windows2000做虛擬主機的安全設置

首先
所有盤取消EVERYONE完全控制權限
取消方法
點擊盤符，右鍵---屬性----安全---會看到允許訪問該盤的用戶組權限，默認的是EVERYONE完全控制，添加ADMINISTRATORS[管理員組]，和SYSTEM然後將EVERYONE刪除。
有幾個文件夾要特殊注意
Program Files/Common Files該文件夾要允許UESR組有讀取，運行和列出文件夾三個權限
WINNT/system32該文件夾 要允許UESR組有讀取，運行和列出文件夾三個權限
WINNT/Temp 該文件夾 要允許UESR組有讀取，運行、寫入和列出文件夾三個權限[否則連接無法連接數據庫]
其他的，根據你安裝的不同文件設置例如。NET的Microsoft.NET，或PHP等，都要有允許UESR組有讀取，運行、和列出文件夾三個權限
其他的在下貼。
 
 
一.虛擬主機需要的軟件及環境

1.Serv-U5.0.11（似乎不安全，但是也未必）
2.Mysql數據庫
3.Mssql數據庫
4.PcAnyWhere遠程控制
5.殺毒軟件，我一般使用諾頓8.0
6.php5
7.ActivePerl5.8


以上各種軟件，除Mssql數據庫以爲，其他的都應去官方網站下載推薦版本安裝。下面開始就是安裝設置了，從系統安裝完開始。假設系統安裝的windows2000高級服務器版，系統分爲c盤，d盤和e盤，全部是ntfs格式。


二.系統端口設置


虛擬主機，一般同時使用PcanyWhere和終端服務進行控制，終端服務要更改端口，比如修改成8735端口。根據要開放的服務，去設置TCP/IP篩選。爲什麼不使用本地安全策略了？個人認爲TCP/IP篩選比較嚴格，因爲這裏是除非明確允許否則拒絕，而本地安全策略是除非明確拒絕否則允許。如果我理解不當，還請指教。TCP/IP篩選設置如下：
TCP端口只允許21，80，5631，8735，10001，10002，10003，10004，10005；IP協議只允許6；UDP端口我沒有做過詳細測試，不敢亂說，以後測試了再補上。TCP/IP端口裏面的10001-10005是設置Serv-U的PASV模式使用的端口，當然也可以使用別的。
本地連接屬性裏面，卸載所有的其他協議，只留下Internet協議（TCP/IP），順便把administrator帳號改個複雜點的名字，並且在本地安全策略裏面設置不顯示上次登陸帳號，對帳號鎖定做出合適的設置。然後重新啓動計算機，這步設置已經完成。


三.系統權限設置


現在開始安裝軟件，所有的軟件都安裝在d盤，e盤作數據備份使用。先安裝Serv-U到d:/Serv-U，並且漢化順便破解，嘿嘿。然後依次安裝到d盤。現在開始設置權限。首先二話不說，c盤，d盤和e盤的安全裏面把Everyone刪除，添加改名後的administrator和system，讓他們完全控制。高級裏面重置所有子對象的權限並允許傳播可繼承權限。這樣系統所有的文件，目錄全部是由改名後的administrator和system控制了，並且自動繼承上級目錄的權限，下面開始爲每個目錄設置對應的權限。


運行asp，建立數據庫連接需要使用C:/Program Files/Common Files目錄下面的文件。在這裏，設置C:/Program Files/Common Files權限，加入everyone，權限爲讀取，列出文件夾目錄，讀取及運行。還可以使用高級標籤進行更加嚴格的設置，但是我沒有做過，不敢胡說。


運行php，需要設置c:/winnt/php.ini的權限，讓everyone有讀取權限即可。如果php的session目錄設置爲c:/winnt/temp目錄，此目錄應該讓everyone有讀取寫入權限。爲提高性能，php設置爲使用isapi解析，d:/php目錄讓everyone有讀取，列出文件夾目錄，讀取及運行權限。至於php.ini的設置，這裏我就不說了。第一我不很懂，第二我只講系統權限設置。


運行cgi，設置d:/perl讓everyone有讀取，列出文件夾目錄，讀取及運行權限。順便說下，cgi設置爲使用isapi方式解析有利於安全和性能。


現在說下讓人頭大的Serv-U的設置了。這東西功能確實強大，但是安全性不怎麼好，需要我們來改造。最首先的是溢出攻擊，5.0.11好象已經沒有這個缺陷了。其次是修改ini配置文件，這裏已經沒有權限修改了，略過不提。據我所知現在唯一的辦法就是使用默認的管理帳號和密碼添加有寫入執行權限的帳號來執行木馬了。把默認帳號密碼修改掉就完了，這個東西直接使用editplus之類的編輯器打開ServUDaemon.exe和ServUAdmin.exe修改就可以了。如果懶得麻煩，隨便什麼語言寫個程序都很容易作到。我以前寫過一個這樣的東西，方便自己設置。現在Serv-U基本上沒有什麼問題了。


至於數據庫，權限已經不用設置了，直接繼承d盤根目錄就可以。至於裏面的帳號密碼該怎麼設置，我也懶得說了。


現在最後一點，就是設置c:/winnt/system32目錄和他下面的一些東西了。很多程序運行需要這裏的動態連接庫，而且這裏文件太多，我也沒有弄明白所有的，把目錄c:/winnt/system32給everyone賦予讀取，列出文件夾目錄，讀取及運行即可。其實，這樣做是不安全的，但是別慌，我們還沒有完。在這個目錄下面，我們還需要對幾個特別程序進行單獨的設置。首先就是cacls.exe，嘿嘿，先把這個設置了在說別的。這東東是設置權限用的，讓它不繼承父目錄權限，並且讓它拒絕任何人訪問，因爲我們一般不使用這個鳥東西。其他的要設置的程序列表如下：net.exe,cmd.exe,ftp.exe,tftp.exe,telnet.exe，這幾個程序設置成只允許改名後的administrator訪問。


現在就想起這麼多，這是今天上班空閒時間零零碎碎寫的，以後再補充吧。


補充：禁止 非管理員組訪問winnt目錄 再把需要調用的文件 從winnt弄出來 重新 賦予它讀取路徑。

 
 
 
現在有很多人都認爲微軟的東西漏洞太多，，微軟的系統安全性極差，不過通過我在做各種系統的安全配置的過程中我總結出了一些經驗，特拿來與各位共享，其實各種系統都有很多漏洞，只不過微軟的東西用的人最多，普遍又是水平不是很高，不會作各種安全設置，所以纔會讓人有現在網上的NT/2000服務性安全性都很差的感覺，其實NT/2000的服務器如果真的做好了各項安全設置之後，其安全性絕對不會比nix系統差，如果你按照下面我說的做，我可以保證你95%以上的安全性，100%我可不敢保證，當然你必須要及時打上微軟的各種大大小小的補丁，呵呵，是誰，誰拿香蕉皮扔我，站出來！！呵呵，廢話少說，轉入正題。


1.初級篇：NT/2000系統本身的定製安裝與相關設置

用NT（2000）建立的WEB站點在所有的網站中佔了很大一部分比例，主要因爲其易用性與易管理性，使該公司不必再投入大量的金錢在服務器的管理上，這一點優於nix系統，不必請很專業的管理員，不必支付一份可以節省的高薪，呵呵，當然nix的管理員也不會失業，因爲其開放源碼和windows系統無與倫比的速度，使得現在幾乎所有的大型服務器全部採用nix系統。但對於中小型企業來說windows已經足夠，但NT的安全問題也一直比較突出，使得一些每個基於NT的網站都有一種如履薄冰的感覺，在此我給出一份安全解決方案，算是爲中國的網絡安全事業做出一份貢獻吧 （說明：本方案主要是針對建立Web站點的NT、2000服務器安全，對於局域網內的服務器並不合適。）

一、 定製自己的NT/2000 SERVER

1． 版本的選擇：
WIN2000有各種語言的版本，對於我們來說，可以選擇英文版或簡體中文版，我強烈建議：在語言不成爲障礙的情況下，請一定使用英文版。要知道，微軟的產品是以Bug &Patch而著稱的，中文版的Bug遠遠多於英文版，而補丁一般還會遲至少半個月（也就是說一般微軟公佈了漏洞後你的機子還會有半個月處於無保護狀況）

2． 組件的定製：
win2000在默認情況下會安裝一些常用的組件，但是正是這個默認安裝是極度危險的你應該確切的知道你需要哪些服務，而且僅僅安裝你確實需要的服務，根據安全原則，最少的服務+最小的權限=最大的安全。典型的WEB服務器需要的最小組件選擇是：只安裝IIS的Com Files，IIS Snap-In，WWW Server組件。如果你確實需要安裝其他組件，請慎重，特別是：Indexing Service, FrontPage 2000 Server Extensions, Internet Service Manager (HTML)這幾個危險服務。 

二、 正確安裝NT/2000 SERVER

不論是NT還是2000，硬盤分區均爲NTFS分區；
說明：
（1） NTFS比FAT分區多了安全控制功能，可以對不同的文件夾設置不同的訪問權限，安全性增強。
（2） 建議最好一次性全部安裝成NTFS分區，而不要先安裝成FAT分區再轉化爲NTFS分區，這樣做在安裝了SP5和SP6的情況下會導致轉化不成功，甚至系統崩潰。
（3） 安裝NTFS分區有一個潛在的危險，就是目前大多數反病毒軟件沒有提供對軟盤啓動後NTFS分區病毒的查殺，這樣一旦系統中了惡性病毒而導致系統不能正常啓動，後果就比較嚴重，因此及建議平時做好防病毒工作。
（4）分區和邏輯盤的分配
有一些朋友爲了省事，將硬盤僅僅分爲一個邏輯盤，所有的軟件都裝在C驅上，這是很不好的，建議最少建立兩個分區，一個系統分區，一個應用程序分區，這是因爲，微軟的IIS經常會有泄漏源碼/溢出的漏洞，如果把系統和IIS放在同一個驅動器會導致系統文件的泄漏甚至入侵者遠程獲取ADMIN。推薦的安全配置是建立三個邏輯驅動器，第一個大於2G，用來裝系統和重要的日誌文件，第二個放IIS，第三個放FTP，這樣無論IIS或FTP出了安全漏洞都不會直接影響到系統目錄和系統文件。要知道，IIS和FTP是對外服務的，比較容易出問題。而把IIS和FTP分開主要是爲了防止入侵者上傳程序並從IIS中運行。
（5）安裝順序的選擇：
win2000在安裝中有幾個順序是一定要注意的： 首先，何時接入網絡：Win2000在安裝時有一個漏洞，在你輸入Administrator密碼後，系統就建立了ADMIN$的共享，但是並沒有用你剛剛輸入的密碼來保護它，這種情況一直持續到你再次啓動後，在此期間，任何人都可以通過ADMIN$進入你的機器；同時，只要安裝一完成，各種服務就會自動運行，而這時的服務器是滿身漏洞，非常容易進入的，因此，在完全安裝並配置好win2000 SERVER之前，一定不要把主機接入網絡。 其次，補丁的安裝：補丁的安裝應該在所有應用程序安裝完之後，因爲補丁程序往往要替換/修改某些系統文件，如果先安裝補丁再安裝應用程序有可能導致補丁不能起到應有的效果，例如：IIS的HotFix就要求每次更改IIS的配置都需要安裝

 三、 安全配置NT/2000 SERVER
即使正確的安裝了WIN2000 SERVER，系統還是有很多的漏洞，還需要進一步進行細緻地配置。

1．端口：
端口是計算機和外部網絡相連的邏輯接口，也是計算機的第一道屏障，端口配置正確與否直接影響到主機的安全，一般來說，僅打開你需要使用的端口會比較安全，配置的方法是在網卡屬性-TCP/IP-高級-選項-TCP/IP篩選中啓用TCP/IP篩選，不過對於win2000的端口過濾來說，有一個不好的特性：只能規定開哪些端口，不能規定關閉哪些端口，這樣對於需要開大量端口的用戶就比較痛苦。

2．IIS：
IIS是微軟的組件中漏洞最多的一個，平均兩三個月就要出一個漏洞，而微軟的IIS默認安裝又實在不敢恭維，所以IIS的配置是我們的重點，現在大家跟着我一起來：首先，把C盤那個什麼Inetpub目錄徹底刪掉，在D盤建一個Inetpub（要是你不放心用默認目錄名也可以改一個名字，但是自己要記得）在IIS管理器中將主目錄指向D:/Inetpub；其次，那個IIS安裝時默認的什麼scripts等虛擬目錄一概刪除，如果你需要什麼權限的目錄可以自己慢慢建，需要什麼權限開什麼。（特別注意寫權限和執行程序的權限，沒有絕對的必要千萬不要給）第三，應用程序配置：在IIS管理器中刪除必須之外的任何無用映射，必須指的是ASP,ASA和其他你確實需要用到的文件類型，例如你用到stml等（使用server side include），實際上90%的主機有了上面兩個映射就夠了，其餘的映射幾乎每個都有一個悽慘的故事：htw, htr, idq, ida……想知道這些故事？去查以前的漏洞列表吧。在IIS管理器中右擊主機->屬性->WWW服務 編輯->主目錄配置->應用程序映射，然後就開始一個個刪吧（裏面沒有全選的，嘿嘿）。接着在剛剛那個窗口的應用程序調試書籤內將腳本錯誤消息改爲發送文本（除非你想ASP出錯的時候用戶知道你的程序/網絡/數據庫結構）錯誤文本寫什麼？隨便你喜歡，自己看着辦。點擊確定退出時別忘了讓虛擬站點繼承你設定的屬性。安裝新的Service Pack後，IIS的應用程序映射應重新設置。（說明：安裝新的Service Pack後，某些應用程序映射又會出現，導致出現安全漏洞。這是管理員較易忽視的一點。）

爲了對付日益增多的cgi漏洞掃描器，還有一個小技巧可以參考，在IIS中將HTTP404 Object Not Found出錯頁面通過URL重定向到一個定製HTM文件，可以讓目前絕大多數CGI漏洞掃描器失靈。其實原因很簡單，大多數CGI掃描器在編寫時爲了方便，都是通過查看返回頁面的HTTP代碼來判斷漏洞是否存在的，例如，著名的IDQ漏洞一般都是通過取1.idq來檢驗，如果返回HTTP200，就認爲是有這個漏洞，反之如果返回HTTP404就認爲沒有，如果你通過URL將HTTP404出錯信息重定向到HTTP404.htm文件，那麼所有的掃描無論存不存在漏洞都會返回HTTP200，90%的CGI掃描器會認爲你什麼漏洞都有，結果反而掩蓋了你真正的漏洞，讓入侵者茫然無處下手,不過從個人角度來說，我還是認爲紮紮實實做好安全設置比這樣的小技巧重要的多。

最後，爲了保險起見，你可以使用IIS的備份功能，將剛剛的設定全部備份下來，這樣就可以隨時恢復IIS的安全配置。還有，如果你怕IIS負荷過高導致服務器滿負荷死機，也可以在性能中打開CPU限制，例如將IIS的最大CPU使用率限制在70%。
3.帳號策略：
（1）帳號儘可能少，且儘可能少用來登錄；
說明：網站帳號一般只用來做系統維護，多餘的帳號一個也不要，因爲多一個帳號就會多一份被攻破的危險。
（2）除過Administrator外，有必要再增加一個屬於管理員組的帳號；
說明：兩個管理員組的帳號，一方面防止管理員一旦忘記一個帳號的口令還
有一個備用帳號；另方面，一旦黑客攻破一個帳號並更改口令，我們還有
有機會重新在短期內取得控制權。
（3）所有帳號權限需嚴格控制，輕易不要給帳號以特殊權限；
（4）將Administrator重命名，改爲一個不易猜的名字。其他一般帳號也應尊循這一原則。
說明：這樣可以爲黑客攻擊增加一層障礙。
（5）將Guest帳號禁用，同時重命名爲一個複雜的名字，增加口令，並將它從
Guest組刪掉；
說明：有的黑客工具正是利用了guest 的弱點，可以將帳號從一般用戶提
升到管理員組。
（6）給所有用戶帳號一個複雜的口令（系統帳號出外），長度最少在8位以上， 且必須同時包含字母、數字、特殊字符。同時不要使用大家熟悉的單詞（如microsoft）、熟悉的鍵盤順序（如qwert）、熟悉的數字（如2000）等。
說明：口令是黑客攻擊的重點，口令一旦被突破也就無任何系統安全可言了，而這往往是不少網管所忽視的地方，據我們的測試，僅字母加數字的5位口令在幾分鐘內就會被攻破，而所推薦的方案則要安全的多。
（7）口令必須定期更改（建議至少兩週該一次），且最好記在心裏，除此以外不要在任何地方做記錄；另外，如果在日誌審覈中發現某個帳號被連續嘗試，則必須立刻更改此帳號（包括用戶名和口令）；
（8）在帳號屬性中設立鎖定次數，比如改帳號失敗登錄次數超過5次即鎖定改帳號。這樣可以防止某些大規模的登錄嘗試，同時也使管理員對該帳號提高警惕。

4．安全日誌：

Win2000的默認安裝是不開任何安全審覈的！
那麼請你到本地安全策略->審覈策略中打開相應的審覈，推薦的審覈是：
賬戶管理 成功 失敗
登錄事件 成功 失敗
對象訪問 失敗
策略更改 成功 失敗
特權使用 失敗
系統事件 成功 失敗
目錄服務訪問 失敗
賬戶登錄事件 成功 失敗
審覈項目少的缺點是萬一你想看發現沒有記錄那就一點都沒轍；審覈項目太多不僅會佔用系統資源而且會導致你根本沒空去看，這樣就失去了審覈的意義。 與之相關的是：
在賬戶策略->密碼策略中設定：
密碼複雜性要求 啓用
密碼長度最小值 6位
強制密碼歷史 5次
最長存留期 30天
在賬戶策略->賬戶鎖定策略中設定：
賬戶鎖定 3次錯誤登錄
鎖定時間 20分鐘
復位鎖定計數 20分鐘
同樣，Terminal Service的安全日誌默認也是不開的，我們可以在Terminal Service Configration（遠程服務配置）-權限-高級中配置安全審覈，一般來說只要記錄登錄、註銷事件就可以了。

5.目錄和文件權限：

爲了控制好服務器上用戶的權限，同時也爲了預防以後可能的入侵和溢出，我們還必須非常小心地設置目錄和文件的訪問權限，NT的訪問權限分爲：讀取、寫入、讀取及執行、修改、列目錄、完全控制。在默認的情況下，大多數的文件夾對所有用戶（Everyone這個組）是完全敞開的（Full Control），你需要根據應用的需要進行權限重設。
在進行權限控制時，請記住以下幾個原則：
1>限是累計的：如果一個用戶同時屬於兩個組，那麼他就有了這兩個組所允許的所有權限；
2>拒絕的權限要比允許的權限高（拒絕策略會先執行）如果一個用戶屬於一個被拒絕訪問某個資源的組，那麼不管其他的權限設置給他開放了多少權限，他也一定不能訪問這個資源。所以請非常小心地使用拒絕，任何一個不當的拒絕都有可能造成系統無法正常運行；
3>文件權限比文件夾權限高
4>利用用戶組來進行權限控制是一個成熟的系統管理員必須具有的優良習慣之一；
5>僅給用戶真正需要的權限，權限的最小化原則是安全的重要保障；
6.只安裝一種操作系統；
說明：安裝兩種以上操作系統，會給黑客以可乘之機，利用攻擊使系統重啓到另外一個沒有安全設置的操作系統（或者他熟悉的操作系統），進而進行破壞。
7.安裝成獨立的域控制器（Stand Alone）,選擇工作組成員，不選擇域；
說明：主域控制器（PDC）是局域網中隊多臺聯網機器管理的一種方式，用於網站服務器包含着安全隱患，使黑客有可能利用域方式的漏洞攻擊站點服務器。

8.將操作系統文件所在分區與WEB數據包括其他應用程序所在的分區分開，並在安裝時最好不要使用系統默認的目錄，如將/WINNT改爲其他目錄；
說明：黑客有可能通過WEB站點的漏洞得到操作系統對操作系統某些程序的執行權限，從而造成更大的破壞。同時如果採用IIS的話你應該在其設置中刪除掉所有的無用的映射，同時不要安裝索引服務，遠程站點管理與服務器擴展最好也不要要，然後刪掉默認路徑下的www，整個刪，不要手軟，然後再硬盤的另一個硬盤建立存放你網站的文件夾，同時一定記得打開w3c日誌紀錄，切記（不過本人建議採用apache 1.3.24）

系統安裝過程中一定本着最小服務原則，無用的服務一概不選擇，達到系統的最小安裝，多一個服務，多一份風險，呵呵，所以無用組件千萬不要安裝！
9.關於補丁：在NT下，如果安裝了補丁程序，以後如果要從NT光盤上安裝新的Windows程序,都要重新安裝一次補丁程序， 2000下不需要這樣做。
說明：

（1） 最新的補丁程序，表示系統以前有重大漏洞，非補不可了，對於局域網內服務器可以不是最新的，但站點必須安裝最新補丁，否則黑客可能會利用低版本補丁的漏洞對系統造成威脅。這是一部分管理員較易忽視的一點；
（2） 安裝NT的SP5、SP6有一個潛在威脅，就是一旦系統崩潰重裝NT時，系統將不會認NTFS分區，原因是微軟在這兩個補丁中對NTFS做了改進。只能通過Windows 2000安裝過程中認NTFS，這樣會造成很多麻煩，建議同時做好數據備份工作。
（3） 安裝Service Pack前應先在測試機器上安裝一次，以防因爲例外原因導致機器死機，同時做好數據備份。

儘量不安裝與WEB站點服務無關的軟件；
說明：其他應用軟件有可能存在黑客熟知的安全漏洞。