服务器安全设置

一、操作系统的安装

　　我这里说的操作系统以Windows 2000为例，高版本的Windows也有类似功能。

　　格式化硬盘时候，必须格式化为NTFS的，绝对不要使用FAT32类型。

　　C盘为操作系统盘，D盘放常用软件，E盘网站，格式化完成后立刻设置磁盘权限，C盘默认，D盘的安全设置为Administrator和System完全控制，其他用户删除，E盘放网站，如果只有一个网站，就设置Administrator和System完全控制，Everyone读取，如果网站上某段代码必须完成写操作，这时再单独对那个文件所在的文件夹权限进行更改。

　　系统安装过程中一定本着最小服务原则，无用的服务一概不选择，达到系统的最小安装，在安装IIS的过程中，只安装最基本必要的功能，那些不必要的危险服务千万不要安装，例如：FrontPage 2000服务器扩展，Internet服务管理器（HTML），FTP服务，文档，索引服务等等。

　　二、网络安全配置

　　网络安全最基本的是端口设置，在“本地连接属性”，点“Internet协议（TCP/IP）”，点“高级”，再点“选项”-“TCP/IP筛选”。仅打开网站服务所需要使用的端口，配置界面如下图。

　　进行如下设置后，从你的服务器将不能使用域名解析，因此上网，但是外部的访问是正常的。这个设置主要为了防止一般规模的DDOS攻击。

　　三、安全模板设置

　　运行MMC，添加独立管理单元“安全配置与分析”，导入模板basicsv.inf或者securedc.inf，然后点“立刻配置计算机”，系统就会自动配置“帐户策略”、“本地策略”、“系统服务”等信息，一步到位，不过这些配置可能会导致某些软件无法运行或者运行出错。

　　四、WEB服务器的设置

　　以IIS为例，绝对不要使用IIS默认安装的WEB目录，而需要在E盘新建立一个目录。然后在IIS管理器中右击主机->属性->WWW服务 编辑->主目录配置->应用程序映射，只保留asp和asa，其余全部删除。

　　五、ASP的安全

　　在IIS系统上，大部分木马都是ASP写的，因此，ASP组件的安全是非常重要的。

　　ASP木马实际上大部分通过调用Shell.Application、WScript.Shell、WScript.Network、FSO、Adodb.Stream组件来实现其功能，除了FSO之外，其他的大多可以直接禁用。

　　WScript.Shell组件使用这个命令删除：regsvr32 WSHom.ocx /u

　　WScript.Network组件使用这个命令删除：regsvr32 wshom.ocx /u

　　Shell.Application可以使用禁止Guest用户使用shell32.dll来防止调用此组件。使用命令：cacls C：/WINNT/system32/shell32.dll /e /d guests

　　禁止guests用户执行cmd.exe的命令是： cacls C：/WINNT/system32/Cmd.exe /e /d guests

　　FSO组件的禁用比较麻烦，如果网站本身不需要用这个组件，那么就通过RegSrv32 scrrun.dll /u命令来禁用吧。如果网站本身也需要用到FSO，那么请参看这篇文章。

　　另外，使用微软提供的URLScan Tool这个过滤非法URL访问的工具，也可以起到一定防范作用。当然，每天备份也是一个好习惯。

（1）文件系统的设定

　　windows2000server 支持多种文件系统，最安全的要数NTFS文件系统，如果你的windows2000server要用作服务器，最好将所有的分区都格式化为NTFS文件系统，fat32是不能用的

　　（2）补丁（pack)

　　目前windows2000已经到sp4了，这个大补丁一定要装的，安装sp4后再到网络上升级，将微软提供的各种重要系统安全更新全部都升级，不要怕麻烦，这是防病毒和黑客攻击的非常重要安全设置步骤。

　　（3）帐号安全

　　帐号是windows2000server的重要的安全保证，要注意区分一些工作组的权限：

　　administrators是系统管理员组，administrator是系统默认的管理帐号，administrator最好设置一个复杂的密码，复杂到什么程度呢？简单的说，自己都要记不住这个密码，这个密码可以是字符、数字、符号、大小写的组合（如：AGgF!452KhtUN)，密码不要让别人猜得到，不要用自己得电话号码啦之类的东西，最好在笔记本上将密码设定好后再设置，设好密码后妥善保管记录密码的笔记本，每隔一段时间更改自己的密码

　　guest帐号最好禁止使用，如果没有必要，不要添加其他的系统管理员帐号

　　（4）关闭不必要的服务

　　在服务中将一些不常用的服务关闭（比如打印、远程注册表操作，信息发送等不必要的服务）

　　（5）网络协议

　　如果没有其他的用途，windows2000server只需要安装tcp/ip协议，其他不必要的协议统统删除

　　（6）如果没必要，IIS一定不要安装（如果需要安装iis，那么看后面的设置）

　　IIS是windows2000server中最不安全的组件，不装IIS，windows2000将是很安全的

　　(7)默认共享的删除

　　windows2000server默认的共享有以下几种

　　c$

　　d$

　　e$

　　.....

　　IPC$

　　ADMIN$

　　这些默认共享一定要关，否者hk利用简单的Net use命令就可以将你的服务器黑掉

　　下面提供简单的关闭这些共享的方法

　　A、建立一个批处理文件，如a.bat

　　B、在该批处理文件中添加下面的语句

　　net share c$ /del

　　(这是取消c盘的默认共享，同理 net share d$ /del 是取消d盘的共享，你有多少个盘符，就编多少个以上的语句）

　　net share ipc$ /del     (删除ipc默认共享）

　　net share admin$ /del  （删除 admin默认共享）

　　C 、将以上的语句添加完后，将该文件放入开始菜单中程序中启动文件夹中，让windows2000server每次启动都将默认的共享删除

　　（7）CMD的设置

　　cmd.exe是windows2000中非常重要的文件，很多漏洞都是要*调用该个文件，该文件在windows2000server所在目录的system32中，我们需要对其进行设定

　　A、将该文件从system32中拷贝出来放在其他地方，将原来的文件删除

　　B、将拷贝出来的文件进行权限设定，只允许administrator访问，不允许其他任何的工作组或用户访问该文件

　　（8）windows2000server终端服务(默认3389端口）

　　windows2000server提供了远程终端服务，此服务方便了网络管理员对服务器的远程管理，但是，该服务也为黑客提供了非常危险的攻击，网络黑客口中的所谓跳板（肉鸡）绝大部分都是利用该功能进行自我隐蔽的攻击。一旦系统管理员的密码被破解，而该服务器又提供终端服务，黑客就可以完全控制了该服务器，不但服务器的各种资料会完全暴露，而且黑客还会利用这台服务器去攻击其他的服务器，因此该服务除非你觉得自己的服务器足够安全，否则最好不要打开，特别是暴露在互连网络中的服务器，打开该功能一定要小心谨慎。

　　A、如何知道自己的终端服务是否打开？

　　终端服务需要安装，我们可以通过控制面板中的添加/删除程序中的添加/删除windows组件来安装，在windows组件向导列表中最下面有两个组件，一个是“终端服务”,一个是“终端服务授权”，我们只需要安装“终端服务”这个组件就可以将该功能启用，一旦启用了该功能，默认的情况下，我们的tcp3389端口就会打开。所以，我们看看这个地方，如果你的组件“终端服务”前面打了勾，就表明你已经打开了该服务。

　　有些黑客手段很高明，一旦控制了你的计算机后，可以远程打开该服务，这种情况下，我们最好检查windows2000server启用了哪些服务，如何检查呢？打开windows2000server的服务管理（开始菜单——程序——管理工具——服务）。在服务列表中检查Terminal Services这项服务的状态，看看如果该服务处于“

　　禁用”状态，说明该服务没打开，如果该服务处于“已启动”状态，说明该服务已经打开。

　　B、如何关闭该服务！

　　第一步，通过控制面板中的添加/删除程序中的添加/删除windows组件来将该服务组件删除

　　第二步，在服务中将Terminal Services服务禁用

　　注意：需要经常检查该服务是否被非法启动，如果你在你没有启动该服务的情况下你发现它已打开，非常不幸，你的服务器已经被黑，成为了别人的跳板（肉鸡）最好的解决方法是重作服务器系统，不要以为关闭该服务就行了。

　　（9）telnet服务（默认23端口）

　　相对于3389来讲，telnet服务更不容易引起管理员的注意，该服务以前是UNIX和LINUX类系统提供的远程管理终端服务，windows2000server也提供了，它也是一个终端服务，只不过telnet服务是字符界面，而3389服务是图形界面，二者都能完全远程控制服务器的所有功能。我以前在利用肉鸡的时候，一般都不用3389，为什么呢？该服务速度慢，我一般都是打开肉鸡的telnet服务，速度非常快，功能也很全面，又不容易被发觉

　　A、如何知道自己的telnet服务是否打开？

　　在windows2000server控制面板——管理工具中有一项“Telnet 服务器管理”(对应的文件是system32中的tlntadmn.exe），这就是该服务的开关，我们可以利用该程序配置我们的telnet服务。

　　打开开始菜单——程序——管理工具——服务，在服务列表中有该服务对应的一项“Telnet”，默认的情况下，该服务状态是“手动”，如果，该服务是“已启动”状态，说明该服务已经启动了，你可以用以下命令连接

　　在windows(98/2000/xp/2003)字符模式下输入： telnet  服务器的IP地址

　　如果出现了登陆界面，非常不幸，你的telnet服务真的已开，如果不是你开的，非常不幸，你被黑了，你可能成为了肉鸡。

　　B、如何关闭该服务！

　　打开开始菜单——程序——管理工具——服务，在服务中将telnet服务禁用

　　建议：最好将system32中的tlntadmn.exe拷贝出来放到其他文件夹中并改名，并将该文件从system32中删除。

　　随时检查telnet服务的状态，如果该服务是“已启动”状态，而又不是你启动的，最好重新安装服务器系统。

　　最好随时扫描你的服务器所开的端口，如果23端口已开或有一些不知名的端口已开(因为黑客很可能会将提供该服务的端口改为其他的端口来逃避检查），用telnet命令测试一下，看看能不能连接。

　　附：telnet命令格式

　　telnet ip地址 端口

　　如：telnet 192.168.1.1 （连接服务器192.168.1.1的默认23端口）

　　如：telnet 192.168.1.1 555 （连接服务器192.168.1.1的555端口）

　　二、SQL Server 2000的安全配置

　　在进行SQL Server 2000数据库的安全配置之前，首先你必须对操作系统进行安全配置，保证你的操作系统处于安全状态。然后对你要使用的操作数据库软件（程序）进行必要的安全审核，比如对ASP、PHP等脚本，这是很多基于数据库的WEB应用常出现的安全隐患，对于脚本主要是一个过滤问题，需要过滤一些类似 , ‘  @ / 等字符，防止破坏者构造恶意的SQL语句。接着，安装SQL Server2000后请打上补丁sp1以及最新的sp2。

　　   1、使用安全的密码策略

　　　我们把密码策略摆在所有安全配置的第一步，请注意，很多数据库帐号的密码过于简单，这跟系统密码过于简单是一个道理。对于sa更应该注意，同时不要让sa帐号的密码写于应用程序或者脚本中。健壮的密码是安全的第一步！SQL Server2000安装的时候，如果是使用混合模式，那么就需要输入sa的密码，除非你确认必须使用空密码。这比以前的版本有所改进。同时养成定期修改密码的好习惯。数据库管理员应该定期查看是否有不符合密码要求的帐号。

　　比如使用下面的SQL语句：

　　Use master

　　Select name,Password from syslogins where password is null

　　2、使用安全的帐号策略

　　由于SQL Server不能更改sa用户名称，也不能删除这个超级用户，所以，我们必须对这个帐号进行最强的保护，当然，包括使用一个非常强壮的密码，最好不要在数据库应用中使用sa帐号，只有当没有其它方法登录到 SQL Server 实例（例如，当其它系统管理员不可用或忘记了密码）时才使用 sa。建议数据库管理员新建立个拥有与sa一样权限的超级用户来管理数据库。安全的帐号策略还包括不要让管理员权限的帐号泛滥。

　　SQL Server的认证模式有Windows身份认证和混合身份认证两种。如果数据库管理员不希望操作系统管理员来通过操作系统登陆来接触数据库的话，可以在帐号管理中把系统帐号“BUILTIN/Administrators”删除。不过这样做的结果是一旦sa帐号忘记密码的话，就没有办法来恢复了。很多主机使用数据库应用只是用来做查询、修改等简单功能的，请根据实际需要分配帐号，并赋予仅仅能够满足应用要求和需要的权限。比如，只要查询功能的，那么就使用一个简单的public帐号能够select就可以了。

　　3、加强数据库日志的记录

　　审核数据库登录事件的“失败和成功”，在实例属性中选择“安全性”，将其中的审核级别选定为全部，这样在数据库系统和操作系统日志里面，就详细记录了所有帐号的登录事件。请定期查看SQL Server日志检查是否有可疑的登录事件发生，或者使用DOS命令。findstr /C:"登录" d:/Microsoft SQL Server/MSSQL/LOG/*.*

　　4、管理扩展存储过程

　　对存储过程进行大手术，并且对帐号调用扩展存储过程的权限要慎重。其实在多数应用中根本用不到多少系统的存储过程，而SQL Server的这么多系统存储过程只是用来适应广大用户需求的，所以请删除不必要的存储过程，因为有些系统的存储过程能很容易地被人利用起来提升权限或进行破坏。如果你不需要扩展存储过程xp_cmdshell请把它去掉。使用这个SQL语句：

　　use master

　　sp_dropextendedproc 'xp_cmdshell'

　　xp_cmdshell是进入操作系统的最佳捷径，是数据库留给操作系统的一个大后门。如果你需要这个存储过程，请用这个语句也可以恢复过来。

　　sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'

　　如果你不需要请丢弃OLE自动存储过程（会造成管理器中的某些特征不能使用），

　　这些过程包括如下：

　　Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty

　　Sp_OAMethod Sp_OASetProperty Sp_OAStop

　　去掉不需要的注册表访问的存储过程，注册表存储过程甚至能够读出操作系统管理员的密码来，如下：

　　Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue

　　Xp_regenumvalues Xp_regread Xp_regremovemultistring

　　Xp_regwrite

　　还有一些其他的扩展存储过程，你也最好检查检查。在处理存储过程的时候，请确认一下，避免造成对数据库或应用程序的伤害。

　　5、使用协议加密

　　SQL Server 2000使用的Tabular Data Stream协议来进行网络数据交换，如果不加密的话，所有的网络传输都是明文的，包括密码、数据库内容等等，这是一个很大的安全威胁。能被人在网络中截获到他们需要的东西，包括数据库帐号和密码。所以，在条件容许情况下，最好使用SSL来加密协议，当然，你需要一个证书来支持。

　　6、不要让人随便探测到你的TCP/IP端口

　　默认情况下，SQL Server使用1433端口监听，很多人都说SQL Server配置的时候要把这个端口改变，这样别人就不能很容易地知道使用的什么端口了。可惜，通过微软未公开的1434端口的UDP探测可以很容易知道SQL Server使用的什么TCP/IP端口了。不过微软还是考虑到了这个问题，毕竟公开而且开放的端口会引起不必要的麻烦。在实例属性中选择TCP/IP协议的属性。选择隐藏 SQL Server 实例。如果隐藏了 SQL Server 实例，则将禁止对试图枚举网络上现有的 SQL Server 实例的客户端所发出的广播作出响应。这样，别人就不能用1434来探测你的TCP/IP端口了（除非用Port Scan）。

　　7、修改TCP/IP使用的端口

　　请在上一步配置的基础上，更改原默认的1433端口。在实例属性中选择网络配置中的TCP/IP协议的属性，将TCP/IP使用的默认端口变为其他端口.

　　9、拒绝来自1434端口的探测

　　由于1434端口探测没有限制，能够被别人探测到一些数据库信息，而且还可能遭到DOS攻击让数据库服务器的CPU负荷增大，所以对Windows 2000操作系统来说，在IPSec过滤拒绝掉1434端口的UDP通讯，可以尽可能地隐藏你的SQL Server。

　　10、对网络连接进行IP限制

　　SQL Server 2000数据库系统本身没有提供网络连接的安全解决办法，但是Windows 2000提供了这样的安全机制。使用操作系统自己的IPSec可以实现IP数据包的安全性。请对IP连接进行限制，只保证自己的IP能够访问，也拒绝其他IP进行的端口连接，把来自网络上的安全威胁进行有效的控制。关于IPSec的使用请参看：http://www.microsoft.com/china/technet/security/ipsecloc.asp

　　上面主要介绍的一些SQL Server的安全配置，经过以上的配置，可以让SQL Server本身具备足够的安全防范能力。当然，更主要的还是要加强内部的安全控制和管理员的安全培训，而且安全性问题是一个长期的解决过程，还需要以后进行更多的安全维护