用NT(2000)建立的Web站點在所有的網站中占了很大一部分比例，但NT的安全（quán）問題也一直比較（jiào）突出，使得一些每個基於NT的網站都有一種如履（lǚ）薄冰的感覺，然而微軟並（bìng）沒有（yǒu）明確的堅決方案，隻是推出了一個個補丁程（chéng）序，各種安（ān）全文檔上（shàng）對於NT的安全描述零零碎（suì）碎，給人們的感覺（jiào）是無所（suǒ）適從。於（yú）是，有的網管幹脆什麽措施也不采取，有的忙著下各（gè）種各樣的補丁程序，有的在安裝了防火牆以後就以為萬事大吉了。這種現（xiàn）狀直（zhí）接導致了大量網站的NT安全性參（cān）差不齊。隻有極少數（shù）NT網站有較高的安全性，大部（bù）分網站（zhàn）的安全性很差。為此，瑞星公司決心對NT主要漏洞予以搜（sōu）集整理，同時（shí），站在整體的高度，力圖找出一套用NT建立安全站（zhàn）點的解決方案來，讓用（yòng）戶（hù）放心使用NT(2000)建立Web站點。

解決方案：(說明：本方案（àn）主要是針對建立Web站點的NT、2000服（fú）務器安全，對於局域網內的服務器並不合適。)

一、安裝：

1.不論是NT還是2000，硬盤分區均為NTFS分區;

說明（míng）：

(1)NTFS比FAT分區多了安全控製功能，可以對不同的文件夾設置不同（tóng）的訪問權限，安全性增強。

(2)建議最好一次性全（quán）部安裝成NTFS分（fèn）區，而不要（yào）先安裝成FAT分區再轉化為（wéi）NTFS分區，這樣做在安裝了SP5和SP6的情況下（xià）會導（dǎo）致轉化不成功，甚至係統崩潰。

(3)安裝NTFS分區（qū）有一個潛在的危險，就是（shì）目前大多數反（fǎn）病毒軟件沒有提供對軟盤啟動後NTFS分區病毒的查殺，這樣一旦係統（tǒng）中了惡性病毒而導致係統不能（néng）正常啟動，後果就比較嚴重，因此（cǐ）及建議平時做好防病毒工作。

2.隻安裝一種操作係統;

說明：安裝兩種（zhǒng）以上操作係統，會給黑客以可乘之機，利用攻擊使係統重啟到另（lìng）外一個沒有安全設置的（de）操作係統(或者他熟悉的操作係統)，進而（ér）進行（háng）破壞。

3.安裝成獨立的域控製器(StandAlone)，選擇工作組成員，不選擇域;

說明：主域控製器(PDC)是局域網中隊多台聯網機器管理的一種方（fāng）式，用於網站服務器包含著安全隱患（huàn），使黑客有可能利用域方式的漏洞攻擊站點服務器。

4.將操作係統文件所在分區與Web數據（jù）包括其他應用程序所在的（de）分區分開，並在安裝時最（zuì）好不要使用係統默認的目錄，如將（jiāng）\WINNT改為其他目錄;

說明：黑客有可能（néng）通過Web站（zhàn）點的漏洞得到操作係統對操作係統某些程序的執（zhí）行權限，從而造成更大的破壞。

5.Windows程序，都要重新安裝一次（cì）補丁程序，2000下不需要這樣做。

說明：

(1)最新的補丁程（chéng）序，表示係統以前有重大（dà）漏洞，非補不可了，對於局域網內服務器可以不是最新的（de），但站點必須安裝最新補丁，否則黑客可能會利用低版本補（bǔ）丁的漏洞對係統造成威（wēi）脅。這是一部分（fèn）管理員較易忽視的一點;

(2)安裝NT的SP5、SP6有一個潛在威脅，就是一旦係統崩潰重（chóng）裝NT時（shí），係統將不會認NTFS分區，原因是微軟在（zài）這兩個補丁中對NTFS做了改進。隻能通過Windows2000安裝過程中認NTFS，這樣會造成很多麻煩，建議同時做好數據備份工（gōng）作。

(3)安裝ServicePack前應先在測試機器上安裝（zhuāng）一次，以（yǐ）防因為例外原因導致機器死（sǐ）機，同時做好數據備份。

6.盡量不（bú）安裝與Web站點服務無關的（de）軟件;

說明：其他應用軟件有可能存在黑客熟知的安全漏洞。

二、NT設置：

1.帳號策略：

(1)帳號盡可能（néng）少，且盡可能少用來登錄;

說明：網站帳號一般隻用（yòng）來做係統維護，多餘的帳號一個也不要，因（yīn）為（wéi）多一個帳號就會多一份被攻破的危險。

(2)除過Administrator外（wài），有必要再增加一個屬於（yú）管理員組的帳號;

說明：兩個管理員組的帳號（hào），一方麵防止管理員一旦忘記一個帳號的口令還有一個備用帳號;另方麵，一旦黑（hēi）客攻破一個帳（zhàng）號並更改口令，我（wǒ）們還有機會重新在（zài）短期內取得控製權。

(3)所有（yǒu）帳號權限需嚴格控製，輕易不要給帳（zhàng）號（hào）以特殊權限;

(4)將Administrator重命名，改為一個不易猜的名字。其他一般帳號也應尊循著一原則。

說（shuō）明：這樣可以（yǐ）為黑（hēi）客攻擊增加一層障礙。

(5)將Guest帳號（hào）禁用，同時重（chóng）命名為一個複雜的名字，增加口令（lìng），並將它從Guest組刪掉;

說明：有的黑（hēi）客工具正是利用了guest的弱點，可以將帳（zhàng）號從一般用戶（hù）提升到管理員組。

(6)給所有用戶帳號一個複雜的（de）口令(係統帳（zhàng）號出外（wài）)，長度（dù）最少（shǎo）在（zài）8位（wèi）以上，且必須同時包含字母、數字、特殊字符（fú）。同時不要使用大家（jiā）熟悉的單詞(如microsoft)、熟（shú）悉的鍵盤順序(如qwert)、熟（shú）悉的數字(如2000)等。

說明：口令是黑客攻（gōng）擊（jī）的重點，口令一旦被突破也就無任何係統安全可言了，而這往往是不少網（wǎng）管所忽視的地方（fāng），據我們的（de）測試，僅字母加數字的5位口令在幾分鍾內就會被攻破，而所推薦的方案則要安（ān）全的多。

(7)口令（lìng）必須定期更改(建議至少（shǎo）兩周該一次)，且最好記在心裏，除此以外不要在任（rèn）何地方做記錄;另（lìng）外，如（rú）果在日誌審核中發現某個帳號被連續嚐試，則必須立刻更改此帳（zhàng）號(包括用戶名和口令);

(8)在帳號屬性中設立鎖定次數，比如改帳號失敗登錄次數超過5次即鎖（suǒ）定改帳號。這樣可以防止某些大規模的登錄嚐試（shì），同（tóng）時也使管（guǎn）理員對該帳號提高警惕。

2.解除NetBioses與TCP/IP協議的綁（bǎng）定

說明：NetBois在局域網內是不可缺少的（de）功能，在網站服務器上卻成了黑（hēi）客（kè）掃描工具（jù）的首選目標。方法：NT：控（kòng）製麵版——網絡（luò）——綁定——NetBioses接口——禁用2000：控製麵版——網絡和撥號連接——本地網絡——屬（shǔ）性——TCP/IP——屬性——高級——WINS——禁用TCP/IP上的NETBioses

3.刪除所（suǒ）有的（de）網絡共享資源

說明：NT與2000在（zài）默認情況下有不少（shǎo）網絡共享資源，在局域網內對網絡管（guǎn）理和網（wǎng）絡（luò）通訊有用，在網站服務器上同樣是一個特大的安（ān）全隱患。(卸載“Microsoft網絡的文（wén）件（jiàn）和（hé）打印機（jī）共享”。當查看“網絡和撥號（hào）連接”中的（de）任何連接屬性時，將顯示該選項。單擊“卸（xiè）載”按鈕刪除該組件;清除“Microsoft網絡的文件和打印機共享”複選框將不起（qǐ）作用。)

方法：

(1)NT：管理工具——服務器管理器——共享目錄——停止共享;

2000：控製麵版（bǎn）——管理工（gōng）具——計（jì）算及管理——共享文件夾———停止共享（xiǎng）

但上（shàng）述兩種方法太麻煩，服務器每重啟（qǐ）一次，管理員就必須停止一次

(2)修改注冊表：

運行Regedit，然後修改注冊表在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters下增加一個鍵

Name：AutoShareServer

Type：REG_DWORD

Value：0

然後重新啟動您的服務器，磁盤分區共享去掉，但IPC共享仍存在，需每次重啟後手（shǒu）工刪除。

4.改NTFS的安全權限;

說明：NTFS下所有文（wén）件默認情況下對所有人(EveryOne)為完全控製權限，這使黑客有可能使用一般用戶身份對（duì）文件做增加、刪除、執行等操作，建議對一般用戶隻給予讀取權限，而隻給管理員和System以完全控製（zhì）權限，但這樣做有可能（néng）使某些正常的腳本程序不能執行，或者某（mǒu）些需要寫的操作（zuò）不能完成（chéng），這（zhè）時需要對這些文件所在的文件夾權限進行更改，建議在做更（gèng）改前先在測試機器上作測試，然（rán）後慎重更改。

5.係統啟動的等待時間設置為0秒，控製麵板->係統->啟（qǐ）動/關閉，然後將列表顯（xiǎn）示的默認值“30”改（gǎi）為“0”。(或者在boot.ini裏將TimeOut的值改為（wéi）0)

6.隻開放必要的端口，關閉其餘端口。

說明：缺（quē）省情況下，所有的端口對外開放，黑客就會利用掃描工具掃描那些端口（kǒu）可以利用，這對安全是一個（gè）嚴重威脅。

現將一些（xiē）常用（yòng）端口列（liè）表如下：

端口協議應用程序

21TCPFTP

25TCPSMTP

53TCPDNS

80TCPHTTPSERVER

1433TCPSQLSERVER

5631TCPPCANYWHERE

5632UDPPCANYWHERE

6(非端口)IP協議

8(非端口)IP協議

7.加強日誌審核;

說明（míng）：日誌任何包括事件查看器中的（de）應用、係統、安全日（rì）誌，IIS中的WWW、SMTP、FTP日誌、SQLSERVER日誌等，從中可（kě）以看出某些攻擊跡（jì）象，因此每天查看日誌是保證係統安全的必不可少的環節。安全日（rì）誌缺省（shěng）是不記錄，帳號審核可以從域用戶管理器（qì）——規則——審核中選擇指標;NTFS中對文件的審核從資源管理器（qì）中選取。要注意的一（yī）點是，隻需選取你真（zhēn）正關心的指標（biāo）就可以了，如果全（quán）選，則記錄數目太大，反而（ér）不利於（yú）分析（xī）;另（lìng）外太多（duō）對係（xì）統資源也是一種浪費。

8.加強數（shù）據（jù）備份;

說明：這一（yī）點非常重要，站（zhàn）點的核心是數（shù）據（jù），數據一（yī）旦遭（zāo）到破壞後果不堪設想，而這往往是黑客們（men）真正關心的東西;遺憾的是，不少網管在這一點上作（zuò）的（de）並不好（hǎo），不是備份不完全，就是備份不及時。數（shù）據（jù）備份需要仔細（xì）計劃，製定出一個策略（luè）並作了測試（shì）以後才實施，而且隨著網站的更（gèng）新，備份計劃也需要不斷地（dì）調整。

9.隻保留TCP/IP協議，刪除NETBEUI、IPX/SPX協議;

說明：網站需要（yào）的通訊協（xié）議隻有TCP/IP，而NETBEUI是一（yī）個隻能用於局域網的（de）協議，IPX/SPX是麵臨淘汰的協議，放在網站上沒有任何用處，反而會被某些黑客工具利用。

10.停掉沒有用的服務，隻保留與網站有關的（de）服務和服務器某些必（bì）須的服務。

說明：有些服務比如RAS服（fú）務、Spooler服務等會給黑客帶來可乘之機，如果確實沒有用（yòng）處建議禁（jìn）止（zhǐ）掉，同時也能節約一些係（xì）統資源。但要注意有些服務是（shì）操作係統必須的服務，建議在停掉前查閱幫助（zhù）文檔並首先在測試服務器上作一（yī）下測試。

11.隱藏上次登錄用戶名（míng），修改注冊表Winnt4.0：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon中（zhōng）增