Win网络服务器系统安全解决方案.docVIP

WinNT/2000 网络服务器安全解决方案 随着XXXXXX电子化业务的逐步发展，特别是现在数据大集中时期，各项电子化业务越来越多采用服务器/客房机模式，如货币发行管理系统、ABS、帐户管理系统等。因此作为服务器的软硬件稳定性越来越重要。?Windows? 2000 Server产品建立于强大的Windows NT? 技术之上，具备高可靠性和高效的管理，并且支持最新的网络硬件技术，提供了实现业务应用和与Internet集成的最佳基础，WINDOWS2000系统越来越多的被应用为各项业务系统的网络服务器。 但的安全问题一直比较突出， 使得一些每个基于的都有一种如履薄冰的感觉，微软并没有明确的坚决方案，推出了一个个补丁程序，各种安全文档上对于NT的安全描述零零碎碎，给人们的感觉是无所适从。为此， 网络服务器的安全策略 一、及时安装系统服务包和安全补丁。 安装好操作系统之后，最好能在托管之前就完成补丁的安装，配置好网络后，如果是2000则确定安装上了SP4，如果是2003，则最好安装上SP1，然后点击开始→Windows Update，安装所有的关键更新。—7天），设置一个与系统或网络相适应的最长密码存留期（典型的不超过42天），设置密码历史至少6个，强制系统记录最近使用过的几个密码，启用 “密码必须符合复杂性要求”，强制用户配置密码属性，避免使用过于简单的弱密码； 设置帐户锁定策略。通过帐户锁定策略，当若干次登录尝试失败后，帐户将被锁定，以防止攻击者使用暴力法破解用户帐号和密码。 4、严格控制帐户特权。尽可能少的赋予系统中每个用户帐号权力，轻易不要给帐号以特殊权限，不要授予一般用户本机登录权限。可根据用户的使用权限和职责，删除该用户的某些特权。 三、删除与网络服务器无关的软件和服务，保持系统的清洁和最低运行需求。 1、删除或禁用不必要的组件和服务。 作为应用服务器，应该及时禁止一些不必要的网络服务、协议、子系统和应用程序，从而减少系统遭到攻击的可能性。在Windows2000系统中一般情况下禁止下列服务： ClipBookSewer服务：该服务允许通过网络取得系统剪贴板内容的访问权。 Computer Browser服务：该服务会引起网络性能的下降和名字解析的问题，对普通服务来说，没必要使用该服务。 Net Logon服务：用于网络认证，对于网络服务来说没有必要。 Network DDE and DDE DSDM：如果不需要动态交换数据，应禁止该服务； Remote Registor Service：该服务允许进行远程注册表操作，应禁止该服务； Routing and Remote Access Service：用于支持远程访问及路由功能，应禁止该服务； Schedule：运行计划作业所需的服务，如果不用高级任务，应禁止该服务； Server：用于将本系统的资源共享。如果本系统不提供文件及打印共享，应禁止该服务； Elephony Server：用于支持RAS。如果不使用RAS，应禁止该服务； Time Server：进行时钟同步的服务。可以考虑停止该服务； UPS：用于支持不间断电源系统。如果服务器不监控UPS，则禁止该服务； Workstation：用于访问其它WINDOWS2000的共享资源。可以考虑停止该服务； 可在“计算机管理”控制台中打开“服务”项目，停止某项服务，并更改启动类型，最好设置为“已禁用”。如下图： 如果要彻底地清除某些服务，可通过删除WINDOWS组件方式来实现。从“控制面板”中选择“添加/删除程序”—“添加/删除WINDOWS组件”，启动WINDOWS组件向导来删除某些组件。如下图： 2、禁止和删除不必要的网络协议： 由于目前主要的网络服务需要的网络协议只有TCP/IP，而NETBEUI是一个只能秀于小型局域网的协议，IPX/SPX是Netware采用的协议，现在一般不用。所以只需保留TCP/IP协议，删除其它不需要的协议。 删除TCP/IP协议上的“NETBIOS”绑定。WINDOWS操作系统用NETBIOS共享文件。有很多经典的方法利用NETBIOS绑定对系统进行攻击，因此对于服务器来说，可以删除TCP/IP协议上的“NETBIOS”绑定： 从“网络和拔号连接”文件夹中打开网络连接的属性设置对话框，右键双击“Internet协议（TCP/IP）”，再单击“高级”—“WINS”，选中“禁用TCP/IP上的Netbios”单选钮，按确定退出即可。 3、尽可能减少不必要的应用程序：如果不是绝对需要，就应该避免在服务器上安装应用程序。如OFFICE产品及工作、EMAIL客户端等对于服务器正常运行并不必需的工具。 四、文件系统加密： Windows 2000文件系统提供了文件系统加密技术(Encr