用【yòng】㊙NT(2000)建立【jiàn lì】🦓的Web站点【zhàn diǎn】🔚在所有【zài suǒ yǒu】的网站【de wǎng zhàn】💬中占了🚞很大一【hěn dà yī】部分比例🏍，但🔱NT的安全【de ān quán】问题也🍤一直比【yī zhí bǐ】较突出，使【shǐ】得一💥些每个基于NT的网站【de wǎng zhàn】💬都有一种如履🥦薄冰的感觉🐎，然而微【rán ér wēi】软并没【ruǎn bìng méi】有明确🕯的坚决方案，只是推出了🚞一个个【yī gè gè】补丁程【bǔ dīng chéng】序🔥，各种安🍆全文档⛷上对于【shàng duì yú】NT的安全【de ān quán】描述零零碎碎，给人们的感觉🐎是无所适从。于是✍，有的网管干脆🤗什么措施也不🍀采取🤯，有的忙着下各✍种各样的补丁程【bǔ dīng chéng】序🔥，有的在安装了🚞防火墙【fáng huǒ qiáng】🌊以后就🐦以为万事大吉了🚞。这种现【zhè zhǒng xiàn】状直接导致了【dǎo zhì le】🚞大量网站的【wǎng zhàn de】NT安全性【ān quán xìng】参差不齐。只有极少数🙆NT网站有【wǎng zhàn yǒu】较高的安全【de ān quán】性，大部分【dà bù fèn】🐠网站的【wǎng zhàn de】安全性【ān quán xìng】很差🏎。为此，瑞星公🗒司决心对NT主要漏【zhǔ yào lòu】洞予以【dòng yǔ yǐ】搜集整理，同时【tóng shí】🆑，站在整体的高度🌅，力图找出一套用【yòng】㊙NT建立【jiàn lì】🦓安全站【ān quán zhàn】点【diǎn】🔚的解决方案来【fāng àn lái】，让用【ràng yòng】㊙户放心使【shǐ】🏌用【yòng】㊙NT(2000)建立【jiàn lì】🦓Web站点【zhàn diǎn】🔚。

解决方案：(说明🐡：本方案主要是🐪针对建立Web站点的【zhàn diǎn de】NT、2000服务器🏉安全【ān quán】🎲，对于局【duì yú jú】♓域网内【yù wǎng nèi】的服务器🏉并不合适【shì】。)

一、安装：

1.不论是【bú lùn shì】NT还是👁2000，硬盘分区🗓均为【jun1 wéi】NTFS分区🗓;

说明：

(1)NTFS比【bǐ】FAT分区多了安全控制功【kòng zhì gōng】⛩能，可以对不同的【tóng de】🐃文件夹【wén jiàn jiá】设置不同的【tóng de】🐃访问权限【xiàn】，安全性😽增强👀。

(2)建议最好一次【hǎo yī cì】👀性全部🍐安装成💺NTFS分区【fèn qū】🤰，而不要【ér bú yào】先安装成💺FAT分区【fèn qū】🤰再转化为NTFS分区【fèn qū】🤰，这样做📀在安装【zài ān zhuāng】🎼了SP5和SP6的情况【de qíng kuàng】下会导致转化【zhì zhuǎn huà】不成功，甚至系【shèn zhì xì】统崩溃。

(3)安装NTFS分区有♌一个潜在的危险，就是目【jiù shì mù】🐠前大多数反病✨毒软件【dú ruǎn jiàn】没有提【méi yǒu tí】供对软盘启动【pán qǐ dòng】🚓后【hòu】NTFS分区病【fèn qū bìng】毒的查【dú de chá】杀，这样一🗒旦系统🔻中了恶【zhōng le è】🆖性病毒【xìng bìng dú】💼而导致💟系统不能正常启动🚓，后【hòu】果就比较严重，因此及建议平时做好防病毒工作【gōng zuò】🐭。

2.只安装一种操作系统;

说明：安装两【ān zhuāng liǎng】种以上😇操作系🗑统【tǒng】🖇，会给黑🍷客以可🎟乘之机，利用攻击使系统【tǒng】🖇重启到另外一个没⤴有安全【yǒu ān quán】设置的【shè zhì de】操作系🗑统【tǒng】🖇(或者他【huò zhě tā】熟悉的【shú xī de】操作系🗑统【tǒng】🖇)，进而进【jìn ér jìn】行破坏。

3.安装成🏨独立的【dú lì de】➕域控制器🗾(StandAlone)，选择工【xuǎn zé gōng】作组成员，不选择【bú xuǎn zé】域;

说明：主域控制器(PDC)是局域网中队【wǎng zhōng duì】多台联网机器管理的🥤一种方【yī zhǒng fāng】🥀式【shì】，用于网🚽站服务器【fú wù qì】包含🎎着安全【zhe ān quán】🃏隐患，使黑客有可能【yǒu kě néng】利用域🏃方式的【fāng shì de】漏洞攻😡击站点服务器【fú wù qì】。

4.将操作系统文件所在🚷分区与【fèn qū yǔ】Web数据包括其他【kuò qí tā】应用程【yīng yòng chéng】✨序所在的分区⛅分开【fèn kāi】，并在安装时最好不要使用系【shǐ yòng xì】🏂统默认【tǒng mò rèn】的目录Ⓜ，如将\WINNT改为其他目录👣;

说明：黑客有🛣可能通过【guò】Web站点的漏洞得到操作系统对🦑操作系统某些【tǒng mǒu xiē】程序的【chéng xù de】💓执行权【zhí háng quán】😜限，从而造成更大【chéng gèng dà】的破坏📋。

5.Windows程序【chéng xù】，都要重【dōu yào chóng】新安装📒一次补丁程序【chéng xù】🛑，2000下不需🤑要这样【yào zhè yàng】做。

说明：

(1)最新的【zuì xīn de】补丁【bǔ dīng】程序，表示系【biǎo shì xì】统以前【tǒng yǐ qián】🐥有重大😃漏洞，非补不🤼可了🐎，对于局域网内【yù wǎng nèi】服务器可以不【kě yǐ bú】是最新【shì zuì xīn】的，但站点😳必须安🍲装最新补丁【bǔ dīng】，否则黑😬客可能【kè kě néng】🍡会利用低版本补丁的【bǔ dīng de】漏洞对🍉系统造【xì tǒng zào】成威胁。这是一👚部分管理员较易忽视的一点;

(2)安装【zhuāng】😊NT的【de】🕺SP5、SP6有一个【yǒu yī gè】潜在威胁【xié】，就是一旦系统崩溃重🚶装【zhuāng】😊NT时【shí】，系统将🧞不会认【bú huì rèn】NTFS分区，原因是微软在这两个补丁中📲对NTFS做了改🔹进。只能通【zhī néng tōng】过Windows2000安装【zhuāng】😊过程中【guò chéng zhōng】认NTFS，这样会🤧造成很🦊多麻烦🔂，建议同🔣时【shí】做好数据备【shù jù bèi】份工作【fèn gōng zuò】。

(3)安装ServicePack前应先🏕在测试机器上【jī qì shàng】🌐安装一次【cì】，以防因为例外🐋原因导【yuán yīn dǎo】致机器【zhì jī qì】💈死机，同时做【tóng shí zuò】😗好数据备份。

6.尽量不安装与【ān zhuāng yǔ】😼Web站点服⛳务无关【wù wú guān】的软件;

说明🎍：其他应【qí tā yīng】用软件🈸有可能【yǒu kě néng】存在黑🕒客熟知的安全【de ān quán】漏洞。

二、NT设置：

1.帐号策略：

(1)帐号尽👛可能少【kě néng shǎo】，且尽可【qiě jìn kě】能少用来登录✡;

说明【shuō míng】：网站帐【wǎng zhàn zhàng】号一般🌹只用来做系统【zuò xì tǒng】维护👈，多余的帐号一个也不🚪要【yào】，因为多一个帐🎼号就会🤲多一份被攻破的危险【de wēi xiǎn】。

(2)除过Administrator外【wài】，有必要【yǒu bì yào】再增加👲一个属于管理【yú guǎn lǐ】🙄员组的🚊帐号;

说明：两个管理员组的帐号💉，一方面防止管【fáng zhǐ guǎn】👉理员一旦忘记一个帐【yī gè zhàng】🤤号的口😃令还有【lìng hái yǒu】一个备【yī gè bèi】🐘用帐号;另方面【lìng fāng miàn】，一旦黑客攻破🗳一个帐【yī gè zhàng】🤤号并更改口令【gǎi kǒu lìng】，我们还有机会【yǒu jī huì】重新在【chóng xīn zài】短期内取得控🎡制权🏈。

(3)所有帐【suǒ yǒu zhàng】号权限🥑需严格🏂控制【kòng zhì】，轻易不【qīng yì bú】要给帐号以特🔛殊权限;

(4)将Administrator重命名【chóng mìng míng】🎃，改为一😼个不易【gè bú yì】猜的名字。其他一【qí tā yī】般帐号也应尊🎗循着一原则【yuán zé】🍲。

说明：这样可以为黑客攻击增加一层障碍。

(5)将Guest帐号禁🗞用🥛，同时重【tóng shí chóng】命名为【mìng míng wéi】🍪一个复【yī gè fù】杂的名字【zì】👼，增加口令，并将它从Guest组删掉;

说明：有的黑【yǒu de hēi】🦗客工具🎮正是利用了🌲guest的弱点【de ruò diǎn】，可以将【kě yǐ jiāng】🔰帐号从【zhàng hào cóng】一般用户提升到管理员组。

(6)给所有用户帐🚎号一个复杂的口令【kǒu lìng】🍠(系统帐号出外)，长度最【zhǎng dù zuì】少在🌶8位以上【wèi yǐ shàng】，且必须同时包含字母💓、数字【shù zì】、特殊字符。同时不🏢要使用大家熟悉的【xī de】🗺单词(如【rú】microsoft)、熟悉的【xī de】🗺键盘顺【jiàn pán shùn】😷序【xù】(如【rú】qwert)、熟悉的【xī de】🗺数字【shù zì】(如【rú】2000)等【děng】。

说明：口令是黑客攻击的重点🆎，口令一【kǒu lìng yī】旦被突【dàn bèi tū】破🌼也就无任何🚺系统安全可言了，而这往【ér zhè wǎng】🥑往是不🍙少网管🤙所忽视的地方【de dì fāng】，据我们的测试【de cè shì】，仅字母🔄加数字【jiā shù zì】的5位口令【wèi kǒu lìng】在几分钟内就【zhōng nèi jiù】🆒会被攻破🌼，而所推🕯荐的方【jiàn de fāng】案则要⬆安全的多【duō】。

(7)口令【kǒu lìng】☕必须定期【qī】🛀更改【gèng gǎi】🍆(建议至【jiàn yì zhì】少两周该一次)，且最好记在心里，除此以外不要在任何地方做【dì fāng zuò】记录;另外【lìng wài】🖌，如果在日志审【rì zhì shěn】🅾核中发现某个【xiàn mǒu gè】帐号被📌连续尝试，则必须立刻更🎿改此帐【gǎi cǐ zhàng】号🅾(包括用🚉户名和口令【kǒu lìng】☕);

(8)在帐号【hào】属性中【shǔ xìng zhōng】😶设立锁【shè lì suǒ】⬅定次数，比如改【bǐ rú gǎi】帐号失【zhàng hào shī】败登录次数超过【guò】5次即锁定改帐号【hào】。这样可😕以防止某些大【mǒu xiē dà】🎅规模的登录尝试，同时也使管理🔙员对该帐号【hào】提🖤高警惕🍦。

2.解除【jiě chú】NetBios与TCP/IP协议的📃绑定【bǎng dìng】🐭

说明🦈：NetBois在局域🔺网内是不可缺👧少的功【shǎo de gōng】能，在网站【zài wǎng zhàn】💚服务器【fú wù qì】上却成了黑客扫描工【sǎo miáo gōng】具的首选目标🧒。方法：NT：控制面版【bǎn】🎙——网络【luò】😃——绑定📼——NetBios接口🐅——禁用【jìn yòng】2000：控制面版【bǎn】🎙——网络【luò】😃和拨号连接【lián jiē】——本地网络【luò】😃——属性——TCP/IP——属性——高级【gāo jí】——WINS——禁用【jìn yòng】TCP/IP上的【shàng de】NETBIOS

3.删除所有的网络共享资源

说明🏹：NT与2000在默认【zài mò rèn】情况下【qíng kuàng xià】有不少【yǒu bú shǎo】网络共享【gòng xiǎng】资源💇，在局域🤗网内对网络管理和网络通讯有用🚾，在网站服务器上同样📲是一个【shì yī gè】特大的【tè dà de】安全隐患👒。(卸载【xiè zǎi】😸“Microsoft网络的💢文件【jiàn】和✋打印机🕝共享【gòng xiǎng】”。当查看【dāng chá kàn】🤡“网络和拨号连🔗接【jiē】”中的任何连接【hé lián jiē】属性时，将显示🕺该选项【gāi xuǎn xiàng】。单击“卸载【xiè zǎi】😸”按钮删除该组件【jiàn】;清除【qīng chú】“Microsoft网络的💢文件【jiàn】和✋打印机🕝共享【gòng xiǎng】”复选框将不起【jiāng bú qǐ】作用💼。)

方法：

(1)NT：管理工具【jù】🤬——服务器管理器——共享【xiǎng】🤝目录——停止共【tíng zhǐ gòng】⚡享【xiǎng】🤝;

2000：控制面版——管理【guǎn lǐ】工具——计算及【jì suàn jí】管理【guǎn lǐ】——共享【xiǎng】文🎖件夹🎰———停止共🔌享【xiǎng】

但上述两种方🛌法太麻【fǎ tài má】烦【fán】🆒，服务器🗽每重启一次🧀，管理员【guǎn lǐ yuán】就必须停止一【tíng zhǐ yī】次🧀

(2)修改注册表：

运行Regedit，然后修改注册🛏表在【biǎo zài】HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters下增加一个键【yī gè jiàn】💯

Name：AutoShareServer

Type：REG_DWORD

Value：0

然后重⏱新启动🍵您的服务器，磁盘分【cí pán fèn】区共享【qū gòng xiǎng】去掉🍊，但【dàn】IPC共享仍【gòng xiǎng réng】存在，需每次【xū měi cì】♍重启后手工删除🦐。

4.改NTFS的安全权限;

说明：NTFS下所有文件默【wén jiàn mò】🧠认情况下对所【xià duì suǒ】👫有人🚙(EveryOne)为完全【wéi wán quán】控制权限【xiàn】🏐，这使黑客有可能使用🍣一般用【yī bān yòng】🔈户身份【hù shēn fèn】对文件做增加、删除【shān chú】、执行等【zhí háng děng】操作🚗，建议对【jiàn yì duì】一般用【yī bān yòng】🔈户只给【hù zhī gěi】予读取权限【xiàn】🏐，而只给🖋管理员📑和System以完全【yǐ wán quán】控制权限【xiàn】🏐，但这样做有可【zuò yǒu kě】🉑能使某些正常😭的脚本程序不【chéng xù bú】能执行，或者某些需要写的操作🚗不能完成，这时需🕴要对这🏊些文件所在的⛷文件夹权限【xiàn】🏐进行更【jìn háng gèng】改，建议在【jiàn yì zài】🍖做更改【zuò gèng gǎi】前先在🌨测试机💰器上作测试，然后慎【rán hòu shèn】重更改🕠。

5.系统启【xì tǒng qǐ】🚄动的等待时间设置为🚨0秒🤒，控制面✡板【bǎn】->系统->启动/关闭【guān bì】，然后将列表显【liè biǎo xiǎn】示的默认值【rèn zhí】🔌“30”改为“0”。(或者在【huò zhě zài】boot.ini里将TimeOut的值改⚾为0)

6.只开放必要的端口，关闭其余端口。

说明【shuō míng】🎹：缺省情🛠况下【kuàng xià】，所有的【suǒ yǒu de】端口对外开放【wài kāi fàng】，黑客就【hēi kè jiù】会利用🦕扫描工【sǎo miáo gōng】具扫描那些端⌚口可以😕利用，这对安🤙全是一个严重威胁。

现将一些常用端口列表如下：

端口协议应用程序

21TCPFTP

25TCPSMTP

53TCPDNS

80TCPHTTPSERVER

1433TCPSQLSERVER

5631TCPPCANYWHERE

5632UDPPCANYWHERE

6(非端口)IP协议

8(非端口)IP协议

7.加强日志审核;

说明：日志任🐊何包括【hé bāo kuò】事件查🍬看器中的应用【de yīng yòng】、系统【xì tǒng】👋、安全日【ān quán rì】志，IIS中的WWW、SMTP、FTP日志、SQLSERVER日志等【rì zhì děng】，从中可🚭以看出【yǐ kàn chū】💠某些攻击迹象【jī jì xiàng】，因此每天查看日志是【rì zhì shì】保证系🎡统安全的必不【de bì bú】可少的【kě shǎo de】环节🎊。安全日【ān quán rì】志缺省是不记🚗录【lù】，帐号审核可以【hé kě yǐ】从域用【cóng yù yòng】🎽户管理🥄器——规则——审核中选择指【xuǎn zé zhǐ】标;NTFS中对文件的审核从资源管理【yuán guǎn lǐ】器中选【qì zhōng xuǎn】取。要注意🥨的一点【de yī diǎn】是，只需选❎取你真【qǔ nǐ zhēn】正关心的指标💧就可以了⬇，如果全选，则记录【lù】🚐数目太大，反而不⏺利于分析;另外太多对系【duō duì xì】💦统资源🌰也是一【yě shì yī】🔅种浪费🚑。

8.加强数据备份;

说明：这一点😕非常重要，站点的核心是🤖数据，数据一🔘旦遭到🐺破坏后🌛果不堪设想，而这往【ér zhè wǎng】🈁往是🤖黑客们【hēi kè men】真正关【zhēn zhèng guān】心🐁的东西【de dōng xī】;遗憾的是🤖，不少网管在这【guǎn zài zhè】一点😕上作的【shàng zuò de】并【bìng】🤧不好，不是备【bú shì bèi】🐒份不完【fèn bú wán】全【quán】，就是🤖备份不【bèi fèn bú】及🕶时【shí】。数据备份需要仔细计🎋划，制定出🈵一个策🚨略并【bìng】作了测试【le cè shì】以后才【yǐ hòu cái】实施【shí shī】，而且随着网站的更新，备份计划也需🧛要不断地调整🎑。

9.只保留🉑TCP/IP协议【xié yì】，删除【shān chú】🐩NETBEUI、IPX/SPX协议【xié yì】;

说明：网站需要的通讯协议【xié yì】🚴只有TCP/IP，而NETBEUI是一个🙉只能用🗂于局域网的协议【xié yì】，IPX/SPX是面临【shì miàn lín】🎒淘汰的【táo tài de】协议【xié yì】，放在网🕉站上没【zhàn shàng méi】有任何【yǒu rèn hé】用处💳，反而会【fǎn ér huì】被某些【bèi mǒu xiē】黑客工具利用😽。

10.停掉没有用的【yǒu yòng de】服务【fú wù】🕑，只保留与网站🥤有关的服务【fú wù】🕑和服务【fú wù】器📴某些必须的服【xū de fú】🈲务【wù】🕑。

说明：有些服务【wù】🐒比如【bǐ rú】RAS服务【wù】🐒、Spooler服务【wù】🐒等会给【děng huì gěi】黑客带来👳可乘之【kě chéng zhī】机，如果确🐌实没有用处建议禁止【yì jìn zhǐ】掉，同时也能节约【néng jiē yuē】一些系统资源【tǒng zī yuán】。但要注意有些🤩服务【wù】🐒是操作系统必【xì tǒng bì】须的服【xū de fú】务【wù】🐒，建议在【jiàn yì zài】停掉前查阅帮【chá yuè bāng】🍍助文档♑并首先🕥在测试😹服务【wù】器🏉上作一🐺下测试。

11.隐藏上🌇次登录用户名【yòng hù míng】，修改注🐖册表【cè biǎo】Winnt4.0：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon中增【zhōng zēng】