WinNT/2KWeb站點安全解決方案(1)

防火墻以后就以為萬事大吉了。這種現(xiàn)狀直接導(dǎo)致了大量網(wǎng)站的NT安全性參差不齊。只有極少數(shù)NT網(wǎng)站有較高的安全性，大部分網(wǎng)站的安全性很差。為此，瑞星公司決心對NT主要漏洞予以搜集整理，同時，站在整體的高度，力圖找出一套用NT建立安全站點的解決方案來，讓用戶放心使用NT(2000)建立Web站點。
    解決方案：(說明：本方案主要是針對建立Web站點的NT、2000服務(wù)器安全，對于局域網(wǎng)內(nèi)的服務(wù)器并不合適。)
    一、安裝：
    1.不論是NT還是2000，硬盤分區(qū)均為NTFS分區(qū);
    說明：
    (1) NTFS比FAT分區(qū)多了安全控制功能，可以對不同的文件夾設(shè)置不同的訪問權(quán)限，安全性增強。
    (2) 建議一次性全部安裝成NTFS分區(qū)，而不要先安裝成FAT分區(qū)再轉(zhuǎn)化為NTFS分區(qū)，這樣做在安裝了SP5和SP6的情況下會導(dǎo)致轉(zhuǎn)化不成功，甚至系統(tǒng)崩潰。
    (3) 安裝NTFS分區(qū)有一個潛在的危險，就是目前大多數(shù)反病毒軟件沒有提供對軟盤啟動后NTFS分區(qū)病毒的查殺，這樣一旦系統(tǒng)中了惡性病毒而導(dǎo)致系統(tǒng)不能正常啟動，后果就比較嚴(yán)重，因此及建議平時做好防病毒工作。
    2.只安裝一種操作系統(tǒng);
    說明：安裝兩種以上操作系統(tǒng)，會給黑客以可乘之機，利用攻擊使系統(tǒng)重啟到另外一個沒有安全設(shè)置的操作系統(tǒng)(或者他熟悉的操作系統(tǒng))，進而進行破壞。
    3.安裝成獨立的域控制器(Stand Alone),選擇工作組成員，不選擇域;
    說明：主域控制器(PDC)是局域網(wǎng)中隊多臺聯(lián)網(wǎng)機器管理的一種方式，用于網(wǎng)站服務(wù)器包含著安全隱患，使黑客有可能利用域方式的漏洞攻擊站點服務(wù)器。
    4.將操作系統(tǒng)文件所在分區(qū)與Web數(shù)據(jù)包括其他應(yīng)用程序所在的分區(qū)分開，并在安裝時不要使用系統(tǒng)默認(rèn)的目錄，如將\WINNT改為其他目錄;
    說明：黑客有可能通過Web站點的漏洞得到操作系統(tǒng)對操作系統(tǒng)某些程序的執(zhí)行權(quán)限，從而造成更大的破壞。
    5.Windows程序，都要重新安裝一次補丁程序，2000下不需要這樣做。
    說明：
    (1) 最新的補丁程序，表示系統(tǒng)以前有重大漏洞，非補不可了，對于局域網(wǎng)內(nèi)服務(wù)器可以不是最新的，但站點必須安裝最新補丁，否則黑客可能會利用低版本補丁的漏洞對系統(tǒng)造成威脅。這是一部分管理員較易忽視的一點;
    (2) 安裝NT的SP5、SP6有一個潛在威脅，就是一旦系統(tǒng)崩潰重裝NT時，系統(tǒng)將不會認(rèn)NTFS分區(qū)，原因是微軟在這兩個補丁中對NTFS做了改進。只能通過Windows 2000安裝過程中認(rèn)NTFS，這樣會造成很多麻煩，建議同時做好數(shù)據(jù)備份工作。
    (3) 安裝Service Pack前應(yīng)先在測試 機器上安裝一次，以防因為例外原因?qū)е聶C器死機，同時做好數(shù)據(jù)備份。
    6.盡量不安裝與Web站點服務(wù)無關(guān)的軟件;
    說明：其他應(yīng)用軟件有可能存在黑客熟知的安全漏洞。
    二、NT設(shè)置：
    1.帳號策略：
    (1)帳號盡可能少，且盡可能少用來登錄;
    說明：網(wǎng)站帳號一般只用來做系統(tǒng)維護，多余的帳號一個也不要，因為多一個帳號就會多一份被攻破的危險。
    (2)除過Administrator外，有必要再增加一個屬于管理員組的帳號;
    說明：兩個管理員組的帳號，一方面防止管理員一旦忘記一個帳號的口令還有一個備用帳號;另方面，一旦黑客攻破一個帳號并更改口令，我們還有機會重新在短期內(nèi)取得控制權(quán)。
    (3)所有帳號權(quán)限需嚴(yán)格控制，輕易不要給帳號以特殊權(quán)限;
    (4)將Administrator重命名，改為一個不易猜的名字。其他一般帳號也應(yīng)尊循著一原則。
    說明：這樣可以為黑客攻擊增加一層障礙。