为了加强WindowsNTServer的安全管理，要从物理安全、登录安全、用户安全、文件系统和打印机安全、注册表安全、RAS安全、数据安全、各应用系统安全等方面制定强化安全的措施。
　　1.加强物理安全管理。
　　1)去掉或锁死软盘驱动器，禁止DOS或其他操作系统访问NTFS分区；2在服务器上设置系统启动口令，设置BIOS禁用软盘引导系统；3)不创建任何DOS分区；4)保证机房的物理安全。
　　2.用最新的ServicePack(SP4或SP5)升级WindowsNTServer4.0，因为服务包包括所有补丁程序和后来发表的很多安全补丁程序。
　　3.掌握并使用微软提供但未设置的安全功能。
　　例如：缺省安装未禁用Guest账号，并且给Everyone（每个人）工作组授予“完全控制”权限，没有实施口令策略等，都给网络的安全留下了漏洞。要加强服务器的安全，必须根据需要设置这些功能。
　　4.控制授权用户的访问。
　　在域里配置适当的NTFS访问控制可以增强网络的安全。取消或更改缺省情况下的Everyone组的“完全控制”权限，要始终设置用户所能允许的最小的文件夹和文件的访问权限。另外，不要共享任何一个FAT卷。
　　5.避免给用户定义特定的访问控制。
　　将用户以“组”的方式进行管理是一个用户管理的有效方法。如果一个用户在公司里的角色变了，很难跟踪并更改他的访问权。最明智的作法就是为每个用户指定一个工作组，为工作组指定文件、文件夹访问权。如果要收回或更改某个用户的访问权，只要把该用户从工作组中删除或指定另一个工作组。
　　6.实施账号及口令策略。
　　你可以用域用户管理器配置口令策略，选择好口令的原则主要有：(1)登录名称中字符不要重复或循环；(2)至少包含两个字母字符和一个非字母字符；(3)至少有6个字符长度；(4)不是用户的姓名，不是相关人物、著名人物的姓名，不是用户的生日和电话号码及其他容易猜测的字符组合等；(5)要求用户定期更改口令；(6)给系统的默认用户特别是Administrator改名；(7)不要使用无口令的账号，否则会给安全留下隐患；(8)禁用Guest账号。
　　7.设置账号锁定。
　　这是阻止黑客入侵的有效方法，建议设置尝试注册三次后锁定账号，在合适的锁定时间后被锁定的账号自动打开，或者只有管理员才能打开，用户恢复正常。
　　8.控制远程访问服务。
　　远程访问是黑客攻击NT系统的常用手段，WindowsNT集成的防止外来入侵最好的功能是认证系统。Windows95、Windows98和WindowsNTWorkstation客户机不仅可以交换加密用户ID和口令数据，而且还使用Windows专用的挑战响应协议(challenge/responseprotocol)，这可以确保决不会多次出现相同的认证数据，它还可以有效阻止内部黑客捕捉网络信息包。同时，如条件允许，应该使用回叫安全机制，并尽量采用数据加密技术，保证数据安全。
　　9.启用登录工作站和登录时间限制。
　　如果每个用户只有一个PC，并且只允许工作时间登录，可以把每个用户的账号限制在自己的PC上，且在工作时间内使用，从而保护网络数据的安全。
　　10.启动审查功能。
　　为防止未经授权的访问，可以利用域用户管理器启用安全审查功能，以便在事件查看器安全日志中记录未经授权的访问企图，以便尽早发现安全漏洞，但要结合工作实际，设置合理的审计规则，切忌审查事件太多，以免无时间全部审查安全问题。
　　11.确保注册表安全。
　　首先，取消或限制对regedit.exe、regedit32.exe的访问；其次，利用regedit.exe或文件管理器设置只允许管理员访问注册表，其他任何用户不得访问注册表。
　　12.应用系统的安全。
　　在WindowsNT上运行的应用系统如：Web服务器、FTP服务器、E－mail服务器，InternetExplorer等，应及时通过各种途径（如：Web站点）获得其补丁程序包，以解决其安全问题。
 

NT系统的安全策略-- 徐 彬 贺蕴普 刘雪宁 中国科学院广州化学研究所  

当年WINDOWS NT刚刚推出的时候，人们还在怀疑这样一个原代码非公开性的操作系统如何能占领服务器市场，但随着1996年NT4.0的推出，越来越多的使用者开始使用NT来构建自己的网络平台，WINDOWS NT的优点也慢慢被人们所发现：使用简单、图形化界面友好、稳定性也可以接受（较之WINDOWS系列的不稳定而言）、开发工具完善等。今年WINDOWS2000的发布更加坚定了微软抢占服务器市场的决心，特别是WINDOWS 2000 ADVANCE SERVER，WINDOWS 2000 DATACENTER及群集技术的推出更是说明了微软决心要进军高端服务器市场，与UNIX和LINUX三分天下。

但是，仅仅是使用简单是不够的，作为一个安全级别为C2级以及原代码非公开性的操作系统，NT从一推出来便漏洞百出。NT4.0从推出至今已有了6个服务升级包（微软不好意思称之为补丁），每一个都有几十兆之巨，下载的时候令人痛苦万分。NT系统的安全性不好是因为其复杂的结构和源代码不对外公开，整个操作系统只有微软自己可以修改，不象LINUX及多种UNIX系统，内核的源码是公开的，当一个安全性问题或漏洞被发现后，全球许多优秀的程序员都可以参与修改，使得LINUX、UNIX系统的错误很快被修正。所以当NT 的漏洞被发现后，人们首先看到的是MICROSOFT安全公告上的长篇大论的解释或是让你删除出问题的组件，随后就是耐心的等待，直到补丁或服务升级包的推出。

WINDOWS 2000的推出并没有改变NT系统安全性不好的问题，让我们一起来看看WINDOWS 2000安装时出现的一个漏洞：在Windows 2000安装过程中未对ADMIN$进行保护，也就是说当安装过程中第一次输入管理员密码到下一次重新启动前，任意网络用户都可以不用密码而通过直接连接ADMIN$共享来访问系统，即在网络共享输入：\\服务器名\ADMIN$ 从而进入系统。所以建议大家在安装WINDOWS 2000的时候物理隔断服务器的网络连接。

从上面的例子可以看出，Windows NT系列并不是令人放心的系统，我们需要了解NT系统的漏洞，了解黑客的入侵方式，定出我们的安全策略。

一、NT系统的漏洞

1. 密码：

对任何人来讲，较短的密码都是极不安全的，Windows NT的密码实际上没有以文件形式保存，而是一些杂乱的暗码夹杂在某些文件的内部。已经发现包含有NT密码的文件有8个，包括\WINNT\rapair\sam._,这个文件中包含管理员的密码，以及\WINNT\system32\inetsrv\ MetaBase.bin，这个文件中包含有IUSR_ComputerName等帐号的密码。破解NT的密码有许多小工具，比如L0phtCrack这个小软件，从菜单中选取注册表获取信息或从SAM文件中获取信息，对于六位数密码（不包含特殊字符），一般情况下20分钟内可以解出来（当然，破解机器的速度不能太慢）。所以对于管理员的密码，最好是8-9位，而且要带有特殊字符。

2. IIS: Internet Information Server是一个很好用的WEB和FTP服务平台，由于IIS与ASP脚本语言及ACTIVE X控件紧密结合，用户可以在服务器端用简单的脚本作出功能强大的数据库查询及动态WEB页面，另外IIS也提供了远程管理的功能，使用户通过WEB可以对IIS进行管理。虽然IIS简单好用，但是漏洞百出。我们知道ASP脚本语言的一大好处是无法查看源代码，所有的ASP脚本均在服务器端执行，客户端得到的是程序执行的结果，得不到ASP脚本的源代码，这在一定程度上保护了开发者的利益。但是IIS3的一个经典漏洞便暴露了ASP脚本的源代码，只要在浏览器里加上几个特殊字符，便可以看到源码，如(假设要访问的文件为asp">http://www.test.com/test.asp)， 在浏览器地址框内敲入红框内的内容，即可在查看源码中看到整个ASP源码。当然，这个漏洞已被补上，但现在已知能查看ASP源码的漏洞已有六个，真是令人防不胜防。下面我们来看看最近的一些典型的漏洞：

（1）shtml.dll的问题 在NT4+ Frontpage Extention以及WINDOWS2000的"_vti_bin" 的虚拟目录下有一个文件shtml.dll，目的是用来浏览smart HTML文件。如果在windows2000上安装Frontpage，将在web根目录下创建一个 "_vti_bin" 的虚拟目录，shtml.dll是位于该目录下的文件之一。当我们要访问的文件不存在的时候，例如访问一个根本不存在的aaa.html， 则会返回一个错误信息，而其中也会包含WEB的本地路径信息。获取WEB的本地路径信息对黑客来说是一件开心的事，是他准备入侵系统所做的准备工作中的重要一步。更糟的是由于注意到shtml.dll对较长的带html后缀的文件名都会进行识别和处理，利用这一点，可以对IIS服务器执行DOS攻击。

D.O.S（Denial of Service）：拒绝服务攻击，是指一个用户占据了大量的共享资源，使系统没剩余的资源给其它用户再提供服务的一种攻击方式。拒绝服务攻击的结果可以降低系统资源的可用性，这些资源可以是CPU、CPU时间、磁盘空间、Mode、打印机、甚至是系统管理员的时间，往往是减少或者失去服务。 拒绝服务攻击是针对IP实现的核心进行的，它可以出现在任何一个平台之上。

利用shtml.dll的漏洞，通过编制一小段的D.O.S攻击程序，便可以使目标的资源耗尽。 建议：禁止 /_vti_bin 目录远程访问。

（2） 过长的ida后缀使IIS5.0服务崩溃

这也是一个典型的D.O.S漏洞，对于IIS4+SP4以及IIS5，只要在所要访问的URL后面粘贴25K的字符，如：http://www.test.com/…….(25k)…ida，然后加上后缀ida，就会使IIS的服务停止。 建议：将无用的应用程序映射删除。

（3）关于MSADC目录下的两个漏洞

两个漏洞均为IIS4的漏洞，IIS4若安装了范例文件则会在/wwwroot下生成/msadc目录，其中有两个文件带来了漏洞： Showcode.asp:这是一个ASP的范例文件，通过它我们可以查看ASP源码甚至是系统配置文件。例如我们想要看的是test.asp：

Msadcs.dll: 这是一个允许通过web远程访问ODBC，获取系统的控制权的文件，微软为此发布过补丁，但没有彻底解决问题，黑客可以通过该文件通过vb函数调用VbBusObj请求或shell，从而获得系统最高权限。 建议：删除MSADC目录及Msadcs.dll。

（4） 微软的动态库文件与Netscape

在装有Frontpage Extion Server的IIS 服务器上,有两个动态库文件 dvwssr.dll，mtd2lv.dll被发现有后门，所谓后门也就是程序开发者设计程序时留下的供自己日后可随意访问系统的入口，一般是有口令的，这个后门的功能是允许用户远程读取asp、asa和CGI程序的源代码，但要求解码后才能发挥读取asp等源程序的功能，有趣的是这个后门的密码竟然是"Netscape engineers are weenies!"。微软的操作系统已经不止一次被人发现有后门了，但是密码如此有攻击性确实少见。另一方面，发展我们中国自己的操作系统是势在必行了。 建议：删除dvwssr.dll。

二、黑客的入侵方式

黑客经常端坐在电脑面前，废寝忘食，他们大部分的时间是在寻找主机，查找漏洞，然后进入你的系统。但是黑客不完全等于入侵者，好的黑客会帮你查找系统的漏洞，然后告诉你解决方法，但我们不能期望只碰到善意的黑客，我们必须了解黑客入侵的方法（由于本文并不是黑客教程，故具体操作内容从略）：

1. 查找指纹

这是入侵的最重要的一步，首先使用的工具是PING。查找想要入侵的一段IP地址，如果没有任何机器，再换一段，直到找到目标。然后判断它是否是NT服务器？你可以这样判断

(1) Telnet远程登录到它的21号端口（ftp）,看它是不是显示nt信息。

(2) 检查一下服务器是否只是说它在运行什么（检查它们的页面）。

(3) 试一下NBTSTAT -A [ip address]看它的回应。如果未出错，并出现相关的共享信息，就可以得到结果了。

然后就是用一些端口扫描器扫描目标机器所运行的服务，从而判断从那一个端口进攻。

2. 寻找漏洞 运行类似letmein.exe这样的程序可以对目标机器的帐号进行攻击，并取得相应的密码。另一个方法是由NBTSTAT -A [ip address]得到目标机器详细的共享目录，然后编辑本地文件c:\windows\lmhosts（LMHOSTS文件是一个包含NetBIOS到IP地址映射的简单文本文件），将目标主机IP解析加入，然后尝试连接目标机的共享逻辑盘。SNIFFER也是黑客常用的工具，用SNIFFER可以分析各种信息包可以很清楚的描述出网络的结构和使用的机器，由于它接受任何一个在同一网段上传输的数据包，所以也就存在着 SNIFFER可以用来捕获密码，EMAIL信息，秘密文档等一些其他没有加密的信息。所以这成为黑客们常用的扩大战果的方法，夺取其他主机的控制权。当然最容易入侵的是IIS及FTP，黑客可以用自制的小程序监听IIS及FTP，发现未加密的密码，以及如上文所讲的利用IIS及FTP的已公开的漏洞，逐个尝试进行入侵。

3. 入侵系统

能入侵系统的人不一定都是坏人，但典型的破坏者入侵后会更改你的首页，窃取你的帐号密码，下载你硬盘的重要资料，在你的系统里放入木马程序，运行DOS攻击程序，或利用你的机器作为向别人发动攻击的中转站。

三、安全策略

为了防止恶意的入侵，我们必须定出详细的安全策略：

1． 硬件或软件的防火墙是必须的，同时也是有效的，防火墙可以抵挡大部分的恶意进攻，也可以记录进出网络的每一个包的简要信息，为日后查找入侵记录提供了方便。但防火墙并不是买回来就摆在那里，它需要细心的配置和升级。

2． 硬盘最好format 成NTFS格式，经常看看一些安全站点，使用最新的Service Pack，并时常打一些微软发布的小补丁。

3． 删除不必要的网络共享，可以命令net share /d。那些为了管理而设置的共享，如C$,D$,ADMIN$，删除后重启就又共享了，所以必须通过修改注册表的方法来实现，对NT4，可以修改HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Services\ LanmanServer\Parameters 的 AutoShareServer设置为0。

4． 重要的系统配置如信任机器的配置,共享资源的配置,注册表的配置,系统服务的配置和域用户管理器的配置，都必须经常检查。注册表是一个很容易被入侵和修改的地方,你应该经常备份注册表。.

5． 在防火墙上，截止所有从端口137到139的TCP和UDP连，这样做有助于对远程连接的控制。另外，在内部路由器上，设置ACL，在各个独立子网之间，截止从端口137到139的连接，以限制安全漏洞。

6． 任何时候查看系统日志都是有用的，可以在"域用户管理器->规则->审核"中添加审核Success/Failed Logon/Logoff日志。

7． 严格控制FTP的权限，最好禁止匿名FTP上载及对FTP用户的读写活动进行详细的监控，禁止FTP目录的脚本执行权利。

8． 控制一般用户对注册表Run项的可写权限，就可以防止一般用户都具有对 HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CurrentVersion\Run 项的可读可写权限，防止其在Run项创建文件，将自己加入到管理员组内。

9． 管理员的密码最好是8-9位，包含有字符及特殊字符，同时严格监控密码文件SAM的读写。

10． 最好能将默认的系统服务端口移至较高位置，如10000以上，这样可以防止黑客扫描你的端口，因为如此大的端口值，黑客要扫描很久，多数会知难而退。

11． 把一些工具从你的NT目录中转移到一个安全的目录，例如：cmd.exe，net.exe，telnet.exe，ftp.exe等，可以使黑客上来后找不到合适的工具和SHELL。

12． 用NBTSTAT -A [本机IP]查看本机的共享，看看有没有非法用户联接，查看木马程序常用的端口，如7306，7307、7308、12345、12345、12346、31337、6680、8111、9910，看看有没有木马程序的存在。

13． 检查是否有用户帐号配置被修改,是否有组的特性被修改。黑客有时会把 Iuser_计算机名，这类用来匿名访问web的帐号加到管理组，.建议用户帐号尽量地少,发现入侵后将所有用户密码改掉。

14． 对IIS ，我们需要做的工作比较多：

* 设置正确的Server访问控制权限；

* 正确设置虚拟目录，建议把默认安装后的那些虚拟目录删除；

* 正确设置脚本及CGI的访问权限，建议将脚本程序与HTML分开放置；

* 正确设置IIS日志访问权限；

* 适当地设置IP拒绝访问列表，防止黑客攻击你的Server；

* 如果有需要的话，应用SSL( Secure Sockets Layer);

* 删除一些你用不上的组件，regedit XXX.dll /u;

* 删除虚拟目录IISADMPWD，因为它允许你重新设置你的管理员口令。

* 删除一些不必要的映射，象.htr,.idc,. shtm, .stm, .shtml，都可以在IIS服务管理器删除；

* 禁用RDS；

* 使用IIS登陆日志，每天记录客户IP地址，用户名，服务器端口，方法，URI字根，HTTP状态，用户代理；

* 禁止"Parent Paths"，即禁止用"··"来访问你的上一层目录。

以上是我们在NT使用中的一点心得，如有错漏，还请批评指正。