。
我們還要特殊設置一個目錄那就是C:\WINNT\Temp,這個目錄的訪問權限是everyone修改、讀取及運行、列出文件夾目錄、讀取、寫入。
把如下文件設置成只有redblood完全控制權限,取消父系繼承來的權限。這些文件有:C:\winnt\sytem32文件夾和C:\winnt\sytem32\dllcache文件夾的net.exe、net1.exe、netstat、netsh、cacls、cmd.exe、ftp.exe、tftp.exe、at.exe、format.com、xcopy.exe.
把裝應用程序的目錄我這里是f:\soft目錄的訪問權限設成redblood、system完全控制和everyone讀取、讀取和運行、列出文件夾目錄的權限。禁用一些不安全的組件,如:Scripting.FileSystemObject、WScript.Shell、Shell.Application組件。
Scripting.FileSystemObject組件:
我們可以修改對應項在注冊表里面的名稱和值:
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\項目的值
WScript.Shell組件:
HKEY_CLASSES_ROOT\WScript.Shell\
HKEY_CLASSES_ROOT\WScript.Shell.1\
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\項目的值
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\項目的值
Shell.Application組件:
HKEY_CLASSES_ROOT\Shell.Application\
HKEY_CLASSES_ROOT\Shell.Application.1\
HKEY_CLASSES_ROOT\Shell.Application\CLSID\項目的值
HKEY_CLASSES_ROOT\Shell.Application.1\CLSID\項目的值
因為在前里我們已經單獨的設置相應的Web站點,所以不必修改Scripting.FileSystemObject(fso)組件。
在這里我直接注銷下面兩個組件:
regsvr32 /u C:\WINNT\System32\wshom.ocx對應于WScript.Shell組件。
regsvr32/u C:\WINNT\System32\shell32.dll對應于Shell.Application組件。
禁止guests組的用戶調用它:
cacls C:\WINNT\system32\scrrun.dll /e /d guests
cacls C:\WINNT\system32\shell32.dll /e /d guests
前面在服務設置的時候我把Workstation服務禁用了,因為ASP木馬運行候可以通過它來列出系統的用戶和進程。所以為了安全考慮我們禁用它。
6.修改注冊表提高系統安全和性能
下面我使用注冊表和組策略一起來設置系統。
開始-運行-gpeidt.msc打開組策略,計算機配置-Windows配置-安全設置-帳戶策略-密碼策略.
下面是我的策略設置:
密碼策略
密碼必須符合復雜性要求:啟用
密碼長度最小值:8個字符
密碼最長存留期:30天
密碼最短存留期:3天
強制密碼歷史:5個記住的密碼
帳戶鎖定策略設置
復位帳戶鎖定計數器:20分鐘之后
帳戶銷定時間:20分鐘
帳戶鎖定閥值:5次無效登錄
計算機配置-Windows配置-安全設置-本地策略,審核策略設置:
審核策略更改:成功、失敗
審核登錄事件:成功、失敗
審核對象訪問:失敗
審核過程追蹤:無審核
審核目錄服務訪問:無審核
審核特權使用:失敗
審核系統事件:失敗
審核帳戶登錄事件:成功、失敗
審核帳戶管理:成功、失敗
計算機配置-Windows配置-安全設置-本地策略-用戶權限指派
更改系統時間:administrators
關閉系統:administrators
管理審核和安全日志:administrators
計算機配置-Windows配置-安全設置-本地策略-安全選項
登錄屏幕上不要顯示上次登錄的用戶名:已啟用
對匿名連接的額個限制:不允許枚舉 SAM 帳號和共享
故障恢復控制臺:允許對所以驅動器和文件夾進行軟盤復制和訪問:已啟用
在關機時清理虛擬內存頁面交換文件:已啟用
重命名來賓帳戶:命名成administrator。
重命名系統管理員帳戶:redblood
在本地用戶和組中把來賓用戶和系統管理員的描述互換一下,這樣可以起一個迷惑的作用。算是一個很無聊的小把戲吧。我們再添加一個系統管理員帳戶,這樣可以防止如果忘記了口令可以及時的恢復系統,如果駭客進入系統改了密碼,我們可以很快的取得系統的控制權。大家一定要給系統管理員設置一個強壯的密碼,最少也得8位以上,由大小字母+數字組成。
通過修改系統注冊表的自啟動項目把一些無用的啟動項刪除掉,以下是常見的各啟動項:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce
以上這幾個啟動項是木馬出現很頻繁的地方,大家以后維護的時候多注意一些。
7.FTP服務器配置
FTP服務器除了對所在的文件夾設置權限之外,還可以修改一下Banner,這種方法可以迷惑一些駭客,讓他在表面上認為我們的FTP的服務器不是Serv-u,下面我說一下設置的方法:
右鍵單擊托盤區的Serv-u圖標,啟動管理員-本地服務器-域-設置-常規-消息選項卡的服務器響應消息下,將服務器ID文本設為:"Welcome Wu-Ftpd V2.6.2 for SCO Unix." 在HELP命令回復下設置成:"Direct comments or bugs to admin@xxx.com. 我們在給FTP服務器啟動的時候設上密碼。這樣啟動Serv-u的時候就會讓我們輸入密碼。
8.遠程控制配置
這里我選用Win系統自帶的遠程控制軟件終端服務,選擇遠程管理模式。為遠程登錄啟動日志記錄:
開始-程序-管理工具-終端服務配置-連接-rdp/tcp-右鍵-屬性-權限-添加administrators組-高級-審核-添加everyone組,選擇審核的項目為登錄和注銷。
9.防火墻、殺毒軟件和補丁
天網防火墻和McAfee都有設置啟動密碼的功能,我們都設成相應的密碼。這個可以保證別人不會更改我們的密碼。最后就是打補丁,我們一定要及時的升級自己的系統,以防那些惡意的駭客利用系統的漏洞攻擊我們。接著我們把防火墻和殺毒軟件都升級到最新的版本,以減少那些惡意的網絡攻擊和病毒攻擊。
總結:網絡服務器的維護工作看著簡單,但是每一個步驟都關系著整個系統的安危,整個服務器的安裝、配置和維護都是一個系統工程,我們必須用心去對待它,及時的查看日志,常給系統打補丁,升級防火墻和殺毒軟件的病毒庫,每個動作都是一些基本的工作,但是我們必須重視它,因為他直接關系到我們系統的安全和穩定性。我們要做一個勤快的管理員,做一個用心的管理員。