日归档：2004 九月-15

转自<Hoky Security Team> 在用户安全设置方面 1. 禁用Guest账号。不论工作组模式还是域模式，都应该禁用此账号。惟一的例外就是极少数量（10台以下）的机器之间用网上邻居互访共享文件夹，且不和公网相连，可以继续保持此账号。 　　2. 限制不必要的用户。此时需注意： 　　（1）在工作组模式中，默认账号有Administrator、Guest。如果要用IIS（Internet Information Server）建设各类站点，则IUSER＿computername和IWAM＿computername也是默认账号，不能停用。因前者是IIS匿名访问账号，后者是IIS匿名执行脚本的账号。这两个账号默认有密码，是由系统分配的，用户不要更改其密码，更不要删除，否则IIS不能匿名访问和执行脚本；如果有终端服务则TsInternetUser也是默认账号，不能停用。 　　（2）在域模式中，Administrator组中会增加Domain Admins和Enterprise Admins两个组中的成员，另外还会有Krbtgt账号，默认是被禁用的，这个账号是密钥分发账号。 　　3. 开启用户策略。其中有用户锁定阀值设置，将它设置为多少才合适呢？用户在登录时，Windows会采用加密协议加密用户的用户名和密码。在域环境中，如果只是单纯的系统（即什么软件都不装），用户进行登录时，Windows会尝试用Kerbos协议验证，不成功则会再用Ntlm验证，此时的验证的方式有两种；如果该账户同时又是Outlook的用户，验证的方式将有6种之多，也就是说用户在登录时如果密码输入错误，一次登录就要浪费掉6次账户锁定值。因此，微软技术支持中心的工程师建议将这个锁定值设置为13，这样才可以实现错误输入密码3次再锁定账户的目的。 　　在密码安全设置方面 　　在给账号设置密码时，不是密码位数越多越好，在符合密码复杂性原则的基础上，7位和14位的密码是最好的。这个结论是微软全球技术支持中心的工程师给出的，它是由密码所采用的加密算法决定的。 　　有一点大家需注意：屏幕保护存在一个安全漏洞，即他人可以在不进入系统的情况下，利用DOS模式将Cmd.exe命令更名为你所选用的屏幕保护程序的名称而将其替换掉。此后，只要这个"屏幕保护程序"一运行，Cmd窗口就会弹出且以系统身份运行，默认是最大权限。因此，采用设置屏幕保护密码的做法并不安全，正确的做法应是网管员离开工位时要锁定计算机（Windows 2000下，按Ctrl＋Alt＋Del，在弹出的"关机"菜单中选择"锁定计算机"即可）。 　在系统安全设置方面 　　1. 使用NTFS格式分区。NTFS分区要比FAT分区安全很多，且只有使用NTFS分区才能真正发挥Windows 2000的作用。Windows 2000自带了转换NTFS分区的工具Convert。在命令提示符下执行Convert x /FSNTFS（x为所要转换的盘符），执行时如果转换的是非操作系统所在分区，则立即执行分区转换；如果转换的是操作系统所在分区，则重启后执行分区转换。注意：此转换过程是单向不可逆的，即只能由FAT转换至NTFS。虽然可用第三方工具做分区格式之间的转换，但这样做不能保证绝对安全，在某些情况下会导致分区不可用，所以建议只用Convert命令来转换分区格式；如果非要用第三方工具，一定要事先做好备份。另外，据我个人经验，并不需要将所有分区都做成NTFS分区，而应保留一个分区为FAT32，用于存放一些常用工具，并可方便Ghost备份。 　　2. 到微软网站下载最新的补丁程序。强烈建议！这是每一个网络管理员都应该有的好习惯。这里说明一点：微软每隔一定时间推出的Servicespacks是针对近期推出的Hotfix的综合，如果你经常做Hotfix补丁，那么当后一版的Servicespacks推出后可能会和你的Hotfix冲突。因为Servicespacks也是要经过测试的，而测试阶段可能又有新的Hotfix推出，当你做了新的Hotfix补丁后再打旧版的Servicespacks补丁时就会产生冲突。 　　3. 关闭默认共享。这里必须要修改注册表，否则每次重启之后默认共享还会出现。在注册表"HKEY＿LOCAL＿MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run"下，在右栏空白位置点击鼠标右键，选择"新建"，再选"字符串值"，名称中输入："delipc＄"，这里的名字可以随便取，然后双击它就会弹出一个窗口来，输入："net share ipc＄ /del"，下次开机就可自动删掉默认共享。修改注册表后需要重新启动机器。同样的方法还可以删掉AMDIN＄。 　　4. 锁住注册表。Windows 2000提供了一个叫Regedt32.exe的工具，它也是一个注册表编辑器。与Regedit.exe不同的是它有一个"安全"选项，可以给注册表的每一个键值设置权限。因此用户可以将许多敏感的键值赋权，例如设置成只有Administrator才能读取和修改，不给其他人可乘之机。 　　在服务安全设置方面 　　1. 关闭不必要的端口。可惜Windows … 继续阅读 →

转自<Hoky Security Team> 摘要] 针对NT主要漏洞予以搜集整理，同时，站在整体的高度，从系统安装、设置、服务的设置的角度，力图找出一套用NT建立安全的Web服务器的解决方案来。（说明：本方案主要是针对建立Web站点的NT、2000服务器安全，对于局域网内的服务器并不合适。） [关键词] NT/2000安装、NT/2000设置、ⅡS设置 一、 NT/2000安装： 不论是NT还是2000，硬盘分区均为NTFS分区； 说明： （1） NTFS比FAT分区多了安全控制功能，可以对不同的文件夹设置不同的访问权限，安全性增强。 （2） 建议最好一次性全部安装成NTFS分区，而不要先安装成FAT分区再转化为NTFS分区，这样做在安装了SP5和SP6的情况下会导致转化不成功，甚至系统崩溃。 （3） 安装NTFS分区有一个潜在的危险，就是目前大多数反病毒软件没有提供对软盘启动后NTFS分区病毒的查杀，这样一旦系统中了恶性病毒而导致系统不能正常启动，后果就比较严重，因此及建议平时做好防病毒工作。 只安装一种操作系统； 说明：安装两种以上操作系统，会给黑客以可乘之机，利用攻击使系统重启到另外一个没有安全设置的操作系统（或者他熟悉的操作系统），进而进行破坏。 安装成独立的域控制器（Stand Alone）,选择工作组成员，不选择域； 说明：主域控制器（PDC）是局域网中队多台联网机器管理的一种方式，用于网站服务器包含着安全隐患，使黑客有可能利用域方式的漏洞攻击站点服务器。 将操作系统文件所在分区与WEB数据包括其他应用程序所在的分区分开，并在安装时最好不要使用系统默认的目录，如将\WINNT改为其他目录； 说明：黑客有可能通过WEB站点的漏洞得到操作系统对操作系统某些程序的执行权限，从而造成更大的破坏。 安装操作系统最新的补丁程序，NT目前为SP6，2000目前为SP4；在NT下，如果安装了补丁程序，以后如果要从NT光盘上安装新的Windows程序,都要重新安装一次补丁程序， 2000下不需要这样做。 说明： （1） 最新的补丁程序，表示系统以前有重大漏洞，非补不可了，对于局域网内服务器可以不是最新的，但站点必须安装最新补丁，否则黑客可能会利用低版本补丁的漏洞对系统造成威胁。这是一部分管理员较易忽视的一点； （2） 安装NT的SP5、SP6有一个潜在威胁，就是一旦系统崩溃重装NT时，系统将不会认NTFS分区，原因是微软在这两个补丁中对NTFS做了改进。只能通过Windows 2000安装过程中认NTFS，这样会造成很多麻烦，建议同时做好数据备份工作。 （3） 安装Service Pack前应先在测试机器上安装一次，以防因为例外原因导致机器死机，同时做好数据备份。 尽量不安装与WEB站点服务无关的软件； 说明：其他应用软件有可能存在黑客熟知的安全漏洞。 二、 NT/2000设置： 帐号策略： … 继续阅读 →

转自<Hoky Security Team> 如何用IIS建立高安全性Web服务器来源:WWW.CNSAFE.NET　 　　 IIS（Internet Information Server）作为当今流行的Web服务器之一，提供了强大的Internet和Intranet服务功能，如何加强IIS的安全机制，建立一个高安全性能的Web服务器，已成为IIS设置中不可忽视的重要组成部分。 　　本文将通过以下两个方面来阐述加强IIS安全机制的方法。 一、 以Windows NT的安全机制为基础 　　作为运行在 Windows NT操作系统环境下的IIS，其安全性也应建立在Windows NT安全性的基础之上。 　　1.应用NTFS文件系统 　　NTFS可以对文件和目录进行管理，而FAT（文件分配表）文件系统只能提供共享级的安全，建议在安装Windows NT时使用NTFS系统。 　　2.共享权限的修改 　　在缺省情况下，每建立一个新的共享，其everyone用户就能享有"完全控制"的共享权限，因此，在建立新共享后要立即修改everyone缺省权限。 　　3.为系统管理员账号更名 　　域用户管理器虽可限制猜测口令的次数，但对系统管理员账号却用不上，这可能给非法用户带来攻击管理员账号口令的机会，通过域用户管理器对管理员账号更名不失为一种好办法。具体设置如下： 　　（1） 启动"域用户管理器"； 　　（2） 选中管理员账号； 　　（3） 启动"用户"选单下的"重命名"对其进行修改。 　　4.废止TCP/IP上的NetBIOS 　　管理员可以通过构造目标站NetBIOS名与其IP地址之间的映像，对Internet上的其他服务器进行管理，非法用户也可从中找到可乘之机。如果这种远程管理不是必须的，应立即废止（通过网络属性的绑定选项，废止NetBIOS与TCP/IP之间的绑定）。 二、 设置IIS的安全机制 　　1.安装时应注意的安全问题 　　（1）避免安装在主域控制器上 　　在安装IIS之后，将在安装的计算机上生成IUSR_Computername匿名账户，该账户被添加到域用户组中，从而把应用于域用户组的访问权限提供给访问Web服务器的每个匿名用户，这不仅给IIS带来巨大的潜在危险，而且还可能牵连整个域资源的安全，要尽可能避免把IIS安装在域控制器上，尤其是主域控制器。 　　（2）避免安装在系统分区上 　　把IIS安放在系统分区上，会使系统文件与IIS同样面临非法访问，容易使非法用户侵入系统分区。 　　2.用户控制的安全性 　　（1）匿名用户 … 继续阅读 →

转自<Hoky Security Team> 用NT（2000）建立的WEB站点在所有的网站中占了很大一部分比例，但NT的安全问题也一直比较突出，使得一些每个基于NT的网站都有一种如履薄冰的感觉，然而微软并没有明确的坚决方案，只是推出了一个个补丁程序，各种安全文档上对于NT的安全描述零零碎碎，给人们的感觉是无所适从。于是，有的网管干脆什么措施也不采取，有的忙着下各种各样的补丁程序，有的在安装了防火墙以后就以为万事大吉了。这种现状直接导致了大量网站的NT安全性参差不齐。只有极少数NT网站有较高的安全性，大部分网站的安全性很差。为此，瑞星公司决心对NT主要漏洞予以搜集整理，同时，站在整体的高度，力图找出一套用NT建立安全站点的解决方案来，让用户放心使用NT（2000）建立WEB站点。 解决方案：（说明：本方案主要是针对建立Web站点的NT、2000服务器安全，对于局域网内的服务器并不合适。） 一、 安装： 1.不论是NT还是2000，硬盘分区均为NTFS分区； 说明： （1） NTFS比FAT分区多了安全控制功能，可以对不同的文件夹设置不同的访问权限，安全性增强。 （2） 建议最好一次性全部安装成NTFS分区，而不要先安装成FAT分区再转化为NTFS分区，这样做在安装了SP5和SP6的情况下会导致转化不成功，甚至系统崩溃。 （3） 安装NTFS分区有一个潜在的危险，就是目前大多数反病毒软件没有提供对软盘启动后NTFS分区病毒的查杀，这样一旦系统中了恶性病毒而导致系统不能正常启动，后果就比较严重，因此及建议平时做好防病毒工作。 2.只安装一种操作系统； 说明：安装两种以上操作系统，会给黑客以可乘之机，利用攻击使系统重启到另外一个没有安全设置的操作系统（或者他熟悉的操作系统），进而进行破坏。 3.安装成独立的域控制器（Stand Alone）,选择工作组成员，不选择域； 说明：主域控制器（PDC）是局域网中队多台联网机器管理的一种方式，用于网站服务器包含着安全隐患，使黑客有可能利用域方式的漏洞攻击站点服务器。 4.将操作系统文件所在分区与WEB数据包括其他应用程序所在的分区分开，并在安装时最好不要使用系统默认的目录，如将\WINNT改为其他目录； 说明：黑客有可能通过WEB站点的漏洞得到操作系统对操作系统某些程序的执行权限，从而造成更大的破坏。 5.Windows程序,都要重新安装一次补丁程序， 2000下不需要这样做。 说明： （1） 最新的补丁程序，表示系统以前有重大漏洞，非补不可了，对于局域网内服务器可以不是最新的，但站点必须安装最新补丁，否则黑客可能会利用低版本补丁的漏洞对系统造成威胁。这是一部分管理员较易忽视的一点； （2） 安装NT的SP5、SP6有一个潜在威胁，就是一旦系统崩溃重装NT时，系统将不会认NTFS分区，原因是微软在这两个补丁中对NTFS做了改进。只能通过Windows 2000安装过程中认NTFS，这样会造成很多麻烦，建议同时做好数据备份工作。 （3） 安装Service Pack前应先在测试机器上安装一次，以防因为例外原因导致机器死机，同时做好数据备份。 6.尽量不安装与WEB站点服务无关的软件； 说明：其他应用软件有可能存在黑客熟知的安全漏洞。 二、 NT设置： 1.帐号策略： （1）帐号尽可能少，且尽可能少用来登录； 说明：网站帐号一般只用来做系统维护，多余的帐号一个也不要，因为多一个帐号就会多一份被攻破的危险。 … 继续阅读 →

转自<Hoky Security Team> Win2K操作系统的一个主要特色就是将IIS融入其内核之中，并提供一些用来配置和维护软件的向导工具，使构建一个Internet网站轻松易得。但是，如果要创建一个安全可靠的Internet网站，实现"地面部分"－Win2K操作系统和"空中部分"－IIS的双重安全，还需要更加全面和深入的工作。本文就对这些稳固工作中的地面部分－Win2K操作系统进行讨论，旨在帮助管理员一步步地实施网站安全构建工作。 一、安全思想先行 所谓兵马未发，粮草先行，在安装和配置一个Internet服务器之前，首先要从思想上对安全工作有个全局认识，至少应该考虑好以下几个方面的内容： 1、编制计划 编制安装计划的过程本身就可以作为一篇论文深加论述，这里只做概要介绍。保护Internet服务器安全需要详尽的计划，这不是指在安装过程中弹出菜单时确定选择哪一个项目，而是要仔细确定系统的功能和目标，最终成为安装的路标、排除故障的向导、服务器安装及网络边界情况的基础文档。如果需要安装计划编制方面的基础性方针资料，可以参考RFC手册之2196项"站点安全手册"，地址是：http://www.faqs.org/rfcs/rfc2196.html。 2、设计策略 除了确定服务器将执行那些功能，还需要确定谁能访问服务器、在服务器上存储什么数据以及在出现各种情况时应该采取哪些措施。这就是策略的制定。实际上，策略定义了一个组织的服务器与接受它的服务和数据的Internet公众之间的交互作用细节。真正安全的站点必须具有适当的策略。关于策略的设计，同样请参考RFC手册之2196项"站点安全手册"。 3、访问控制 这方面是指对服务器的访问权，主要包括三类： ● 物理访问控制：指实际接触和操作服务器控制台的能力。如果攻击者取得了物理访问权，就可以绕过许多安全措施，整个安全计划将出现一个大大的漏洞！ ● 系统访问控制：确定哪些组或个人账号对系统拥有何种权限，例如备份和恢复数据、向Web 服务器发布文档、管理账户或组。 ● 网络访问控制：网络访问控制规定了内部网与Internet相互作用的权限，例如端口访问、数据读取、服务使用等等。不仅仅要考虑到外部的入侵行为，还要设想到内部的敌人攻击。为此，一般将服务器放于DMZ区域内。一个DMZ（Demilitarized Zone）就是一个孤立的网络，可以把不信任的系统放在那里。例如，我们希望任何人都能访问Web和Email服务器，所以它们就是不能信任的；将它们放在DMZ中特别关照，就可对来自内部和外部的访问都进行限制。 三、Win2K安装后要重点考虑的安全配置信息 操作系统安装完毕后，建议执行如下安全配置： 1、安装微软高级加密包（Microsoft High Encryption Pack），将服务器升级为128位加密。 默认状态下，服务器软件的加密状态处于较低级别，我们必须手工将其配置为128位加密。而且，这项工作应该在创建帐号和组之前进行，这样就可以保证在服务器上创建的所有项目都是128位加密级别的。 2、安装最新的SP软件包和Hotfixes 微软的产品是老裁缝做的，不打补丁不漂亮的，所以管理员们要经常访问以下地址看看是否又有新补丁面世： http://www.microsoft.com/windows2000/downloads/default.asp 这个地址包含了大量关于Win2K的信息，对日常管理Win2K服务器非常有参考价值。关于HotFixes有一点需要注意：只在系统需要的时候才安装相应HotFix。因为，并不是每个服务器都需要所有的HotFix，其中有一些hotfix修复的漏洞只存在于某些特定配置中。 3、对系统服务的启动方式重新进行规划 默认状态下，许多服务都随系统启动而启动。但由于有些服务因为启动帐号身份的权限过大，有可能埋下安全隐患地雷，因此必须对所有服务的启动方式进行重新规划。规划的原则应该是：除非绝对必要，关闭该服务。 以下是我们认为应该处于"自动"启动状态的基本服务： ● DNS Client：如果服务器需要主动与其它服务器进行通信，就需要这个服务。许多Web服务器仅仅是对请求进行应答而自身并不发出请求，这时就不需要DNS Client了。 ● Event … 继续阅读 →