關於NT/2000建立安全WEB站點的解決方案

[psac]

作者：WarnRay（Chinaboy）



整理：

瞼哞T（2000）建立的WEB站點在所有的網站中佔了很大一部分比例，但NT的安全問題也一直比較突出，使得一些每個關於NT的網站都有一種如履薄冰的感覺，然而微軟並沒有明確的堅決方案，只是推出了一個個修正檔程序，各種安全我的文件上對於NT的安全描述零零碎碎，給人們的感覺是無所適從。於是，有的網管乾脆什麼措施也不採取，有的忙著下各種各樣的修正檔程序，有的在安裝了防火牆以後就以為萬事大吉了。這種現狀直接導致了大量網站的NT安全性參差不齊。只有極少數NT網站有較高的安全性，大部分網站的安全性很差。為此，瑞星公司決心對NT主要漏洞予以搜集整理，同時，站在整體的高度，力圖找出一套用NT建立安全站點的解決方案來，讓用戶放心使用NT（2000）建立WEB站點。
繡悃M方案：（說明：本方案主要是針對建立Web站點的NT、2000伺服器安全，對於區域網路內的伺服器並不合適。）

瞻@、 安裝：

瞻ˊ蚻ONT還是2000，硬碟分區均為NTFS分區；
罈〝：
癒]1） NTFS比FAT分區多了安全控制功能，可以對不同的資料夾設定不同的訪問權限，安全性增強。
癒]2） 建議最好一次性全部安裝成NTFS分區，而不要先安裝成FAT分區再轉化為NTFS分區，這樣做在安裝了SP5和SP6的情況下會導致轉化不成功，甚至系統崩潰。
癒]3） 安裝NTFS分區有一個潛在的危險，就是目前大多數反病毒軟體沒有提供對軟碟啟動後NTFS分區病毒的查殺，這樣一旦系統中了惡性病毒而導致系統不能正常啟動，後果就比較嚴重，因此及建議平時做好防病毒工作。

瞼u安裝一種操作系統；
罈〝：安裝兩種以上操作系統，會給黑客以可乘之機，利用攻擊使系統重啟到另外一個沒有安全性設定的操作系統（或者他熟悉的操作系統），進而進行破壞。

礎w裝成獨立的域控制器（Stand Alone）,選項工作組成員，不選項域；
罈〝：主域控制器（PDC）是區域網路中隊多台糧s網機器管理的一種方式，用於網站伺服器包含著安全隱患，使黑客有可能利用域方式的漏洞攻擊站點伺服器。

簣N操作系統檔案所在分區與WEB資料包括其他應用程式所在的分區分開，並在安裝時最好不要使用系統預設的目錄，如將\WINNT改為其他目錄；
罈〝：黑客有可能通過WEB站點的漏洞得到操作系統對操作系統某些程序的執行權限，從而造成更大的破壞。

礎w裝操作系統最新的修正檔程序，NT目前為SP6，2000目前為SP2；在NT下，如果安裝了修正檔程序，以後如果要從NT光碟上安裝新的Windows程序,都要重新安裝一次修正檔程序， 2000下不需要這樣做。
罈〝：

癒]1） 最新的修正檔程序，表示系統以前有重大漏洞，非補不可了，對於區域網路內伺服器可以不是最新的，但站點必須安裝最新修正檔，否則黑客可能會利用低版本修正檔的漏洞對系統造成威脅。這是一部分管理員較易忽視的一點；
癒]2） 安裝NT的SP5、SP6有一個潛在威脅，就是一旦系統崩潰重裝NT時，系統將不會認NTFS分區，原因是微軟在這兩個修正檔中對NTFS做了改進。只能通過Windows 2000安裝程序中認NTFS，這樣會造成很多麻煩，建議同時做好資料制作備份工作。
癒]3） 安裝Service Pack前應先在測試電腦上安裝一次，以防因為例外原因導致機器當機，同時做好資料制作備份。

繙伅q不安裝與WEB站點服務無關的軟體；
罈〝：其他應用軟體有可能存在黑客熟知的安全漏洞。

瞻G、 NT設定：

簣b號原則：
癒]1）帳號盡可能少，且盡可能少用來登入；
罈〝：網站帳號一般只用來做系統維護，多餘的帳號一個也不要，因為多一個帳號就會多一份被攻破的危險。
癒]2）除過Administrator外，有必要再增加一個屬於管理員組的帳號；
罈〝：兩個管理員組的帳號，一方面防止管理員一旦忘記一個帳號的密碼還
礎酗@個備用帳號；另方面，一旦黑客攻破一個帳號並更改密碼，我們還有
礎鳥鷛|重新在短期內取得控制權。
癒]3）所有帳號權限需嚴格控制，輕易不要給帳號以特殊權限；
癒]4）將Administrator重命名，改為一個不易猜的名字。其他一般帳號也應尊
織`著一原則。
罈〝：這樣可以為黑客攻擊增加一層障礙。
癒]5）將Guest帳號禁用，同時重命名為一個複雜的名字，增加密碼，並將它從
麋uest組刪掉；
罈〝：有的黑客工具正是利用了guest 的弱點，可以將帳號從一般用戶提
瞻禸儥瑊z員組。
癒]6）給所有用戶帳號一個複雜的密碼（系統帳號出外），長度最少在8位以上， 且必須同時包含字母、數字、特殊字串。同時不要使用大家熟悉的單詞（如microsoft）、熟悉的鍵盤順序（如qwert）、熟悉的數字（如2000）等。
罈〝：密碼是黑客攻擊的重點，密碼一旦被突破也就無任何系統安全可言了，而這往往是不少網管所忽視的地方，據我們的測試，僅字母加數字的5位密碼在幾分鐘內就會被攻破，而所推薦的方案則要安全的多。
癒]7）密碼必須定期更改（建議至少兩周該一次），且最好記在心裡，除此以外不要在任何地方做記錄；另外，如果在日誌稽核中發現某個帳號被連續嘗試，則必須立刻更改此帳號（包括用戶名和密碼）；
癒]8）在帳號內容中設立鎖定次數，比如改帳號失敗登入次數超過5次即鎖定改帳號。這樣可以防止某些大規模的登入嘗試，同時也使管理員對該帳號提高警惕。

繡扆ΛetBios與TCP/IP傳輸協定的綁定
罈〝：NetBois在區域網路內是不可缺少的功能，在網站伺服器上卻成了黑客掃瞄工具的首選目標。方法：NT：控制面版——網路——綁定——NetBios接頭——禁用 2000：控制面版——網路和撥號連接——本機網路——內容——TCP/IP——內容——進階——WINS——禁用TCP/IP上的NETBIOS

禮R除所有的網路共享資源
罈〝：NT與2000在預設情況下有不少網路共享資源，在區域網路內對網路管理和網路通訊有用，在網站伺服器上同樣是一個特大的安全隱患。（卸載「Microsoft 網路的文件和列印機共享」。當檢視「網路和撥號連接」中的任何連接內容時，將顯示該選項。按下「卸載」按鈕刪除該元件；清除「Microsoft 網路的文件和列印機共享」複選框將不起作用。）
瞻隤k：
(1)NT:系統管理工具——伺服器管理器——共享目錄——停止共享;
2000:控制面版——系統管理工具——計算及管理——共用資料夾———停止共享
礎上述兩種方法太麻煩，伺服器每重啟一次，管理員就必須停止一次
癒]2）修改註冊表：
簞鶡潝egedit，然後修改註冊表在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters下增加一個鍵
齋ame: AutoShareServer
嬸ype: REG_DWORD
藏型: 0
繕M後重新啟動您的伺服器，磁牒分區共享去掉，但IPC共享仍存在，需每次重啟後手工刪除。

禮餪TFS的安全權限；
罈〝：NTFS下所有文件預設情況下對所有人（EveryOne）為完全控制權限，這使黑客有可能使用一般用戶身份對文件做增加、刪除、執行等操作，建議對一般用戶只給予讀取權限，而只給管理員和System以完全控制權限，但這樣做有可能使某些正常的指令碼程序不能執行，或者某些需要寫的操作不能完成，這時需要對這些文件所在的資料夾權限進行更改，建議在做更改前先在測試電腦上作測試，然後慎重更改。

穡t統啟動的等待時間設定為0秒，控制台->系統->啟動/關閉，然後將列表顯示的預設值「30」改為「0」。（或者在boot.ini裡將TimeOut 的值改為0）

瞼u開放必要的連接埠，關閉其餘連接埠。
罈〝：預設情況下，所有的連接埠對外開放，黑客就會利用掃瞄工具掃瞄那些連接埠可以利用，這對安全是一個嚴重威脅。
簡{將一些常用連接埠列表如下：

糧s接埠 傳輸協定 應用程式
21 TCP FTP
25 TCP SMTP
53 TCP DNS
80 TCP HTTP SERVER
1433 TCP SQL SERVER
5631 TCP PCANYWHERE
5632 UDP PCANYWHERE
6（非連接埠） IP傳輸協定
8（非連接埠） IP傳輸協定
瞼[強日誌稽核；
罈〝：日誌任何包括事件檢視器 中的套用、系統、安全日誌，IIS中的WWW、SMTP、FTP日誌、SQL SERVER日誌等，從中可以看出某些攻擊跡象，因此每天檢視日誌是保證系統安全的必不可少的環節。安全日誌預設是不記錄，帳號稽核可以從域用戶管理器——規則——稽核中選項指標；NTFS中對文件的稽核從檔案總管中選取。要注意的一點是，只需選取你真正關心的指標就可以了，如果全選，則記錄數目太大，反而不利於分析；另外太多對系統資源也是一種浪費。

瞼[強資料制作備份；
罈〝：這一點非常重要，站點的核心是資料，資料一旦遭到破壞後果不堪設想，而這往往是黑客們真正關心的東西；遺憾的是，不少網管在這一點上作的並不好，不是制作備份不完全，就是制作備份不及時。資料制作備份需要仔細計劃，制定出一個原則並作了測試以後才實施，而且隨著網站的更新，制作備份計劃也需要不斷地調整。


瞼u保留TCP/IP傳輸協定，刪除NETBEUI、IPX/SPX傳輸協定；
罈〝：網站需要的通訊傳輸協定只有TCP/IP，而NETBEUI是一個只能用於區域網路的傳輸協定，IPX/SPX是面臨淘汰的傳輸協定，放在網站上沒有任何用處，反而會被某些黑客工具利用。

簞控憎S有用的服務，只保留與網站有關的服務和伺服器某些必須的服務。
罈〝：有些服務比如RAS服務、Spooler服務等會給黑客帶來可乘之機，如果確實沒有用處建議禁止掉，同時也能節約一些系統資源。但要注意有些服務是操作系統必須的服務，建議在停掉前查閱說明 我的文件並首先在測試伺服器上作一下測試。


臏蘌瓣W次登入用戶名,修改註冊表Winnt4.0：
黏KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon 中增加DontDisplayLastUserName，將其值設為1。Windows2000中該項已經存在，只需將其值改為1。
罈〝：預設情況下，上次登入的用戶名會出現在登入框中，這就為黑客猜測密碼提供了線索，最好的方式就是隱藏上次登入用戶名。

瞻ㄜn起用IP轉發功能，控制台->網路->傳輸協定->TCP/IP傳輸協定->內容，使這個選框為空。（NT）
罈〝：預設情況下，NT的IP轉發功能是禁止的，但注意不要啟用，否則它會具有路由作用，被黑客利用來對其他伺服器進行攻擊。

礎w裝最新的MDAC（http://www.microsoft.com/data/download.htm）
罈〝：MDAC為資料訪問設備，通常程序對資料庫的訪問都通過它，但它也是黑客攻擊的目標，為防止以前版本的漏洞可能會被帶入昇級後的版本，建議卸載後安裝最新的版本。注意：在安裝最新版本前最好先做一下測試，因為有的資料訪問方式或許在新版本中不再被支持，這種情況下可以通過修改註冊表來檔漏洞，祥見漏洞測試我的文件。
瞻T、 IIS設定(包括IIS 4.0和IIS5.0)

瞼u安裝Optoin Pack中必須的服務，建議不要安裝Index Server、FrontPage Server Extensions、示例WWW站點等功能（NT）。Windows 2000中作類似設定。
罈〝：IIS中的眾多安全隱患是由一些其他的功能引起的，如果僅做一個WWW站點，就需要安裝必須的服務，如WWW服務、FTP服務，這樣減少黑客利用這些漏洞攻擊的機會。

簞惜赯w設的FTP站點、預設的Web站點、管理Web站點，在新的目錄下新增WWW服務與FTP服務。
罈〝：預設的站點與管理Web站點含有大量有安全漏洞的文件，極易給黑客造成攻擊機會。具體漏洞見所附安全我的文件。因此，必須禁止。同時，應該在新的目錄下建立服務，這個目錄千萬不要放在InetPub\wwwroot下，最好放在與它不同的分區下。

禮R除不必要的IIS副檔名映射。最好去掉 .IDC、.HTR、.STM、.IDA、.HTW應用程式映射，.shtml、.shtm等如果無用，也應去掉。
罈〝：上述應用程式映射，具有大量安全隱患。方法：NT(2000同)：Web站點——內容——主目錄——配置——應用程式映射

礎w裝新的Service Pack後，IIS的應用程式映射應重新設定。
罈〝：安裝新的Service Pack後，某些應用程式映射又會出現，導致出現安全漏洞。這是管理員較易忽視的一點。

糧]定IP拒絕訪問列表
罈〝：對於WWW服務，可以拒絕一些對站點有攻擊嫌疑的位址；尤其對於FTP服務，如果只是自己公司上傳文件，就可以只允許本公司的IP訪問改FTP服務，這樣，安全性大為提高。

繡T止對FTP服務的匿名訪問
罈〝：如果允許對FTP服務做匿名訪問，該匿名帳戶就有可能被利用來獲取更多的信息，以致對系統造成危害。

竄媊釣洏垛3C擴充日誌文件格式，每天記錄客戶IP位址，用戶名，伺服器連接埠，方法，URI字根，HTTP狀態，用戶代理，而且每天均要審查日誌。（最好不要使用預設的目錄，建議更換一個記日誌的路徑，同時設定日誌的訪問權限，只允許管理員和system為Full Control）
罈〝：作為一個重要措施，既可以發現攻擊的跡象，採取預防措施，也可以作為受攻擊的一個證據。

繚V重設定WEB站點目錄的訪問權限，一般情況下，不要給予目錄以寫入和允許目錄瀏覽權限。只給予.ASP文件目錄以指令碼的權限，而不要給與執行權限。
罈〝：目錄訪問權限必須慎重設定，否則會被黑客利用。
瞼|、 ASP編程安全：

礎w全不僅是網管的事，編程人員也必須在某些安全細節上注意，養成良好的安全習慣，否則，會給黑客造成可乘之機。目前，大多數網站上的ASP程序有這樣那樣的安全漏洞，但如果寫程序的時候注意的話，還是可以避免的。

簪A及用戶名與密碼的程序最好封裝在伺服器端，盡量少的在ASP文件裡出現，涉及到與資料庫連接地用戶名與密碼應給予最小的權限。
罈〝：用戶名與密碼，往往是黑客們最感興趣的東西，如果被通過某種方式看到來源碼，後果是嚴重的。因此要盡量減少它們在ASP文件中的出現次數。出現次數多得用戶名與密碼可以寫在一個位置比較隱蔽的包含文件中。如果涉及到與資料庫連接，理想狀態下只給它以執行存儲程序的權限，千萬不要直接給予該用戶以修改、插入、刪除記錄的權限。

罈搨n經過驗證的ASP頁面，可跟蹤上一個頁面的檔案名，只有從上一頁面轉進來的會話才能讀取這個頁面。
罈〝：現在的需要經過驗證的ASP程序多是在頁面頭部加一個判斷語句，但這還不夠，有可能被黑客繞過驗證直接進入，因此有必要跟蹤上一個頁面。具體漏洞見所附漏洞我的文件。

瞻蕼SP主頁.inc文件洩露問題
繚磽s在asp 的主頁正在製作並沒有進行最後偵錯完成以前，可以被某些搜尋引擎機動追加為搜尋對象，如果這時候有人利用搜尋引擎對這些網頁進行搜尋，會得到有關文件的定位，並能在瀏覽器中察看到資料庫地點和結構的細節揭示完整的來源碼。
繡悃M方案：程序員應該在網頁發佈前對其進行徹底的偵錯；安全專家需要類BIOSasp 包含文件以便外部的用戶不能看他們。 首先對 .inc 文件內容進行加密，其次也可以使用 .asp 文件替代 .inc 文件使用戶無法從瀏覽器直接觀看文件的來源碼。.inc 文件的檔案名不用使用系統預設的或者有特殊含義容易被用戶猜測到的，盡量使用無規則的英文字母。


穠`意某些ASP編輯器會自動制作備份asp文件，會被下載的漏洞
礎b有些編輯asp程序的工具，當新增或者修改一個asp文件時，編輯器自動新增一個備份檔案，比如：UltraEdit就會制作備份一個..bak文件，如你新增或者修改了some.asp，編輯器自動產生一個叫some.asp.bak文件，如果你沒有刪除這個 bak文件，攻擊有可以直接下載some.asp.bak文件，這樣some.asp的源程序就會給下載。

礎b處理類似留言板、BBS等輸入框的ASP程序中，最好遮閉掉HTML、JavaScript、VBScript語句，如無特殊要求，可以限定只允許輸入字母與數字，遮閉掉特殊字串。同時對輸入字串的長度進行限制。而且不但在客戶端進行輸入合法性檢查，同時要在伺服器端程序中進行類似檢查。
罈〝：輸入框是黑客利用的一個目標，他們可以通過輸入指令碼語言等對用戶客戶端造成損壞； 如果該輸入框涉及到資料查詢，他們會利用特殊查詢輸入得到更多的資料庫資料，甚至是表的全部。因此必須對輸入框進行過濾。但如果為了提高效率僅在客戶端進行輸入合法性檢查，仍有可能被繞過，因此必須在伺服器端再做一次檢查。


穡黎蕼CCESS mdb 資料庫有可能被下載的漏洞
礎b用ACCESS做後台資料庫時，如果有人通過各種方法知道或者猜到了伺服器的ACCESS資料庫的路徑和資料庫名稱，那麼他能夠下載這個ACCESS資料庫文件，這是非常危險的。
繡悃M方法：
(1) 為你的資料庫檔案名稱起個複雜的非常規的名字，並把他放在幾目錄下。所謂 "非常規"， 打個比方： 比如有個資料庫要儲存的是有關書籍的信息， 可不要把他起個"book.mdb"的名字，起個怪怪的名稱，比如d34ksfslf.mdb， 再把他放在如./kdslf/i44/studi/ 的幾層目錄下，這樣黑客要想通過猜的方式得到你的ACCESS資料庫文件就難上加難了。
(2)不要把資料庫名寫在程序中。有些人喜歡把DSN寫在程序中，比如：
鮭BPath = Server.MapPath("cmddb.mdb")
檬onn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath
簞畢p萬一給人拿到了源程序，你的ACCESS資料庫的名字就一覽無餘。因此建議你在ODBC裡設定資料來源，再在程序中這樣寫：
檬onn.open "shujiyuan"
(3)使用ACCESS來為資料庫文件編碼及加密。首先在選取 "工具->安全->加密/解密資料庫，選取資料庫（如：employer.mdb），然後接確定，接著會出現 "資料庫加密後另存新檔"的視窗，存為：employer1.mdb。 接著employer.mdb就會被編碼，然後存為employer1.mdb..
簫n注意的是，以上的動作並不是對資料庫設定密碼，而只是對資料庫文件加以編碼，目的是為了防止他人使用別的工具來檢視資料庫文件的內容。
簣竣U來我們為資料庫加密，首先以開啟經過編碼了的 employer1.mdb， 在開啟時，選項"獨佔"方式。然後選取功能表的"工具->安全->設定資料庫密碼"， 接著 輸入密碼即可。這樣即使他人得到了employer1.mdb文件，沒有密碼他是無法看到 employer1.mdb的。
瞻迭B SQL SERVER的安全

壘QL SERVER是NT平台上用的最多的資料庫系統，但是它的安全問題也必須引起重視。資料庫中往往存在著最有價值的信息，一旦資料被竊後果不堪設想。

瞻峸玊騝s修正檔程序。
罈〝：與NT一樣，SQL SERVER的許多漏洞會由修正檔程序來彌補。建議在安裝修正檔程序之前先在測試電腦上做測試，同時提前做好目標伺服器的資料制作備份。

繕酬A一個複雜的密碼。
罈〝：SA具有對SQL SERVER資料庫操作的全部權限。遺憾的是，一部分網管對資料庫並不熟悉，建立資料庫的工作由編程人員完成，而這部分人員往往只注重編寫SQL 語句本身，對SQL SERVER資料庫的管理不熟悉，這樣很有可能造成SA密碼為空。這對資料庫安全是一個嚴重威脅。目前具有這種隱患的站點不在少數。

薩Y格控制資料庫用戶的權限，輕易不要給讓用戶對表有直接的查詢、更改、插入、刪除權限，可以通過給用戶以訪問視圖的權限，以及只具有執行存儲程序的權限。
罈〝：用戶如果對表有直接的操作權限，就會存在資料被破壞的危險。

穡謆q完整的資料庫制作備份與恢復原則。
瞻說B PCANYWHERE的安全：

瞼堳e，PCANYWHERE是最流行的關於NT與2000的遠端控制工具，同樣也需要注意安全問題。

竄媊陰艦帠瞈W的用戶名與密碼，最好採用加密手段。千萬不要採用與NT管理員一樣的用戶名與密碼，也不要使用與NT集成的密碼。
罈〝：PCANYWHERE 密碼是遠端控制的第一個關口，如果與NT的一樣， 就失去了安全螢幕障。被攻破後就毫無安全可言。而如果採用單獨的密碼，即使攻破了PCANYWHERE，NT還有一個密碼屏障。
瞻峸犰w裝較新的版本。