发信人: tiancai (残月), 信区: Windows
标 题: 我们该为千疮百孔的NT做些什么?(转
发信站: 哈工大紫丁香 (Tue Jul 18 03:08:52 2000) , 转信
我们该为千疮百孔的NT做些什么?
by ADAM
如何配置一台NT(我在这里讲的NT是指Windows NT
4.0版)对大家来说不是一件很困难的事, 可是要配置
一台安全性高的NT可就不那么容易了,作为一个好的系
统管理人员,一定要学会怎么让你手中的NT 4达到微软
所说的C2级。下面的几点大家可以作为一点借鉴:
* 最重要的一点,经常看看一些安全站点,使用最新的
Service Pack并时常打一些微软发布的小补丁。
* 硬盘最好Format 成NTFS格式,如果你现在使用的是
FAT的文件格式,赶快用convert.exe转换成
NTFS格式吧。
* 关闭NTFS的8.3格式文件识别,这需要在HKEY_LOCAL_MACHINE\SYSTEM \CurrentControl
Set\ Control\FileSystem 中将NtfsDisable8dot3NameCreation的值设为“1”。
* 系统启动的等待时间设置为0秒,控制面板->系统->
启动/关闭,然后将列表显示的默认值“30”改为“0”。
* 将你的Web服务器设置为独立的服务器,减少能登陆
到你的服务器的用户,也能提高不少安全级别。
* Remove 你NT服务器上的其他系统OS/2,Linux……,以免他人从别的系统上修改你的NT
系统。
* 删除你的网络共享,你可以使用这样的命令net share /d,那些为了管理而设置的共享
就必须通过修
改注册表的方法来实现了,HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Se
rvices\LanmanServer\Parameters 的 AutoShareServer设置为0。
* 严格审核Success/Failed Logon/Logoff日志,修改办法:域用户管理器->规则->审核。
* 隐藏上次登陆用户名,修改注册表HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\Windows
NT\Current Version\Winlogon 中的 DontDisplayLastUserName改为0。
* 在你的logon对话框中把"Shutdown"按钮移走,修改
注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\Current Version\Winlogon
中的 ShutdownWithoutLogon改为0。
* 设定用户的口令长度,一般可以设到9位,密码位数
到了这个数字再被猜出的可能性就很小了;
关闭guest帐号,将Administrator帐号改名,并为管
理员设置一个强壮的口令。
* Windows NT 有这样一个特征,他允许未认证的用户
进入网络列举域内用户,如果你要禁止这 个功能,修改HKEY_LOCAL_MACHINE\SYSTEM\Cur
rentControlSet\Control\LSA 中的 RestrictAnonymous ,将它的值改为1。
* 只有管理员能分配打印机和盘符,要完成这个功能必
须使用Windows NT Resource Kit中的一 个工具C2Conifg才可以完成。
* 注册表允许远程修改,这么做是危险的,最好是禁
止,但这样也许会给你带来些许的不方便,自己权衡一下吧。
* 最好不要绑定BetBIOS服务,以免被人使用Nbtstat等工具取得服务器的信息。
* 禁止IP转发,设置办法:控制面板->网络->协议->TCP/IP协议->属性,使这个选框为空
。
* 配置TCP/IP过滤,这样做你可能有很多服务被禁
止,但可以减少许多许多不必要的麻烦,具体配置的方
法是:控制面板->网络->协议-.TCP/IP协议->属性->
高级->启用安全机制->配置,你可以这样配置:TCP
Ports 80和443(SSL的端口);不允许UDP端口;IP协
议6,这是一个典型的安全配置,推荐使用,但是,一
定要知道你必须的其他服务的端口号并开启它,不然你
的服务也就被禁止了。
* 不妨运行一下SYSKEY程序,加密你的帐号数据库。
* 把一些工具从你的NT目录中转移到一个安全的目录,例如:cmd.exe,net.exe,telnet
.exe,
ftp.exe ……
这些就是NT 4的一些安全配置,如果你对你的服务器安
全有较高的要求,这可以作为一个借鉴,也许我还遗忘
了一些什么,希望大家能及时和我联系(adam@chinaasp.com)。
下面,我再谈谈NT 4的搭档IIS 4.0的一些安全配置方法。
* 首先是安装一个能满足你需要的最小的IIS
* 设置正确的Server访问控制权限
.EXE, .CGI,.DLL, .CMD, .PL 权限设置Everyone (X),Administrators (Full Control
), System (Full Control).ASP 的权限设置 Everyone (X),Administrators (Full Co
ntrol),System (Full Control) .INC, .SHTML, .SHTM 的权限设置Everyone (X),Admi
nistrators (Full Control),System (Full Control) .HTML, .GIF, .JPEG的权限设置
Everyone (R),Administrators (Full Control),System (Full Control) 。
* 正确设置虚拟目录,建议把默认安装后的那些虚拟目
录删除IIS --c:\inetpub\iissamples,
IIS SDK--c:\inetpub\iissamples\sdk,Admin Scripts--c:\inetpub\AdminScripts,Da
ta access--c:\Program Files\Common Files\System\msadc\Samples,这些目录将给你的
系统带 来不必要的麻烦。
* 正确设置IIS日志访问权限,ACL:Administrators (Full Control),System (Full Co
ntrol)。
* 适当地设置IP拒绝访问列表,防止有些讨厌的家伙攻击你的Server。
* 设置并使用Secure Sockets Layer
* 删除一些你用不上的组件,regedit XXX.dll /u。
* 删除这个虚拟目录IISADMPWD,因为它允许你重新设
置你的管理员口令,实在是比较危险, 还是不要的好。
* 删除一些不必要的Scipt Mapping,象.htr,.idc,. shtm, .stm, .shtml,都可以在IIS
服务
管理器删除。
* 禁止RDS的支持,因为最近发现了一个他的bug,所
以最好还是禁用的好,禁用办法:删除注册表中这三个键,HKEY_LOCAL_MACHINE\SYSTEM\
CurrentControlSet\Services\W3SVC\ Parameters\ADCLaunch\ RDSServer.DataFactory
;HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\ADCLau
nch\ AdvancedDataFactory ;HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service
s\W3SVC\Parameters\ADCLaunch\ VbBusObj.VbBusObjCls 。
* 使用IIS登陆日志,每天记录客户IP地址,用户名,服务器端口,方法,URI字根,HTTP
状态, 用户代理。
* 在你的ASP页面中加入对<FORM>输入的检测,避免恶
意的攻击者输入一些管道符从而破坏你的 机器。
* 禁止"Parent Paths",也就是不让别人用".."来
访问你的上一层目录,设置 办法:站点属性->主目录-
>配置->应用程序选项->启用上层目录,将它disable就可以了。
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters 的 SSI
EnableCmdDirective设置为1禁止远程调用command shell。
请注意,请你在修改你的注册表之前对你的系统做好备
份,以防出现异常情况的时候可以进行恢复。
本文根据国外文章改编而成,根据国内的情况略有删
除,如果你有什么不同的意见请mail to: adam@chinaasp.com,同时也希望您能参加讨论
。
附件:
(0 字节)
附件:
(0 字节)
附件:
(0 字节)
附件:
(0 字节)
附件:
(0 字节)
附件:
(0 字节)
附件:
(0 字节)