欢迎来到天天文库
浏览记录
ID:20696061
大小:54.00 KB
页数:4页
时间:2018-10-15
《精解安全配置windows 2000服务器》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库。
1、精解安全配置windows2000服务器 目前,anager(HTML)这几个危险服务。 3.管理应用程序的选择: 选择一个好的远程管理软件是非常重要的事,这不仅仅是安全方面的要求,也是应用方面的需要。 等)可能会直接关机。 所以,为了安全起见,我建议你再配备一个远程控制软件作为辅助,和TerminalService互补,象PcAnyIN。 推荐的安全配置是建立三个逻辑驱动器,第一个大于2G,用来装系统和重要的日志文件,第二个放IIS,第三个放FTP,这样无论IIS或FTP出了安全漏洞都不会直接影响到系统目录和系统文件。 要知道,IIS和FTP是对外服务的,
2、比较容易出问题。而把IIS和FTP分开主要是为了防止入侵者上传程序并从IIS中运行。(这个可能会导致程序开发人员和编辑的苦恼,管他呢,反正你是管理员) 2.安装顺序的选择: 不要觉得:顺序有什么重要?只要安装好了,怎么装都可以的。 错!inistrator密码后,系统就建立了ADMIN$的共享,但是并没有用你刚刚输入的密码来保护它,这种情况一直持续到你再次启动后,在此期间,任何人都可以通过ADMIN$进入你的机器;同时,只要安装一完成,各种服务就会自动运行,而这时的服务器是满身漏洞,非常容易进入的,因此,在完全安装并配置好32/cmd.exe了?我们虽然已经把Ipu
3、b从系统盘挪出来了,但是还是小心为上),如果你需要什么权限的目录可以自己慢慢建,需要什么权限开什么。(特别注意写权限和执行程序的权限,没有绝对的必要千万不要给) 3:应用程序配置: 在IIS管理器中删除必须之外的任何无用映射,必须指的是ASP,ASA和其他你确实需要用到的文件类型,例如你用到stml等(使用serversideinclude),实际上90%的主机有了上面两个映射就够了,其余的映射几乎每个都有一个凄惨的故事:htw,htr,idq,ida想知道这些故事?去查以前的漏洞列表吧。 什123下一页——感谢阅读这篇文章,..,么?找不到在哪里删? 在IIS管
4、理器中右击主机->属性->服务编辑->主目录配置->应用程序映射,然后就开始一个个删吧(里面没有全选的,嘿嘿)。接着在刚刚那个窗口的应用程序调试书签内将脚本错误消息改为发送文本(除非你想ASP出错的时候用户知道你的程序/网络/数据库结构)错误文本写什么?随便你喜欢,自己看着办。点击确定退出时别忘了让虚拟站点继承你设定的属性。 为了对付日益增多的cgi漏洞扫描器,还有一个小技巧可以参考,在IIS中将HTTP404ObjectNotFound出错页面通过URL重定向到一个定制HTM文件,可以让目前绝大多数CGI漏洞扫描器失灵。其实原因很简单,大多数C
5、GI扫描器在编写时为了方便,都是通过查看返回页面的HTTP代码来判断漏洞是否存在的,例如,著名的IDQ漏洞一般都是通过取1.idq来检验,如果返回HTTP200,就认为是有这个漏洞,反之如果返回HTTP404就认为没有,如果你通过URL将HTTP404出错信息重定向到HTTP404.htm文件,那么所有的扫描无论存不存在漏洞都会返回HTTP200,90%的CGI扫描器会认为你什么漏洞都有,结果反而掩盖了你真正的漏洞,让入侵者茫然无处下手(武侠小说中常说全身漏洞反而无懈可击,难道说的就是这个境界?)不过从个人角度来说,我还是认为扎扎实实做好安全设置比这样的小技巧重要的多。
6、 最后,为了保险起见,你可以使用IIS的备份功能,将刚刚的设定全部备份下来,这样就可以随时恢复IIS的安全配置。还有,如果你怕IIS负荷过高导致服务器满负荷死机,也可以在性能中打开CPU限制,例如将IIS的最大CPU使用率限制在70%。 4.账号安全: achineSystemCurrentControlSetControlLSA-RestrictAnonymous=1来禁止139空连接, 实际上ous(匿名连接的额外限制),这个选项有三个值: 0:None.Relyondefaultpermissions(无,取决于默认的权限) 1:Donotalloerat
7、ionofSAMaccountsandshares(不允许枚举SAM帐号和共享) 2:Noaccessouspermissions(没有显式匿名权限就不允许访问) 0这个值是系统默认的,什么限制都没有,远程用户可以知道你机器上所有的账号、组信息、共享目录、网络传输NetServerTransportEnum等等,对服务器来说这样的设置非常危险。 1这个值是只允许非NULL用户存取SAM账号信息和共享信息。 2这个值是在inistrator,怎么办?我改改改,在计算机管理->用户账号中右击administrator
此文档下载收益归作者所有