146206971.doc
21
3、删除系统盘下的虚拟目录,如:_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。 4、删除不必要的IIS扩展名映射。
右键单击“默认Web站点→属性→主目录→配置”,打开应用程序窗口,去掉不必要的应用程序映射。主要为.shtml、.shtm、 .stm。 5、更改IIS日志的路径
右键单击“默认Web站点→属性-网站-在启用日志记录下点击属性
21 6、如果使用的是2000可以使用iislockdown来保护IIS,
在2003运行的IE6.0的版本不需要。 八、其它
1、系统升级、打操作系统补丁,尤其是IIS 6.0补丁、SQL SP3a补丁,甚至IE 6.0补丁也要打。同时及时跟踪最新漏洞补丁;
2、停掉Guest 帐号、并给guest 加一个异常复杂的密码,把Administrator改名或伪装!
地址:上海市桂平路680号33幢401室 邮编:200233
电话:021-64956070 传真:021-64955977
E-MAIL:info@eutrovision.com 网址:http://www.eutrovision.com
146206971.doc
22
3、隐藏重要文件/目录
可以修改注册表实现完全隐藏:
“HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\ Current-Version\\Explorer\\Advanced\\Folder\\Hi-dden\\SHOW22 ALL”,鼠标右击 “CheckedValue”,选择修改,把数值由1改为0。
4、启动系统自带的Internet连接防火墙,在设置服务选项中勾选Web服务器。 5、防止SYN洪水攻击。
HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Tcpip\\Parameters
新建DWORD值,名为SynAttackProtect,值为2
地址:上海市桂平路680号33幢401室
邮编:200233
电话:021-64956070 传真:021-64955977
E-MAIL:info@eutrovision.com 网址:http://www.eutrovision.com
146206971.doc
23
6. 禁止响应ICMP路由通告报文
HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet\\ Services\\Tcpip\\Parameters\\Interfaces\\interface
新建DWORD值,名为PerformRouterDiscovery 值为0。 7. 防止ICMP重定向报文的攻击
HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Tcpip\\Parameters
将EnableICMPRedirects 值设为0
23
8. 不支持IGMP协议
HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Tcpip\\Parameters
新建DWORD值,名为IGMPLevel 值为0。 9、禁用DCOM:
运行中输入Dcomcnfg.exe。回车,单击“控制台根节点”下的“组件服务”。 打开“计算机”子文件夹。
地址:上海市桂平路680号33幢401室 邮编:200233
电话:021-64956070 传真:021-64955977
E-MAIL:info@eutrovision.com 网址:http://www.eutrovision.com
146206971.doc
24
对于本地计算机,请以右键单击“我的电脑”,然后选择“属性”。选择“默认属性”选项卡。
24
清除“在这台计算机上启用分布式 COM”复选框
地址:上海市桂平路680号33幢401室
邮编:200233
电话:021-64956070 传真:021-64955977
E-MAIL:info@eutrovision.com 网址:http://www.eutrovision.com
146206971.doc
架设Windows Server 2003的安全堡垒
25
如果你曾经配置过Windows NT Server或是Windows 2000 Server,你也许发现这些微软的产品缺省并不是最安全的。虽然微软提供了很多安全机制,但是依然需要你来实现它们。然而当微软发布Windows Server 2003的时候,改变了以往的哲学体系。新的理念是,服务器缺省就应该是安全的。这的确是一个不错的理念,不过微软贯彻得还不够彻底。虽然缺省的Windows 2003安装绝对比确省的Windows NT或 Windows 2000安装安全许多,但是它还是存在着一些不足。下面让我教大家如何让Windows Server 2003更加安全。
第一步:修改管理员帐号和创建陷阱帐号
修改内建的用户账号多年以来,微软一直在强调最好重命名Administrator账号并禁用Guest账号,从而实现更高的安全。在Windows Server 2003中,Guest 账号是缺省禁用的,但是重命名Administrator账号仍然是必要的,因为黑客往往会从Administrator账号入手开始进攻。方法是:打开“本地安全设置”对话框,依次展开“本地策略”→“安全选项”,在右边窗格中有一个“账户:重命名系统管理员账户”的策略,双击打开它,给Administrator重新设置一个平淡的用户名,当然,请不要使用Admin之类的名字,改了等于没改,尽量把它伪装成普通用户,比如改成:guestone 。然后新建一个名称为Administrator的陷阱帐号“受限制用户”,把它的权限设置成最低,什么事也干不了的那种,并且加上一个超过10位的超级复杂密码。这样可以让那些 Scripts s忙上一段时间了,并且可以借此发现它们的入侵企图。或者在它的login scripts上面做点手脚。
第二步:删除默认共享存在的危险
Windows2003安装好以后,系统会创建一些隐藏的共享,你可以在cmd下打 net share 查看他们。网上有很多关于IPC入侵的文章,相信大家一定对它不陌生。所以我们要禁止或删除这些共享以确保安全,方法25 是:首先编写如下内容的批处理文件:
@echo off net share C$ /del net share D$ /del net share E$ /del net share F$ /del net share admin$ /del
以上批处理内容大家可以根据自己需要修改。保存为delshare.bat,存放到系统所在文件夹下的system32/GroupPolicy/User/Scripts/Logon目录下。然后在开始菜单→运行中输gpedit.msc,回车即可打开组策略编辑器。点击用户配置→Window设置→脚本(登录/注销)→登录,在出现的“登录 属性”窗口中单击“添加”,会出现“添加脚本”对话框,在该窗口的“脚本名”栏中输入delshare.bat,然后单击“确定”按钮即可。这样就可以通过组策略编辑器使系统开机即执行脚本删除系统默认的共享。
禁用IPC连接
IPC是Internet Process Connection的缩写,也就是远程网络连接。它是Windows NT/2000/XP/2003特有的功能,其实就是在两个计算机进程之间建立通信连接,一些网络通信程序的通信建立在IPC上面。举个例子来说,IPC就象是事先铺好的路,我们可以用程序通过这条“路”访问远程主机。默认情况下,IPC是共享的,也就是说微软已经为我们铺好了路,因此,这种基于IPC的入侵也常常被简称为IPC入侵。建立IPC连接
地址:上海市桂平路680号33幢401室 邮编:200233
电话:021-64956070 传真:021-64955977
E-MAIL:info@eutrovision.com 网址:http://www.eutrovision.com
Windows 2003 Server安全配置指南
