146206971.doc
26
不需要任何黑客工具,在命令行里键入相应的命令就可以了,不过有个前提条件,那就是你需要知道远程主机的用户名和密码。打开CMD后输入如下命令即可进行连接:
net use//ip/ipc$ \。我们可以通过修改注册表来禁用IPC连接。打开注册表编辑器。找到HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Lsarestrictanonymous子键,将其值改为1即可禁用IPC连接。
第三步是:重新设置远程可访问的注册表路径
设置远程可访问的注册表路径为空,这样可以有效地防止黑客利用扫描器通过远程注册表读取计算机的系统信息及其它信息。打开组策略编辑器,然后选择“计算机配置”→“Windows设置”→“安全选项”→“网络访问:可远程访问的注册表路径”及“网络访问:可远程访问的注册表”,将设置远程可访问的注册表路径和子路径内容设置为空即可。这样可以有效防止黑客利用扫描器通过远程注册表读取计算机的系统信息及其它信息。
第四步:关闭不需要的端口
大家都知道,139端口是Netbios使用的端口,在以前的Windows版本中,只要不安装Microsoft网络的文件和打印共享协议,就可关闭139端口。在Windows Server 2003中,只这样做是不行的。如果想彻底关闭139端口,方法如下:鼠标右键单击“网络邻居”,选择“属性”,进入“网络和拨号连接”,再用鼠标右键单击“本地连接”,选择“属性”,打开“本地连接 属性”页,然后去掉“Microsoft网络的文件和打印共享”前面的“√”,接下来选中“Internet协议(TCP/IP)”,单击“属性”→“高级”→“WINS”,把“禁用TCP/IP上的NetBIOS”选中,即大功告成!这样做还可有效防止SMBCrack之类工具破解和利用网页得到我们的NT散列。
如果你的机子还装了IIS,你最好设置一下端口过滤。方法如下:选择网卡属性,然后双击“Internet26 协议(TCP/IP)”,在出现的窗口中单击“高级”按钮,会进入“高级TCP/IP设置”窗口,接下来选择“选项”标签下的“TCP/IP 筛选”项,点“属性”按钮,会来到“TCP/IP 筛选”的窗口,在该窗口的“启用TCP/IP筛选(所有适配器)”前面打上“√”,然后根据需要配置就可以了。
中的
比方说如果你只打算浏览网页,则只开放TCP端口80即可,所以可以在“TCP端口”上方选择“只允许”,然后单击“添加”按钮,输入80再单击“确定”即可。如果有其他需要可如法炮制。
以上就是初步的
(一)重新支持ASP脚本
为了将系统安全隐患降到最低限度,Windows Server 2003操作系统在默认状态下,是不支持ASP脚本运行的;不过现在许多网页的服务功能多是通过ASP脚本来实现的,为此,我们很有必要在安全有保障的前提下,让系统重新支持ASP脚本。具体实现的方法为:
1.在系统的开始菜单中,依次单击“管理工具”/“Internet信息服务管理器”命令;
2.在随后出现的Internet信息服务属性设置窗口中,用鼠标选中左侧区域中的“Web服务器设置”
地址:上海市桂平路680号33幢401室
邮编:200233
电话:021-64956070 传真:021-64955977
E-MAIL:info@eutrovision.com 网址:http://www.eutrovision.com
146206971.doc
27
3.接着在对应该选项右侧的区域中,用鼠标双击“Actives server pages”选项,然后将“任务栏”设置项处的“允许”按钮单击一下,系统中的II6就可以重新支持ASP脚本了。
(二)添加站点到“信任区域”
Windows Server 2003操作系统使用了一个安全插件,为用户提供了增强的安全服务功能,利用该功能你可以自定义网站访问的安全性。在缺省状态下,Windows Server 2003操作系统会自动启用增强的安全服务功能,并将所有被访问的Internet站点的安全级别设置为“高”。对于频繁访问的网站,你可以将其添加到受信任的站点区域中,日后再次访问它时,系统就不会弹出安全提示框了。
添加站点到“信任区域”的具体做法为:
1.在浏览器的地址框中,输入需要访问的站点地址,单击回车键,就会自动打开一个安全提示警告窗口;
2.要是不想浏览该站点时,直接可以单击“关闭”按钮;要是想浏览的话,可以单击“添加”按钮;
3.在随后打开的“可信任站点”设置窗口中,你会发现当前被访问的站点地址已经出现在信任区域文本框中;
4.继续单击“添加”按钮,就能将该站点添加到网站受信任区域中了;下次重新访问该站
27 点时,浏览器就会跳过安全检查,直接打开该站点的网页页面了。
(三)根据需要对系统服务进行控制
服务是一种在系统后台运行的应用程序类型,它与UNIX后台程序类似。服务提供了核心操作系统功能,如Web 服务、事件日志记录、文件服务、帮助和支持、打印、加密和错误报告。通过服务管理单元,可管理本地或远程计算机上的服务。所以并不是所有默认服务都是我们需要的。我们不需要的可以停用、禁用,来释放系统资源。如果你想更加了解系统的服务,可以到“我的电脑”→“控制面板”→“服务”中查看,每个服务都有完整的描述,或使用Windows 2003的帮助与支持,查阅相关资料。
特别注意:服务账号
Windows Server 2003在某种程度上最小化服务账号的需求。即便如此,一些第三方的应用程序仍然坚持传统的服务账号。如果可能的话,尽量使用本地账号而不是域账号作为服务账号,因为如果某人物理上获得了服务器的访问权限,他可能会转储服务器的LSA机密,并泄露密码。如果你使用域密码,森林中的任何计算机都可以通过此密码获得域访问权限。而如果使用本地账户,密码只能在本地计算机上使用,不会给域带来任何威胁。
系统服务
一个基本原则告诉我们,在系统上运行的代码越多,包含漏洞的可能性就越大。你需要
地址:上海市桂平路680号33幢401室
邮编:200233
电话:021-64956070 传真:021-64955977
E-MAIL:info@eutrovision.com 网址:http://www.eutrovision.com
146206971.doc
28
关注的一个重要安全策略是减少运行在你服务器上的代码。这么做能在减少安全隐患的同时增强服务器的性能。
在Windows 2000中,缺省运行的服务有很多,但是有很大一部分服务在大多数环境中并派不上用场。事实上,Windows 2000的缺省安装甚至包含了完全操作的IIS服务器。而在Windows Server 2003中,微软关闭了大多 .安全设置下面在说说其他方面的安全:
地址:上海市桂平路680号33幢401室 邮编:200233
电话:021-64956070 传真:021-64955977
E-MAIL:info@eutrovision.com 网址:http://www.eutrovision.com
28
146206971.doc
全方位堵住Windows 2003 Server的安全隐患
29
尽管Windows 2003的功能在不断增强,但是由于先天性的原因,它还存在不少安全隐患,要是不将这些隐患“堵住”,可能会给整个系统带来不必要的麻烦;下面就介绍Windows2003中不常见的安全隐患的防堵方法,希望能对各位带来帮助! 堵住自动保存隐患
Windows 2003操作系统在调用应用程序出错时,系统中的Dr. Watson会自动将一些重要的调试信息保存起来,以便日后维护系统时查看,不过这些信息很有可能被黑客“瞄上”,一旦瞄上的话,各种重要的调试信息就会暴露无疑,为了堵住Dr. Watson自动保存调试信息的隐患,我们可以按如下步骤来实现: 1、打开开始菜单,选中“运行”命令,在随后打开的运行对话框中,输入注册表编辑命令“ergedit”命令,打开一个注册表编辑窗口;
2、在该窗口中,用鼠标依次展开HKEY_local_machine\software\Microsoft\WindowsdowsNT\CurrentVersion\AeDebug分支,在对应AeDebug键值的右边子窗口中,用鼠标双击Auto值,在弹出的参数设置窗口中,将其数值重新设置为“0”,如图1所示; 图1
3、打开系统的Windows资源管理器窗口,并在其中依次展开Documents and Settings文件夹、All Users文件夹、Shared Documents文件夹、DrWatson文件夹,最后将对应DrWatson中的User.dmp文件、Drwtsn32.log文件删除掉。
完成上面的设置后,重新启动一下系统,就可以堵住自动保存隐患了。 堵住资源共享隐患
为了给局域网用户相互之间传输信息带来方便,Windows Server 2003系统很是“善解人意”地为各位提供了文件和打印共享功能,不过我们在享受该功能带来便利的同时,共享功能也会“引狼入室”,“大度”地向黑客们敞开了不少漏洞,给服务器系统造成了很大的不安全性;所以,在用完文件或打印共享功能时,大家千万要随时将功能关闭哟,以便堵住资源共享隐患,下面就是关闭共享功能的具体步骤: 1、执行控制面板菜单项下面的“网络连接”命令,在随后出现的窗口中,用鼠标右键单击一下“本地连接”图标;
2、在打开的快捷菜单中,单击“属性”命令,这样就能打开一个“Internet协议(TCP/IP)”属性设置对话框;
3、在该界面中取消“Microsoft网络的文件和打印机共享”这个选项;
4、如此一来,本地计算机就没有办法对外提供文件与打印共享服务了,这样黑客自然也就少了攻击系统的“通道”。
堵住远程访问隐患
在Windows2003系统下,要进行远程网络访问连接时,该系统下的远程桌面功能可以将进行网络连接时输入的用户名以及密码,通过普通明文内容方式传输给对应连接端的客户端程序;在明文帐号传输过程中,实
29
地址:上海市桂平路680号33幢401室 邮编:200233
电话:021-64956070 传真:021-64955977
E-MAIL:info@eutrovision.com 网址:http://www.eutrovision.com
146206971.doc
30
现“安插”在网络通道上的各种嗅探工具,会自动进入“嗅探”状态,这个明文帐号就很容易被“俘虏”了;明文帐号内容一旦被黑客或其他攻击者另谋他用的话,呵呵,小心自己的系统被“疯狂”攻击吧!为了杜绝这种安全隐患,我们可以按下面的方法来为系统“加固”:
1、点击系统桌面上的“开始”按钮,打开开始菜单;
2、从中执行控制面板命令,从弹出的下拉菜单中,选中“系统”命令,打开一个系统属性设置界面; 3、在该界面中,用鼠标单击“远程”标签;
4、在随后出现的标签页面中,将“允许用户远程连接到这台计算机”选项取消掉,这样就可以将远程访问连接功能屏蔽掉,从而堵住远程访问隐患了。 堵住用户切换隐患
Windows 2003系统为我们提供了快速用户切换功能,利用该功能我们可以很轻松地登录到系统中;不过在享受这种轻松时,系统也存在安装隐患,例如我们要是执行系统“开始”菜单中的“注销”命令来,快速“切换用户”时,再用传统的方式来登录系统的话,系统很有可能会本次登录,错误地当作是对计算机系的一次暴力“袭击”,这样Windows2003系统就可能将当前登录的帐号当作非法帐号,将它锁定起来,这显然不是我们所需要的;不过,我们可以按如下步骤来堵住用户切换时,产生的安全隐患:
在Windows 2003系统桌面中,打开开始菜单下面的控制面板命令,找到下面的“管理工具”命令,再执行下级菜单中的“计算机管理”命令,找到“用户帐户”图标,并在随后出现的窗口中单击“更改用户登录或注销的方式”;在打开的设置窗口中,将“使用快速用户切换”选项取消掉就可以了。 堵住页面交换隐患
Windows 2003操作系统即使在正常工作的情况下,也有可能会向黑客或者其他访问者泄漏重要的机密信息,特别是一些重要的帐号信息。也许我们永远不会想到要查看一下,那些可能会泄漏隐私信息的文件,不过黑客对它们倒是很关心的哟!Windows 2003操作系统中的页面交换文件中,其实就隐藏了不少重要隐私信息,这些信息都是在动态中产生的,要是不及时将它们清除,就很有可能成为黑客的入侵突破口;为此,我们必须按照下面的方法,来让Windows 2003操作系统在关闭系统时,自动将系统工作时产生的页面文件全部删除掉: 1、在Windows 2003的“开始”菜单中,执行“运行”命令,打开运行对话框,并在其中输入“Regedit”命令,来打开注册表窗口;
2、在该窗口的左边区域中,用鼠标依次单击HKEY_local_machine\system\currentcontrolset\control\sessionmanager\memory management键值,找到右边区域中的ClearPageFileAtShutdown键值(如图2所示),并用鼠标双击之,在随后打开的数值设置窗口中,将该DWORD值重新修改为“1”; 3、完成设置后,退出注册表编辑窗口,并重新启动计算机系统,就能让上面的设置生效了。
30
地址:上海市桂平路680号33幢401室 邮编:200233
电话:021-64956070 传真:021-64955977
E-MAIL:info@eutrovision.com 网址:http://www.eutrovision.com
Windows 2003 Server安全配置指南
