Windows NT/2000服务器优化(2)

    3.帐号策略：
   （1）帐号尽可能少，且尽可能少用来登录；
　　说明：网站帐号一般只用来做系统维护，多余的帐号一个也不要，因为多一个帐号就会多一份被攻破的危险。
　　（2）除过Administrator外，有必要再增加一个属于管理员组的帐号；

　　说明：两个管理员组的帐号，一方面防止管理员一旦忘记一个帐号的口令还有一个备用帐号；另方面，一旦黑客攻破一个帐号并更改口令，我们还有有机会重新在短期内取得控制权。
　　（3）所有帐号权限需严格控制，轻易不要给帐号以特殊权限；
　　（4）将Administrator重命名，改为一个不易猜的名字。其他一般帐号也应尊循这一原则。
　　说明：这样可以为黑客攻击增加一层障碍。
　　（5）将Guest帐号禁用，同时重命名为一个复杂的名字，增加口令，并将它从Guest组删掉；
　　说明：有的黑客工具正是利用了guest 的弱点，可以将帐号从一般用户提升到管理员组。
　　（6）给所有用户帐号一个复杂的口令（系统帐号出外），长度最少在8位以上，且必须同时包含字母、数字、特殊字符。同时不要使用大家熟悉的单词（如microsoft）、熟悉的键盘顺序（如qwert）、熟悉的数字（如2000）等。

　　说明：口令是黑客攻击的重点，口令一旦被突破也就无任何系统安全可言了，而这往往是不少网管所忽视的地方，据我们的测试，仅字母加数字的5位口令在几分钟内就会被攻破，而所推荐的方案则要安全的多。
　　（7）口令必须定期更改（建议至少两周该一次），且最好记在心里，除此以外不要在任何地方做记录；另外，如果在日志审核中发现某个帐号被连续尝试，则必须立刻更改此帐号（包括用户名和口令）；
　　（8）在帐号属性中设立锁定次数，比如改帐号失败登录次数超过5次即锁定改帐号。这样可以防止某些大规模的登录尝试，同时也使管理员对该帐号提高警惕。
　　
　　4．安全日志：Win2000的默认安装是不开任何安全审核的！

　　那么请你到本地安全策略->审核策略中打开相应的审核，推荐的审核是：
　　
　　账户管理 成功 失败
　　登录事件 成功 失败
　　对象访问 失败
　　策略更改 成功 失败
　　特权使用 失败
　　系统事件 成功 失败
　　目录服务访问 失败
　　账户登录事件 成功 失败
　　
　　审核项目少的缺点是万一你想看发现没有记录那就一点都没辙；审核项目太多不仅会占用系统资源而且会导致你根本没空去看，这样就失去了审核的意义。 与之相关的是：
　　
　　在账户策略->密码策略中设定：
　　密码复杂性要求 启用
　　密码长度最小值 6位
　　强制密码历史 5次
　　最长存留期 30天
　　在账户策略->账户锁定策略中设定：
　　账户锁定 3次错误登录
　　锁定时间 20分钟
　　复位锁定计数 20分钟
　　
　　同样，Terminal Service的安全日志默认也是不开的，我们可以在Terminal Service Configration（远程服务配置）-权限-高级中配置安全审核，一般来说只要记录登录、注销事件就可以了。
　　
　　5.目录和文件权限：为了控制好服务器上用户的权限，同时也为了预防以后可能的入侵和溢出，我们还必须非常小心地设置目录和文件的访问权限，NT的访问权限分为：读取、写入、读取及执行、修改、列目录、完全控制。在默认的情况下，大多数的文件夹对所有用户（Everyone这个组）是完全敞开的（Full Control），你需要根据应用的需要进行权限重设。

　　在进行权限控制时，请记住以下几个原则：
　　
　　1>限是累计的：如果一个用户同时属于两个组，那么他就有了这两个组所允许的所有权限；
　　2>拒绝的权限要比允许的权限高（拒绝策略会先执行）如果一个用户属于一个被拒绝访问某个资源的组，那么不管其他的权限设置给他开放了多少权限，他也一定不能访问这个资源。所以请非常小心地使用拒绝，任何一个不当的拒绝都有可能造成系统无法正常运行；
　　3>文件权限比文件夹权限高；
　　4>利用用户组来进行权限控制是一个成熟的系统管理员必须具有的优良习惯之一；
　　5>仅给用户真正需要的权限，权限的最小化原则是安全的重要保障；
　　
　　6.只安装一种操作系统；说明：安装两种以上操作系统，会给黑客以可乘之机，利用攻击使系统重启到另外一个没有安全设置的操作系统（或者他熟悉的操作系统），进而进行破坏。
　　
　　7.安装成独立的域控制器（Stand Alone）,选择工作组成员，不选择域；
　　说明：主域控制器（PDC）是局域网中队多台联网机器管理的一种方式，用于网站服务器包含着安全隐患，使黑客有可能利用域方式的漏洞攻击站点服务器。
　　
　　8.将操作系统文件所在分区与WEB数据包括其他应用程序所在的分区分开，并在安装时最好不要使用系统默认的目录，如将\WINNT改为其他目录；

　　说明：黑客有可能通过WEB站点的漏洞得到操作系统对操作系统某些程序的执行权限，从而造成更大的破坏。同时如果采用IIS的话你应该在其设置中删除掉所有的无用的映射，同时不要安装索引服务，远程站点管理与服务器扩展最好也不要要，然后删掉默认路径下的www，整个删，不要手软，然后再硬盘的另一个硬盘建立存放你网站的文件夹，同时一定记得打开w3c日志纪录，切记（不过本人建议采用apache 1.3.24）

　　系统安装过程中一定本着最小服务原则，无用的服务一概不选择，达到系统的最小安装，多一个服务，多一份风险，呵呵，所以无用组件千万不要安装！