Win2000操作系统的一个主要特色就是将IIS融入其内核之中,并提供一些用来配置和维护软件的向导工具,使构建一个Internet网站轻松易得。但是,如果要创建一个安全可靠的Internet网站,实现“地面部分”-Win2K操作系统和“空中部分”-IIS的双重安全,还需要更加全面和深入的工作。本文就对这些稳固工作中的地面部分-Win2K操作系统进行讨论,旨在帮助管理员一步步地实施网站安全构建工作。
一、安全思想先行 所谓兵马未发,粮草先行,在安装和配置一个Internet服务器之前,首先要从思想上对安全工作有个全局认识,至少应该考虑好以下几个方面的内容:
1、编制计划
编制安装计划的过程本身就可以作为一篇论文深加论述,这里只做概要介绍。保护Internet服务器安全需要详尽的计划,这不是指在安装过程中弹出菜单时确定选择哪一个项目,而是要仔细确定系统的功能和目标,最终成为安装的路标、排除故障的向导、服务器安装及网络边界情况的基础文档。如果需要安装计划编制方面的基础性方针资料,可以参考 RFC手册之2196项“站点安全手册”,地址是:http://www.faqs.org/rfcs/rfc2196.html。
2、设计策略 除了确定服务器将执行那些功能,还需要确定谁能访问服务器、在服务器上存储什么数据以及在出现各种情况时应该采取哪些措施。这就是策略的制定。实际上,策略定义了一个组织的服务器与接受它的服务和数据的Internet公众之间的交互作用细节。真正安全的站点必须具有适当的策略。关于策略的设计,同样请参考RFC手册之2196项“站点安全手册”。
3、访问控制 这方面是指对服务器的访问权,主要包括三类:
物理访问控制:指实际接触和操作服务器控制台的能力。如果攻击者取得了物理访问权,就可以绕过许多安全措施,整个安全计划将出现一个大大的漏洞!
系统访问控制:确定哪些组或个人账号对系统拥有何种权限,例如备份和恢复数据、向Web 服务器发布文档、管理账户或组。
网络访问控制:网络访问控制规定了内部网与Internet相互作用的权限,例如端口访问、数据读取、服务使用等等。不仅仅要考虑到外部的入侵行为,还要设想到内部的敌人攻击。为此,一般将服务器放于DMZ区域内。一个DMZ(Demilitarized Zone)就是一个孤立的网络,可以把不信任的系统放在那里。例如,我们希望任何人都能访问Web和Email服务器,所以它们就是不能信任的;将它们放在DMZ中特别关照,就可对来自内部和外部的访问都进行限制。
二、Win2K安装时要重点考虑的安全配置信息
安装Win2K时,直到配置网络协议时才需要考虑安全问题。对于一个Internet网站,配置网络协议时一定要关闭一个很大的安全漏洞:NetBIOS协议!就是说,在“本地连接属性”窗口中,只选中“Microsoft网络客户端”和“Internet协议(TCP/IP)”两项:
选中“Microsoft网络客户端”的原因在于NTLM (NT/LAN 管理器)安全支持供应(Security Support Provider)组件是嵌入在操作系统中的,如果没有这个组件,IIS将无法运行。
你可能要问了:“只配置这两个协议,需要其他的功能怎么办”?解决方法很简单:为服务器安装配置两个网卡,第一个用于Internet连接,其上只绑定那两个服务协议;第二个用于从本地网络访问服务器,根据需要添加其他的服务协议,例如“Microsoft网络的文件和打印机共享”等:
接下来,我们要设置TCP/Ip协议的属性内容。除了确定网卡IP地址以及默认网关地址外,还需要点击“高级”按钮进入“WINS”选项卡设置“禁止TCP/IP上的NetBIOS”,以阻止网卡向Internet发送和接收NetBIOS信息:
NetBIOS是简单友好的机器名表达法,例如\\servername\shareresource。如果打开这个功能,攻击者就可以使用端口扫描器等软件测试出具有端口137 和139监听的机器,从而进一步使用其NetBIOS 名尝试获取系统资源的访问权。
三、Win2K安装后要重点考虑的安全配置信息
操作系统安装完毕后,建议执行如下安全配置:
1、安装微软高级加密包(Microsoft High Encryption Pack),将服务器升级为128位加密。 默认状态下,服务器软件的加密状态处于较低级别,我们必须手工将其配置为128位加密。而且,这项工作应该在创建帐号和组之前进行,这样就可以保证在服务器上创建的所有项目都是128位加密级别的。
2、安装最新的SP软件包和Hotfixes 微软的产品是老裁缝做的,不打补丁不漂亮的,所以管理员们要经常访问以下地址看看是否又有新补丁面世:http://www.microsoft.com/windows2000/downloads/default.asp
这个地址包含了大量关于Win2K的信息,对日常管理Win2K服务器非常有参考价值。关于HotFixes有一点需要注意:只在系统需要的时候才安装相应HotFix。因为,并不是每个服务器都需要所有的HotFix,其中有一些hotfix修复的漏洞只存在于某些特定配置中。
3、对系统服务的启动方式重新进行规划 默认状态下,许多服务都随系统启动而启动。但由于有些服务因为启动帐号身份的权限过大,有可能埋下安全隐患地雷,因此必须对所有服务的启动方式进行重新规划。规划的原则应该是:除非绝对必要,关闭该服务。
以下是我们认为应该处于“自动”启动状态的基本服务:
DNS Client:如果服务器需要主动与其它服务器进行通信,就需要这个服务。许多Web服务器仅仅是对请求进行应答而自身并不发出请求,这时就不需要DNS Client了。
Event Log:事件日志,用于记录程序和 Windows 发送的事件消息。事件日志包含对诊断问题有所帮助的信息,可以在“事件查看器”中查看报告。
Logical Disk Manager:逻辑磁盘管理器监视狗服务,用于管理本地磁盘驱动