操作系统平台的信息安全培训教材

PAGE第80页操作系统平台的信息安全培训教材一、Windows2000/2003的安全问题MicrosoftWindows2000被设计为满足工业和政府安全性要求，然而几乎所有的操作系统的默认安装并非最优的安全配置。主要原因是：大多数的组织都有自己的配置操作系统的策略和程序，因此默认设置不宜对其造成过多的麻烦；操作系统出厂时都假定安装者有较高水准的安全意识。Windows2000的安全结构Windows2000的安全组件下面列出了Windows2000符合于C2级标准的安全组件：灵活的访问控制（DACL）对象再利用强制登录审计控制对象的访问Windows2000的对象为了实现其安全特色，Windows2000设计把系统所有类型的资源处理成特殊的对象，把所有都封装成对象并建立一个单独的机制来使用它们，微软创建单独的方法来对那些对象实行访问控制。基于这种方法学，Windows2000通常被叫做基于对象的操作系统。安全的组成部分Windows2000安全子系统架构由五个关键部分组成：安全标识符、访问令牌、安全描述符、访问控制列表、和访问控制条目。利用这些组件的交互作用来控制用户对对象的访问活动。安全标识符安全标识符（SID）是统计上唯一的数组分配给所有的用户、组和计算机，每次当一个新用户或组被建立的时候，它们都会接收到一个唯一的SID。访问令牌登录的过程主要目的的—部分是在用户被验证之后分配给他们访问令牌。访问令牌是由用户的SID、用户所属于组的SID、用户名、用户所在组的组名构成的。无论何时用户企图进行访问，都要向Windows2000出示访问令牌。安全描述符Windows2000内的每个对象都有一个安全描述符作为它们属性的一部分。安全描述符持有对象的安全设置。安全描述符是由对象Owner的SID、组SID，灵活访问控制列表（DACL）以及计算机访问控制列表（SACL）。访问控制列表两种类型的访问控制列表是灵活的和系统的。灵活访问控制列表里记录用户和组以及它们的相关权限，要么允许要么拒绝。灵活访问控制列表列出每个用户和组的特定的权限。系统访问控制列表包含为对象审计的事件。当没有特殊指定访问控制列表的类型时，通常是灵活访问控制列表（DACL）。访问控制条目每个访问控制条目（ACE）包含用户或组的SID及对对象所持有的权限。对象分配的每个权限都有一个ACE。Windows2000的安全策略什么是安全策略？安全策略的类型安全策略失败的常见原因创建安全策略的指导原则文件系统的安全访问控制必须在两个地方实施，即本地和远程。文件可以由用户在本地访问或通过网络进行远程访问。Windows2000的NTFS权限当建立文件的权限时你必须先实现Windows2000的文件系统（NTFS），当然你也可以使用FAT格式，但它并不支持文件级的权限。FAT只在那些相对来讲对安全要求较低的情况下使用，即使NTFS也不能认为是能完全地保护文件。一旦已经实施了NTFS的文件系统格式，可通过Windows2000的资源管理器来直接来管理文件的安全，使用资源管理器你可为设置目录或文件的权限。磁盘分区因为操作系统目录的权限是非常严格的，把Windows2000放置自己单独的分区内是个明智的选择。在这个分区上只安装Windows2000而不安装应用程序使管理任务简单很多。Windows2000OS程序文件数据Lab11-2：指定高级的NTFS权限Lab11-3：在NTFS分区内和分区间拷贝和移动文件通过安全策略设置重要文件的访问权限远程文件访问控制远程的访问一个文件和目录是通过共享权限来提供的。一个共享就是供远程用户访问文件的网络访问点。当配置这些共享时，你要设置相应的权限。共享权限的应用类似于在NTFS上权限的应用。主要的区别是共享权限缺乏精细地权限设置。你只能分配不可访问、读取、更改和完全控制的权限。共享的权限和共享点一定要小心地分配，因为权限仅仅是分配给共享点的，任何共享点下的文件或目录都是以和共享点本身相同的权限被访问的。结合使用本地和远程权限Windows2000权限的设计是要综合使用NTFS和共享权限，共享的安全性对于需要更加安全是远远不够的。当你结合使用共享和NTFS权限时，两者中最严格的权限优先使用。Lab11-4：理解共享和共享点Windows2000的安全风险默认目录Windows2000默认是安装在系统主分区的\WINNT目录下。使用不同的目录对合法用户不会造成任何影响，但对于那些企图通过类似WEB服务器这样的介质远程访问文件的攻击者来说大大地增加了难度。默认帐号对于administrator，Guest和其它一些系统帐号都应该改名。其它一些帐号，比如IUSER_MACHINENAME是在安装IIS后产生的，对其也应该改名。通过安全策略设置默认帐号的改变；通过安全策略设置系统内置组的成员关系默认共享Windows2000出于管理的目的自动地建立了一些共享。包括C$，D$和系统其它一些根卷，如ADMIN$是一个指向\SYSTEMROOT\目录的共享。尽管它们仅仅是针对管理而配置的，但仍形成一个没必要的风险，成为攻击者一个常见的目标。你可以通过增加注册表\HKLM\System\CurrentControlSet\Service\LanManServer\Parameters下一个叫AutoShareServer的键值，类型为DWORD并且值为0，来禁止这些管理用的共享。对于使用Windows2000Professional的机器，键值名为AutoShareWks。Lab11-5：禁用Windows2000Server的默认共享降低风险的首要措施简单的更改一些操作系统的默认设置和一些权限的控制是不足以抵御目前存在的各种攻击方式。Patches和FixesMicrosoftservicepacks应用安全更新的方法WindowsUpdateOfficeUpdateMicrosoftSoftwareUpdateServiceSMSUpdateServiceFeaturePackWindows2000安全性检测Lab11-16Windows下权限设置随着动网论坛的广泛应用和动网上传漏洞的被发现以及SQL注入式攻击越来越多的被使用，WEBSHELL让防火墙形同虚设，一台即使打了所有微软补丁、只让80端口对外开放的WEB服务器也逃不过被黑的命运。难道我们真的无能为力了吗？其实，只要你弄明白了NTFS系统下的权限设置问题，我们可以对crackers们说：NO!

要打造一台安全的WEB服务器，那么这台服务器就一定要使用NTFS和WindowsNT/2000/2003。众所周知，Windows是一个支持多用户、多任务的操作系统，这是权限设置的基础，一切权限设置都是基于用户和进程而言的，不同的用户在访问这台计算机时，将会有不同的权限。DOS是个单任务、单用户的操作系统。但是我们能说DOS没有权限吗？不能！当我们打开一台装有DOS操作系统的计算机的时候，我们就拥有了这个操作系统的管理员权限，而且，这个权限无处不在。所以，我们只能说DOS不支持权限的设置，不能说它没有权限。随着人们安全意识的提高，权限设置随着NTFS的发布诞生了。

WindowsNT里，用户被分成许多组，组和组之间都有不同的权限，当然，一个组的用户和用户之间也可以有不同的权限。下面我们来谈谈NT中常见的用户组。

Administrators,管理员组，默认情况下，Administrators中的用户对计算机/域有不受限制的完全访问权。分配给该组的默认权限允许对整个系统进行完全控制。所以，只有受信任的人员才可成为该组的成员。

PowerUsers，高级用户组，PowerUsers可以执行除了为Administrators组保留的任务外的其他任何操作系统任务。分配给PowerUsers组的默认权限允许PowerUsers组的成员修改整个计算机的设置。但PowerUsers不具有将自己添加到Administrators组的权限。在权限设置中，这个组的权限是仅次于Administrators的。

Users:普通用户组，这个组的用户无法进行有意或无意的改动。因此，用户可以运行经过验证的应用程序，但不可以运行大多数旧版应用程序。Users组是最安全的组，因为分配给该组的默认权限不允许成员修改操作系统的设置或用户资料。Users组提供了一个最安全的程序运行环境。在经过NTFS格式化的卷上，默认安全设置旨在禁止该组的成员危及操作系统和已安装程序的完整性。用户不能修改系统注册表设置、操作系统文件或程序文件。Users可以关闭工作站，但不能关闭服务器。Users可以创建本地组，但只能修改自己创建的本地组。

Guests:来宾组，按默认值，来宾跟普通Users的成员有同等访问权，但来宾帐户的限制更多。

Everyone:顾名思义，所有的用户，这个计算机上的所有用户都属于这个组。

其实还有一个组也很常见，它拥有和Administrators一样、甚至比其还高的权限，但是这个组不允许任何用户的加入，在察看用户组的时候，它也不会被显示出来，它就是SYSTEM组。系统和系统级的服务正常运行所需要的权限都是靠它赋予的。由于该组只有这一个用户SYSTEM，也许把该组归为用户的行列更为贴切。

权限是有高低之分的，有高权限的用户可以对低权限的用户进行操作，但除了Administrators之外，其他组的用户不能访问NTFS卷上的其他用户资料，除非他们获得了这些用户的授权。而低权限的用户无法对高权限的用户进行任何操作。

我们平常使用计算机的过程当中不会感觉到有权限在阻挠你去做某件事情，这是因为我们在使用计算机的时候都用的是Administrators中的用户登陆的。这样有利也有弊，利当然是你能去做你想做的任何一件事情而不会遇到权限的限制。弊就是以Administrators组成员的身份运行计算机将使系统容易受到特洛伊木马、病毒及其他安全风险的威胁。访问Internet站点或打开电子邮件附件的简单行动都可能破坏系统。不熟悉的Internet站点或电子邮件附件可能有特洛伊木马代码，这些代码可以下载到系统并被执行。如果以本地计算机的管理员身份登录，特洛伊木马可能使用管理访问权重新格式化您的硬盘，造成不可估量的损失，所以在没有必要的情况下，最好不用Administrators中的用户登陆。Administrators中有一个在系统安装时就创建的默认用户Administrator，Administrator帐户具有对服务器的完全控制权限，并可以根据需要向用户指派用户权利和访问控制权限。因此强烈建议将此帐户设置为使用强密码。永远也不可以从Administrators组删除Administrator帐户，但可以重命名或禁用该帐户。由于大家都知道“管理员”存在于许多版本的Windows上，所以重命名或禁用此帐户将使恶意用户尝试并访问该帐户变得更为困难。对于一个好的服务器管理员来说，他们通常都会重命名或禁用此帐户。Guests用户组下，也有一个默认用户Guest,但是在默认情况下，它是被禁用的。如果没有特别必要，无须启用此账户。我们可以通过“控制面板”--“管理工具”--“计算机管理”--“用户和用户组”来查看用户组及该组下的用户。

我们用鼠标右键单击一个NTFS卷或NTFS卷下的一个目录，选择“属性”--“安全”就可以对一个卷，或者一个卷下面的目录进行权限设置，此时我们会看到以下七种权限：完全控制、修改、读取和运行、列出文件夹目录、读取、写入、和特别的权限。“完全控制”就是对此卷或目录拥有不受限制的完全访问。地位就像Administrators在所有组中的地位一样。选中了“完全控制”，下面的五项属性将被自动被选中。“修改”则像Powerusers，选中了“修改”，下面的四项属性将被自动被选中。下面的任何一项没有被选中时，“修改”条件将不再成立。“读取和运行”就是允许读取和运行在这个卷或目录下的任何文件，“列出文件夹目录”和“读取”是“读取和运行”的必要条件。“列出文件夹目录”是指只能浏览该卷或目录下的子目录，不能读取，也不能运行。“读取”是能够读取该卷或目录下的数据。“写入”就是能往该卷或目录下写入数据。而“特别”则是对以上的六种权限进行了细分。读者可以自行对“特别”进行更深的研究，鄙人在此就不过多赘述了。

下面我们对一台刚刚安装好操作系统和服务软件的WEB服务器系统和其权限进行全面的刨析。服务器采用Windows2000Server版，安装好了SP4及各种补丁。WEB服务软件则是用了Windows2000自带的IIS5.0，删除了一切不必要的映射。整个硬盘分为四个NTFS卷，C盘为系统卷，只安装了系统和驱动程序；D盘为软件卷，该服务器上所有安装的软件都在D盘中；E盘是WEB程序卷，网站程序都在该卷下的WWW目录中；F盘是网站数据卷，网站系统调用的所有数据都存放在该卷的WWWDATABASE目录下。这样的分类还算是比较符合一台安全服务器的标准了。希望各个新手管理员能合理给你的服务器数据进行分类，这样不光是查找起来方便，更重要的是这样大大的增强了服务器的安全性，因为我们可以根据需要给每个卷或者每个目录都设置不同的权限，一旦发生了网络安全事故，也可以把损失降到最低。当然，也可以把网站的数据分布在不同的服务器上，使之成为一个服务器群，每个服务器都拥有不同的用户名和密码并提供不同的服务，这样做的安全性更高。不过愿意这样做的人都有一个特点有钱:)。好了，言归正传，该服务器的数据库为MS-SQL，MS-SQL的服务软件SQL2000安装在d:\ms-sqlserver2K目录下，给SA账户设置好了足够强度的密码，安装好了SP3补丁。为了方便网页制作员对网页进行管理，该网站还开通了FTP服务，FTP服务软件使用的是SERV-U，安装在d:\ftpservice\serv-u目录下。杀毒软件和防火墙用的分别是NortonAntivirus和BlackICE,路径分别为d:\nortonAV和d:\firewall\blackice,病毒库已经升级到最新，防火墙规则库定义只有80端口和21端口对外开放。网站的内容是采用动网7.0的论坛,网站程序在e:\www\bbs下。细心的读者可能已经注意到了，安装这些服务软件的路径我都没有采用默认的路径或者是仅仅更改盘符的默认路径，这也是安全上的需要，因为一个黑客如果通过某些途径进入了你的服务器，但并没有获得管理员权限，他首先做的事情将是查看你开放了哪些服务以及安装了哪些软件，因为他需要通过这些来提升他的权限。一个难以猜解的路径加上好的权限设置将把他阻挡在外。相信经过这样配置的WEB服务器已经足够抵挡大部分学艺不精的黑客了。读者可能又会问了：“这根本没用到权限设置嘛！我把其他都安全工作都做好了，权限设置还有必要吗？”当然有！智者千虑还必有一失呢，就算你现在已经把系统安全做的完美无缺，你也要知道新的安全漏洞总是在被不断的发现。权限将是你的最后一道防线！那我们现在就来对这台没有经过任何权限设置，全部采用Windows默认权限的服务器进行一次模拟攻击，看看其是否真的固若金汤。

假设服务器外网域名为，用扫描软件对其进行扫描后发现开放WWW和FTP服务，并发现其服务软件使用的是IIS5.0和Serv-u5.1，用一些针对他们的溢出工具后发现无效，遂放弃直接远程溢出的想法。打开网站页面，发现使用的是动网的论坛系统，于是在其域名后面加个/upfile.asp，发现有文件上传漏洞，便抓包，把修改过的ASP木马用NC提交，提示上传成功，成功得到WEBSHELL，打开刚刚上传的ASP木马，发现有MS-SQL、NortonAntivirus和BlackICE在运行，判断是防火墙上做了限制，把SQL服务端口屏蔽了。通过ASP木马查看到了NortonAntivirus和BlackICE的PID，又通过ASP木马上传了一个能杀掉进程的文件，运行后杀掉了NortonAntivirus和BlackICE。再扫描，发现1433端口开放了，到此，便有很多种途径获得管理员权限了，可以查看网站目录下的conn.asp得到SQL的用户名密码，再登陆进SQL执行添加用户，提管理员权限。也可以抓SERV-U下的ServUDaemon.ini修改后上传，得到系统管理员权限。还可以传本地溢出SERV-U的工具直接添加用户到Administrators等等。大家可以看到，一旦黑客找到了切入点，在没有权限限制的情况下，黑客将一帆风顺的取得管理员权限。

那我们现在就来看看Windows2000的默认权限设置到底是怎样的。对于各个卷的根目录，默认给了Everyone组完全控制权。这意味着任何进入电脑的用户将不受限制的在这些根目录中为所欲为。系统卷下有三个目录比较特殊，系统默认给了他们有限制的权限，这三个目录是Documentsandsettings、Programfiles和Winnt。对于Documentsandsettings，默认的权限是这样分配的：Administrators拥有完全控制权；Everyone拥有读&运，列和读权限；Powerusers拥有读&运，列和读权限；SYSTEM同Administrators;Users拥有读&运，列和读权限。对于Programfiles，Administrators拥有完全控制权；Creatorowner拥有特殊权限;Powerusers有完全控制权;SYSTEM同Administrators;Terminalserverusers拥有完全控制权，Users有读&运，列和读权限。对于Winnt，Administrators拥有完全控制权；Creatorowner拥有特殊权限;Powerusers有完全控制权;SYSTEM同Administrators;Users有读&运，列和读权限。而非系统卷下的所有目录都将继承其父目录的权限，也就是Everyone组完全控制权！

现在大家知道为什么我们刚刚在测试的时候能一帆风顺的取得管理员权限了吧？权限设置的太低了！一个人在访问网站的时候，将被自动赋予IUSR用户，它是隶属于Guest组的。本来权限不高，但是系统默认给的Everyone组完全控制权却让它“身价倍增”，到最后能得到Administrators了。那么，怎样设置权限给这台WEB服务器才算是安全的呢？大家要牢记一句话：“最少的服务+最小的权限=最大的安全”对于服务，不必要的话一定不要装，要知道服务的运行是SYSTEM级的哦，对于权限，本着够用就好的原则分配就是了。对于WEB服务器，就拿刚刚那台服务器来说，我是这样设置权限的，大家可以参考一下：各个卷的根目录、Documentsandsettings以及Programfiles，只给Administrator完全控制权，或者干脆直接把Programfiles给删除掉；给系统卷的根目录多加一个Everyone的读、写权；给e:\www目录，也就是网站目录读、写权。最后，还要把cmd.exe这个文件给挖出来，只给Administrator完全控制权。经过这样的设置后，再想通过我刚刚的方法入侵这台服务器就是不可能完成的任务了。可能这时候又有读者会问：“为什么要给系统卷的根目录一个Everyone的读、写权？网站中的ASP文件运行不需要运行权限吗？”问的好，有深度。是这样的，系统卷如果不给Everyone的读、写权的话，启动计算机的时候，计算机会报错，而且会提示虚拟内存不足。当然这也有个前提虚拟内存是分配在系统盘的，如果把虚拟内存分配在其他卷上，那你就要给那个卷Everyone的读、写权。ASP文件的运行方式是在服务器上执行，只把执行的结果传回最终用户的浏览器，这没错，但ASP文件不是系统意义上的可执行文件，它是由WEB服务的提供者IIS来解释执行的，所以它的执行并不需要运行的权限。

经过上面的讲解以后，你一定对权限有了一个初步了了解了吧？想更深入的了解权限，那么权限的一些特性你就不能不知道了，权限是具有继承性、累加性、优先性、交叉性的。

继承性是说下级的目录在没有经过重新设置之前，是拥有上一级目录权限设置的。这里还有一种情况要说明一下，在分区内复制目录或文件的时候，复制过去的目录和文件将拥有它现在所处位置的上一级目录权限设置。但在分区内移动目录或文件的时候，移动过去的目录和文件将拥有它原先的权限设置。

累加是说如一个组GROUP1中有两个用户USER1、USER2，他们同时对某文件或目录的访问权限分别为“读取”和“写入”，那么组GROUP1对该文件或目录的访问权限就为USER1和USER2的访问权限之和，实际上是取其最大的那个，即“读取”+“写入”=“写入”。又如一个用户USER1同属于组GROUP1和GROUP2，而GROUP1对某一文件或目录的访问权限为“只读”型的，而GROUP2对这一文件或文件夹的访问权限为“完全控制”型的，则用户USER1对该文件或文件夹的访问权限为两个组权限累加所得，即：“只读”+“完全控制”=“完全控制”。

优先性，权限的这一特性又包含两种子特性，其一是文件的访问权限优先目录的权限，也就是说文件权限可以越过目录的权限，不顾上一级文件夹的设置。另一特性就是“拒绝”权限优先其它权限，也就是说“拒绝”权限可以越过其它所有其它权限，一旦选择了“拒绝”权限，则其它权限也就不能取任何作用，相当于没有设置。

交叉性是指当同一文件夹在为某一用户设置了共享权限的同时又为用户设置了该文件夹的访问权限，且所设权限不一致时，它的取舍原则是取两个权限的交集，也即最严格、最小的那种权限。如目录A为用户USER1设置的共享权限为“只读”，同时目录A为用户USER1设置的访问权限为“完全控制”，那用户USER1的最终访问权限为“只读”。

权限设置的问题我就说到这了，在最后我还想给各位读者提醒一下，权限的设置必须在NTFS分区中才能实现的，FAT32是不支持权限设置的。同时还想给各位管理员们一些建议：

1.养成良好的习惯，给服务器硬盘分区的时候分类明确些，在不使用服务器的时候将服务器锁定，经常更新各种补丁和升级杀毒软件。

2.设置足够强度的密码，这是老生常谈了，但总有管理员设置弱密码甚至空密码。

3.尽量不要把各种软件安装在默认的路径下

4.在英文水平不是问题的情况下，尽量安装英文版操作系统。

5.切忌在服务器上乱装软件或不必要的服务。

6.牢记：没有永远安全的系统，经常更新你的知识。Lab11-17Windows2000下安全WEB站点用NT（2000）建立的WEB站点在所有的网站中占了很大一部分比例，但NT的安全问题也一直比较突出，使得一些每个基于NT的网站都有一种如履薄冰的感觉，然而微软并没有明确的坚决方案，只是推出了一个个补丁程序，各种安全文档上对于NT的安全描述零零碎碎，给人们的感觉是无所适从。于是，有的网管干脆什么措施也不采取，有的忙着下各种各样的补丁程序，有的在安装了防火墙以后就以为万事大吉了。这种现状直接导致了大量网站的NT安全性参差不齐。只有极少数NT网站有较高的安全性，大部分网站的安全性很差。为此，瑞星公司决心对NT主要漏洞予以搜集整理，同时，站在整体的高度，力图找出一套用NT建立安全站点的解决方案来，让用户放心使用NT（2000）建立WEB站点。

解决方案：（说明：本方案主要是针对建立Web站点的NT、2000服务器安全，对于局域网内的服务器并不合适。）

一、安装：

不论是NT还是2000，硬盘分区均为NTFS分区；

说明：

（1）NTFS比FAT分区多了安全控制功能，可以对不同的文件夹设置不同的访问权限，安全性增强。

（2）建议最好一次性全部安装成NTFS分区，而不要先安装成FAT分区再转化为NTFS分区，这样做在安装了SP5和SP6的情况下会导致转化不成功，甚至系统崩溃。

（3）安装NTFS分区有一个潜在的危险，就是目前大多数反病毒软件没有提供对软盘启动后NTFS分区病毒的查杀，这样一旦系统中了恶性病毒而导致系统不能正常启动，后果就比较严重，因此及建议平时做好防病毒工作。

只安装一种操作系统；

说明：安装两种以上操作系统，会给黑客以可乘之机，利用攻击使系统重启到另外一个没有安全设置的操作系统（或者他熟悉的操作系统），进而进行破坏。

安装成独立的域控制器（StandAlone）,选择工作组成员，不选择域；

说明：主域控制器（PDC）是局域网中队多台联网机器管理的一种方式，用于网站服务器包含着安全隐患，使黑客有可能利用域方式的漏洞攻击站点服务器。

将操作系统文件所在分区与WEB数据包括其他应用程序所在的分区分开，并在安装时最好不要使用系统默认的目录，如将\WINNT改为其他目录；

说明：黑客有可能通过WEB站点的漏洞得到操作系统对操作系统某些程序的执行权限，从而造成更大的破坏。

安装操作系统最新的补丁程序，NT目前为SP6，2000目前为SP2；在NT下，如果安装了补丁程序，以后如果要从NT光盘上安装新的Windows程序,都要重新安装一次补丁程序，2000下不需要这样做。

说明：

（1）最新的补丁程序，表示系统以前有重大漏洞，非补不可了，对于局域网内服务器可以不是最新的，但站点必须安装最新补丁，否则黑客可能会利用低版本补丁的漏洞对系统造成威胁。这是一部分管理员较易忽视的一点；

（2）安装NT的SP5、SP6有一个潜在威胁，就是一旦系统崩溃重装NT时，系统将不会认NTFS分区，原因是微软在这两个补丁中对NTFS做了改进。只能通过Windows2000安装过程中认NTFS，这样会造成很多麻烦，建议同时做好数据备份工作。

（3）安装ServicePack前应先在测试机器上安装一次，以防因为例外原因导致机器死机，同时做好数据备份。

尽量不安装与WEB站点服务无关的软件；

说明：其他应用软件有可能存在黑客熟知的安全漏洞。

二、NT设置：

帐号策略：

（1）帐号尽可能少，且尽可能少用来登录；

说明：网站帐号一般只用来做系统维护，多余的帐号一个也不要，因为多一个帐号就会多一份被攻破的危险。

（2）除过Administrator外，有必要再增加一个属于管理员组的帐号；

说明：两个管理员组的帐号，一方面防止管理员一旦忘记一个帐号的口令还

有一个备用帐号；另方面，一旦黑客攻破一个帐号并更改口令，我们还有

有机会重新在短期内取得控制权。

（3）所有帐号权限需严格控制，轻易不要给帐号以特殊权限；

（4）将Administrator重命名，改为一个不易猜的名字。其他一般帐号也应尊

循着一原则。

说明：这样可以为黑客攻击增加一层障碍。

（5）将Guest帐号禁用，同时重命名为一个复杂的名字，增加口令，并将它从

Guest组删掉；

说明：有的黑客工具正是利用了guest的弱点，可以将帐号从一般用户提

升到管理员组。

（6）给所有用户帐号一个复杂的口令（系统帐号出外），长度最少在8位以上，且必须同时包含字母、数字、特殊字符。同时不要使用大家熟悉的单词（如microsoft）、熟悉的键盘顺序（如qwert）、熟悉的数字（如2000）等。

说明：口令是黑客攻击的重点，口令一旦被突破也就无任何系统安全可言了，而这往往是不少网管所忽视的地方，据我们的测试，仅字母加数字的5位口令在几分钟内就会被攻破，而所推荐的方案则要安全的多。

（7）口令必须定期更改（建议至少两周该一次），且最好记在心里，除此以外不要在任何地方做记录；另外，如果在日志审核中发现某个帐号被连续尝试，则必须立刻更改此帐号（包括用户名和口令）；

（8）在帐号属性中设立锁定次数，比如改帐号失败登录次数超过5次即锁定改帐号。这样可以防止某些大规模的登录尝试，同时也使管理员对该帐号提高警惕。

解除NetBios与TCP/IP协议的绑定

说明：NetBois在局域网内是不可缺少的功能，在网站服务器上却成了黑客扫描工具的首选目标。方法：NT：控制面版——网络——绑定——NetBios接口——禁用2000：控制面版——网络和拨号连接——本地网络——属性——TCP/IP——属性——高级——WINS——禁用TCP/IP上的NETBIOS

删除所有的网络共享资源

说明：NT与2000在默认情况下有不少网络共享资源，在局域网内对网络管理和网络通讯有用，在网站服务器上同样是一个特大的安全隐患。（卸载“Microsoft网络的文件和打印机共享”。当查看“网络和拨号连接”中的任何连接属性时，将显示该选项。单击“卸载”按钮删除该组件；清除“Microsoft网络的文件和打印机共享”复选框将不起作用。）

方法：

(1)NT:管理工具——服务器管理器——共享目录——停止共享;

2000:控制面版——管理工具——计算及管理——共享文件夹———停止共享

但上述两种方法太麻烦，服务器每重启一次，管理员就必须停止一次

（2）修改注册表：

运行Regedit，然后修改注册表在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters下增加一个键

Name:AutoShareServer

Type:REG_DWORD

Value:0

然后重新启动您的服务器，磁盘分区共享去掉，但IPC共享仍存在，需每次重启后手工删除。

改NTFS的安全权限；

说明：NTFS下所有文件默认情况下对所有人（EveryOne）为完全控制权限，这使黑客有可能使用一般用户身份对文件做增加、删除、执行等操作，建议对一般用户只给予读取权限，而只给管理员和System以完全控制权限，但这样做有可能使某些正常的脚本程序不能执行，或者某些需要写的操作不能完成，这时需要对这些文件所在的文件夹权限进行更改，建议在做更改前先在测试机器上作测试，然后慎重更改。

系统启动的等待时间设置为0秒，控制面板->系统->启动/关闭，然后将列表显示的默认值“30”改为“0”。（或者在boot.ini里将TimeOut的值改为0）

只开放必要的端口，关闭其余端口。

说明：缺省情况下，所有的端口对外开放，黑客就会利用扫描工具扫描那些端口可以利用，这对安全是一个严重威胁。

现将一些常用端口列表如下：

端口协议应用程序

21TCPFTP

25TCPSMTP

53TCPDNS

80TCPHTTPSERVER

1433TCPSQLSERVER

5631TCPPCANYWHERE

5632UDPPCANYWHERE

6（非端口）IP协议

8（非端口）IP协议

加强日志审核；

说明：日志任何包括事件查看器中的应用、系统、安全日志，IIS中的WWW、SMTP、FTP日志、SQLSERVER日志等，从中可以看出某些攻击迹象，因此每天查看日志是保证系统安全的必不可少的环节。安全日志缺省是不记录，帐号审核可以从域用户管理器——规则——审核中选择指标；NTFS中对文件的审核从资源管理器中选取。要注意的一点是，只需选取你真正关心的指标就可以了，如果全选，则记录数目太大，反而不利于分析；另外太多对系统资源也是一种浪费。

加强数据备份；

说明：这一点非常重要，站点的核心是数据，数据一旦遭到破坏后果不堪设想，而这往往是黑客们真正关心的东西；遗憾的是，不少网管在这一点上作的并不好，不是备份不完全，就是备份不及时。数据备份需要仔细计划，制定出一个策略并作了测试以后才实施，而且随着网站的更新，备份计划也需要不断地调整。

只保留TCP/IP协议，删除NETBEUI、IPX/SPX协议；

说明：网站需要的通讯协议只有TCP/IP，而NETBEUI是一个只能用于局域网的协议，IPX/SPX是面临淘汰的协议，放在网站上没有任何用处，反而会被某些黑客工具利用。

停掉没有用的服务，只保留与网站有关的服务和服务器某些必须的服务。

说明：有些服务比如RAS服务、Spooler服务等会给黑客带来可乘之机，如果确实没有用处建议禁止掉，同时也能节约一些系统资源。但要注意有些服务是操作系统必须的服务，建议在停掉前查阅帮助文档并首先在测试服务器上作一下测试。

隐藏上次登录用户名,修改注册表Winnt4.0：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon中增加DontDisplayLastUserName，将其值设为1。Windows2000中该项已经存在，只需将其值改为1。

说明：缺省情况下，上次登录的用户名会出现在登录框中，这就为黑客猜测口令提供了线索，最好的方式就是隐藏上次登录用户名。

不要起用IP转发功能，控制面板->网络->协议->TCP/IP协议->属性，使这个选框为空。（NT）

说明：缺省情况下，NT的IP转发功能是禁止的，但注意不要启用，否则它会具有路由作用，被黑客利用来对其他服务器进行攻击。

安装最新的MDAC（/data/download.htm）

说明：MDAC为数据访问部件，通常程序对数据库的访问都通过它，但它也是黑客攻击的目标，为防止以前版本的漏洞可能会被带入升级后的版本，建议卸载后安装最新的版本。注意：在安装最新版本前最好先做一下测试，因为有的数据访问方式或许在新版本中不再被支持，这种情况下可以通过修改注册表来档漏洞，祥见漏洞测试文档。

三、IIS设置(包括IIS4.0和IIS5.0)

只安装OptoinPack中必须的服务，建议不要安装IndexServer、FrontPageServerExtensions、示例WWW站点等功能（NT）。Windows2000中作类似设置。

说明：IIS中的众多安全隐患是由一些其他的功能引起的，如果仅做一个WWW站点，就需要安装必须的服务，如WWW服务、FTP服务，这样减少黑客利用这些漏洞攻击的机会。

停止默认的FTP站点、默认的Web站点、管理Web站点，在新的目录下新建WWW服务与FTP服务。

说明：默认的站点与管理Web站点含有大量有安全漏洞的文件，极易给黑客造成攻击机会。具体漏洞见所附安全文档。因此，必须禁止。同时，应该在新的目录下建立服务，这个目录千万不要放在InetPub\wwwroot下，最好放在与它不同的分区下。

删除不必要的IIS扩展名映射。最好去掉.IDC、.HTR、.STM、.IDA、.HTW应用程序映射，.shtml、.shtm等如果无用，也应去掉。

说明：上述应用程序映射，具有大量安全隐患。方法：NT(2000同)：Web站点——属性——主目录——配置——应用程序映射

安装新的ServicePack后，IIS的应用程序映射应重新设置。

说明：安装新的ServicePack后，某些应用程序映射又会出现，导致出现安全漏洞。这是管理员较易忽视的一点。

设置IP拒绝访问列表

说明：对于WWW服务，可以拒绝一些对站点有攻击嫌疑的地址；尤其对于FTP服务，如果只是自己公司上传文件，就可以只允许本公司的IP访问改FTP服务，这样，安全性大为提高。

禁止对FTP服务的匿名访问

说明：如果允许对FTP服务做匿名访问，该匿名帐户就有可能被利用来获取更多的信息，以致对系统造成危害。

建议使用W3C扩充日志文件格式，每天记录客户IP地址，用户名，服务器端口，方法，URI字根，HTTP状态，用户代理，而且每天均要审查日志。（最好不要使用缺省的目录，建议更换一个记日志的路径，同时设置日志的访问权限，只允许管理员和system为FullControl）

说明：作为一个重要措施，既可以发现攻击的迹象，采取预防措施，也可以作为受攻击的一个证据。

慎重设置WEB站点目录的访问权限，一般情况下，不要给予目录以写入和允许目录浏览权限。只给予.ASP文件目录以脚本的权限，而不要给与执行权限。

说明：目录访问权限必须慎重设置，否则会被黑客利用。

四、ASP编程安全：

安全不仅是网管的事，编程人员也必须在某些安全细节上注意，养成良好的安全习惯，否则，会给黑客造成可乘之机。目前，大多数网站上的ASP程序有这样那样的安全漏洞，但如果写程序的时候注意的话，还是可以避免的。

涉及用户名与口令的程序最好封装在服务器端，尽量少的在ASP文件里出现，涉及到与数据库连接地用户名与口令应给予最小的权限。

说明：用户名与口令，往往是黑客们最感兴趣的东西，如果被通过某种方式看到源代码，后果是严重的。因此要尽量减少它们在ASP文件中的出现次数。出现次数多得用户名与口令可以写在一个位置比较隐蔽的包含文件中。如果涉及到与数据库连接，理想状态下只给它以执行存储过程的权限，千万不要直接给予该用户以修改、插入、删除记录的权限。

需要经过验证的ASP页面，可跟踪上一个页面的文件名，只有从上一页面转进来的会话才能读取这个页面。

说明：现在的需要经过验证的ASP程序多是在页面头部加一个判断语句，但这还不够，有可能被黑客绕过验证直接进入，因此有必要跟踪上一个页面。具体漏洞见所附漏洞文档。

止ASP主页.inc文件泄露问题

当存在asp的主页正在制作并没有进行最后调试完成以前，可以被某些搜索引擎机动追加为搜索对象，如果这时候有人利用搜索引擎对这些网页进行查找，会得到有关文件的定位，并能在浏览器中察看到数据库地点和结构的细节揭示完整的源代码。

解决方案：程序员应该在网页发布前对其进行彻底的调试；安全专家需要固定asp包含文件以便外部的用户不能看他们。首先对.inc文件内容进行加密，其次也可以使用.asp文件代替.inc文件使用户无法从浏览器直接观看文件的源代码。.inc文件的文件名不用使用系统默认的或者有特殊含义容易被用户猜测到的，尽量使用无规则的英文字母。

注意某些ASP编辑器会自动备份asp文件，会被下载的漏洞

在有些编辑asp程序的工具，当创建或者修改一个asp文件时，编辑器自动创建一个备份文件，比如：UltraEdit就会备份一个..bak文件，如你创建或者修改了some.asp，编辑器自动生成一个叫some.asp.bak文件，如果你没有删除这个bak文件，攻击有可以直接下载some.asp.bak文件，这样some.asp的源程序就会给下载。

在处理类似留言板、BBS等输入框的ASP程序中，最好屏蔽掉HTML、JavaScript、VBScript语句，如无特殊要求，可以限定只允许输入字母与数字，屏蔽掉特殊字符。同时对输入字符的长度进行限制。而且不但在客户端进行输入合法性检查，同时要在服务器端程序中进行类似检查。

说明：输入框是黑客利用的一个目标，他们可以通过输入脚本语言等对用户客户端造成损坏；如果该输入框涉及到数据查询，他们会利用特殊查询输入得到更多的数据库数据，甚至是表的全部。因此必须对输入框进行过滤。但如果为了提高效率仅在客户端进行输入合法性检查，仍有可能被绕过，因此必须在服务器端再做一次检查。

防止ACCESSmdb数据库有可能被下载的漏洞

在用ACCESS做后台数据库时，如果有人通过各种方法知道或者猜到了服务器的ACCESS数据库的路径和数据库名称，那么他能够下载这个ACCESS数据库文件，这是非常危险的。

解决方法：

(1)为你的数据库文件名称起个复杂的非常规的名字，并把他放在几目录下。所谓"非常规"，打个比方：比如有个数据库要保存的是有关书籍的信息，可不要把他起个"book.mdb"的名字，起个怪怪的名称，比如d34ksfslf.mdb，再把他放在如./kdslf/i44/studi/的几层目录下，这样黑客要想通过猜的方式得到你的ACCESS数据库文件就难上加难了。

(2)不要把数据库名写在程序中。有些人喜欢把DSN写在程序中，比如：

DBPath=Server.MapPath("cmddb.mdb")

conn.Open"driver={MicrosoftAccessDriver(*.mdb)};dbq="&DBPath

假如万一给人拿到了源程序，你的ACCESS数据库的名字就一览无余。因此建议你在ODBC里设置数据源，再在程序中这样写：

conn.open"shujiyuan"

(3)使用ACCESS来为数据库文件编码及加密。首先在选取"工具->安全->加密/解密数据库，选取数据库（如：employer.mdb），然后接确定，接着会出现"数据库加密后另存为"的窗口，存为：employer1.mdb。接着employer.mdb就会被编码，然后存为employer1.mdb..

要注意的是，以上的动作并不是对数据库设置密码，而只是对数据库文件加以编码，目的是为了防止他人使用别的工具来查看数据库文件的内容。

接下来我们为数据库加密，首先以打开经过编码了的employer1.mdb，在打开时，选择"独占"方式。然后选取功能表的"工具->安全->设置数据库密码"，接着输入密码即可。这样即使他人得到了employer1.mdb文件，没有密码他是无法看到employer1.mdb的。

五、SQLSERVER的安全

SQLSERVER是NT平台上用的最多的数据库系统，但是它的安全问题也必须引起重视。数据库中往往存在着最有价值的信息，一旦数据被窃后果不堪设想。

及时更新补丁程序。

说明：与NT一样，SQLSERVER的许多漏洞会由补丁程序来弥补。建议在安装补丁程序之前先在测试机器上做测试，同时提前做好目标服务器的数据备份。

给SA一个复杂的口令。

说明：SA具有对SQLSERVER数据库操作的全部权限。遗憾的是，一部分网管对数据库并不熟悉，建立数据库的工作由编程人员完成，而这部分人员往往只注重编写SQL语句本身，对SQLSERVER数据库的管理不熟悉，这样很有可能造成SA口令为空。这对数据库安全是一个严重威胁。目前具有这种隐患的站点不在少数。

严格控制数据库用户的权限，轻易不要给让用户对表有直接的查询、更改、插入、删除权限，可以通过给用户以访问视图的权限，以及只具有执行存储过程的权限。

说明：用户如果对表有直接的操作权限，就会存在数据被破坏的危险。

制订完整的数据库备份与恢复策略。

六、PCANYWHERE的安全：

目前，PCANYWHERE是最流行的基于NT与2000的远程控制工具，同样也需要注意安全问题。

建议采用单独的用户名与口令，最好采用加密手段。千万不要采用与NT管理员一样的用户名与口令，也不要使用与NT集成的口令。

说明：PCANYWHERE口令是远程控制的第一个关口，如果与NT的一样，就失去了安全屏障。被攻破后就毫无安全可言。而如果采用单独的口令，即使攻破了PCANYWHERE，NT还有一个口令屏障。

及时安装较新的版本。二、Unix/Linux的安全问题当黑客开始成为Internet上必须面临的问题时，Unix系统也受到了大量的攻击，必须正确配置这些系统，以防止它们受到黑客的攻击。安装系统在构建Unix/Liunx系统时，系统上通常会存在脆弱点，可以通过为系统安装补丁程序或修改配置文件来弥补大多数由于使用默认设置而造成的脆弱点。启动文件Unix/Linux系统在启动时使用相应的启动文件来配置自己，启动文件一般位于/etc/rc.d/rc5.d中。启动文件会启动一些服务，一些服务对于系统操作是必要的，并且应该予以保留，如网络、加载文件系统以及启动日志；其他不是非常必要的服务，根据系统的使用情况不应该启动。为了防止服务被启动，只需要更改文件的名称即可，在文件名前添加一个“。”就可以完全做到这一点一定要检查启动文件，以确定是否启动了任何不必要的服务。要检查Linux系统中当前运行了那些服务，输入命令：

netstat

-vat

允许的服务选择在Unix/Linux系统上允许的服务应该取决于它们的使用方式，其中一些服务将由启动文件来启动，一些服务通过Inetd控制并在/etc/inetd.conf文件中配置。Inetd.conf文件不但控制FTP和Telnet这样的服务，而且控制一些RPC服务，应该非常仔细地检查Inetd.conf文件，以确保只配置了必要的服务。在正确配置了文件后，必须通过发出以下命令来启重新启动Inetd：#Kill–HUPInetd应该关闭许多在Unix/Lunix上默认配置的服务，包括：UucpTftpFingerSystatNetstatEchoDiscardChargenRusersdRquotadSpraydWalldRexdRouted网络文件系统NFSNFS用于加载其他系统上的文件系统，如果没有正确配置NFS，那么有人就可以获得对敏感文件的访问。在企业网络中，可能需要使用网络文件系统NFS，如果不需要，则关闭不需要它的系统上的所有NFS。DMZ系统配置在DMZ中使用的Unix/Lunix服务器（如Web服务器、邮件服务器或DNS服务器）的方式应该以比配置在内部使用的系统的方式更加严格，它一般不需要RPC或NFS，通过改变启动文件来删除这些服务。服务器与工作站一些组织将Unix/Linux作为服务器或工作站使用，在作为工作站使用时，该系统经常被配置为运行X-Windows，而在服务器上不需要使用这些服务。使用TCPWrapper如果使用Telnet或FTP，则可以使用TCPWrapper来提供额外的安全，其作用是封装Telnet和FTP服务，以提供额外的访问控制和记录。要想使用TCPWrapper，需要修改Inetd.conf文件。可以将TCPWrapper配置为阻止或允许特定主机或网络访问Telnet或FTP服务。用于配置的文件是/etc/hosts.allow和/etc/hosts.deny，首先查看hosts.allow文件，然后查看hosts.deny文件，如：Hosts.allow:In.telnetd:/In.ftpd:/Host.deny:In.telnetd:/系统配置文件可以对Unix/Linux系统的配置文件作一些更改，以便增加系统的整体安全性。启动加载程序启动加载程序尽量使用GRUB而不使用LILO。原因是：虽然它们都可以加入启动口令，但是LILO在配置文件中是使用明文口令，而GRUB是使用md5算法加密的。加密码保护后可以防止使用被定制的内核来启动系统，并且在没有其他操作系统的情况下，将启动等待时间设为0。LILO的配置在/etc/lilo.conf文件中，GRUB的配置文件在/boot/grub/grub.conf中：/etc/lilo.confimage=/boot/2.4.18-vmlinuzlabel=Linuxread-only#口令为明文password=Clear-TextPassword#加入保护restricted/boot/grub/grub.conf#修改启动时间为0，即直接启动timeout0#可以使用grub-md5-crypt来生--md5后的加密口令password--md5$1$LS8eV/$mdN1bcyLrIZGXfM7CkBvU1密码设置在Unix/Linux系统上，正确地管理密码，设置正确的密码要求。密码时效和长度要求是通过编辑配置文件在Unix/Linux系统上建立的，在Linux系统上，可以在/etc/login.defs中找到密码规则：/etc/login.defs#登录密码有效期90天PASS_MAX_DAYS90#登录密码最短修改时间，增加可以防止非法用户短期更改多次PASS_MIN_DAYS0#登录密码最小长度8位PASS_MIN_LEN8#登录密码过期提前7天提示修改PASS_WARN_AGE7限制root登录的终端窗口修改/etc/securetty文件，用来防止通过登录穷举法突破安全防线。一旦root不能直接登录，只能通过su来切换用户，并且受到pam.d的限制，即将通过该方式的突破几率降低。另外，还应该限制终端窗口中的历史记录。修改/etc/profile文件，必要时需更改用户目录下的profile文件。/etc/profile#限制键入命令的历史记录在20条内，这是类似doskey的功能HISTSIZE=20#限制记录键入命令历史的文件大小HISTFILESIZE=20#设定终端窗口无任何操作时600秒后退出，该设置不适用于所有窗口TMOUT=600限制su用户个数前面提到本机的新建用户没有root权限，因此需要使用su切换用户，Linux可以增加对切换到root用户的限制。使用PAM（PluggableAuthenticationModules）可以禁止除在wheel组以外的任何人su成root，修改/etc/pam.d/su文件，除去屏蔽标识#。使用/usr/sbin/usermodG10bjecadm将bjecadm这个账号加入gid为10的组，就是wheel组。/etc/pam.d/su#使用密码验证authsufficient/lib/security/pam_wheel.sodebug#限制wheel组用户才可以切换到rootauthrequired/lib/security/pam_wheel.souse_uid删除不必要的用户和组使用userdel和groupdel删除用户和组。#可以删除的用户newsuucpgopher#可以删除的组newsuucpdip#局域网环境下禁止用户使用拨号连接pppuserspopusersslipusersLinux文件系统安全Linux下的文件格式Linux对于文件的读取和写入，是以树状结构的方式维护的，Linux文件系统支持长文件名和目录名。所有的文件都有i-节点或连接点，它包含一个文件所有的统计和逻辑信息Ls命令是最常用的UNIX命令，用来查看文件和目录的权限。范例：列出目前工作目录下所有名称是s开头的文档，愈新的排愈后面ls-ltrs*将/bin目录以下所有目录及文档详细资料列出：ls-lR/bin列出目前工作目录下所有档案及目录；目录于名称后加"/",可执行档于名称后加"*"：ls-AF一个用户、一个组我们已经看到每个文件属于一个用户和一个组。这正是Linux中权限模型的核心。您可以在ls-l清单中查看用户和组：$ls-l/bin/bash-rwxr-xr-x1rootwheel430540Dec2318:27/bin/bash在这个特殊的示例中，/bin/bash可执行文件属于root用户，并且在wheel组中。理解“ls-l”我们来看一看我们的ls-l输出，检查一下这个清单的第一栏：$ls-l/bin/bash-rwxr-xr-x1rootwheel430540Dec2318:27/bin/bash第一个字段-rwxr-xr-x包含该特殊文件的权限的符号表示。该字段中的首字符（-）指定该文件的类型，本例中它是一个常规文件。三个三元组$ls-l/bin/bash-rwxr-xr-x1rootwheel430540Dec2318:27/bin/bash该字段的其余部分由三个三元组字符组成。第一个三元字符组代表文件所有者的权限，第二个代表文件的组的权限，第三个代表所有其他用户的权限我是谁？要查看用户标识，输入whoami：#whoamiroot#sudrobbins$whoamidrobbins我在哪一组？要看看您属于哪一组，使用group命令：$groupsdrobbinswheelaudio改变用户和组所有权为了改变文件或其它文件系统对象的所有者或组，分别使用chown或chgrp。#chownroot/etc/passwd#chgrpwheel/e