一、安全思想先行
所謂兵馬未發(fā),糧草先行,在安裝和配置一個(gè)Internet服務(wù)器之前,首先要從思想上對(duì)安全工作有個(gè)全局認(rèn)識(shí),至少應(yīng)該考慮好以下幾個(gè)方面的內(nèi)容:
1、編制計(jì)劃
編制安裝計(jì)劃的過(guò)程本身就可以作為一篇論文深加論述,這里只做概要介紹。保護(hù)Internet服務(wù)器安全需要詳盡的計(jì)劃,這不是指在安裝過(guò)程中彈出菜單時(shí)確定選擇哪一個(gè)項(xiàng)目,而是要仔細(xì)確定系統(tǒng)的功能和目標(biāo),最終成為安裝的路標(biāo)、排除故障的向?qū)А⒎?wù)器安裝及網(wǎng)絡(luò)邊界情況的基礎(chǔ)文檔。如果需要安裝計(jì)劃編制方面的基礎(chǔ)性方針資料,可以參考 RFC手冊(cè)之2196項(xiàng)“站點(diǎn)安全手冊(cè)”,地址是:http://www.faqs.org/rfcs/rfc2196.html。
2、設(shè)計(jì)策略
除了確定服務(wù)器將執(zhí)行那些功能,還需要確定誰(shuí)能訪問(wèn)服務(wù)器、在服務(wù)器上存儲(chǔ)什么數(shù)據(jù)以及在出現(xiàn)各種情況時(shí)應(yīng)該采取哪些措施。這就是策略的制定。實(shí)際上,策略定義了一個(gè)組織的服務(wù)器與接受它的服務(wù)和數(shù)據(jù)的Internet公眾之間的交互作用細(xì)節(jié)。真正安全的站點(diǎn)必須具有適當(dāng)?shù)牟呗浴jP(guān)于策略的設(shè)計(jì),同樣請(qǐng)參考RFC手冊(cè)之2196項(xiàng)“站點(diǎn)安全手冊(cè)”。
3、訪問(wèn)控制
這方面是指對(duì)服務(wù)器的訪問(wèn)權(quán),主要包括三類(lèi):
物理訪問(wèn)控制:指實(shí)際接觸和操作服務(wù)器控制臺(tái)的能力。如果攻擊者取得了物理訪問(wèn)權(quán),就可以繞過(guò)許多安全措施,整個(gè)安全計(jì)劃將出現(xiàn)一個(gè)大大的漏洞!
系統(tǒng)訪問(wèn)控制:確定哪些組或個(gè)人賬號(hào)對(duì)系統(tǒng)擁有何種權(quán)限,例如備份和恢復(fù)數(shù)據(jù)、向Web 服務(wù)器發(fā)布文檔、管理賬戶(hù)或組。
網(wǎng)絡(luò)訪問(wèn)控制:網(wǎng)絡(luò)訪問(wèn)控制規(guī)定了內(nèi)部網(wǎng)與Internet相互作用的權(quán)限,例如端口訪問(wèn)、數(shù)據(jù)讀取、服務(wù)使用等等。不僅僅要考慮到外部的入侵行為,還要設(shè)想到內(nèi)部的敵人攻擊。為此,一般將服務(wù)器放于DMZ區(qū)域內(nèi)。一個(gè)DMZ(Demilitarized Zone)就是一個(gè)孤立的網(wǎng)絡(luò),可以把不信任的系統(tǒng)放在那里。例如,我們希望任何人都能訪問(wèn)Web和Email服務(wù)器,所以它們就是不能信任的;將它們放在DMZ中特別關(guān)照,就可對(duì)來(lái)自?xún)?nèi)部和外部的訪問(wèn)都進(jìn)行限制。
二、Win2K安裝時(shí)要重點(diǎn)考慮的安全配置信息
安裝Win2K時(shí),直到配置網(wǎng)絡(luò)協(xié)議時(shí)才需要考慮安全問(wèn)題。對(duì)于一個(gè)Internet網(wǎng)站,配置網(wǎng)絡(luò)協(xié)議時(shí)一定要關(guān)閉一個(gè)很大的安全漏洞:NetBIOS協(xié)議!就是說(shuō),在“本地連接屬性”窗口中,只選中“Microsoft網(wǎng)絡(luò)客戶(hù)端”和“Internet協(xié)議(TCP/IP)”兩項(xiàng):
![""]("http://searchsmallbizit.techtarget.com.cn/imagelist/06/04/q5zqy0v35li8.jpg")
選中“Microsoft網(wǎng)絡(luò)客戶(hù)端”的原因在于NTLM (NT/LAN 管理器)安全支持供應(yīng)(Security Support Provider)組件是嵌入在操作系統(tǒng)中的,如果沒(méi)有這個(gè)組件,IIS將無(wú)法運(yùn)行。
你可能要問(wèn)了:“只配置這兩個(gè)協(xié)議,需要其他的功能怎么辦”?解決方法很簡(jiǎn)單:為服務(wù)器安裝配置兩個(gè)網(wǎng)卡,第一個(gè)用于Internet連接,其上只綁定那兩個(gè)服務(wù)協(xié)議;第二個(gè)用于從本地網(wǎng)絡(luò)訪問(wèn)服務(wù)器,根據(jù)需要添加其他的服務(wù)協(xié)議,例如“Microsoft網(wǎng)絡(luò)的文件和打印機(jī)共享”等:
![""]("http://searchsmallbizit.techtarget.com.cn/imagelist/06/04/574nzv1q72c7.jpg")
接下來(lái),我們要設(shè)置TCP/Ip協(xié)議的屬性?xún)?nèi)容。除了確定網(wǎng)卡IP地址以及默認(rèn)網(wǎng)關(guān)地址外,還需要點(diǎn)擊“高級(jí)”按鈕進(jìn)入“WINS”選項(xiàng)卡設(shè)置“禁止TCP/IP上的NetBIOS”,以阻止網(wǎng)卡向Internet發(fā)送和接收NetBIOS信息:
![""]("http://searchsmallbizit.techtarget.com.cn/imagelist/06/04/62ijqg18sdn3.jpg")
NetBIOS是簡(jiǎn)單友好的機(jī)器名表達(dá)法,例如\servernameshareresource。如果打開(kāi)這個(gè)功能,攻擊者就可以使用端口掃描器等軟件測(cè)試出具有端口137 和139監(jiān)聽(tīng)的機(jī)器,從而進(jìn)一步使用其N(xiāo)etBIOS 名嘗試獲取系統(tǒng)資源的訪問(wèn)權(quán)。
三、Win2K安裝后要重點(diǎn)考慮的安全配置信息
操作系統(tǒng)安裝完畢后,建議執(zhí)行如下安全配置:
1、安裝微軟高級(jí)加密包(Microsoft High Encryption Pack),將服務(wù)器升級(jí)為128位加密。
默認(rèn)狀態(tài)下,服務(wù)器軟件的加密狀態(tài)處于較低級(jí)別,我們必須手工將其配置為128位加密。而且,這項(xiàng)工作應(yīng)該在創(chuàng)建帳號(hào)和組之前進(jìn)行,這樣就可以保證在服務(wù)器上創(chuàng)建的所有項(xiàng)目都是128位加密級(jí)別的。
2、安裝最新的SP軟件包和Hotfixes
微軟的產(chǎn)品是老裁縫做的,不打補(bǔ)丁不漂亮的,所以管理員們要經(jīng)常訪問(wèn)以下地址看看是否又有新補(bǔ)丁面世:http://www.microsoft.com/windows2000/downloads/default.asp
這個(gè)地址包含了大量關(guān)于Win2K的信息,對(duì)日常管理Win2K服務(wù)器非常有參考價(jià)值。關(guān)于HotFixes有一點(diǎn)需要注意:只在系統(tǒng)需要的時(shí)候才安裝相應(yīng)HotFix。因?yàn)椋⒉皇敲總€(gè)服務(wù)器都需要所有的HotFix,其中有一些hotfix修復(fù)的漏洞只存在于某些特定配置中。
3、對(duì)系統(tǒng)服務(wù)的啟動(dòng)方式重新進(jìn)行規(guī)劃
默認(rèn)狀態(tài)下,許多服務(wù)都隨系統(tǒng)啟動(dòng)而啟動(dòng)。但由于有些服務(wù)因?yàn)閱?dòng)帳號(hào)身份的權(quán)限過(guò)大,有可能埋下安全隱患地雷,因此必須對(duì)所有服務(wù)的啟動(dòng)方式進(jìn)行重新規(guī)劃。規(guī)劃的原則應(yīng)該是:除非絕對(duì)必要,關(guān)閉該服務(wù)。
![""]("http://www.luckgirl.net/blog/attachments/month_0604/o2006420152242.jpg")
以下是我們認(rèn)為應(yīng)該處于“自動(dòng)”啟動(dòng)狀態(tài)的基本服務(wù):
DNS Client:如果服務(wù)器需要主動(dòng)與其它服務(wù)器進(jìn)行通信,就需要這個(gè)服務(wù)。許多Web服務(wù)器僅僅是對(duì)請(qǐng)求進(jìn)行應(yīng)答而自身并不發(fā)出請(qǐng)求,這時(shí)就不需要DNS Client了。
Event Log:事件日志,用于記錄程序和 Windows 發(fā)送的事件消息。事件日志包含對(duì)診斷問(wèn)題有所幫助的信息,可以在“事件查看器”中查看報(bào)告。
Logical Disk Manager:邏輯磁盤(pán)管理器監(jiān)視狗服務(wù),用于管理本地磁盤(pán)驅(qū)動(dòng)器和可移動(dòng)設(shè)備。
Network Connections:管理“網(wǎng)絡(luò)和撥號(hào)連接”文件夾中對(duì)象,在其中可以查看局域網(wǎng)和遠(yuǎn)程連接。
Protected Storage:提供對(duì)敏感數(shù)據(jù)(如私鑰)的保護(hù)性存儲(chǔ),以便防止未授權(quán)的服務(wù)、過(guò)程或用戶(hù)對(duì)其的非法訪問(wèn)。
Remote Procedure Call (RPC):遠(yuǎn)程過(guò)程調(diào)用服務(wù),用于在一個(gè)系統(tǒng)上使用程序執(zhí)行遠(yuǎn)程系統(tǒng)上的指令或程序。
Security Accounts Manager (SAM):安全帳號(hào)管理服務(wù),用于維護(hù)本地用戶(hù)帳戶(hù)的安全信息。
Windows Management Instrumentation(WMI):Windows管理器,提供系統(tǒng)管理信息,如果沒(méi)有它,就沒(méi)有可訪問(wèn)的管理控制臺(tái)來(lái)執(zhí)行系統(tǒng)管理。
Windows Management Instrumentation Driver Extensions:Windows管理器驅(qū)動(dòng)器擴(kuò)展,也是MMC所要求的,用于與驅(qū)動(dòng)程序間交換系統(tǒng)管理信息。
以下是我們認(rèn)為應(yīng)該處于“手動(dòng)”啟動(dòng)狀態(tài)的基本服務(wù):
Logical Disk Manager Administrative Service:邏輯硬盤(pán)管理器管理服務(wù),是磁盤(pán)管理請(qǐng)求的系統(tǒng)管理服務(wù)。
World Wide Web Publishing Service:WWW發(fā)布服務(wù),用于向Web 站點(diǎn)設(shè)置的特定端口(通常是80)發(fā)布Web內(nèi)容。
4、強(qiáng)化SAM數(shù)據(jù)庫(kù)的保護(hù)
SAM數(shù)據(jù)庫(kù)就是系統(tǒng)賬戶(hù)數(shù)據(jù)庫(kù),其中的內(nèi)容屬于一等機(jī)密,再怎么保護(hù)也不為過(guò)。默認(rèn)狀態(tài)下,SAM 是用本地存儲(chǔ)的啟動(dòng)關(guān)鍵字來(lái)加密的,這個(gè)關(guān)鍵字中包含一個(gè)雜亂信息代碼,它在啟動(dòng)過(guò)程中被處理進(jìn)而將賬戶(hù)數(shù)據(jù)庫(kù)解密并存儲(chǔ)在內(nèi)存中,從而被系統(tǒng)訪問(wèn)。加密關(guān)鍵字的默認(rèn)存儲(chǔ)地點(diǎn)可以用Win2K命令行工具syskey.exe來(lái)修改:
![""]("http://searchsmallbizit.techtarget.com.cn/imagelist/06/04/qaf1sv68vhb0.jpg")
因此,為了保護(hù)SAM數(shù)據(jù)庫(kù)的安全,管理員可以使用這個(gè)工具將雜亂信息代碼轉(zhuǎn)移到軟盤(pán)上,并注意為這個(gè)軟盤(pán)制作多個(gè)備份,放置到一個(gè)非常安全的地方。如果這個(gè)軟盤(pán)丟失或損壞,就無(wú)法重新啟動(dòng)服務(wù)器了,因?yàn)樵贈(zèng)]有其它辦法可以對(duì)用戶(hù)賬戶(hù)和口令數(shù)據(jù)庫(kù)進(jìn)行解密。
另外,我們還應(yīng)該對(duì)SAM數(shù)據(jù)庫(kù)添加口令復(fù)雜性的要求,這是通過(guò)啟動(dòng)“本地安全策略”工具并啟用其中的“密碼必須符合復(fù)雜性要求”來(lái)完成的:
![""]("http://www.luckgirl.net/blog/attachments/month_0604/h200642015244.jpg")
5、確定Web站點(diǎn)的口令訪問(wèn)策略
訪問(wèn)Web 站點(diǎn)的不同內(nèi)容可能需要不同的口令,考慮到相應(yīng)的行為并設(shè)計(jì)好對(duì)策將極大地減少許多安全隱患。例如:服務(wù)器是只作為公共信息站點(diǎn)使用嗎?它允許不同權(quán)限的用戶(hù)訪問(wèn)受保護(hù)的數(shù)據(jù)嗎?站點(diǎn)要求用戶(hù)向其提交數(shù)據(jù)嗎?......通常,我們可以對(duì)所有的Internet服務(wù)器都執(zhí)行相同的基本安全配置,然后再根據(jù)具體服務(wù)類(lèi)型,進(jìn)一步做出特殊安全設(shè)置。比如:如果服務(wù)器只是為公司提供一個(gè)Web上的存在,那最好就只允許匿名訪問(wèn),這樣就避免了服務(wù)器與客戶(hù)之間的口令傳遞,并降低了攻擊者探測(cè)服務(wù)器口令的可能性。
6、消除空連接安全漏洞
在Win2K中存在一種可能性:攻擊者可以使用一個(gè)所謂的空帳號(hào)登錄到系統(tǒng)、建立一個(gè)空對(duì)話(huà),從而獲取服務(wù)器上用戶(hù)和組帳號(hào)情況列表以及服務(wù)器上的所有共享資源列表。呵呵,空手套帳號(hào)啊!讓這個(gè)“空手”真正落空的方法是修改注冊(cè)表相關(guān)項(xiàng)目,方法分別是:
禁止空連接獲取帳號(hào)信息:修改的鍵值及取值是
HKEY_LOCAL_MACHINESystemCurrentControlSetControlLSA,REG_DWORD,1
![""]("http://www.luckgirl.net/blog/attachments/month_0604/v2006420152437.jpg")
注意:有些服務(wù)可能要使用空連接在網(wǎng)絡(luò)上完成與其它服務(wù)器和系統(tǒng)通信的任務(wù),所以如果修改注冊(cè)表后發(fā)現(xiàn)這些服務(wù)工作不正常了,那就再修改回來(lái)吧。摸著石頭過(guò)河嗎!
禁止空連接獲取共享資源:修改的鍵值及取值是
HKEY_LOCAL_MACHINESystemCurrentControlSetServicesLanManServerParametersRestrictNullSessAccess,REG_DWORD,1
當(dāng)這個(gè)值設(shè)置為1時(shí),空連接用戶(hù)將不能訪問(wèn)任何共享;如果設(shè)置為0,那么空連接用戶(hù)就可以連接到所有對(duì)Everyone組共享的程序或打印機(jī)上。
注意:修改這個(gè)鍵值可能會(huì)影響空連接對(duì)Named Pipes(名字管道)的訪問(wèn)。Named Pipes就是一個(gè)系統(tǒng)上的程序與另一個(gè)不同系統(tǒng)上的程序通訊的功能。在Win2K中設(shè)置了許多named pipes,例如Winreg以IPC機(jī)制允許在一個(gè)客戶(hù)機(jī)器上運(yùn)行Regedit并訪問(wèn)遠(yuǎn)程服務(wù)器的注冊(cè)表文件,Netlogon通過(guò)一個(gè)named pipe使用RPC連接來(lái)進(jìn)行登錄認(rèn)證,SMB (Server Message Blocks)使用named pipes進(jìn)行網(wǎng)絡(luò)上服務(wù)器之間的通訊。注冊(cè)表中有關(guān)于空連接可以使用的named pipes列表,鍵值如下:
HKEY_LOCAL_MACHINESystemCurrentControlSetServicesLanManServerParametersNullSessionPipes
![""]("http://www.luckgirl.net/blog/attachments/month_0604/n2006420152537.jpg")
![""]("http://searchsmallbizit.techtarget.com.cn/imagelist/06/04/59gbnau86s0k.jpg")
我們可以根據(jù)需要對(duì)以上列表中的字符串進(jìn)行去除,但同樣請(qǐng)注意:如果發(fā)現(xiàn)有些服務(wù)工作不正常,請(qǐng)?jiān)傩薷幕貋?lái)。
7、去除對(duì)其他操作系統(tǒng)的支持
Win2K可以很好地支持其他操作系統(tǒng),允許例如OS/2和POSIX的應(yīng)用程序向服務(wù)器發(fā)送請(qǐng)求以執(zhí)行代碼。這種功能通常叫做Win2K的子系統(tǒng)。Win2K的子系統(tǒng)一般情況下不會(huì)用到,但卻是一個(gè)很大的安全漏洞,應(yīng)該采取措施堵住它。關(guān)閉這個(gè)漏洞的最簡(jiǎn)單方法是去掉這個(gè)子系統(tǒng),使它們無(wú)法使用。放心,這不會(huì)給Win2K服務(wù)器或IIS帶來(lái)任何問(wèn)題,因?yàn)樗鼈兪窃赪in32子系統(tǒng)中運(yùn)行的。
禁止OS/2和POSIX要通過(guò)刪除相關(guān)文件和改寫(xiě)相關(guān)注冊(cè)表鍵值來(lái)完成,步驟如下:
刪除“\%systemroot%system32os2”文件夾及其中所有內(nèi)容。
刪除“HKLMSoftwareMicrosoftOS/2 Subsystem for NT”下面所有的子鍵。
刪除“HKLMSystemCurrentControlSetControlSession ManagerEnvironment”中的值Os2LibPath。
清除“HKLMSystemCurrentControlSetControlSession ManagerSubsystems”中Optional的內(nèi)容,但是保留值Optional的名字。
刪除“HKLMSystemCurrentControlSetControlSession ManagerSubSystems ”中的值Os/2 和Posix。
重新啟動(dòng)。
8、合理調(diào)整頁(yè)面文件的設(shè)置
需要處理的另一個(gè)問(wèn)題是頁(yè)面文件(page file)在系統(tǒng)上的存放位置。當(dāng)應(yīng)用程序或系統(tǒng)程序需要訪問(wèn)物理RAM時(shí),Win2K使用頁(yè)面文件作為應(yīng)用程序代碼的臨時(shí)保存區(qū)。因此,硬盤(pán)驅(qū)動(dòng)器上必須有足夠的空間供頁(yè)面文件使用,否則就會(huì)導(dǎo)致系統(tǒng)崩潰。避免出現(xiàn)這種情況的方法有:
在系統(tǒng)上盡可能多安裝RAM。可用的物理RAM越多,系統(tǒng)運(yùn)行的效率越高。
將所有的操作系統(tǒng)文件放置在自己的分區(qū)。這個(gè)分區(qū)中應(yīng)該只包含操作系統(tǒng)文件和一個(gè)至少相當(dāng)于物理RAM大小的頁(yè)面文件。當(dāng)系統(tǒng)遭遇一個(gè)STOP錯(cuò)誤時(shí),這個(gè)頁(yè)面文件允許系統(tǒng)創(chuàng)建一個(gè)crashdump文件。
至少在另外一個(gè)分區(qū)上創(chuàng)建一個(gè)頁(yè)面文件,其大小大約為物理RAM + 11 MB。如果可能的話(huà),將這個(gè)頁(yè)面文件放置在一個(gè)單獨(dú)的物理驅(qū)動(dòng)器上,這樣系統(tǒng)執(zhí)行I/O操作就更加有效。
配置系統(tǒng)服務(wù)和生成日志文件及擴(kuò)展數(shù)據(jù)的應(yīng)用程序,使它們寫(xiě)入的文件不在操作系統(tǒng)所在的驅(qū)動(dòng)器上。
四、結(jié) 語(yǔ)
以上詳細(xì)論述了使用Win2K和IIS5構(gòu)建安全I(xiàn)nternet網(wǎng)站的Win2K操作系統(tǒng)安全配置指南部分,如果是嚴(yán)格按照這些步驟裝扮了Win2K,就可以說(shuō)基本上做到了從“地面部分”全力堵截入侵者的攻擊。要做到從“空中部分”攔截入侵,請(qǐng)看“Win2K Internet服務(wù)器安全構(gòu)建指南(IIS篇)”。
