Window2003服务器安全配置方案

1Window2003服务器安全配置方案江西省信息中心李新华前言：安全是相对的，安全防护不是追求一个永远也攻不破的安全技术，安全体系应能够保证在入侵发生，系统部分损失等较大风险产生时，关键任务不能中断，保持网络的生存能力。安全防护是有时效性的，今天的安全明天就不一定很安全，因为网络的攻防是此消彼长，道高一尺，魔高一丈的事情，尤其是安全技术，它的敏感性、竞争性以及对抗性都是很强的，这就需要不断的检查、评估和调整相应的策略。目录：第一节安装Windows2003Server第二节安装和配置IIS第三节FTP服务器架设第四节win2003系统安全设置第五节IIS安全设置第六节设置安全的虚拟主机访问权限第一节安装Windows2003Server一、注意授权模式的选择（每服务器，每客户）：建议选择“每服务器”模式，用户可以将许可证模式从“每服务器”转换为“每客户”，但是不能从“每客户”转换为“每服务器”模式。，以后可以免费转换为“每客户”模式。所谓许可证（CAL）就是为需要访问WindowsServer2003的用户所购买的授权。有两种授权模式：每服务器和每客户。每服务器：该许可证是为每一台服务器购买的许可证，许可证的数量由“同时”连接到服务器的用户的最大数量来决定。每服务器的许可证模式适合用于网络中拥有很多客户端，但在同一时间“同时”访问服务器的客户端数量不多时采用。并且每服务器的许可证模式也适用于网络中服务器的数量不多时采用。每客户：该许可证模式是为网络中每一个客户端购买一个许可证，这样网络中的客户端就可以合法地访问网络中的任何一台服务器，而不需要考虑“同时”有多少客户端访问服务器。该许可证模式适用于企业中有多台服务器，并且客户端“同时”访问服务器的情况较多时采用。微软在许可数上只是给了你一个法律上的限制，而不是技术上的。所以假如你希望服务器有更多的并发连接，只要把每服务器模式的数量改的大一些即可。这个数量会限制到windows中所有的网络应用，包括数据库。二、安装时候使用NTFS分区格式，设定好NTFS磁盘权限。C盘赋给administrators和system用户组权限，删除其他用户组，其它盘也可以同样设置。注意网站最好不要放置在C盘。Windows目录要加上给users的默认权限，否则ASP和ASPX等应用程序就无法运行。另外，还将c:\windows\system32目录下的一些DOS命令文件：net.exe，cmd.exe，tftp.exe，netstat.exe，regedit.exe，at.exe，attrib.exe，cacls.exe，这些文件都设置只允许administrators访问。另外在c:/DocumentsandSettings/这里相当重要，后面的目录里的权限根本不会继承从前的设置，如果仅仅只是设置了C盘给administrators权限，而在AllUsers/ApplicationData目录默认everyone用户有权限，这样入侵这可以跳转到这个目录，写入脚本或只文件，再结合其他漏洞来提升权限；譬如利用serv-u的本地溢出提升权限，或系统遗漏有补丁，数据库的弱点，甚至社会工程学等方法，在用做web/ftp服务器的系统里，建议是将这些目录都设置的限定好权限。2三、禁止不必要的服务和增强网络连接安全性把不必要的服务都禁止掉，尽管这些不一定能被攻击者利用得上，但是按照安全规则和标准上来说，多余的东西就没必要开启，减少一份隐患。在网络连接里，把不需要的协议和服务都删掉，这里只安装了基本的Internet协议（TCP/IP），由于要控制带宽流量服务，额外安装了Qos数据包计划程序。在高级tcp/ip设置里--NetBIOS设置禁用tcp/IP上的NetBIOS（S）。在高级选项里，使用Internet连接防火墙，这是windows2003自带的防火墙，在2000系统里没有的功能，虽然没什么功能，但可以屏蔽端口，这样已经基本达到了一个IPSec的功能。3注意：不推荐使用TCP/IP筛选里的端口过滤功能。譬如在使用FTP服务器的时候，如果仅仅只开放21端口，由于FTP协议的特殊性，在进行FTP传输的时候，由于FTP特有的Port模式和Passive模式，在进行数据传输的时候，需要动态的打开高端口，所以在使用TCP/IP过滤的情况下，经常会出现连接上后无法列出目录和数据传输的问题。所以在2003系统上增加的windows连接防火墙能很好的解决这个问题，所以都不推荐使用网卡的TCP/IP过滤功能。4第二节安装和配置IIS5一、仅安装必要的组件，选择Internet(信息服务IIS)即可。原则是网站需要组件功能才安装，比如ASP.NET或其它组件不需使用就不要安装。二、修改上传文件的大小Windowsserver2003服务器，当上传文件过大（超过200K）时，提示错误号2147467259。原因是IIS6.0默认配置把上传文件限制在200k，超过即出错。解决方法如下：首先，停止以下服务：IISadminserviceWorldWideWebPublishingServiceHTTPSSL然后找到：C:\Windows\system32\inesrv\metabase.xml\Windows\system32\inesrv\编辑文件metabase.xml(不要用写字板，要用记事本编辑，否则容易出错。)找到：ASPMaxRequestEntityAllowed默认为204800（200k），改成需要的！保存。最后，启动上面被停止的服务，就完成了！注：可能会碰到metabase.xml文件不能被保存，原因是你的服务未停干净，建议重启以后再进行上面的操作。第三节FTP服务器架设一、推荐使用Serv-U.FTP.Server.Corporate.v6.0.0.21.Serv-U最好不要使用默认安装路径，设置Serv-U的目录权限，只有管理员才能访问；2、启用Serv-U中的安全，serv-u的几点常规安全设置：选中BlockFTP_bounceattackandFXP。什么是FXP呢？通常，当使用FTP协议进行文件传输时，客户端首先向FTP服务器发出一个PORT命令，该命令中包含此用户的IP地址和将被用来进行数据传输的端口号，服务器收到后，利用命令所提供的用户地址信息建立与用户的连接。大多数情况下，上述过程不会出现任何问题，但当客户端是一名恶意用户时，可能会通过在PORT命令中加入特定的地址信息，使FTP服务器与其它非客户端的机器建立连接。虽然这名恶意用户可能本身无权直接访问某一特定机器，但是如果FTP服务器有6权访问该机器的话，那么恶意用户就可以通过FTP服务器作为中介，仍然能够最终实现与目标服务器的连接。这就是FXP，也称跨服务器攻击。选中后就可以防止发生此种情况。另外在Blockantitime-outschemes也可以选中。其次，在Advanced选项卡中，检查Enablesecurity是否被选中，如果没有，选择它们。3.可修改Serv-U的默认管理员名字和密码，默认端口也可以修改，详情见附录。第四节win2003系统安全设置1、将一些危险的服务禁止，特别是远程控制注册表服务及无用和可疑的服务。2、关闭机器上开启的共享文件，设置一个批处理文件删除默认共享。3、封锁端口黑客大多通过端口进行入侵，所以你的服务器只能开放你需要的端口以下是常用端口：80为Web网站服务；21为FTP服务；25为E-mailSMTP服务；110为EmailPOP3服务。其他还有SQLServer的端口1433等，不用的端口一定要关闭！关闭这些端口，我们可以通过Windows2003的IP安全策略进行。借助它的安全策略，完全可以阻止入侵者的攻击。你可以通过“管理工具→本地安全策略”进入，右击“IP安全策略”，选择“创建IP安全策略”，点[下一步]。输入安全策略的名称，点[下一步]，一直到完成，你就创建了一个安全策略：接着你要做的是右击“IP安全策略”，进入管理IP筛选器和筛选器操作，在管理IP筛选器列表中，你可以添加要封锁的端口，这里以关闭ICMP和139端口为例说明。关闭了ICMP，黑客软件如果没有强制扫描功能就不能扫描到你的机器，也Ping不到你的机器。关闭ICMP的具体操作如下：点[添加]，然后在名称中输入“关闭ICMP”，点右边的[添加]，再点[下一步]。在源地址中选“任何IP地址”，点[下一步]。在目标地址中选择“我的IP地址”，点[下一步]。在协议中选择“ICMP”，点[下一步]。回到关闭ICMP属性窗口，即关闭了ICMP。下面我们再设置关闭139，同样在管理IP筛选器列表中点“添加”，名称设置为“关闭139”，点右边的“添加”，点[下一步]。在源地址中选择“任何IP地址”，点[下一步]。在目标地址中选择“我的IP地址”，点[下一步]。在协议中选择“TCP”，点[下一步]。在设置IP协议端口中选择从任意端口到此端口，在此端口中输入139，点[下一步]。即完成关闭139端口，其他的端口也同样设置然后进入设置管理筛选器操作，点“添加”，点[下一步]，在名称中输入“拒绝”，点[下一步]。选择“阻止”，点[下一步]。然后关闭该属性页，右击新建的IP安全策略“安全”，打开属性页。在规则中选择“添加”，点[下一步]。选择“此规则不指定隧道”，点[下一步]。在选择网络类型中选择“所有网络连接”，点[下一步]。在IP筛选器列表中选择“关闭ICMP”，点[下一步]。在筛选器操作中选择“拒绝”，点[下一步]。这样你就将“关闭ICMP”的筛选器加入到名为“安全”的IP安全策略中。同样的方法，你可以将“关闭139”等其他筛选器加入进来。最后要做的是指派该策略，只有指派后，它才起作用。方法是右击“安全”，在菜单中选择“所有任务”，选择“指派”。IP安全设置到此结束，你可根据自己的情况，设置相应的策略。第五节IIS安全设置1、删掉c:/inetpub目录，删除iis不必要的映射。2、使用虚拟主机的每个web站点都应该新建单独的IIS来宾用户。73、IIS为每个虚拟主机设置来宾帐号，这样即使一个网站由于后台漏洞被入侵也不会波及整台服务器,整个服务器管理权限不会沦陷。4、IIS管理后台设置限定IP地址访问,仅仅开放需要进入后台的IP。5、IIS管理器内一些文件夹内只有图片并没有程序（例如image、pic），可将其运行权限设置为无（默认可运行脚本）。6、将IIS日志默认保存位置修改至其它分区，防止黑客入侵后删除安全事件及web日志。7、防止ASP木马程序入侵的三种办法：1）上传目录的权限选择无执行权限，即使上传木马也会因无执行权限而入侵失败。访问时可执行文件的ASP显示：82）上传的文件加上IP地址限制，只允许信息员机器IP地址访问。a.目录限定：9b.文件限定：10113）在上传文件中增加验证程序，比如：!--#includeFILE=../admin/check.asp--这样打开页面即提示：4）加入防注入代码，在上传文件入口处或关键程序中增加一行代码调用防注入程序，可以登陆后台对防注入程序进行管理，查看入侵扫描信息。代码不要放在首页，这样影响网站打开速度，网站首页的ASP代码要尽可能少，最好已经是HTML，调用数据库内容太多会影响网站速度。12登陆后台页面入侵信息记录13在防注入系统后台系统设置中推荐采用“直接关闭网页”。锁定IP可以封扫描IP，但不推荐使用，以防误操作一个局域网段的internet出口地址全部被封。这个自己在使用中可以慢慢体会。5）使用从网上摘抄的源代码后台需要对其进行改动，尤其是上传文件名，比如upfile.asp改为jxic-upfile.asp。第六节设置安全的虚拟主机访问权限由于公网IP数量紧张，多个站点在一台服务器已经很普遍，对于拥有虚拟站点的主机，我们要设置好用户的访问权，同时对于有子网站的用户，单列出一个主机头，使用自己的虚拟目录，这样在子网站存在漏洞被黑客入侵时也很难跨站入侵。一、新建web网