Server安全入門 

發布日期: 2001-4-3  
 
作者：shotgun 
 
    目前，WIN2000 SERVER是比較流行的服務器操作系統之一，但是要想安全的配置微 
軟的這個操作系統，卻不是一件容易的事。本文試圖對win2000 SERVER的安全配置 
進行初步的探討。  
 
一、 定制自己的WIN2000 SERVER；  
1． 版本的選擇：WIN2000有各種語言的版本，對于我們來說，可以選擇英文版或 
簡體中文版，我強烈建議：在語言不成為障礙的情況下，請一定使用英文版。要知 
道，微軟的產品是以Bug & Patch而著稱的，中文版的Bug遠遠多于英文版，而補丁 
一般還會遲至少半個月（也就是說一般微軟公布了漏洞后你的機子還會有半個月處 
于無保護狀況）  
2． 組件的定制：win2000在默認情況下會安裝一些常用的組件，但是正是這個默 
認安裝是極度危險的（米特尼科說過，他可以進入任何一臺默認安裝的服務器，我 
雖然不敢這么說，不過如果你的主機是WIN2000 SERVER的默認安裝，我可以告訴你 
，你死定了）你應該確切的知道你需要哪些服務，而且僅僅安裝你確實需要的服務 
，根據安全原則，最少的服務+最小的權限=最大的安全。典型的WEB服務器需要的 
最小組件選擇是：只安裝IIS的Com Files，IIS Snap-In，WWW Server組件。如果 
你確實需要安裝其他組件，請慎重，特別是：Indexing Service, FrontPage 2000 
 Server Extensions, Internet Service Manager (HTML)這幾個危險服務。  
3． 管理應用程序的選擇  
選擇一個好的遠程管理軟件是非常重要的事，這不僅僅是安全方面的要求，也是應 
用方面的需要。Win2000的Terminal Service是基于RDP（遠程桌面協議）的遠程控 
制軟件，他的速度快，操作方便，比較適合用來進行常規操作。但是，Terminal  
Service也有其不足之處，由于它使用的是虛擬桌面，再加上微軟編程的不嚴謹， 
當你使用Terminal Service進行安裝軟件或重起服務器等與真實桌面交互的操作時 
，往往會出現哭笑不得的現象，例如：使用Terminal Service重起微軟的認證服務 
器（Compaq, IBM等）可能會直接關機。所以，為了安全起見，我建議你再配備一 
個遠程控制軟件作為輔助，和Terminal Service互補，象PcAnyWhere就是一個不錯 
的選擇。  
 
二、 正確安裝WIN2000 SERVER  
1．分區和邏輯盤的分配，有一些朋友為了省事，將硬盤僅僅分為一個邏輯盤，所 
有的軟件都裝在C驅上，這是很不好的，建議最少建立兩個分區，一個系統分區， 
一個應用程序分區，這是因為，微軟的IIS經常會有泄漏源碼/溢出的漏洞，如果把 
系統和IIS放在同一個驅動器會導致系統文件的泄漏甚至入侵者遠程獲取ADMIN。推 
薦的安全配置是建立三個邏輯驅動器，第一個大于2G，用來裝系統和重要的日志文 
件，第二個放IIS，第三個放FTP，這樣無論IIS或FTP出了安全漏洞都不會直接影響 
到系統目錄和系統文件。要知道，IIS和FTP是對外服務的，比較容易出問題。而把 
IIS和FTP分開主要是為了防止入侵者上傳程序并從IIS中運行。（這個可能會導致 
程序開發人員和編輯的苦惱，管他呢，反正你是管理員J）  
2．安裝順序的選擇：不要覺得：順序有什么重要？只要安裝好了，怎么裝都可以 
的。錯！win2000在安裝中有幾個順序是一定要注意的：  
首先，何時接入網絡：Win2000在安裝時有一個漏洞，在你輸入Administrator密碼 
后，系統就建立了ADMIN$的共享，但是并沒有用你剛剛輸入的密碼來保護它，這種 
情況一直持續到你再次啟動后，在此期間，任何人都可以通過ADMIN$進入你的機器 
；同時，只要安裝一完成，各種服務就會自動運行，而這時的服務器是滿身漏洞， 
非常容易進入的，因此，在完全安裝并配置好win2000 SERVER之前，一定不要把主 
機接入網絡。  
其次，補丁的安裝：補丁的安裝應該在所有應用程序安裝完之后，因為補丁程序往 
往要替換/修改某些系統文件，如果先安裝補丁再安裝應用程序有可能導致補丁不 
能起到應有的效果，例如：IIS的HotFix就要求每次更改IIS的配置都需要安裝（變 
不變態？）  
 
三、 安全配置WIN2000 SERVER  
即使正確的安裝了WIN2000 SERVER，系統還是有很多的漏洞，還需要進一步進行細 
致地配置。  
1．端口：端口是計算機和外部網絡相連的邏輯接口，也是計算機的第一道屏障， 
端口配置正確與否直接影響到主機的安全，一般來說，僅打開你需要使用的端口會 
比較安全，配置的方法是在網卡屬性-TCP/IP-高級-選項-TCP/IP篩選中啟用 
TCP/IP篩選，不過對于win2000的端口過濾來說，有一個不好的特性：只能規定開 
哪些端口，不能規定關閉哪些端口，這樣對于需要開大量端口的用戶就比較痛苦。 
  
2．IIS：IIS是微軟的組件中漏洞最多的一個，平均兩三個月就要出一個漏洞，而 
微軟的IIS默認安裝又實在不敢恭維，所以IIS的配置是我們的重點，現在大家跟著 
我一起來：  
首先，把C盤那個什么Inetpub目錄徹底刪掉，在D盤建一個Inetpub（要是你不放心 
用默認目錄名也可以改一個名字，但是自己要記得）在IIS管理器中將主目錄指向 
D:\Inetpub；  
其次，那個IIS安裝時默認的什么scripts等虛擬目錄一概刪除（罪惡之源呀，忘了 
http://www.target.com/scripts/..%c1%1c../winnt/system32/cmd.exe了？我們 
雖然已經把Inetpub從系統盤挪出來了，但是還是小心為上），如果你需要什么權 
限的目錄可以自己慢慢建，需要什么權限開什么。（特別注意寫權限和執行程序的 
權限，沒有絕對的必要千萬不要給）  
第三，應用程序配置：在IIS管理器中刪除必須之外的任何無用映射，必須指的是 
ASP, ASA和其他你確實需要用到的文件類型，例如你用到stml等（使用server  
side include），實際上90%的主機有了上面兩個映射就夠了，其余的映射幾乎每 
個都有一個凄慘的故事：htw, htr, idq, ida……想知道這些故事？去查以前的漏 
洞列表吧。什么？找不到在哪里刪？在IIS管理器中右擊主機->屬性->WWW服務 編 
輯->主目錄 配置->應用程序映射，然后就開始一個個刪吧（里面沒有全選的，嘿 
嘿）。接著在剛剛那個窗口的應用程序調試書簽內將腳本錯誤消息改為發送文本（ 
除非你想ASP出錯的時候用戶知道你的程序/網絡/數據庫結構）錯誤文本寫什么？ 
隨便你喜歡，自己看著辦。點擊確定退出時別忘了讓虛擬站點繼承你設定的屬性。 
  
為了對付日益增多的cgi漏洞掃描器，還有一個小技巧可以參考，在IIS中將 
HTTP404 Object Not Found出錯頁面通過URL重定向到一個定制HTM文件，可以讓目 
前絕大多數CGI漏洞掃描器失靈。其實原因很簡單，大多數CGI掃描器在編寫時為了 
方便，都是通過查看返回頁面的HTTP代碼來判斷漏洞是否存在的，例如，著名的 
IDQ漏洞一般都是通過取1.idq來檢驗，如果返回HTTP200，就認為是有這個漏洞， 
反之如果返回HTTP404就認為沒有，如果你通過URL將HTTP404出錯信息重定向到 
HTTP404.htm文件，那么所有的掃描無論存不存在漏洞都會返回HTTP200，90%的 
CGI掃描器會認為你什么漏洞都有，結果反而掩蓋了你真正的漏洞，讓入侵者茫然 
無處下手（武俠小說中常說全身漏洞反而無懈可擊，難道說的就是這個境界？）不 
過從個人角度來說，我還是認為扎扎實實做好安全設置比這樣的小技巧重要的多。 
  
最后，為了保險起見，你可以使用IIS的備份功能，將剛剛的設定全部備份下來， 
這樣就可以隨時恢復IIS的安全配置。還有，如果你怕IIS負荷過高導致服務器滿負 
荷死機，也可以在性能中打開CPU限制，例如將IIS的最大CPU使用率限制在70%。  
 
 
3．賬號安全：  
Win2000的賬號安全是另一個重點，首先，Win2000的默認安裝允許任何用戶通過空 
用戶得到系統所有賬號/共享列表，這個本來是為了方便局域網用戶共享文件的， 
但是一個遠程用戶也可以得到你的用戶列表并使用暴力法破解用戶密碼。很多朋友 
都知道可以通過更改注冊表 
Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous =  
1來禁止139空連接，實際上win2000的本地安全策略（如果是域服務器就是在域服 
務器安全和域安全策略中）就有這樣的選項RestrictAnonymous（匿名連接的額外 
限制），這個選項有三個值：  
0：None. Rely on default permissions（無，取決于默認的權限）  
1：Do not allow enumeration of SAM accounts and shares（不允許枚舉SAM帳 
號和共享）  
2：No access without explicit anonymous permissions（沒有顯式匿名權限就 
不允許訪問）  
0這個值是系統默認的，什么限制都沒有，遠程用戶可以知道你機器上所有的賬號 
、組信息、共享目錄、網絡傳輸列表(NetServerTransportEnum等等，對服務器來 
說這樣的設置非常危險。  
1這個值是只允許非NULL用戶存取SAM賬號信息和共享信息。  
2這個值是在win2000中才支持的，需要注意的是，如果你一旦使用了這個值，你的 
共享估計就全部完蛋了，所以我推薦你還是設為1比較好。  
 
好了，入侵者現在沒有辦法拿到我們的用戶列表，我們的賬戶安全了……慢著，至 
少還有一個賬戶是可以跑密碼的，這就是系統內建的administrator，怎么辦？我 
改改改，在計算機管理->用戶賬號中右擊administrator然后改名，改成什么隨便 
你，只要能記得就行了。  
不對不對，我都已經改了用戶名了，怎么還是有人跑我管理員的密碼？幸好我的密 
碼夠長，但是這也不是辦法呀？嗯，那肯定是在本地或者Terminal Service的登錄 
界面看到的，好吧，我們再來把 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\winlogon 
項中的Don’t Display Last User Name串數據改成1，這樣系統不會自動顯示上次 
的登錄用戶名。  
將服務器注冊表HKEY_LOCAL_ MACHINE\SOFTWARE\Microsoft\  
WindowsNT\CurrentVersion\Winlogon項中的Don't Display Last User Name串數 
據修改為1，隱藏上次登陸控制臺的用戶名。（哇，世界清靜了）  
　　  
5．安全日志：我遇到過這樣的情況，一臺主機被別人入侵了，系統管理員請我去 
追查兇手，我登錄進去一看：安全日志是空的，倒，請記住：Win2000的默認安裝 
是不開任何安全審核的！那么請你到本地安全策略->審核策略中打開相應的審核， 
推薦的審核是：  
賬戶管理 成功 失敗  
登錄事件 成功 失敗  
對象訪問 失敗  
策略更改 成功 失敗  
特權使用 失敗  
系統事件 成功 失敗  
目錄服務訪問 失敗  
賬戶登錄事件 成功 失敗  
審核項目少的缺點是萬一你想看發現沒有記錄那就一點都沒轍；審核項目太多不僅 
會占用系統資源而且會導致你根本沒空去看，這樣就失去了審核的意義。  
 
與之相關的是：  
在賬戶策略->密碼策略中設定：  
密碼復雜性要求 啟用  
密碼長度最小值 6位  
強制密碼歷史 5次  
最長存留期 30天  
在賬戶策略->賬戶鎖定策略中設定：  
賬戶鎖定 3次錯誤登錄  
鎖定時間 20分鐘  
復位鎖定計數 20分鐘  
 
同樣，Terminal Service的安全日志默認也是不開的，我們可以在Terminal  
Service Configration（遠程服務配置）-權限-高級中配置安全審核，一般來說只 
要記錄登錄、注銷事件就可以了。  
 
 
7.目錄和文件權限：  
為了控制好服務器上用戶的權限，同時也為了預防以后可能的入侵和溢出，我們還 
必須非常小心地設置目錄和文件的訪問權限，NT的訪問權限分為：讀取、寫入、讀 
取及執行、修改、列目錄、完全控制。在默認的情況下，大多數的文件夾對所有用 
戶（Everyone這個組）是完全敞開的（Full Control），你需要根據應用的需要進 
行權限重設。  
在進行權限控制時，請記住以下幾個原則：  
1>限是累計的：如果一個用戶同時屬于兩個組，那么他就有了這兩個組所允許的所 
有權限；  
2>拒絕的權限要比允許的權限高（拒絕策略會先執行）如果一個用戶屬于一個被拒 
絕訪問某個資源的組，那么不管其他的權限設置給他開放了多少權限，他也一定不 
能訪問這個資源。所以請非常小心地使用拒絕，任何一個不當的拒絕都有可能造成 
系統無法正常運行；  
3>文件權限比文件夾權限高（這個不用解釋了吧？）  
4>利用用戶組來進行權限控制是一個成熟的系統管理員必須具有的優良習慣之一；