如何架设一台安全的一般网站服务器

上一篇 / 下一篇 2008-01-03 21:50:09

警告：不知为何我曾在完成1，2部分后短暂断开，然后再远程登陆进去，提示我的管理员帐号没有远程登陆权限，即使远程用户组也无远程登陆权限。最后还是要亲自去服务器那设置本地策略=》安全策略

前言：在校园网的日常管理与维护中，网络安全正日益受到人们的关注。校园网服务器是否安全将直接影响学校日常教育教学工作的正常进行。而大部分学校的校园网服务器都是以WINDOWS 2003+IIS6.0+SQL SERVER2000+SERV-U FTP为平台提供WWW、FTP等服务，为了提高校园网的安全性，网络管理员必须要对windows系统、IIS、SQL SERVER、FTP等进行安全设置。在此笔者结合自己的工作经验，谈谈如何架设一台的安全的中小学网站服务器

第一部分 Win2003安全设置梦飞网Z0rEF uL0L

Windows Server 2003是大家最常用的服务器操作系统之一。虽然它提供了强大的网络服务功能，并且简单易用，但它的安全性一直困扰着众多网管，如何在充分利用Windows Server 2003提供的各种服务的同时，保证服务器的安全稳定运行，最大限度地抵御黑客的入侵。下面就来针对这个问题来讨论。梦飞网/Eb0i+F~oNa

一、系统安装注意事项：梦飞网2Fv l,k~.x9gR H

１、按照Windows2003安装光盘的提示安装，在安装系统时请选择使用NTFS文件系统分区，默认情况下2003没有把IIS6.0安装在系统里面，当系统安装好之后还要安装IIS6。

2、系统补丁的更新梦飞网7CITCZBz

点击开始菜单—>所有程序—>Windows Update，按照提示进行补丁的安装。梦飞网O9i&E|VF}(E

3、备份系统：用GHOST备份系统。梦飞网Tl+J*SB:gy s

4、安装常用的软件

例如：杀毒软件、天网防火墙(可以防止反向木马连接)、MSSQL及其它所需要的软件（serv-u6.0,winrar）等；安装之后用GHOST再次备份系统。

5、用系统自带的防火墙梦飞网3_9k/My'fGwg

ICF（Internet Connection Firewall，Internet连接防火墙）作为Windows Server 2003系统自带的防火墙工具。本地连接—>属性—>高级—>Internet 连接防火墙—>设置。把服务器上面要用到的服务端口选中例如：一台WEB服务器，要提供WEB（80）、FTP（21）服务及远程桌面管理（3389，在“FTP 服务器”、“WEB服务器（HTTP）”、“远程桌面”前面打上对号。如果你要提供服务的端口不在里面，你也可以点击“添加”铵钮来添加，具体参数可以参照系统里面原有的参数，然后点击确定。

6、用系统自带的安全配置向导(SCW)： Windows Server 2003 SP1中文版补丁包的发布，它不但提供了对系统漏洞的修复，还新增了很多易用的安全功能，如安全配置向导（SCW）功能。利用SCW功能的“安全策略”可以最大限度增强服务器的安全，并且配置过程非常简单。打Sp1补丁之后，运行“添加或删除程序”，然后切换到“添加/删除Windows组件”页,"安全配置向导”选项，安装后，在管理工具里可以找到。梦飞网)|6Dp%\l]/Rcp

二、系统权限的设置梦飞网Est(r ee1Y

１、磁盘权限

系统盘及所有磁盘只给 Administrators 组和 SYSTEM 的完全控制权限,不替换子目录梦飞网V7B4[V/h7y

系统盘\Documents and Settings 目录只给 Administrators 组和 SYSTEM 的完全控制权限(继承父项,并替换子目录)梦飞网fuI W#wK6K9o

系统盘\Inetpub 目录及下面所有目录、文件只给 Administrators 组和 SYSTEM 的完全控制权限

系统盘\ProgramFiles继承父项,并替换子目录，系统盘\ProgramFiles\ CommonFiles\MicrosoftShared继承属性删除并复制现有属性，增加users的读取权限并替换子目录（这样做是为了能够让asp,asp.net使用access等数据库）。梦飞网4M*oPk2~/J }*[r

系统盘\windows删除继承,并复制现有属性,只给予dministrators,system完全控制和users读取的权限并替换子目录。

系统盘\Windows\System32\net.exe，cmd.exe，tftp.exe，netstat.exe，regedit.exe，at.exe，attrib.exe，cacls.exe文件只给 Administrators 组完全控制权限。梦飞网MeD$U\\R;jc

其余所有的盘都只给于administrators和system用户的完全控制权限，删除其他所有用户并替换子目录。

web1目录（用户网站目录）继承现有属性并增加iis_web1_user(这个用户是为每个站点相应建立的guest用户)完全控制的权限并替换子目录。梦飞网+|"kkn;L k A8[

２、本地安全策略设置梦飞网/? mP6m\3\~Wc

在创建审核项目时需要注意的是如果审核的项目太多，生成的事件也就越多，那么要想发现严重的事件也越难当然如果审核的太少也会影响你发现严重的事件，你需要根据情况在这二者之间做出选择。梦飞网UI8}9h'C&q8^-M[

开始菜单—>管理工具—>本地安全策略

A、本地策略——>审核策略梦飞网_'h+S.HG Z2[1P1v,p

审核策略更改成功失败梦飞网?9M6M"G3km a @-]Pg

审核登录事件成功失败梦飞网+tGN3KU z;Atp

审核对象访问失败

审核过程跟踪无审核

审核目录服务访问失败梦飞网@g!l;m c.K3P;k

审核特权使用失败梦飞网d[F!fZ!lw

审核系统事件成功失败梦飞网 {TnAeEFi`(AT

审核账户登录事件成功失败梦飞网T!b0x |;wK

审核账户管理成功失败梦飞网Mh!Y2yO

B、本地策略——>用户权限分配梦飞网X6F NW!PX6i

关闭系统：只有Administrators组、其它全部删除。梦飞网'Nq0_1_,if!mw+y

通过终端服务拒绝登陆：加入Guests、User组

通过终端服务允许登陆：只加入Administrators组，其他全部删除梦飞网n-jfP#W4@]I

从网络访问此计算机：只保留Internet来宾账户、启动IIS进程账户。如果你使用了Asp.net还要保留Aspnet账户。梦飞网E9Vfd/vt`

C、本地策略——>安全选项

交互式登陆：不显示上次的用户名启用梦飞网$Fn h%~$oN2i@

网络访问：不允许SAM帐户和共享的匿名枚举启用

网络访问：不允许为网络身份验证储存凭证启用梦飞网ph'ucFK/q1\

网络访问：可匿名访问的共享全部删除梦飞网 ]K+q0q~+E}byI;f

网络访问：可匿名访问的命全部删除梦飞网z;ZZ5?7@w@)wI

网络访问：可远程访问的注册表路径全部删除

网络访问：可远程访问的注册表路径和子路径全部删除梦飞网(not2WgHKgJ

帐户：重命名来宾帐户重命名一个帐户

帐户：重命名系统管理员帐户重命名一个帐户梦飞网#J0JC)N }/f{

D、本地策略——>账户策略

账户锁定策略，将账户设为“三次登陆无效”梦飞网_X+n+vf

“锁定时间为30分钟”梦飞网 ?+F!T)Dg

“复位锁定计数设为30分钟”梦飞网&^K|JX d

３、禁用不必要的服务

开始菜单—>管理工具—>服务梦飞网HdE;kJDy0o

Print Spooler

Remote Registry

TCP/IP NetBIOS Helper

Server

以上是在Windows Server 2003 系统上面默认启动的服务中禁用的，默认禁用的服务如没特别需要的话不要启动。

4、设置和管理账户梦飞网Cl!OW-~+Y2s8A

系统管理员账户最好少建，密码最好采用数字加大小写字母加数字的上档键组合，长度最好不少于14位。将Guest账户禁用并更改名称和描述，然后输入一个复杂的密码，当然现在也有一个DelGuest的工具，也许你也可以利用它来删除Guest账户，但我没有试过。

三、3389终端服务器的安全配置：

Windows 2000 的终端服务由于使用简单、方便等特点，备受众多管理员喜爱，很多管理员都利用它进行远程管理服务器的一个重要工。然后就是因为它的简单、方便，不与当前用户产生一个交互式登陆，可以在后台登陆操作，它也受到了黑客关注。现在我们来通过认真的配置来加强它的安全性。

1、修改终端服务器端口，可以起到隐藏“远程桌面”的作用，下面是修改的方法。

修改终端服务器端口号是通过修改Windows2003的注册表来实现的，[HLM\ SYSTEM\ CurrentControlSet\Control\Terminal Server\ WinStations\ RDP -Tcp\，找到如下键名PortNumber ，双击打开修改键值，然后选择“十进制(D)”，将原来的3389端口号改为你想更换的端口号。

2、使用指定的帐户登陆并做审核，同时作好来访IP地址限制。梦飞网1Tl6|E{y2y

指定用户登陆。为了安全，我们没必要让服务器上所有用户都登陆，譬如以下，我们只允许administrator这个用户登陆到终端服务器,那么在：终端服务器配置——连接——"RDP-TCP"——属性——权限中只保留administrator的完全控制。

登陆审核：终端服务器配置——连接——"RDP-TCP"——属性——权限，添加审核的用户为everyone,以及审核项目：登陆成功和失败。梦飞网m+NANt._g

限制、指定连接终端的地址，这样可以只指定自己的IP地址能访问。启用服务器自带的IPSEC来指定特定的IP地址连接服务器。首先建立一条规则禁止所有3389的连接，再建立一条规则只允许服务器信任的机器进行连接。梦飞网!P eQ5G"I~F:Rc p

第二部分IIS的安全设置

IIS6.0作为流行的Web服务器，我们该如何进行安全设置呢？梦飞网BJp)R"V4x~4G.w%S

1、删掉c:\inetpub目录，删除iis不必要的映射,删除系统盘下的虚拟目录，如：_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。梦飞网N7^$y'B%KT

2、首先是每一个web站点使用单独的IIS用户，譬如这里，新建立了一个名为iisguest ，权限为guest的。梦飞网#t$@(E&wAJ(wmu

3、在IIS里的站点属性里“目录安全性”---“身份验证和访问控制“里设置匿名访问使用下列Windows 用户帐户”的用户名密码都使用iisguest 这个用户的信息.在这个站点相对应的web目录文件，默认的只给IIS用户的读取和写入权限。

4、要支持ASPX，还需要给web根目录给上users用户的默认权限，才能使ASPX能执行。

5、在应用程序配置里，不启用asp程序调试，设置调试为向客户端发送自定义的文本信息，这样能对于有ASP注入漏洞的站点，可以不反馈程序报错的信息，能够避免一定程度的攻击。

6、在自定义HTTP错误选项里，有必要定义下譬如404,500等错误，不过有有时候为了调试程序，好知道程序出错在什么地方，建议只设置404就可以了梦飞网&o$B1Xmm

7、在应用程序池里有个“标识”选项，可以选择应用程序池的安全性帐户，默认才用网络服务这个帐户，大家就不要动它，能尽量以最低权限去运行大，隐患也就更小些。在一个站点的某些目录里，譬如这个“uploadfile"目录，不需要在里面运行asp程序或其他脚本的，就去掉这个目录的执行脚本程序权限，在“应用程序设置”的“执行权限”这里，默认的是“纯脚本”，我们改成“无”，这样就只能使用静态页面了。依次类推，大凡是不需要asp运行的目录，譬如数据库目录，图片目录等等里都可以这样做，这样主要是能避免在站点应用程序脚本出现bug的时候，譬如出现从前流行的upfile漏洞，而能够在一定程度上对漏洞有扼制的作用。

8、在默认情况下，我们一般给每个站点的web目录的权限为IIS用户的读取和写入，但是我们现在为了将SQL注入，上传漏洞全部都赶走，我们可以采取手动的方式进行细节性的策略设置。给web根目录的IIS用户只给读权限，然后我们对响应的uploadfiles/或其他需要存在上传文件的目录额外给写的权限，并且在IIS里给这个目录无脚本运行权限，这样即使网站程序出现漏洞，入侵者也无法将asp木马写进目录里去。

第三部分 SQL SERVER数据库安全设置

日前SQL注入的攻击测试愈演愈烈，很多大型的网站和论坛都相继被注入。这些网站一般使用的多为SQL SERVER数据库，正因为如此，很多人开始怀疑SQL SERVER的安全性。其实SQL SERVER 2000已经通过了美国政府的C2级安全认证-这是该行业所能拥有的最高认证级别，所以使用SQL SERVER还是相当的安全的。当然和ORCAL、DB2等还是有差距，但是SQL SERVER的易用性和广泛性还是能成为我们继续使用下去的理由。那怎么样才能使SQL SERVER的设置让人使用的放心呢？梦飞网 Q+P~9^-VU1j

1、打上SQL SERVER最新的安全补丁，现在补丁已经出到了SP3。梦飞网 lsl0e,Q[ cf4`6ihI

2、由于SQL Server不能更改sa用户名称，也不能删除这个超级用户，所以，我们必须对这个帐号进行最强的保护，当然，包括使用一个非常强壮的密码，最好不要在数据库应用中使用sa帐号，只有当没有其它方法登录到 SQL Server 实例（例如，当其它系统管理员不可用或忘记了密码时才使用 sa。

3、数据库管理员应该定期查看是否有不符合密码要求的帐号

4、管理扩展存储过程 :梦飞网wy6f+q$[;k

xp_cmdshell是进入操作系统的最佳捷径，是数据库留给操作系统的一个大后门，利用语句sp_dropextendedproc 'xp_cmdshell' 来将xp_cmdshell屏蔽后，我们还需要做的是将xpsql70.dll文件进行改名，以防止获得SA的攻击者将它进行恢复。梦飞网rK:J.\,H k1y$t

如果你不需要请丢弃OLE自动存储过程（会造成管理器中的某些特征不能使用），这些过程包括如下：

Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty

Sp_OAMethod Sp_OASetProperty Sp_OAStop梦飞网4Q$f|qf

去掉不需要的注册表访问的存储过程，注册表存储过程甚至能够读出操作系统管理员的密码来，如下：

Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue

Xp_regenumvalues梦飞网:p%K$d$ew)yJ(^n

Xp_regread Xp_regremovemultistring Xp_regwrite梦飞网s ?CuNo&j4p(U5H[

还有一些其他的扩展存储过程，你也最好检查检查。

5、不要让人随便探测到你的TCP/IP端口 :在实例属性中选择TCP/IP协议的属性。选择隐藏 SQL Server 实例。

6、拒绝来自1434端口的探测 :在IPSec过滤拒绝掉1434端口的UDP通讯，可以尽可能地隐藏你的SQL Server。梦飞网-h;U"_^$AYw{

第四部分SERV-U FTP 服务器的设置

作为一款精典的FTP服务器软件，SERV－U一直被大部分管理员所使用，它简单的安装和配置以及强大的管理功能的人性化也一直被管理员们称颂。但是随着使用者越来越多，该软件的安全问题也逐渐显露出来，如利用SERVU-FTP提权问题。梦飞网&hn-y QpupRqk

SERV－U默认是安装在C:\Program Files\Serv-U目录下的，我们最好做一下变动，改一个黑客不容易发现的目录名。安装的时候只选前2项就可以了，后面的2个是说明和在线帮助文件。选“自动开始（系统服务）”前面的选项，接着点下边的“开始服务器”按钮把SERV－U加入系统服务，这样就可以随系统启动了，不用每次都手工启动。通过点击“设置或更改密码”设置一个密码。这里建议设置一个足够复杂的密码，以防止别人暴力破解。自己记不得也没有关系，只要把ServUDaemon.ini里的LocalSetupPassword=这一行清除并保存，再次运行ServUAdmin.exe就不会提示你输入密码登录了。梦飞网 JZ yg/}ZU

在设置的常规选项卡中，选中“拦截“FTP_bounce”攻击和FXP”选项和“禁用反超时调度"，在“高级”选项卡中，检查 “启用安全”是否被选中，如果没有，选择它。

下面就到了该对SERV－U进行安全设置的时候了。首先建立一个WINDOWS账号SSERVU，密码也需要足够的复杂。建好账号以后，双击建好的用户编辑用户属性，从“隶属于”里删除USERS组别,添加administrators组。从“终端服务配置文件”选项里取消“允许登录到终端服务器（W）”的选择。在开始菜单的管理工具里找到“服务”点击打开。在“Serv-U FTP Server服务”上点右键，选择属性点击“登录”进入登录账号选择界面。选择刚才建立的系统账号名，并在下面重复输入2次该账号的密码，然后点“应用”，再次点确定，完成服务的设置。用SERVU用户来启动Serv-U FTP服务，这样访问ftp资源目录的不再是用SYSTEM而是用SSERVU，此时SYSTEM已经没有用了，这样就算真的溢出也不可能得到SYSTEM权限。

接下来要先使用FTP管理工具建立一个域，再建立一个账号，建好后选择保存在ini文件（或者注册表，注：更安全，但不容易备份）。现在就来Serv-U的安装目录，只保留你的管理账号和SSERVU账号，并给予除了完全控制外的所有权限。现在，在服务里重启Serv-U FTP Server服务就可以正常启动了。

结语：梦飞网1Dl!c1hhU

经过上述4个部分的设置，网络管理员是不是就没有事情可以做了呢，其实后续的维护更重要，那都要做些什么事情呢。

1、在“事件查看器”-中的“安全日志”查看审核的日志梦飞网2h _K1J-P.DP

2、如果架设了web服务的，要看看网页的日志文件，只要打开默认的“%WinDir%\System32\LogFiles\ ”这个目录就可以查看了。梦飞网 S&y2J?K0KTP

3、如果架设了mssql2000的服务器：查看SQL Server日志检查是否有可疑的登录事件发生，或者使用DOS命令梦飞网[c$yNn"YGj

findstr /C:"登录" d:Microsoft SQL ServerMSSQLLOG*.*梦飞网@ pR_,H updf

4、网页文件和数据库文件要定期做好备份工作，可以备份到移动硬盘和其他的电脑上，以便日后恢复数据。梦飞网L*h(G'TL

5、用扫描工具（如X-Scan，在安全焦点: http://www.xfocus.net上可以下载）去检查服务器有没有严重的漏洞，如果有及时修补。梦飞网} JEi*W a#l"A

6、如果你使用的asp等脚本系统是从网络上下载下来的，要经常去该系统的官方网站看看有没有最新的补丁。梦飞网W7] ^t3ZZ)v

网络安全技术是网络安全管理的重要内容，合理的系统及IIS配置能够增强网络安全。文中所提及的技术已在我校网站服务器中得到应用。实践证明，这些技术是可行和有效的。希望能给学校网络管理员提供一些参考。梦飞网/[| t&P:X V[0w ~

参考资料：梦飞网\AS}G i,[)if4n

1、SERV-U 6002版安全设置全攻略 Ifriend