其次,注意补丁的安装。补丁应该在所有应用程序安装完之后再安装,因为补丁程序往往要替换或修改某些系统文件,如果先安装补丁的话可能无法起到应有的效果。
怎么设
即使正确地安装了WIN2K Server,系统也有很多漏洞,还需要进一步进行细致的配置。
一、 端口
端口是计算机和外部网络相连的逻辑接口,也是计算机的第一道屏障,端口配置正确与否直接影响到主机的安全。
二、 IIS
IIS是微软的组件中问题最多的一个,平均两三个月就要出一个漏洞,而微软的IIS默认安装又实在不敢恭维,所以IIS的配置是我们的重点。
首先,删除C盘下的Inetpub目录,在D盘建一个Inetpub,在IIS管理器中将主目录指向D:Inetpub。
其次,把IIS安装时默认的scripts等虚拟目录也一概删除,如果你需要什么权限的目录可以以后再建(特别注意写权限和执行程序的权限)。
然后是应用程序的配置。在IIS管理器中把无用映射都统统删除(当然必须保留如ASP、ASA等)。在IIS管理器中“主机→属性→WWW服务编辑→主目录配置→应用程序映射”,然后开始一个个删吧。接着再在应用程序调试书签内,将“脚本错误消息”改为“发送文本”。点击“确定”退出时别忘了让虚拟站点继承刚才设定好的属性。
最后,为了保险起见,可以使用IIS的备份功能,将刚刚的设定全部备份下来,这样就可以随时恢复IIS的安全配置。还有,如果怕IIS负荷过高导致服务器死机,也可以在性能中打开CPU限制,如将IIS的最大CPU使用率限制在70%。
三、 账号安全
首先,WIN2K的默认安装允许任何用户通过空用户得到系统所有账号和共享列表,这本来是为了方便局域网用户共享资源和文件的,但是,同时任何一个远程用户也可以通过同样的方法得到你的用户列表,并可能使用暴力法破解用户密码给整个网络带来破坏。很多人都只知道更改注册表Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous = 1来禁止空用户连接,实际上WIN2K的本地安全策略里(如果是域服务器就是在域服务器安全和域安全策略里)就有这样的选项RestrictAnonymous(匿名连接的额外限制),其中有三个值:
“0”:None, Rely on default permissions(无,取决于默认的权限)
“1”:Do not allow enumeration of SAM accounts and shares(不允许枚举SAM账号和共享)
“2”:No access without explicit anonymous permissions(没有显式匿名权限就不允许访问)
“0”这个值是系统默认的,没有任何限制,远程用户可以知道你机器上所有的账号、组信息、共享目录、网络传输列表(NetServerTransportEnum)等,对服务器来说这样的设置非常危险。“1”这个值是只允许非NULL用户存取SAM账号信息和共享信息。“2”这个值只有WIN2K才支持,需要注意的是,如果使用了这个值,就不能再共享资源了,所以还是推荐把数值设为“1”比较好。
四、 安全日志
这里需要注意:WIN2K的默认安装是不开任何安全审核的!那么就应该到“本地安全策略→审核策略”中打开相应的审核,这里需要说明的是,审核项目如果太少的话,你万一想查看的时候发现没有记录那就一点办法都没有,但是审核项目如果太多,不仅会占用大量的系统资源,而且你也可能根本没空去全部看完,这样就失去了审核的意义。推荐的审核如下:
“账户管理”、“登录事件”、“策略更改”、“系统事件”、“账户登录事件”需要把“成功”和“失败”都打开;“对象访问”、“特权使用”、“目录服务访问”就只打开“失败”。
