Configuración de seguridad Windows2000 Server

Primero: cómo instalar

I. Selección de versión

Le recomiendo que use la versión en inglés si el idioma no se convierte en un obstáculo. Ya sabes, los productos de Microsoft se conocen como "Bug &Patch", y la versión en chino del error es mucho más que la versión en inglés, y el parche es generalmente al menos medio mes más tarde (es decir, generalmente Después de que Microsoft haya anunciado la vulnerabilidad, su servidor permanecerá desprotegido durante medio mes.

En segundo lugar, la personalización de componentes

WIN2K instalará algunos componentes comunes de forma predeterminada, pero es que esta instalación predeterminada es muy peligrosa, de acuerdo con el principio de seguridad " servicio mínimo + mínimo Permisos = seguridad máxima ", solo instala los servicios que realmente se necesitan. Los recordatorios especiales aquí son: " Servicio de indexación ", " Extensiones de servidor de FrontPage 2000 ", " Administrador de servicios de Internet " estos servicios peligrosos.

Tercero, la elección de las aplicaciones de administración

Elegir un buen software de administración remota es muy importante, esto no es solo un requisito de seguridad, sino también una necesidad de la aplicación. El servicio de terminal de WIN2K es un software de control remoto basado en RDP (Protocolo de escritorio remoto). Es rápido y fácil de operar, y es adecuado para operaciones de rutina. Sin embargo, el servicio de Terminal Server también tiene sus limitaciones. Debido a que utiliza escritorios virtuales y la programación de Microsoft no es rigurosa, cuando utiliza el Servicio de terminales para instalar software o reiniciar servidores e interactuar con escritorios reales, a menudo aparece. El fenómeno del llanto y la risa, por ejemplo: el uso del Servicio de Terminal Server para reiniciar el servidor de autenticación de Microsoft (Compaq, IBM, etc.) puede cerrarse directamente. Por lo tanto, por razones de seguridad, se recomienda equipar con un software de control remoto como ayuda, complementando el Servicio de terminal, como PcAnyWhere es una buena opción.

Cuarto, partición y asignación de disco lógico

Al menos dos particiones, una partición del sistema, una partición de aplicación. Esto se debe a que el IIS (servidor de información de Internet) de Microsoft a menudo tiene lagunas. Si el sistema y el IIS se colocan en la misma unidad, los archivos del sistema se perderán, e incluso el intruso puede obtener derechos de administración de forma remota.

Se recomienda crear tres unidades lógicas, la primera para instalar el sistema y los archivos de registro importantes, la segunda para colocar IIS y la tercera para poner FTP, por lo que no importa si IIS o FTP tienen un agujero de seguridad. Afectar directamente el directorio del sistema y los archivos del sistema.

V. Selección del orden de instalación

No piense que mientras se pueda instalar el sistema, se terminará. De hecho, el orden de instalación de WIN2K es muy importante.

En primer lugar, preste atención al tiempo de acceso a la red. WIN2K tiene una vulnerabilidad en la instalación, es decir, después de ingresar la contraseña del Administrador, el sistema establecerá un recurso compartido de " $ ADMIN ", pero no lo protege con la contraseña que acaba de ingresar, esta situación continuará hasta que la computadora vuelva a iniciarse. Mientras tanto, cualquier persona puede ingresar al sistema a través de " $ ADMIN "; al mismo tiempo, tan pronto como se complete la instalación, los diversos servicios se ejecutarán automáticamente, y el servidor estará lleno de lagunas, que es muy fácil invadir desde el exterior. Por lo tanto, no conecte el host a la red hasta que el servidor WIN2K esté completamente instalado y configurado.

Segundo, preste atención a la instalación del parche. El parche se debe instalar después de que se hayan instalado todas las aplicaciones, ya que el parche a menudo reemplaza o modifica ciertos archivos del sistema. Si instala el parche primero, es posible que no funcione como se espera.

Segundo: Cómo configurar

Incluso si el servidor WIN2K está instalado correctamente, hay muchas lagunas en el sistema y se requiere una configuración más detallada.

I. Puerto

El puerto es la interfaz lógica entre la computadora y la red externa. También es la primera barrera de la computadora. La configuración de puerto correcta afecta directamente la seguridad del host.

Segundo, IIS

IIS es el componente más problemático de los componentes de Microsoft, un promedio de dos o tres meses será una laguna, y la instalación predeterminada de IIS de Microsoft es realmente halagadora, por lo que La configuración de IIS es nuestro enfoque.

Primero, elimine el directorio Inetpub debajo de la unidad C, genere un Inetpub en la unidad D y apunte el directorio principal a D: \\ Inetpub en el Administrador de IIS.
En segundo lugar, también se eliminan los directorios virtuales, como los scripts predeterminados cuando se instala IIS. Si necesita algún permiso, el directorio se puede crear más adelante (atención especial para escribir permisos y ejecutar permisos de programas).

Luego está la configuración de la aplicación. Elimine los mapas inútiles en el Administrador de IIS (por supuesto, debe mantenerlos como ASP, ASA, etc.). En el Administrador de IIS, " Host → Propiedades → Edición de servicios WWW → Configuración del directorio de inicio → Asignación de aplicaciones " y luego comience a eliminar uno por uno. Luego, en el marcador de depuración de la aplicación, el "mensaje de error de script" se cambia a " enviar texto " Haga clic en " Aceptar " No olvide dejar que el sitio virtual herede la propiedad que acaba de establecer.
Finalmente, para estar seguro, puede usar la función de copia de seguridad de IIS para hacer una copia de seguridad de todas las configuraciones, de modo que pueda restaurar la configuración de seguridad de IIS en cualquier momento. Además, si teme que la carga de IIS sea demasiado alta y el servidor se bloquee, también puede activar el límite de rendimiento de la CPU, como limitar el uso máximo de la CPU de IIS al 70%.

III. Seguridad de la cuenta

En primer lugar, la instalación predeterminada de WIN2K permite a cualquier usuario obtener todas las cuentas y listas compartidas del sistema a través de usuarios vacíos. Esto es para facilitar que los usuarios de LAN compartan recursos y archivos, pero Al mismo tiempo, cualquier usuario remoto puede obtener su lista de usuarios de la misma manera, y puede usar la fuerza bruta para descifrar la contraseña del usuario y provocar daños en toda la red. Muchas personas solo saben cambiar el registro Local_Machine \\ System \\ CurrentControlSet \\ Control \\ LSA-RestrictAnonymous = 1 para deshabilitar las conexiones de usuario vacías, de hecho, la política de seguridad local de WIN2K (si el servidor de dominio está en la seguridad del servidor de dominio y la política de seguridad de dominio Existe una opción de este tipo RestrictAnonymous (límite adicional para conexiones anónimas), que tiene tres valores:

" 0 ": Ninguno, Confíe en los permisos predeterminados (ninguno, dependiendo de los permisos predeterminados)

" 1 ": No permitir la enumeración de cuentas y recursos compartidos de SAM

" 2 ": Sin acceso sin permisos anónimos explícitos (sin permisos anónimos explícitos No se permite el acceso)

" 0 " Este valor es el predeterminado por el sistema. No hay restricciones. Los usuarios remotos pueden conocer todas las cuentas, información de grupo, directorios compartidos y listas de transmisión de red (NetServerTransportEnum) en su máquina. Esta configuración es muy peligrosa para el servidor. " 1 " Este valor permite que solo los usuarios que no sean NULL accedan a la información de la cuenta SAM y compartan información. " 2 " Este valor solo es compatible con WIN2K. Debe tenerse en cuenta que si se usa este valor, los recursos ya no se pueden compartir, por lo que se recomienda establecer el valor en " 1 "

Cuatro, registro de seguridad

Aquí debe prestar atención: ¡la instalación predeterminada de WIN2K no está abierta en ninguna auditoría de seguridad! Luego debe ir a " Política de seguridad local → Política de auditoría " para abrir la auditoría correspondiente. Debe tener en cuenta que si hay muy pocos elementos de auditoría, si desea verificar y encontrar que no hay registro, entonces no hay manera. Sin embargo, si hay demasiados proyectos de auditoría, no solo ocupará una gran cantidad de recursos del sistema, sino que es posible que no tenga tiempo para leerlos en absoluto, lo que perderá el significado de la auditoría. La revisión recomendada es la siguiente:

" Administración de cuentas ", " Eventos de inicio de sesión ", " Cambio de política ", " Eventos del sistema ", " Evento de inicio de sesión de la cuenta " Requiere " El éxito y el error se activan; el acceso a los objetos, el uso de privilegios, el acceso al servicio de directorio, simplemente se abre el error.

También relacionado con esto, establecido en " Estrategia de cuenta → Política de contraseñas ": " La complejidad de la contraseña requiere habilitar ", " longitud de contraseña como mínimo de 6 dígitos ", " Forzar el historial de contraseñas 5 veces ", " Período de retención máximo de 30 días; Establecer en " Estrategia de cuenta → Política de bloqueo de cuenta " " Bloqueo de cuenta 3 veces Inicio de sesión ", Tiempo de bloqueo 20 Los minutos ", " restablecer el recuento de bloqueos durante 20 minutos " etc.

El registro de seguridad de Terminal Service tampoco está habilitado de forma predeterminada. Puede configurar la auditoría de seguridad en " Terminal Service Configration → Permissions → Advanced ". Generalmente, siempre que se registren los eventos de inicio y cierre de sesión Si

V. Permisos de directorio y archivo

Para controlar los permisos de los usuarios en el servidor y también para evitar posibles intrusiones y desbordamientos en el futuro, también debe configurar los permisos de acceso para directorios y archivos con mucho cuidado. . Los derechos de acceso de NT se dividen en: lectura, escritura, lectura y ejecución, modificación, directorio de columnas, control total. De forma predeterminada, la mayoría de las carpetas están completamente abiertas para todos los usuarios (Todos), y necesita restablecer los permisos según las necesidades de su aplicación. Al realizar el control de permisos, tenga en cuenta los siguientes principios:

1. Los permisos son acumulativos. Si un usuario pertenece a dos grupos al mismo tiempo, entonces tiene todos los permisos permitidos por los dos grupos. .

2. El permiso denegado es mayor que el permiso permitido (la política de rechazo se ejecutará primero). Si un usuario pertenece a un grupo al que se le deniega el acceso a un recurso, no debe poder acceder al recurso, independientemente de cuántos permisos le otorguen otras configuraciones de permisos.

3. Los permisos de archivo son más altos que los permisos de carpeta.

4. El uso de grupos de usuarios para el control de permisos es un buen hábito que debe tener un administrador de sistemas maduro.

5. Solo le da al usuario la necesidad real, el principio de minimizar la autoridad es una importante garantía de seguridad.

6. Prevención de ataques ICMP: los ataques de tormenta ICMP y los ataques de fragmentos también son un dolor de cabeza para los hosts de NT. De hecho, el método de afrontamiento también es muy simple. WIN2K viene con una herramienta de enrutamiento y acceso remoto. El prototipo del enrutador. En esta herramienta, podemos definir fácilmente los filtros de paquetes de entrada y salida. Si el código de entrada ICMP 255 está configurado para descartarse, significa que todos los paquetes ICMP foráneos se descartan.

Tercero: Preste atención a

De hecho, la seguridad y la aplicación son contradictorias en muchos casos, por lo que debe encontrar un punto de equilibrio en ella. Después de todo, el servidor es para los usuarios, si es seguro. El principio dificulta la aplicación del sistema, y ​​este principio de seguridad no es un buen principio.

La seguridad de la red es una ingeniería de sistema que no solo tiene un espacio, sino también un período de tiempo. Muchos amigos (incluidos algunos administradores de sistemas) piensan que el host que se ha configurado de forma segura es seguro. De hecho, hay un malentendido aquí. Solo podemos decir que un host es seguro en ciertas circunstancias durante un cierto período de tiempo, con la estructura de la red. Los cambios, el descubrimiento de nuevas vulnerabilidades, el funcionamiento de los administradores y usuarios, el estado de seguridad del host están cambiando en cualquier momento y en cualquier lugar, y solo la conciencia de seguridad y el sistema de seguridad pueden ser verdaderamente seguros durante todo el proceso.