WinNT2KWeb站点安全解决方案(1)

防火墙会认为以后一切都会好的。这种情况直接导致了大量网站的NT安全参差不齐。只有少数NT网站安全性高，大多数网站安全性差。因此，瑞星公司决心收集整理NT的主要漏洞，同时从全局的高度，努力找出一套用NT构建安全网站的解决方案，让用户放心使用NT(2000)构建网站。

解决方案:(注:此解决方案主要针对构建网站的NT和2000服务器的安全性，不适用于局域网内的服务器。)

一.安装:

1.无论是NT还是2000，硬盘分区都是NTFS分区；

描述:

(1) NTFS比FAT分区有更多的安全控制功能，可以针对不同的文件夹设置不同的访问权限，增强安全性。

(2)建议一次性全部安装成NTFS分区，而不是先安装成FAT分区再转换成NTFS分区。这样做将导致不成功的转换，甚至系统崩溃时，SP5和SP6安装。

(3)安装NTFS分区有一个潜在的危险，就是目前大部分杀毒软件都不提供软盘启动后对NTFS分区的病毒检测和查杀，这样一旦系统陷入恶性病毒，系统无法正常启动，后果会更严重。所以建议平时做好杀毒工作。

2.只安装一个操作系统；

说明:安装两个以上的操作系统，会给黑客可乘之机，将系统重新启动到另一个没有安全设置的操作系统(或者他熟悉的操作系统)，然后进行破坏。

3.将其安装为独立的域控制器(单机)，选择工作组成员而不是域；

描述:主域控制器(PDC)是管理局域网中队中多台联网机器的一种方式。它用在网站服务器中，存在潜在的安全风险，使得黑客利用域漏洞攻击网站服务器成为可能。

4.将操作系统文件所在的分区与包括其他应用在内的Web数据所在的分区分开，安装时不要使用系统的默认目录，如将\WINNT改为另一个目录；

说明:黑客可能通过网站的漏洞获得操作系统对操作系统部分程序的执行权，从而造成更大的损害。

5.Windows程序，你必须重新安装一次补丁。2000以下不需要这么做。

描述:

(1)最新补丁是指系统之前有重大漏洞，需要修复。对于局域网内的服务器来说可能不是最新的，但是网站必须安装最新的补丁，否则黑客可能会利用低版本补丁的漏洞对系统造成威胁。这是一些管理员容易忽略的一点；

(2)安装了NT的SP5和SP6有一个潜在的威胁，就是一旦系统崩溃，重新安装NT，系统将无法识别NTFS分区，因为微软在这两个补丁中对NTFS进行了改进。NTFS只能在Windows 2000安装过程中识别，会造成很多麻烦。建议同时做好数据备份。

(3)安装Service Pack之前，要在测试机上安装一次，防止机器因异常原因而崩溃，同时做好数据备份。

6.尽量不要安装与网站服务无关的软件；

说明:其他应用软件可能存在黑客已知的安全漏洞。

二、NT设置:

1.帐户策略:

(1)账号尽量少，尽量少用来登录；

注意:一般网站账号只用于系统维护，不需要任何多余的账号，因为多一个账号会增加被攻破的风险。

(2)除管理员外，需要添加另一个属于管理员组的帐号；

说明:两个管理员组的账号，一方面防止管理员一旦忘记一个账号的密码就有备用账号；另一方面，一旦黑客侵入账户，修改密码，我们仍然有机会在短时间内夺回控制权。

(3)所有账户权限都要严格控制，不要轻易给账户特殊权限；

(4)将管理员改名为不容易猜到的名字。其他普通账户也应遵循同样的原则。

说明:这可以为黑客攻击增加另一道屏障。