NT+ASP+SQL已经成为一些中小型网站的一种流行体系,网络安全配置的一条原则就是尽量减少不必要的服务,加强系统薄弱的循节。
一、NT目录安全
1、安装时不要按默认路径安装,改NT安装目录改名。移动部分重要文件并加访问控制:创建一
个只有系统管理员能够访问的目录,例如:
d:\admin,将system32目录下的如下文件移动到上面创建的目录:
xcopy.exe, wscript.exe, cscript.exe, net.exe, ftp.exe, telnet.exe,arp.exe, edlin.exe,ping.exe,route.exe,at.exe,finger.exe,posix.exe,rsh.exe,atsvc.exe,qbasic.exe,runonce.exe,syskey.exe,cacls.exe, ipconfig.exe, rcp.exe, secfixup.exe, nbtstat.exe, rdisk.exe, debug.exe, regedt32.exe, regedit.exe, edit.com, netstat.exe, tracert.exe, nslookup.exe, rexec.exe, cmd.exe,nslookup.exe
2、所有分区为NTFS。
3、服务器选择独立的服务器。
4、选择工作组成员,不选择域。
5、只要安装TCP/IP协议就够了,多余不用的协议可能会给你带来麻烦。你也可以在安装后在控制
面板中选择网络,点击协议,删除所有非TCP/IP的协议。
6、安装Win2000最新的服务包:SP3。
二、NT一些安全配置
1.设置好屏幕保护并设置密码
2.设置服务:
禁止一些不必要的服务:
Alerter (disable)
ClipBook Server (disable)
Computer Browser (disable)
DHCP Client (disable)
FTP publishing service (disable)
License Logging Service (disable)
Messenger (disable)
Netlogon (disable)
Network DDE (disable)
Network DDE DSDM (disable)
Plug and Play (disable after all hardware configuration)
Remote Access Server (disable)
Remote Procedure Call (RPC) locater (disable)
Server (disable)
Simple Services (disable)
Spooler (disable)
TCP/IP Netbios Helper (disable)
Telephone (disable)
在必要时禁止如下服务:
SNMP service (optional)
SNMP trap service(optional)
设置如下服务为自动启动:
Eventlog ( required )
NT LM Security Provider (required)
WWW (required)
Workstation (leave service on: will be disabled later in the document)
MSDTC (required)
Protected Storage (required)
3.禁止NetBIOS:
在控制面板中选择网络,点击绑定, 选择NetBios接口,然后点击禁用
4.仅开放使用的端口:
在控制面板中选择网络,点击属性择TCP/IP协议并点击属性,点击高级选项
选择"启用安全机制"并点击"配置" 将允许所有改为仅允许如下的端口:
TCP Ports UDP Ports IP Protocols
80 HTTP 161 SNMP 6
443 SSL 162 SNMP 8
22 SSH
三、修改注册表更安全
1.删除 OS/2 和 POSIX 子系统:
删除如下目录的任何键:
HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\OS/2 Subsystem for NT
删除如下的键:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment\Os2LibPath
删除如下的键:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session
Manager\SubSystems\Optional
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session
Manager\SubSystems\Posix
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session
Manager\SubSystems\Os2
删除如下目录:
c:\winnt\system32\os2
2.除去RDS漏洞:
删除如下的注册表项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\
Parameters\ADCLaunch\RDSServer.DataFactory
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\
Parameters\ADCLaunch\AdvancedDataFactory
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\
Parameters\ADCLaunch\VbBusObj.VbBusObjCls
9.禁止管理员从网络登陆
11.仅安装TCP/IP协议
在控制面板中选择网络,点击协议,删除所有非TCP/IP的协议
12.禁止NetBIOS:
在控制面板中选择网络,点击绑定, 选择NetBios接口,然后点击禁用
四、安全策略
1.设定如下的密码策略:
密码唯一性:记录上次的 6 个密码
最短密码期限:2
密码最长期限:42
最短密码长度:10
密码复杂化(passfilt.dll):启用
用户必须登录方能更改密码:启用
帐号失败登录锁定的门限:5
锁定后重新启用的时间间隔:720分钟
2.审计策略:
审核如下的事件:
用户和组管理 成功:失败
登录和注销 成功:失败
文件及对象访问 失败
更改安全规则 成功: 失败
用户权限的使用 失败
系统事件 成功: 失败
3.用户权限分配:
从网络中访问这台计算机:No one
将工作站添加到域:No one
备份文件和目录:Administrators
更改系统时间:Administrators
强制从远程系统关机:No one
加载和下载设备驱动程序:Administrators
本地登录:Administrators
管理审核和安全日志:Administrators
恢复文件和目录:Administrators
关闭系统:Administrators
获得文件或对象的所属权:Administrators
忽略遍历检查(高级权力):Everyone
作为服务登录(高级权力):No one
内存中锁定页:No one
替换进程级记号:No one
产生安全审核:No one
创建页面文件:Administrators
配置系统性能:No one
创建记号对象:No one
调试程序:No one
增加进度优先级:Administrators
添加配额:Administrators
配置单一进程:Administrators
修改固件环境值:Administrators
生成系统策略: Administrators
以批处理作业登录:No one
4.事件查看器设置:
应用程序、系统和安全的日志空间都设为100MB
事件日志覆盖方式为:覆盖30天以前的日志
禁止匿名用户查看日志
5.注册表的值
KEY Type Value
MACHINE\SOFTWARE\Microsoft\DataFactory\HandlerInfo\
HandlerRequired REG_DWORD 1
MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem\
NtfsDisable8dot3NameCreation REG_DWORD 1
MACHINE\Software\Microsoft\WindowsNT\Version\Winlogon\AllocateCDRoms REG_SZ 1
MACHINE\System\CurrentControlSet\Control\Lsa\AuditBaseObjects
REG_DWORD 1
MACHINE\System\CurrentControlSet\Control\Lsa\Su
MACHINE\System\CurrentControlSet\Control\Print\Providers\LanMan
PrintServices\AddPrintDrivers REG_DWORD 1
MACHINE\System\CurrentControlSet\Services\Rdr\
Parameters\EnablePlainTextPassword REG_DWORD 0
MACHINE\System\CurrentControlSet\Services\LanManServer\
Parameters\AutoDisconnect REG_DWORD 15
MACHINE\System\CurrentControlSet\Services\LanManServer\
Parameters\AutoShareWks REG_DWORD 0
MACHINE\System\CurrentControlSet\Services\LanManServer\
Parameters\AutoShareServer REG_DWORD 0
MACHINE\System\CurrentControlSet\Services\LanManServer\
Parameters\EnableForcedLogOff REG_DWORD 1
MACHINE\System\CurrentControlSet\Services\LanManServer\
Parameters\RequireSecuritySignature REG_DWORD 1
MACHINE\System\CurrentControlSet\Services\LanManServer\
Parameters\EnableSecuritySignature REG_DWORD 1
MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\
RequireSecuritySignature REG_DWORD 1
MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\
EnableSecuritySignature REG_DWORD 1
MACHINE\System\CurrentControlSet\Services\Netlogon\
Parameters\RequireSignOrSeal REG_DWORD 1
MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\
SealSecureChannel REG_DWORD 1
MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\
SignSecureChannel REG_DWORD 1
MACHINE\System\CurrentControlSet\Control\Lsa\ RestrictAnonymous
REG_DWORD 1
MACHINE\System\CurrentControlSet\Control\Session Manager\
ProtectionMode REG_DWORD 1
MACHINE\System\CurrentControlSet\Control\Lsa\ LmCompatibilityLevel
REG_DWORD 2
MACHINE\Software\Microsoft\Windows
NT\CurrentVersion\Winlogon\LegalNoticeText REG_SZ This is a
private system. Unauthorized use is prohibited.
MACHINE\Software\Microsoft\Windows NT\CurrentVersion\
Winlogon\LegalNoticeCaption REG_SZ CISD
MACHINE\Software\Microsoft\Windows
NT\CurrentVersion\Winlogon\DontDisplayLastUserName REG_SZ 1
MACHINE\System\CurrentControlSet\Control\Lsa\CrashOnAuditFail
REG_DWORD 1
MACHINE\System\CurrentControlSet\Control\Session Manager\Memory
Management\ClearPageFileAtShutdown REG_DWORD 1
MACHINE\Software\Microsoft\Windows NT\CurrentVersion\
Winlogon\CachedLogonsCount REG_SZ 0
MACHINE\Software\Microsoft\Windows NT\CurrentVersion\
Winlogon\AllocateFloppies REG_SZ 1
MACHINE\Software\Microsoft\Windows NT\Current bmitControl
REG_DWORD 0
MACHINE\System\CurrentControlSet\Control\Lsa\
FullPrivilegeAuditing REG_BINARY 1
MACHINE\Software\Microsoft\Windows NT\CurrentVersion\
Winlogon\ShutdownWithoutLogon REG_SZ 1
6.文件系统和注册表存取控制:
详见bastion.inf
7.管理员帐号:
bastion.inf将Administrator改名为root,
可以按照自己的需要更改这个名字,并使用强壮的密码
五、保护许可
1. 保护Internet Guest 用户帐号:
在用户管理器中,将Internet Guest 帐号改为晦涩的名字,并使用强壮的密码
禁止guest帐号。
将改名后的Internet Guest 帐号从组“guests”中删除。
设置改名后的Internet Guest 帐号对所有卷的访问为“No Access”,为了保证IIS的正常运行,
必须赋予改名后的Internet Guest 帐号对以下目录的读取权限:
默认路径 环境变量
c:\ %SystemDrive%
c:\winnt %SystemRoot%
d:\InetPub\wwwroot 你的IIS根目录
注意:在设置以上目录的权限时,不要选择替换子目录的权限!!
2. 锁住组“Users”:
设置NT内建组“Users”对所有卷的访问权为“No Access”,因为新用户会自动加入组“Users”
中,所以新用户缺省将不能访问任何卷。
IIS的安装指南
1.在安装Win2000的时候不要安装iis5.0,等安装完成以后添加iis组件,然后你可以把它安在不同
的盘上,并把目录改名不要使用默认的目录名.
2.删除IIS的的默认的WED站点.
iis安装时会创建一个默认的WDB站点,前久闹得沸腾的Unicode解码目录漏洞就是利用默认WED目录
为跳板的.所以要把它删除了.
3.删除不必要的IIS扩展名映射:
利用IIS扩展名映射可以调用许多意想不到的东西.如查看ASP的源程序等 .所以得删除它.
从ISM中:
选择计算机名,点鼠标右键,选择属性:
然后选择编辑
然后选择主目录, 点击配置
选择扩展名 ".HTA", ".HTR" 和 ".IDC" ,点击删除
如果不使用server side include,则删除".shtm" ".stm" 和 ".shtml"
4.删除/_vti_bin,/_vti_aut等目录
IIS和Forpage会创建一些这类的目录,请把它删除。
ASP的安全问题
asp是一种简单高效的网络开发程序。利用它可以轻松的开发出许多网络应用程序来。可是ASP的
安全性都比较差。下面我就讲下这方面的安全。
现在许多网站都喜欢用别人写好的免费ASP程序来加入到自己的网站中,可是其中存在许多漏洞,
如聊天室管理员密码被盗用等问题。拿到一个免费的ASP程序将如何做呢?
1.首先将数据库加密。弄清楚它是什么数据库,然后将其进行加密码保户。
2.重新改写数据库的文件名,改写数据库的存放的位置。
3.asp加密。加密的方法有许多,有一种可以用VB的ActiveX dll将ASP文件写成DLL组件,再在asp
文件中调用它。
SQL SERVER的安全性
对于不用数据库的网站就没有必要非要装上SQL SERVER数据库。因为每增加一样服务同时也会增新
的危险。对于用ASP编写的WEB应用中,需要后台数据库SQL SERVER的,也要小心地配置SQL Server.
1.安装远程数据库管理有风险。
SQL Server支持从远程进行数据库的维护。在安装时你可以选择不安装,安装完成以后,你还可以通过
"SQL Server Network Utility"来删除远程管理。如果你要使用远程管理,请使用TCP/IP,并将缺省的
端口1433改变为其他的数值。使用远程对你可能比较方便,便是请注意一个hacker只要知道你的SQL se
rver密码,就可以进入你的数据库。
2 .改变sa的密码。
缺省安装时,SQL SERVER的sa账号的密码为空,建议你在Enterprise SERVER中,改变sa的密码。
3.数据库登录账号不要写入ASP页面中。利用上面说的asp生成dll文件的方法对asp加密。
工具 
帮助
