加固基于Windows 2003平台的WEB服务器

核心提示： 安装和配置Serv-U FTP Server这里之所以要将Serv-U FTP Server作为部署案例，是因为Serv-U使用者之多，加固基于Windows 2003平台的WEB服务器(6)，操作及管理方便，并且从Serv-U的配置上大家应该能够理解到我开头说提到的服务运行权限，效率真的

安装和配置Serv-U FTP Server

这里之所以要将Serv-U FTP Server作为部署案例，是因为Serv-U使用者之多，操作及管理方便。并且从Serv-U的配置上大家应该能够理解到我开头说提到的服务运行权限。 Serv-U的安装不再复述，很多人在安装后就开始直接使用，自从Serv-U的溢出漏洞出现使我开始重新认识和思考关于服务的运行权限问题，通常 Serv-U是以SYSTEM权限来运行服务的，这样的好处是我们可以轻松的访问系统任何一个角落，包括注册表(在Serv-U溢出后，可以直接访问注册表中账号存储设定的关键项SAM)，但是后果也是非常可怕的，所以分析了目前的服务器情况，为了方便起见我创建了一个具有管理员身份的账号来运行Serv -U，这样做是为了不需要重复的去设置目录权限，同时解决低级权限所可能造成的兼容性问题。但是为了保证这个账号的安全，需要禁止它具有远程桌面访问权利，禁止有本地登录的权利。

TCP/IP端口筛选 vs IPSec策略

在确定我们所要开放的服务之后就要去配置端口，是使用TCP/IP筛选 还是 IPSec?其实我很少用到IPSec，因为它是IP安全设置，除了我要禁止一个用户来访问我或配置一个特定的连接访问我几乎不去用IPSec。也去是因为我太懒了，只会记得要开放什么端口。

在我看来，TCP/IP端口筛选和IPSec是相辅相成的，普通的应用我认为还是用端口来的方便，毕竟它可以做到只开放哪些端口，之后针对其中特定的端口用 IPSec作安全加固，这样我倒是认为更好。一些朋友喜欢在事先做好一个IPSec模板，之后将其应用在其他服务器上，这样做我认为真的不对，毕竟每台服务器的应用都不会完全相同，这样做只会造成更多的故障，我就经常遇到这样的问题，一些客户总是抱怨他们的服务器出现莫名其妙的问题，最后通过我的排查分析发现很多问题都是因为同时使用TCP/IP端口筛选和IPSec造成的，而罪魁祸首则是那些好心人发布的IPSec模板，我没有*意诋毁他们这些好心人的意思，而最终是要痛斥那些不作自身评估，技术意识贫乏的服务器管理员们，我曾经就让这些朋友们搞得哭笑不得，并开始厌*我当前的工作。在当前案例中，我开放的端口是：TCP80、TCP25、TCP20、TCP21、TCP3389、TCP4000~4020。开放4000~4020是为了支持Serv- U的PASV模式(同时需要在Serv-U中设置这段被动端口范围)，当然你也可以用其他端口，没有特殊要求，记得我之前部署的一台服务器开放的就是这个端口范围，一个自称黑客的朋友联系了我所在的公司经理，并在其QQ上友情提示了服务器的这个所谓的端口漏洞，记得好像是这么说的：“你们的服务器不堪一击，在服务器上还开放了QQ和它的端口。”后来好像还提到如果公司愿意付费可以帮助解决安全问题，现在想起来心里都在暗笑，不过我接到警告信息都会非常重视，因为我明白一个道理：没有绝对的安全!!!不过后来服务器确实受到了攻击，不是被入侵而是被那个黑客小小的DDos了一下。这种一种非常有效的攻击方式，提高TCP/IP协议栈，甚至使用软件、硬件防火墙也只是在相对情况下可以抵御它，所以请各位遵守网络公德，不要使用DDos!!!

目录权限的分配

1. 除系统所在分区之外的所有分区都赋予Administrators和SYSTEM有完全控制权，之后再对其下的子目录作单独的目录权限，如果WEB站点目录，你要为其目录权限分配一个与之对应的匿名访问帐号并赋予它有修改权限，如果你想使网站坚固，可以分配只读权限并对特殊的目录作可写权限，作为一个开放式的服务器，这样的工作量是非常巨大的，所以我认为将威胁控制缩小到在这个网站中就已经够了。

2. 系统所在分区下的根目录都要设置为不继承父权限，之后为该分区只赋予Administrators和SYSTEM有完全控制权。

3. 因为服务器只有管理员有本地登录权限，所在要配置Documents and Settings这个目录权限只保留Administrators和SYSTEM有完全控制权，其下的子目录同样。另外别忘记还有一个隐藏目录也需要同样操作。因为如果你安装有PCAnyWhere那么他的的配置信息都保存在其下，使用webshell或FSO可以轻松的调取这个配置文件，那么你的系统就为黑客敞开了大门。

4. 配置Program files目录，为Common Files目录之外的所有目录赋予Administrators和SYSTEM有完全控制权。

5. 配置Windows目录，其实这一块主要是根据自身的情况如果使用默认的安全设置也是可行的，不过还是应该进入SYSTEM32目录下，将 cmd.exe、ftp.exe、net.exe、scrrun.dll、shell.dll这些杀手锏程序赋予匿名帐号拒绝访问。

OK!该做得都做了，好像没有遗漏什么，如果真有也许是我故意的，也许是我太累了。不知不觉，写了几个小时才写完，效率真的是非常低下，并且明白其中一定有错误和语句不同的地方，总之自己是尽力了。