用NT(2000)建立的Web站點(diǎn)在所有的網(wǎng)站中占了很大一部分比例，但NT的安全問題也一直比較突出，使得一些每個(gè)基于NT的網(wǎng)站都有一種如履薄冰的感覺，然而微軟并沒有明確的堅(jiān)決方案，只是推出了一個(gè)個(gè)補(bǔ)丁程序，各種安全文檔上對(duì)于NT的安全描述零零碎碎，給人們的感覺是無所適從。于是，有的網(wǎng)管干脆什么措施也不采取，有的忙著下各種各樣的補(bǔ)丁程序，有的在安裝了防火墻以后就以為萬事大吉了。這種現(xiàn)狀直接導(dǎo)致了大量網(wǎng)站的NT安全性參差不齊。只有極少數(shù)NT網(wǎng)站有較高的安全性，大部分網(wǎng)站的安全性很差。為此，瑞星公司決心對(duì)NT主要漏洞予以搜集整理，同時(shí)，站在整體的高度，力圖找出一套用NT建立安全站點(diǎn)的解決方案來，讓用戶放心使用NT(2000)建立Web站點(diǎn)。

解決方案：(說明：本方案主要是針對(duì)建立Web站點(diǎn)的NT、2000服務(wù)器安全，對(duì)于局域網(wǎng)內(nèi)的服務(wù)器并不合適。)

一、安裝：

1.不論是NT還是2000，硬盤分區(qū)均為NTFS分區(qū);

說明：

(1)NTFS比FAT分區(qū)多了安全控制功能，可以對(duì)不同的文件夾設(shè)置不同的訪問權(quán)限，安全性增強(qiáng)。

(2)建議最好一次性全部安裝成NTFS分區(qū)，而不要先安裝成FAT分區(qū)再轉(zhuǎn)化為NTFS分區(qū)，這樣做在安裝了SP5和SP6的情況下會(huì)導(dǎo)致轉(zhuǎn)化不成功，甚至系統(tǒng)崩潰。

(3)安裝NTFS分區(qū)有一個(gè)潛在的危險(xiǎn)，就是目前大多數(shù)反病毒軟件沒有提供對(duì)軟盤啟動(dòng)后NTFS分區(qū)病毒的查殺，這樣一旦系統(tǒng)中了惡性病毒而導(dǎo)致系統(tǒng)不能正常啟動(dòng)，后果就比較嚴(yán)重，因此及建議平時(shí)做好防病毒工作。

2.只安裝一種操作系統(tǒng);

說明：安裝兩種以上操作系統(tǒng)，會(huì)給黑客以可乘之機(jī)，利用攻擊使系統(tǒng)重啟到另外一個(gè)沒有安全設(shè)置的操作系統(tǒng)(或者他熟悉的操作系統(tǒng))，進(jìn)而進(jìn)行破壞。

3.安裝成獨(dú)立的域控制器(StandAlone)，選擇工作組成員，不選擇域;

說明：主域控制器(PDC)是局域網(wǎng)中隊(duì)多臺(tái)聯(lián)網(wǎng)機(jī)器管理的一種方式，用于網(wǎng)站服務(wù)器包含著安全隱患，使黑客有可能利用域方式的漏洞攻擊站點(diǎn)服務(wù)器。

4.將操作系統(tǒng)文件所在分區(qū)與Web數(shù)據(jù)包括其他應(yīng)用程序所在的分區(qū)分開，并在安裝時(shí)最好不要使用系統(tǒng)默認(rèn)的目錄，如將\WINNT改為其他目錄;

說明：黑客有可能通過Web站點(diǎn)的漏洞得到操作系統(tǒng)對(duì)操作系統(tǒng)某些程序的執(zhí)行權(quán)限，從而造成更大的破壞。

5.Windows程序，都要重新安裝一次補(bǔ)丁程序，2000下不需要這樣做。

說明：

(1)最新的補(bǔ)丁程序，表示系統(tǒng)以前有重大漏洞，非補(bǔ)不可了，對(duì)于局域網(wǎng)內(nèi)服務(wù)器可以不是最新的，但站點(diǎn)必須安裝最新補(bǔ)丁，否則黑客可能會(huì)利用低版本補(bǔ)丁的漏洞對(duì)系統(tǒng)造成威脅。這是一部分管理員較易忽視的一點(diǎn);

(2)安裝NT的SP5、SP6有一個(gè)潛在威脅，就是一旦系統(tǒng)崩潰重裝NT時(shí)，系統(tǒng)將不會(huì)認(rèn)NTFS分區(qū)，原因是微軟在這兩個(gè)補(bǔ)丁中對(duì)NTFS做了改進(jìn)。只能通過Windows2000安裝過程中認(rèn)NTFS，這樣會(huì)造成很多麻煩，建議同時(shí)做好數(shù)據(jù)備份工作。

(3)安裝ServicePack前應(yīng)先在測(cè)試機(jī)器上安裝一次，以防因?yàn)槔庠驅(qū)е聶C(jī)器死機(jī)，同時(shí)做好數(shù)據(jù)備份。

6.盡量不安裝與Web站點(diǎn)服務(wù)無關(guān)的軟件;

說明：其他應(yīng)用軟件有可能存在黑客熟知的安全漏洞。

二、NT設(shè)置：

1.帳號(hào)策略：

(1)帳號(hào)盡可能少，且盡可能少用來登錄;

說明：網(wǎng)站帳號(hào)一般只用來做系統(tǒng)維護(hù)，多余的帳號(hào)一個(gè)也不要，因?yàn)槎嘁粋€(gè)帳號(hào)就會(huì)多一份被攻破的危險(xiǎn)。

(2)除過Administrator外，有必要再增加一個(gè)屬于管理員組的帳號(hào);

說明：兩個(gè)管理員組的帳號(hào)，一方面防止管理員一旦忘記一個(gè)帳號(hào)的口令還有一個(gè)備用帳號(hào);另方面，一旦黑客攻破一個(gè)帳號(hào)并更改口令，我們還有機(jī)會(huì)重新在短期內(nèi)取得控制權(quán)。

(3)所有帳號(hào)權(quán)限需嚴(yán)格控制，輕易不要給帳號(hào)以特殊權(quán)限;

(4)將Administrator重命名，改為一個(gè)不易猜的名字。其他一般帳號(hào)也應(yīng)尊循著一原則。

說明：這樣可以為黑客攻擊增加一層障礙。

(5)將Guest帳號(hào)禁用，同時(shí)重命名為一個(gè)復(fù)雜的名字，增加口令，并將它從Guest組刪掉;

說明：有的黑客工具正是利用了guest的弱點(diǎn)，可以將帳號(hào)從一般用戶提升到管理員組。

(6)給所有用戶帳號(hào)一個(gè)復(fù)雜的口令(系統(tǒng)帳號(hào)出外)，長度最少在8位以上，且必須同時(shí)包含字母、數(shù)字、特殊字符。同時(shí)不要使用大家熟悉的單詞(如microsoft)、熟悉的鍵盤順序(如qwert)、熟悉的數(shù)字(如2000)等。

說明：口令是黑客攻擊的重點(diǎn)，口令一旦被突破也就無任何系統(tǒng)安全可言了，而這往往是不少網(wǎng)管所忽視的地方，據(jù)我們的測(cè)試，僅字母加數(shù)字的5位口令在幾分鐘內(nèi)就會(huì)被攻破，而所推薦的方案則要安全的多。

(7)口令必須定期更改(建議至少兩周該一次)，且最好記在心里，除此以外不要在任何地方做記錄;另外，如果在日志審核中發(fā)現(xiàn)某個(gè)帳號(hào)被連續(xù)嘗試，則必須立刻更改此帳號(hào)(包括用戶名和口令);

(8)在帳號(hào)屬性中設(shè)立鎖定次數(shù)，比如改帳號(hào)失敗登錄次數(shù)超過5次即鎖定改帳號(hào)。這樣可以防止某些大規(guī)模的登錄嘗試，同時(shí)也使管理員對(duì)該帳號(hào)提高警惕。

2.解除NetBios與TCP/IP協(xié)議的綁定

說明：NetBois在局域網(wǎng)內(nèi)是不可缺少的功能，在網(wǎng)站服務(wù)器上卻成了黑客掃描工具的首選目標(biāo)。方法：NT：控制面版——網(wǎng)絡(luò)——綁定——NetBios接口——禁用2000：控制面版——網(wǎng)絡(luò)和撥號(hào)連接——本地網(wǎng)絡(luò)——屬性——TCP/IP——屬性——高級(jí)——WINS——禁用TCP/IP上的NETBIOS

3.刪除所有的網(wǎng)絡(luò)共享資源

說明：NT與2000在默認(rèn)情況下有不少網(wǎng)絡(luò)共享資源，在局域網(wǎng)內(nèi)對(duì)網(wǎng)絡(luò)管理和網(wǎng)絡(luò)通訊有用，在網(wǎng)站服務(wù)器上同樣是一個(gè)特大的安全隱患。(卸載“Microsoft網(wǎng)絡(luò)的文件和打印機(jī)共享”。當(dāng)查看“網(wǎng)絡(luò)和撥號(hào)連接”中的任何連接屬性時(shí)，將顯示該選項(xiàng)。單擊“卸載”按鈕刪除該組件;清除“Microsoft網(wǎng)絡(luò)的文件和打印機(jī)共享”復(fù)選框?qū)⒉黄鹱饔谩?

方法：

(1)NT：管理工具——服務(wù)器管理器——共享目錄——停止共享;

2000：控制面版——管理工具——計(jì)算及管理——共享文件夾———停止共享

但上述兩種方法太麻煩，服務(wù)器每重啟一次，管理員就必須停止一次

(2)修改注冊(cè)表：

運(yùn)行Regedit，然后修改注冊(cè)表在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters下增加一個(gè)鍵

Name：AutoShareServer

Type：REG_DWORD

Value：0

然后重新啟動(dòng)您的服務(wù)器，磁盤分區(qū)共享去掉，但I(xiàn)PC共享仍存在，需每次重啟后手工刪除。

4.改NTFS的安全權(quán)限;

說明：NTFS下所有文件默認(rèn)情況下對(duì)所有人(EveryOne)為完全控制權(quán)限，這使黑客有可能使用一般用戶身份對(duì)文件做增加、刪除、執(zhí)行等操作，建議對(duì)一般用戶只給予讀取權(quán)限，而只給管理員和System以完全控制權(quán)限，但這樣做有可能使某些正常的腳本程序不能執(zhí)行，或者某些需要寫的操作不能完成，這時(shí)需要對(duì)這些文件所在的文件夾權(quán)限進(jìn)行更改，建議在做更改前先在測(cè)試機(jī)器上作測(cè)試，然后慎重更改。

5.系統(tǒng)啟動(dòng)的等待時(shí)間設(shè)置為0秒，控制面板->系統(tǒng)->啟動(dòng)/關(guān)閉，然后將列表顯示的默認(rèn)值“30”改為“0”。(或者在boot.ini里將TimeOut的值改為0)

6.只開放必要的端口，關(guān)閉其余端口。

說明：缺省情況下，所有的端口對(duì)外開放，黑客就會(huì)利用掃描工具掃描那些端口可以利用，這對(duì)安全是一個(gè)嚴(yán)重威脅。

現(xiàn)將一些常用端口列表如下：

端口協(xié)議應(yīng)用程序

21TCPFTP

25TCPSMTP

53TCPDNS

80TCPHTTPSERVER

1433TCPSQLSERVER

5631TCPPCANYWHERE

5632UDPPCANYWHERE

6(非端口)IP協(xié)議

8(非端口)IP協(xié)議

7.加強(qiáng)日志審核;

說明：日志任何包括事件查看器中的應(yīng)用、系統(tǒng)、安全日志，IIS中的WWW、SMTP、FTP日志、SQLSERVER日志等，從中可以看出某些攻擊跡象，因此每天查看日志是保證系統(tǒng)安全的必不可少的環(huán)節(jié)。安全日志缺省是不記錄，帳號(hào)審核可以從域用戶管理器——規(guī)則——審核中選擇指標(biāo);NTFS中對(duì)文件的審核從資源管理器中選取。要注意的一點(diǎn)是，只需選取你真正關(guān)心的指標(biāo)就可以了，如果全選，則記錄數(shù)目太大，反而不利于分析;另外太多對(duì)系統(tǒng)資源也是一種浪費(fèi)。

8.加強(qiáng)數(shù)據(jù)備份;

說明：這一點(diǎn)非常重要，站點(diǎn)的核心是數(shù)據(jù)，數(shù)據(jù)一旦遭到破壞后果不堪設(shè)想，而這往往是黑客們真正關(guān)心的東西;遺憾的是，不少網(wǎng)管在這一點(diǎn)上作的并不好，不是備份不完全，就是備份不及時(shí)。數(shù)據(jù)備份需要仔細(xì)計(jì)劃，制定出一個(gè)策略并作了測(cè)試以后才實(shí)施，而且隨著網(wǎng)站的更新，備份計(jì)劃也需要不斷地調(diào)整。

9.只保留TCP/IP協(xié)議，刪除NETBEUI、IPX/SPX協(xié)議;

說明：網(wǎng)站需要的通訊協(xié)議只有TCP/IP，而NETBEUI是一個(gè)只能用于局域網(wǎng)的協(xié)議，IPX/SPX是面臨淘汰的協(xié)議，放在網(wǎng)站上沒有任何用處，反而會(huì)被某些黑客工具利用。

10.停掉沒有用的服務(wù)，只保留與網(wǎng)站有關(guān)的服務(wù)和服務(wù)器某些必須的服務(wù)。

說明：有些服務(wù)比如RAS服務(wù)、Spooler服務(wù)等會(huì)給黑客帶來可乘之機(jī)，如果確實(shí)沒有用處建議禁止掉，同時(shí)也能節(jié)約一些系統(tǒng)資源。但要注意有些服務(wù)是操作系統(tǒng)必須的服務(wù)，建議在停掉前查閱幫助文檔并首先在測(cè)試服務(wù)器上作一下測(cè)試。

11.隱藏上次登錄用戶名，修改注冊(cè)表Winnt4.0：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon中增