用NT(2000)建立的Web站點在所有的網站中占了很大一部分比例，但NT的安全問題也一直比較突出，使得一些每個基于NT的網站都有一種如履薄冰的感覺，然而微軟并沒有明確的堅決方案，只是推出了一個個補丁程序，各種安全文檔上對于NT的安全描述零零碎碎，給人們的感覺是無所適從。于是，有的網管干脆什么措施也不采取，有的忙著下各種各樣的補丁程序，有的在安裝了防火墻以后就以為萬事大吉了。這種現狀直接導致了大量網站的NT安全性參差不齊。只有極少數NT網站有較高的安全性，大部分網站的安全性很差。為此，瑞星公司決心對NT主要漏洞予以搜集整理，同時，站在整體的高度，力圖找出一套用NT建立安全站點的解決方案來，讓用戶放心使用NT(2000)建立Web站點。

解決方案：(說明：本方案主要是針對建立Web站點的NT、2000服務器安全，對于局域網內的服務器并不合適。)

一、安裝：

1.不論是NT還是2000，硬盤分區均為NTFS分區;

說明：

(1)NTFS比FAT分區多了安全控制功能，可以對不同的文件夾設置不同的訪問權限，安全性增強。

(2)建議最好一次性全部安裝成NTFS分區，而不要先安裝成FAT分區再轉化為NTFS分區，這樣做在安裝了SP5和SP6的情況下會導致轉化不成功，甚至系統崩潰。

(3)安裝NTFS分區有一個潛在的危險，就是目前大多數反病毒軟件沒有提供對軟盤啟動后NTFS分區病毒的查殺，這樣一旦系統中了惡性病毒而導致系統不能正常啟動，后果就比較嚴重，因此及建議平時做好防病毒工作。

2.只安裝一種操作系統;

說明：安裝兩種以上操作系統，會給黑客以可乘之機，利用攻擊使系統重啟到另外一個沒有安全設置的操作系統(或者他熟悉的操作系統)，進而進行破壞。

3.安裝成獨立的域控制器(StandAlone)，選擇工作組成員，不選擇域;

說明：主域控制器(PDC)是局域網中隊多臺聯網機器管理的一種方式，用于網站服務器包含著安全隱患，使黑客有可能利用域方式的漏洞攻擊站點服務器。

4.將操作系統文件所在分區與Web數據包括其他應用程序所在的分區分開，并在安裝時最好不要使用系統默認的目錄，如將\WINNT改為其他目錄;

說明：黑客有可能通過Web站點的漏洞得到操作系統對操作系統某些程序的執行權限，從而造成更大的破壞。

5.Windows程序，都要重新安裝一次補丁程序，2000下不需要這樣做。

說明：

(1)最新的補丁程序，表示系統以前有重大漏洞，非補不可了，對于局域網內服務器可以不是最新的，但站點必須安裝最新補丁，否則黑客可能會利用低版本補丁的漏洞對系統造成威脅。這是一部分管理員較易忽視的一點;

(2)安裝NT的SP5、SP6有一個潛在威脅，就是一旦系統崩潰重裝NT時，系統將不會認NTFS分區，原因是微軟在這兩個補丁中對NTFS做了改進。只能通過Windows2000安裝過程中認NTFS，這樣會造成很多麻煩，建議同時做好數據備份工作。

(3)安裝ServicePack前應先在測試機器上安裝一次，以防因為例外原因導致機器死機，同時做好數據備份。

6.盡量不安裝與Web站點服務無關的軟件;

說明：其他應用軟件有可能存在黑客熟知的安全漏洞。

二、NT設置：

1.帳號策略：

(1)帳號盡可能少，且盡可能少用來登錄;

說明：網站帳號一般只用來做系統維護，多余的帳號一個也不要，因為多一個帳號就會多一份被攻破的危險。

(2)除過Administrator外，有必要再增加一個屬于管理員組的帳號;

說明：兩個管理員組的帳號，一方面防止管理員一旦忘記一個帳號的口令還有一個備用帳號;另方面，一旦黑客攻破一個帳號并更改口令，我們還有機會重新在短期內取得控制權。

(3)所有帳號權限需嚴格控制，輕易不要給帳號以特殊權限;

(4)將Administrator重命名，改為一個不易猜的名字。其他一般帳號也應尊循著一原則。

說明：這樣可以為黑客攻擊增加一層障礙。

(5)將Guest帳號禁用，同時重命名為一個復雜的名字，增加口令，并將它從Guest組刪掉;

說明：有的黑客工具正是利用了guest的弱點，可以將帳號從一般用戶提升到管理員組。

(6)給所有用戶帳號一個復雜的口令(系統帳號出外)，長度最少在8位以上，且必須同時包含字母、數字、特殊字符。同時不要使用大家熟悉的單詞(如microsoft)、熟悉的鍵盤順序(如qwert)、熟悉的數字(如2000)等。

說明：口令是黑客攻擊的重點，口令一旦被突破也就無任何系統安全可言了，而這往往是不少網管所忽視的地方，據我們的測試，僅字母加數字的5位口令在幾分鐘內就會被攻破，而所推薦的方案則要安全的多。

(7)口令必須定期更改(建議至少兩周該一次)，且最好記在心里，除此以外不要在任何地方做記錄;另外，如果在日志審核中發現某個帳號被連續嘗試，則必須立刻更改此帳號(包括用戶名和口令);

(8)在帳號屬性中設立鎖定次數，比如改帳號失敗登錄次數超過5次即鎖定改帳號。這樣可以防止某些大規模的登錄嘗試，同時也使管理員對該帳號提高警惕。

2.解除NetBios與TCP/IP協議的綁定

說明：NetBois在局域網內是不可缺少的功能，在網站服務器上卻成了黑客掃描工具的首選目標。方法：NT：控制面版——網絡——綁定——NetBios接口——禁用2000：控制面版——網絡和撥號連接——本地網絡——屬性——TCP/IP——屬性——高級——WINS——禁用TCP/IP上的NETBIOS

3.刪除所有的網絡共享資源

說明：NT與2000在默認情況下有不少網絡共享資源，在局域網內對網絡管理和網絡通訊有用，在網站服務器上同樣是一個特大的安全隱患。(卸載“Microsoft網絡的文件和打印機共享”。當查看“網絡和撥號連接”中的任何連接屬性時，將顯示該選項。單擊“卸載”按鈕刪除該組件;清除“Microsoft網絡的文件和打印機共享”復選框將不起作用。)

方法：

(1)NT：管理工具——服務器管理器——共享目錄——停止共享;

2000：控制面版——管理工具——計算及管理——共享文件夾———停止共享

但上述兩種方法太麻煩，服務器每重啟一次，管理員就必須停止一次

(2)修改注冊表：

運行Regedit，然后修改注冊表在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters下增加一個鍵

Name：AutoShareServer

Type：REG_DWORD

Value：0

然后重新啟動您的服務器，磁盤分區共享去掉，但IPC共享仍存在，需每次重啟后手工刪除。

4.改NTFS的安全權限;

說明：NTFS下所有文件默認情況下對所有人(EveryOne)為完全控制權限，這使黑客有可能使用一般用戶身份對文件做增加、刪除、執行等操作，建議對一般用戶只給予讀取權限，而只給管理員和System以完全控制權限，但這樣做有可能使某些正常的腳本程序不能執行，或者某些需要寫的操作不能完成，這時需要對這些文件所在的文件夾權限進行更改，建議在做更改前先在測試機器上作測試，然后慎重更改。

5.系統啟動的等待時間設置為0秒，控制面板->系統->啟動/關閉，然后將列表顯示的默認值“30”改為“0”。(或者在boot.ini里將TimeOut的值改為0)

6.只開放必要的端口，關閉其余端口。

說明：缺省情況下，所有的端口對外開放，黑客就會利用掃描工具掃描那些端口可以利用，這對安全是一個嚴重威脅。

現將一些常用端口列表如下：

端口協議應用程序

21TCPFTP

25TCPSMTP

53TCPDNS

80TCPHTTPSERVER

1433TCPSQLSERVER

5631TCPPCANYWHERE

5632UDPPCANYWHERE

6(非端口)IP協議

8(非端口)IP協議

7.加強日志審核;

說明：日志任何包括事件查看器中的應用、系統、安全日志，IIS中的WWW、SMTP、FTP日志、SQLSERVER日志等，從中可以看出某些攻擊跡象，因此每天查看日志是保證系統安全的必不可少的環節。安全日志缺省是不記錄，帳號審核可以從域用戶管理器——規則——審核中選擇指標;NTFS中對文件的審核從資源管理器中選取。要注意的一點是，只需選取你真正關心的指標就可以了，如果全選，則記錄數目太大，反而不利于分析;另外太多對系統資源也是一種浪費。

8.加強數據備份;

說明：這一點非常重要，站點的核心是數據，數據一旦遭到破壞后果不堪設想，而這往往是黑客們真正關心的東西;遺憾的是，不少網管在這一點上作的并不好，不是備份不完全，就是備份不及時。數據備份需要仔細計劃，制定出一個策略并作了測試以后才實施，而且隨著網站的更新，備份計劃也需要不斷地調整。

9.只保留TCP/IP協議，刪除NETBEUI、IPX/SPX協議;

說明：網站需要的通訊協議只有TCP/IP，而NETBEUI是一個只能用于局域網的協議，IPX/SPX是面臨淘汰的協議，放在網站上沒有任何用處，反而會被某些黑客工具利用。

10.停掉沒有用的服務，只保留與網站有關的服務和服務器某些必須的服務。

說明：有些服務比如RAS服務、Spooler服務等會給黑客帶來可乘之機，如果確實沒有用處建議禁止掉，同時也能節約一些系統資源。但要注意有些服務是操作系統必須的服務，建議在停掉前查閱幫助文檔并首先在測試服務器上作一下測試。

11.隱藏上次登錄用戶名，修改注冊表Winnt4.0：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon中增