打造Windows Server 2003堡垒主机

打造Windows Server 2003堡垒主机

浩 然

“堡垒主机”这个词是有专门含义的概念，最初由美国Marcus J.Ranum在Thinking About Firewalls V2.0:Beyond Perimeter Security一书中提出。他提出堡垒主机“是一个系统，作为网络安全的一个关键点，它由防火墙管理员来标识”，“堡垒主机需要格外的注意自己的安全性，需要定期的审核，并拥有经过修改的软件”。通常，堡垒主机是一台独立应用的主机。（这有点类似单用户的单机操作），它有极大的价值，可能蕴含着用户的敏感信息，经常提供重要的网络服务；大部分时候它被防火墙保护，有的则直接裸露在外部网络中。其所承担的服务大都极其重要，如银行、证券、政府单位用来实现业务、发布信息的平台。“堡垒主机”的工作特性要求达到高安全性。

堡垒主机通常用作 Web 服务器、域名系统 (DNS) 服务器、文件传输协议 (FTP) 服务器、简单邮件传输协议 (SMTP) 服务器和网络新闻传输协议 (NNTP) 服务器。理想情况下，堡垒主机应该只执行这些服务中的某一个功能，因为它扮演的角色越多，出现安全漏洞的可能性就越大。

安全堡垒主机的配置与通常的主机相比明显不同。所有不必要的服务、协议、程序和网络接口都将被禁用或删除，而且，每台堡垒主机通常被配置成只承担一个特定角色。使用此方式强化堡垒主机，会限制某些可能的攻击方法。

在Windows Server 2003当中，通过谨慎合理的配置，我们可以获得足够的安全性，达到“堡垒主机”的安全高度。

现在网上流传着很多很多关于Windows Server 2003系统的安全配置，但是仔细分析下发现很多都不全面，很多仍然配置不够合理，并且有很大的隐患。通过长年的网络安全工作经验，我总结了以下对服务器的安全设置，供网管朋友们学习交流。让更多的网管朋友高枕无忧。

Ⅰ.服务器硬件设置及优化

我们所使用的服务器都是由一些硬件设置组成，而这些硬件设备会由于用户的不同需要而在品牌、类型、性能上有很大差异。不同的硬件配置所对应的参数也不同，因此在使用服务器之前，一定要确定它的硬件参数，并将它们记录下来，存入服务器，以便服务器启动时能够读取这些设置，保证系统正常运行。

打造堡垒主机，保护服务器，先从服务器最底层的BIOS入手。通常情况下，我们直接用服务器BIOS默认的设置。由于不同类型的服务器的BIOS有不同的设置，在这里，只讲一下要注意的两点：

项目编号 №Ⅰ-001 项目名称 BIOS密码保护

项目描述 BIOS设置密码保护是打造堡垒主机的第一步。 操作步骤 1、设置系统管理员密码。

2、设置使用访问权限：使用者仅能查看BIOS设置不能变更设置。 3、设置开机密码。 备 注

项目编号 №Ⅰ-002 项目名称 禁用启动项目 项目描述 禁止从外设启动服务器

操作步骤 在BIOS中禁用软驱、光驱及USB设备启动

备 注 为了防止恶意用户利用软盘或光盘及USB设备启动并执行非法文件和恶意访问系统。

Ⅱ.系统安装、必要驱动程序及补丁安装 项目编号 №Ⅱ-001

项目名称 安装最小化操作系统注意事项 项目描述 在加固项目开始时必须确保的事项，

操作步骤 1、从一个干净的系统开始。在安装之前，确定磁盘原有的数据都已经删除干净，磁盘完好无损。

2、保证系统安装软件的来源完整可信。这是为了防止被恶意修改为后门程序的安装程序，盗版的流行往往导致该种可能性大增。

3、保证您的系统在安装和配置过程中不与一个公共网络相连，如果必须要由网络安装，要确保主机是在一个独立可信的网段中。(不推荐)

4、不要在主机上安装多系统启动。防止经由其他系统控制造成的破坏。

5、尽量安装Windows2003的美国英语版本。这是因为微软总是最先发布美国英语版的安全补丁。(我个人觉得英文版的在速度方面表现比较中文版的好些。)

6、只使用NTFS分区作为文件系统分区。NTFS是真正的日志性的文件系统，使用日志和检查点信息，即使在系统崩溃或电源故障时也能保证文件系统的一致性，此外，必须使用NTFS才能对文件使用DACL（discretionary Access Control List,任意访问控制），达到访问控制安全的目的。（详见 №Ⅴ-013项）。

7、只安装TCP/IP协议，不要安装任何其他的网络协议（如在安装过程中出现“网络设置”选项，即网卡为Windows2003安装时认出，另作设置，详见如下 №Ⅴ-010项）。 8、在选择安装程序时不要选择安装任何额外的程序和服务。

9、如果安装了服务器版本的Windows2003，要把它配置成“Standalone”(独立服务器)模式。为了安全方面的原因，堡垒主机最好不要参与域环境。

备 注 第5项不强制使用，确保你的系统遵守以上规则，这是良好的开始。

项目编号 №Ⅱ-002

项目名称 安装最小的服务包补丁包

项目描述 给你的操作系统按照不同语种选择补丁包程序Service Pack

操作步骤 从可信的渠道得到微软的服务包安装程序的发布，如从微软站点下载并安装。 Windows2003最新的Service Pack为SP2。

备 注 也有其他的渠道可提供SP包，但要小心确认来源正当无修改。

项目编号 №Ⅱ-003

项目名称 安装和配置应用程序及服务程序

项目描述 在你的系统上安装配置正常的应用程序（包括更新你的IE浏览器版本）在你的系统上安装配置你选择好的用来提供网络服务的程序。

操作步骤 1、不要安装任何多余的程序。“堡垒主机”一般用作提供网络服务，通常不是个人工作站，所以不需要安装任何必须服务以外的程序。

2、小心安装采用服务和应用程序，尽量选择最新的安装版本，这通常可以保证没有近期发布的程序漏洞。

3、通常不要在“堡垒主机”上运行系统提供的应用程序访问网络，Windows 2003的程序漏洞有时会遭恶意利用。

4、为安全起见，甚至建议将系统附件中的所有应用程序（除Notepad和Wordpad等文本编辑器）删除。

备 注 了解你要安装的程序是否存在已知缺陷，可以咨询安全专家的意见。 注意：在高安全性要求的应用环境中，不要安装MS-Office或任何开发工具。 可用执行程序越少越好。

项目编号 №Ⅱ-004

项目名称 重新申请服务包，安装最新的安全补丁

项目描述 微软提供了Windows Update程序，可以直接连接到微软的下载站点获取更新的Hotfix，即大的服务包之后发布的安全补丁程序，通常用来弥补近期发现的安全漏洞。 操作步骤 操作“Windows Update”程序打开微软升级站点页面并升级。 备 注 通常必须安装“关键更新和Service Pack”选项中的更新。

项目编号 №Ⅱ-005 项目名称 调整硬盘分区

项目描述 我个人习惯将硬盘分成四个区： C盘----系统盘 （10G 只安系统）；

D盘----程序盘 （20G 将所有的应用程序全部安在此盘）； E盘----数据盘（存放所有应用程序所用到的数据和其它数据）

Z盘----临时数据盘（存放虚拟内存、系统临时文件、应用程序临时文件、网页浏览临时文件等）。

操作步骤 “开始”→“设置” →“控制面板” →“管理工具” →“计算机管理” →“存储” →“磁盘管理”。

（1）、光标移至“CD－ROM”上点右键：“更改驱动器号和路径” →“更改” →指派驱动器号：O （光驱让出驱动器号给硬盘用。本人习惯用形象光盘的O字母来代表光驱。）； （2）、在“磁盘”右边有块“未指派”区域，光标在此处点右键→“新建磁盘分区”，按提示，创建为“主磁盘分区”,分区大小：20000M（约20G），指派驱动器号：D 。→“下一步” →格式化分区。文件系统（F）：NTFS;分配单位大小（A）：默认值;卷标（V）：程序卷。→“下一步” →“完成”。漫长的格式化中????

（3）、重复上面步骤，分出“数据卷”：E 并格式化。（大小为剩余空间减去“临时卷”Z盘的容量。Z盘的大小要根据服务器物理内存的大小的1.5倍+2G临时空间。） （4）、重复（2）步骤，将剩余空间指派给“临时卷”Z盘，并格式化。 备 注

至此，Windows2003系统安装完成，接下来要对该系统进行一些改动，因此建议在做改动之前，先将些新安装的系统备份一下，以免在改动过后出显故障时能恢复到现在这个状态，节省网管们的系统安装的宝贵时间。

本人一般习惯用GHOST软件来备份系统分区。并以时间命名，做好安装记录，以便发生问题后能轻松找到自己需要恢复的备份文件。关于GHOST的用法在此不多讲述，有不会用的，请到网上查找有关用法。

Ⅲ.系统减肥

项目编号 № Ⅲ-001 项目名称 清除系统垃圾文件

项目描述 建个批处理文件自动清除系统及应用程序产生的垃圾文件 操作步骤 批处理文件内容如下：

del /f /s /q %systemdrive%\\*.tmp del /f /s /q %systemdrive%\\*._mp del /f /s /q %systemdrive%\\*.log del /f /s /q %systemdrive%\\*.gid del /f /s /q %systemdrive%\\*.chk del /f /s /q %systemdrive%\\recycled\\*.* del /f /s /q %windir%\\*.bak del /f /s /q % windir %\\ $*.* del /f /s /q %windir%\\prefetch\\*.* del /f /q %userprofile%\\Cookies\\*.* del /f /q %userprofile%\\recent\\*.*

del /f /s /q \del /f /s /q \del /f /s /q \del /f /s /q %windows%\\help\\*.* DEL /f /s /q z:\\temp\\*.*

del /f /s /q Z:\\Temp\\Temporary Internet Files\\*.* 备 注

项目编号 № Ⅲ-002 项目名称 删除系统备份文件

项目描述 在各种软硬件安装妥当之后，其实Windows2003需要更新文件的时候就很少了。删除系统备份文件吧。

操作步骤 开始→运行→ sfc.exe /purgecache 备 注

项目编号 № Ⅲ-003 项目名称 删除驱动备份 项目描述

操作步骤 删除：%windows%\\driver cache\\i386目录下的driver.cab文件 备 注

项目编号 № Ⅲ-004 项目名称 刪除不用的输入法 项目描述

操作步骤 1、控制面板→区域和语言选项→语言选项卡中，将“为东亚语言安装文件”