Web站点的 Win服务器安全解决方案
- 格式:doc
- 大小:34.00 KB
- 文档页数:5
文档推荐
-
浏览器服务器风格页数:3
-
第七章浏览器服务器模式的实现技术页数:80
-
浏览器服务器页数:3
-
第5章__浏览器服务器应用系统概述zzz页数:31
-
浏览器/服务器系统页数:19
-
浏览器服务器系统 在线作业页数:21
下载文档原格式
合集下载
计算机网络工程师-4_真题(含答案与解析)-交互
计算机网络工程师-4(总分100, 做题时间90分钟)一、选择题1.______适用于综合布线系统中配置标准较高的场合,用光缆和铜芯双绞电缆混合组网。
SSS_SINGLE_SELA 基本型综合布线系统B 增强型综合布线系统C 综合型综合布线系统D 以上均不对分值: 1答案:C[解析] 基本型适用于综合布线系统中配置标准较低的场合,用铜芯双绞线电缆组网。
增强型适用于综合布线系统中中等配置标准的场合,用铜芯双绞线电缆组网。
综合型适用于综合布线系统中配置标准较高的场合,用光缆和铜芯双绞线电缆混合组网。
2.当结点数为100~500个时,比较适合的设计是______。
SSS_SINGLE_SELA 结点可直接通过汇聚层的路由器或交换机接入B 可以不设计接入层网络与汇聚层网络C 一般需要按3层结构来设计D 以上都不合适分值: 1答案:A[解析] 是否需要分成3层组建的经验数据是:结点数为250~500个,一般需要按3层结构来设计;结点数为100~500个,可以不设计接入层网络,结点可直接通过汇聚层的路由器或交换机接入;结点数为5~250个,可以不设计接入层网络与汇聚层网络。
3.以下有关城域网结构的叙述中,正确的是______。
SSS_SINGLE_SELA 城域网网络平台采用层次结构B 核心交换层解决的是“最后一公里”的问题C 边缘汇聚层结构设计重点是可靠性、可扩展性与开放性D 用户接入层进行本地路由、过滤、流量均衡及安全控制等处理分值: 1答案:A[解析] 宽带城域网的网络平台采用层次结构,分为核心交换层、边缘汇聚层和用户接入层三部分。
用户接入层解决的是“最后一公里”的问题。
4.基于网络的入侵检测系统采用的识别技术主要有______、统计意义上的非正常现象检测、频率或阀值以及模式匹配。
SSS_SINGLE_SELA 事件的相关性B 系统事件C 安全性事件D 应用程序事件分值: 1答案:A[解析] 基于网络的入侵检测系统采用的识别技术主要有事件的相关性、统计意义上的非正常现象检测、频率或阀值以及模式匹配,故选A。
WEB服务器安全设置
WEB 服务器安全设置WEB 服务器安全设置2010-06-07 162010-06-07 16::57 WEB 服务器安全设置参考了网络上很多关于WIN2003的安全设置以及自己动手做了一些实践,综合了这些安全设置文章整理而成,希望对大家有所帮助,另外里面有不足之处还请大家多多指点,然后给补上,谢谢!一、系统的安装1、按照Windows2003安装光盘的提示安装,默认情况下2003没有把IIS6.0安装在系统里面。
安装在系统里面。
22、IIS6.0的安装开始菜单的安装开始菜单--控制面板控制面板--添加或删除程序加或删除程序--添加添加//删除Windows 组件应用程序组件应用程序(((可选可选可选)|--)|--)|--启用网络启用网络COM+COM+访问访问访问((必选必选)|--Internet )|--Internet 信息服务信息服务(IIS)---Internet (IIS)---Internet 信息服务管理器信息服务管理器((必选)|--)|--公用文件公用文件公用文件((必选必选)|--)|--)|--万维网服务万维网服务万维网服务---Active Server pages(---Active Server pages(---Active Server pages(必选必选必选)|--)|--Internet 数据连接器数据连接器((可选可选)|--WebDAV )|--WebDAV 发布发布((可选可选)|--)|--)|--万维网服务万维网服务万维网服务((必选必选)|--)|--)|--在在服务器端的包含文件服务器端的包含文件((可选可选))然后点击确定然后点击确定--下一步安装。
下一步安装。
((具体见本文附件1)3、系统补丁的更新点击开始菜单、系统补丁的更新点击开始菜单--所有程序所有程序-Windows Update -Windows Update 按照提示进行补丁的安装。
基于WIN2000SERVER的WEB服务器的安全策略
I SSa mpl s Sc i s IShe p、 I e , rpt , I l I SAdmi M SADC n,
③ 删 除无 用 的脚 本 映 射 。IS接 收 到 特 定 后 I
缀 类 型 的 文 件请 求 时 , 用 相 应 的 DL 调 L处 理 , 如
果 不 使 用 其 中 的 某 些 扩 展 或 功 能 , 应 删 除 该 映 则
面采取 一 些安 全措 施 。
关 键 词 策略 帐号 管 理 网络 服务 文 件 管理 病 毒 黑客
IS5 0是 W i 2 0 ERVER 操 作 系 统 的 一 I . n 0 0S
子 邮 件 程 序 , 其 不 要 是 安 装 微 软 公 是 通 过 它 的 漏 洞 进 行 传 ok 因
网 络 , 则 由于 系统 存 在 各种 漏 洞 , 否 非常 容 易感 染
病毒。 需 要 特 别 指 出 的 是 , 要 在 服 务 器 上 安 装 电 不
射 。 比如 基于 W E B的密 码 重设 (h r , 引服 务 . t) 索
维普资讯
成普通用户; 码长度在 1 密 0位 以 上 , 要 包 括 数 并
字 、 母 等 字符 , 要 不定 期 变换 。 字 并
1 安 装 策 略
作 为 W E 服 务 器 , 安 装 W i2 0 E B 在 n 0 0S RV— E 前 就 应 对 硬 盘 作 统 筹 安 排 , 至 少 建 立 两 个 R 应
维普资讯
第2 7卷
内 蒙 古 石 油 化 工
15 6
基 于 W I 2 E N 0 S RVER 的 0 0 WE B服务器 的安全 策略
樊硕 蒙 玉 平 马 世 防 袁 克敏
③ 删 除无 用 的脚 本 映 射 。IS接 收 到 特 定 后 I
缀 类 型 的 文 件请 求 时 , 用 相 应 的 DL 调 L处 理 , 如
果 不 使 用 其 中 的 某 些 扩 展 或 功 能 , 应 删 除 该 映 则
面采取 一 些安 全措 施 。
关 键 词 策略 帐号 管 理 网络 服务 文 件 管理 病 毒 黑客
IS5 0是 W i 2 0 ERVER 操 作 系 统 的 一 I . n 0 0S
子 邮 件 程 序 , 其 不 要 是 安 装 微 软 公 是 通 过 它 的 漏 洞 进 行 传 ok 因
网 络 , 则 由于 系统 存 在 各种 漏 洞 , 否 非常 容 易感 染
病毒。 需 要 特 别 指 出 的 是 , 要 在 服 务 器 上 安 装 电 不
射 。 比如 基于 W E B的密 码 重设 (h r , 引服 务 . t) 索
维普资讯
成普通用户; 码长度在 1 密 0位 以 上 , 要 包 括 数 并
字 、 母 等 字符 , 要 不定 期 变换 。 字 并
1 安 装 策 略
作 为 W E 服 务 器 , 安 装 W i2 0 E B 在 n 0 0S RV— E 前 就 应 对 硬 盘 作 统 筹 安 排 , 至 少 建 立 两 个 R 应
维普资讯
第2 7卷
内 蒙 古 石 油 化 工
15 6
基 于 W I 2 E N 0 S RVER 的 0 0 WE B服务器 的安全 策略
樊硕 蒙 玉 平 马 世 防 袁 克敏
网站常见漏洞及解决办法
网站常见漏洞以及解决办法远端HTTP服务器类型和版本信息泄漏1、ServerT okens 指令语法- ServerTokens Major|Minor|Min[imal]|Prod[uctOnly]|OS|Full默认值- ServerTokens Full这个指令控制了服务器回应给客户端的"Server:"应答头是否包含关于服务器操作系统类型和编译进的模块描述信息。
ServerTokens Prod[uctOnly] 服务器会发送(比如):Server: ApacheServerTokens Major 服务器会发送(比如):Server: Apache/2ServerTokens Minor 服务器会发送(比如):Server: Apache/2.0ServerTokens Min[imal] 服务器会发送(比如):Server: Apache/2.0.41ServerTokens OS 服务器会发送(比如):Server: Apache/2.0.41 (Unix) ServerTokens Full (或未指定) 服务器会发送(比如):Server: Apache/2.0.41 (Unix) PHP/4.2.2 MyMod/1.2此设置将作用于整个服务器,而且不能用在虚拟主机的配置段中。
2.0.44版本以后,这个指令还控制着ServerSignature指令的显示内容。
2、ServerSignature 指令说明: 配置服务器生成页面的页脚语法: ServerSignature On|Off|Email默认值: ServerSignature OffServerSignature 指令允许您配置服务器端生成文档的页脚(错误信息、mod_proxy的ftp目录列表、mod_info的输出)。
您启用这个页脚的原因主要在于处于一个代理服务器链中的时候,用户基本无法辨识出究竟是链中的哪个服务器真正产生了返回的错误信息。
SANGFOR_AF_Web安全解决方案-详细版V1.0
深信服Web安全解决方案深信服科技有限公司20XX年XX月XX日目录第一章需求概述 (5)1.1 项目背景 (5)1.2 网络安全建设现状分析 (5)1.3 Web业务面临的安全风险 (6)第二章Web安全解决方案设计 (9)2.1 方案概述 (9)2.2 方案价值 (10)第三章深信服下一代防火墙NGAF解决方案 (10)3.1 深信服NGAF产品设计理念 (10)3.2 深信服NGAF解决方案 (13)3.2.1 四种部署模式支持 (13)3.2.2 多种拦截方式支持 (14)3.2.3 安全风险评估与策略联动 (15)3.2.4 典型的Web攻击防护 (15)3.2.5 网关型网页防篡改 (24)3.2.6 可定义的敏感信息防泄漏 (27)3.2.7 基于应用的深度入侵防御 (28)3.2.8 高效精确的病毒检测能力 (32)3.2.9 智能的DOS攻击防护 (33)3.2.10 智能的防护模块联动 (34)3.2.11 完整的防火墙功能 (34)3.2.12 其他安全功能 (35)3.2.13 产品容错能力 (39)第四章深信服优势说明 (40)4.1 深信服品牌认可 (40)4.2 深信服下一代应用防火墙NGAF技术积累 (42)4.3 NGAF与传统安全设备的区别 (43)4.4 部分客户案例 (45)第五章典型场景及部署 (46)第六章关于深信服 (46)6.1深信服科技介绍 (46)6.2深信服科技部分荣誉 (47)第一章需求概述1.1项目背景(请根据客户实际情况自行添加)1.2网络安全建设现状分析(请根据客户实际情况自行添加)XX拟建立Web业务对外发布系统,该对外发布系统由多台服务器组成,承载的有OA应用、集团内部门户网站、集团内门户网站群等多个WEB应用。
目前,XX web应用边界使用传统防火墙进行数据包过滤进行安全防护,现运行许多WEB应用系统。
Web业务对外发布数据中心是XX IT建设数据大集中的产物,作为Web业务集中化部署、发布、存储的区域,该对外发布数据中心承载着XX Web业务的核心数据以及机密信息。
L1安全防护题库大全
1. 系统管理员在设备入网前填写( ),由系统维护主管负责批准答案:A重复命题1次2015年4月30日 9点0分 安全 暂无子专业 无 L12. 针对施工管理,以正式的施工委托函为局楼出入依据,工期超过一个月的施工人员需办理临时出入证,临时出入证最长有效期为( )答案:C重复命题1次2015年4月30日 9点0分 安全 暂无子专业 无 L13. 设备应支持对不同用户授予()权限答案:D重复命题1次2015年10月12日 9点30分 安全 暂无子专业 无 L14. 安全验收的方式为专家组评审验收,或引入第三方权威机构的测评认证为辅助。
其中专家组由5~8人构成,且不少于()人答案:A重复命题1次2015年4月30日 9点0分 安全 暂无子专业 无 L15. 当一个入侵正在发生或者试图发生时,IDS系统将发布一个()信息通知系统管理员A.ArachNIDSB.ApplianceD.Alerts答案:D6. “()”原则。
有限公司及各省公司应着力推动中国移动自有评估队伍的建设,逐步实现自主评估A.自评估为辅、第三方评估为主B.自评估为主、第三方评估为辅C.自评估为主、第三方评估为主D.自评估为辅、第三方评估为辅答案:B7. 在机房直接通过键盘、鼠标及()等方式操作主机、网络设备等。
因为无法进行有效的认证,权限控制和日志审计,所以,非紧急情况建议不采用这种方式A.CONSOLE口B.FE 口C.GE 口D.RJ45 口答案:A8. 在路由器启用前,应当根据当时的网络环境制定合理的()规则,对某些病毒、木马的特定端口进行封闭。
A.包过滤B.流过滤C.帧过滤D.bit过滤答案:A9. 在路由器、交换机设备组网过程中,应当尽可能组建主备双节点、双链路结构,路由协议采用动态路由与静态路由相结合的方式,以及采用()或则HSRP等冗余协议,提高网络的可用性和可靠性A.VRPB.VVRPC.VRRPD.VRPP答案:C10. “()”攻击利用欺骗性的电子邮件和伪造的Web站点来进行诈骗活动,受骗者往往会泄露自己的财务数据,如信用卡号、账户用户名、口令和社保编号等内容。
ASP.NET木马及Webshell安全解决方案
木马及Webshell安全解决方案木马及Webshell安全解决方案原始发布地址:/docs/Microsoft_Win_ _Webshell_Security.htm此文讨论地址:/Html/2006-12/30/10353601331.shtm l 文章简介:本文将为大家介绍在Microsoft Win系列的2003 SERVER IIS6.0中如何简单快速解决中的危险漏洞与隐患对WEB服务器系统的安全威胁之详细防范设置步骤;读完本文,您将可以使您的网站服务器免去 木马、Webshell所面对的提升权限、跨站攻击、甚至危害到系统安全的威胁。
ASP木马、Webshell之安全防范解决办法正文内容:(注意:本文所讲述之设置方法与环境:适用于Microsoft Windows Server 2003 SERVER | IIS6.0)引子:大家都知道网上出现过诸如《虚拟主机的重大隐患》等类似介绍的漏洞以及相应的黑客攻击办法的文章,以及诸如Webadmin.aspx类的Webshell,如果您拿去到您的虚拟主机上测试时您就知道,这东东对C盘有读取权限,以及对整个硬盘都有修改、删除权限;那这样的话,我们的网站、我的服务器还有什么安全可言?在黑客频频攻击的今天,我们不能不为我们的服务器而担忧...漏洞原因:大家知道ASP中常用的标准组件:FileSystemObject,这个组件为ASP提供了强大的文件系统访问能力,可以对服务器硬盘上的任何有权限的目录和文件进行读写、删除、改名等操作。
FSO对象来自微软提供的脚本运行库scrrun.dll中。
而在中这个问题仍然存在,并且更加难以解决;因为.Net中对系统IO操作功能更加强大,如:组件不再需要用Regsvr32来注册,而是直接在bin目录下就可以直接用了,所以这些功能对开发程序有很大方便是,但却使安全变得更为复杂了....(需进一步了解可参考《虚拟主机的重大隐患》原文)解决方案:大家都知道,Asp类木马可以通过对IIS中的虚拟主机采用独立匿名用户来控制FSO组件的安全,让其只能在站类活动,而不能跨站或者危害到其它硬盘的数据(注:如果您不明白可以参考一下本人以前的两篇文章《FSO安全隐患解决办法》;《ASP木马Webshell之安全防范解决办法》) Asp的安全问题与设置这里不再作讨论,下面我们开始着手木马/WebShell防范方法的讲解:一、在IIS6.0中,WEB应用程序的工作进程为以进程标识“Network Service”运行。
WEB服务器安全自查报告
WEB服务器安全自查报告一、操作系统安全配置报告1、停掉Guest 帐号在计算机管理的用户里面把guest帐号停用掉,任何时候都不允许guest帐号登陆系统。
2、限制不必要的用户数量去掉所有的测试用帐户、共享帐号、普通部门帐号等等不必要账号。
用户组策略设置相应权限,并且经常检查系统的帐户,删除已经不使用的帐户。
3、创建2个管理员用帐号创建一个一般权限帐号用来处理一些日常事物,另一个拥有Administrators 权限的帐户只在需要的时候使用。
4、把系统administrator帐号改名Windows 2003的administrator帐号是不能被停用的,这意味着别人可以一遍又一遍的尝试这个帐户的密码。
把Administrator帐户改名可以有效的防止这一点。
5、把共享文件的权限从”everyone”组改成“授权用户”“everyone”在Win 2003中任何有权进入你的网络的用户都能够获得这些共享资料。
任何时候都不要把共享文件的用户设置成“everyone”组。
6、使用安全密码应该要求用户首次登陆的时候更改成复杂的密码,还要注意经常更改密码。
7、使用NTFS格式分区把服务器的所有分区都改成NTFS格式。
NTFS文件系统要比FAT、FAT32的文件系统安全得多。
8、保障备份盘的安全系统资料被破坏,备份盘将是你恢复资料的唯一途径。
备份完资料确认无误后,把备份盘放在安全的地方。
9、关闭不必要的服务Windows 2003的Terminal Services(终端服务)、和RAS都可能系统带来安全漏洞。
为了能够在远程方便的管理服务器,很多机器的终端服务都是开着的,如果需要开此服务,一定要确认已经正确的配置了终端服务。
有些恶意的程序也能以服务方式悄悄的运行。
10、关闭不必要的端口关闭端口意味着减少功能,因此在安全和功能上面需要作一点决策。
如果服务器安装在防火墙的后面,冒险就会少些,但是,永远不要认为可以就此高枕无忧了。
ASP木马Webshell的安全防范解决办法
ASP木马Webshell的安全防范解决办法注意:本文所讲述之设置方法与环境:适用于Microsoft Windows 2000 Server/Win2003 SERVER | IIS5.0/IIS6.01、首先我们来看看一般ASP木马、Webshell所利用的ASP组件有那些?我们以海洋木马为列:shellStr=“Shell”applicationStr=“Application”if cmdPath=“wscriptShell”set sa=server.createObject(shellStr&”.”&applicationStr)set streamT=server.createObject(“adodb.stream”)set domainObject = GetObject(“WinNT://.”)以上是海洋中的相关代码,从上面的代码我们不难看出一般ASP木马、Webshell主要利用了以下几类ASP组件:①WScript.Shell (classid:72C24DD5-D70A-438B-8A42-98424B88AFB8)②WScript.Shell.1 (classid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B)③work (classid:093FF999-1EA0-4079-9525-9614C3504B74)④work.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)⑤FileSystem Object (classid:0D43FE01-F093-11CF-8940-00A0C9054228)⑥Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})⑦Shell.applicaiton....hehe,这下我们清楚了危害我们WEB SERVER IIS的最罪魁祸首是谁了!!开始操刀,come on... 2:解决办法:①删除或更名以下危险的ASP组件:WScript.Shell、WScript.Shell.1、work、work.1、adodb.stream、Shell.application开始------->运行--------->Regedit,打开注册表编辑器,按C将用到,所以如果你的服务器是开虚拟主机的话,建议酢情处理。
Windows 2003 Server 服务器安全配置(完全版)
Windows 2003 Server服务器安全配置一、先关闭不需要的端口我比较小心,先关了端口。
只开了3389、21、80、1433,有些人一直说什么默认的3389不安全,对此我不否认,但是利用的途径也只能一个一个的穷举爆破,你把帐号改了密码设置为十五六位,我估计他要破上好几年,哈哈!办法:本地连接--属性--Internet协议(TCP/IP)--高级--选项--TCP/IP筛选--属性--把勾打上,然后添加你需要的端口即可。
PS一句:设置完端口需要重新启动!当然大家也可以更改远程连接端口方法:Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE \ SYSTEM\ Current ControlSet \ Control \ TerminalServer\WinStations\RDP-Tcp]"PortNumber"=dword:00002683保存为.REG文件双击即可!更改为9859,当然大家也可以换别的端口,直接打开以上注册表的地址,把值改为十进制的输入你想要的端口即可!重启生效!还有一点,在2003系统里,用TCP/IP筛选里的端口过滤功能,使用FTP服务器的时候,只开放21端口,在进行FTP传输的时候,FTP 特有的Port模式和Passive模式,在进行数据传输的时候,需要动态的打开高端口,所以在使用TCP/IP过滤的情况下,经常会出现连接上后无法列出目录和数据传输的问题。
所以在2003系统上增加的Windows连接防火墙能很好的解决这个问题,不推荐使用网卡的TCP/IP过滤功能。
做FTP下载的用户看仔细,如果要关闭不必要的端口,在\system32\drivers\etc\services 中有列表,记事本就可以打开的。
如果懒的话,最简单的方法是启用WIN2003的自身带的网络防火墙,并进行端口的改变。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Web站点的Win服务器安全解决方案用NT(2000)建立的Web站点在所有的网站中占了很大一部分比例,但NT的安全问题也一直比较突出,使得一些每个基于NT的网站都有一种如履薄冰的感觉,然而微软并没有明确的坚决方案,只是推出了一个个补丁程序,各种安全文档上对于NT的安全描述零零碎碎,给人们的感觉是无所适从。
于是,有的网管干脆什么措施也不采取,有的忙着下各种各样的补丁程序,有的在安装了防火墙以后就以为万事大吉了。
这种现状直接导致了大量网站的NT安全性参差不齐。
只有极少数NT网站有较高的安全性,大部分网站的安全性很差。
为此,瑞星公司决心对NT主要漏洞予以搜集整理,同时,站在整体的高度,力图找出一套用NT建立安全站点的解决方案来,让用户放心使用NT(2000)建立Web站点。
解决方案:(说明:本方案主要是针对建立Web站点的NT、2000服务器安全,对于局域网内的服务器并不合适。
)一、安装:1.不论是NT还是2000,硬盘分区均为NTFS分区;说明:(1)NTFS比FA T分区多了安全控制功能,可以对不同的文件夹设置不同的访问权限,安全性增强。
(2)建议最好一次性全部安装成NTFS分区,而不要先安装成FA T分区再转化为NTFS 分区,这样做在安装了SP5和SP6的情况下会导致转化不成功,甚至系统崩溃。
(3)安装NTFS分区有一个潜在的危险,就是目前大多数反病毒软件没有提供对软盘启动后NTFS分区病毒的查杀,这样一旦系统中了恶性病毒而导致系统不能正常启动,后果就比较严重,因此及建议平时做好防病毒工作。
2.只安装一种操作系统;说明:安装两种以上操作系统,会给黑客以可乘之机,利用攻击使系统重启到另外一个没有安全设置的操作系统(或者他熟悉的操作系统),进而进行破坏。
3.安装成独立的域控制器(StandAlone),选择工作组成员,不选择域;说明:主域控制器(PDC)是局域网中队多台联网机器管理的一种方式,用于网站服务器包含着安全隐患,使黑客有可能利用域方式的漏洞攻击站点服务器。
4.将操作系统文件所在分区与Web数据包括其他应用程序所在的分区分开,并在安装时最好不要使用系统默认的目录,如将\WINNT改为其他目录;说明:黑客有可能通过Web站点的漏洞得到操作系统对操作系统某些程序的执行权限,从而造成更大的破坏。
5.Windows程序,都要重新安装一次补丁程序,2000下不需要这样做。
说明:(1)最新的补丁程序,表示系统以前有重大漏洞,非补不可了,对于局域网内服务器可以不是最新的,但站点必须安装最新补丁,否则黑客可能会利用低版本补丁的漏洞对系统造成威胁。
这是一部分管理员较易忽视的一点;(2)安装NT的SP5、SP6有一个潜在威胁,就是一旦系统崩溃重装NT时,系统将不会认NTFS分区,原因是微软在这两个补丁中对NTFS做了改进。
只能通过Windows2000安装过程中认NTFS,这样会造成很多麻烦,建议同时做好数据备份工作。
(3)安装ServicePack前应先在测试机器上安装一次,以防因为例外原因导致机器死机,同时做好数据备份。
6.尽量不安装与Web站点服务无关的软件;说明:其他应用软件有可能存在黑客熟知的安全漏洞。
二、NT设置:1.帐号策略:(1)帐号尽可能少,且尽可能少用来登录;说明:网站帐号一般只用来做系统维护,多余的帐号一个也不要,因为多一个帐号就会多一份被攻破的危险。
(2)除过Administrator外,有必要再增加一个属于管理员组的帐号;说明:两个管理员组的帐号,一方面防止管理员一旦忘记一个帐号的口令还有一个备用帐号;另方面,一旦黑客攻破一个帐号并更改口令,我们还有机会重新在短期内取得控制权。
(3)所有帐号权限需严格控制,轻易不要给帐号以特殊权限;(4)将Administrator重命名,改为一个不易猜的名字。
其他一般帐号也应尊循着一原则。
说明:这样可以为黑客攻击增加一层障碍。
(5)将Guest帐号禁用,同时重命名为一个复杂的名字,增加口令,并将它从Guest组删掉;说明:有的黑客工具正是利用了guest的弱点,可以将帐号从一般用户提升到管理员组。
(6)给所有用户帐号一个复杂的口令(系统帐号出外),长度最少在8位以上,且必须同时包含字母、数字、特殊字符。
同时不要使用大家熟悉的单词(如microsoft)、熟悉的键盘顺序(如qwert)、熟悉的数字(如2000)等。
说明:口令是黑客攻击的重点,口令一旦被突破也就无任何系统安全可言了,而这往往是不少网管所忽视的地方,据我们的测试,仅字母加数字的5位口令在几分钟内就会被攻破,而所推荐的方案则要安全的多。
(7)口令必须定期更改(建议至少两周该一次),且最好记在心里,除此以外不要在任何地方做记录;另外,如果在日志审核中发现某个帐号被连续尝试,则必须立刻更改此帐号(包括用户名和口令);(8)在帐号属性中设立锁定次数,比如改帐号失败登录次数超过5次即锁定改帐号。
这样可以防止某些大规模的登录尝试,同时也使管理员对该帐号提高警惕。
2.解除NetBios与TCP/IP协议的绑定说明:NetBois在局域网内是不可缺少的功能,在网站服务器上却成了黑客扫描工具的首选目标。
方法:NT:控制面版——网络——绑定——NetBios接口——禁用2000:控制面版——网络和拨号连接——本地网络——属性——TCP/IP——属性——高级——WINS ——禁用TCP/IP上的NETBIOS3.删除所有的网络共享资源说明:NT与2000在默认情况下有不少网络共享资源,在局域网内对网络管理和网络通讯有用,在网站服务器上同样是一个特大的安全隐患。
(卸载“Microsoft网络的文件和打印机共享”。
当查看“网络和拨号连接”中的任何连接属性时,将显示该选项。
单击“卸载”按钮删除该组件;清除“Microsoft网络的文件和打印机共享”复选框将不起作用。
)方法:(1)NT:管理工具——服务器管理器——共享目录——停止共享;2000:控制面版——管理工具——计算及管理——共享文件夹———停止共享但上述两种方法太麻烦,服务器每重启一次,管理员就必须停止一次(2)修改注册表:运行Regedit,然后修改注册表在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters下增加一个键Name:AutoShareServerType:REG_DWORDV alue:0然后重新启动您的服务器,磁盘分区共享去掉,但IPC共享仍存在,需每次重启后手工删除。
4.改NTFS的安全权限;说明:NTFS下所有文件默认情况下对所有人(EveryOne)为完全控制权限,这使黑客有可能使用一般用户身份对文件做增加、删除、执行等操作,建议对一般用户只给予读取权限,而只给管理员和System以完全控制权限,但这样做有可能使某些正常的脚本程序不能执行,或者某些需要写的操作不能完成,这时需要对这些文件所在的文件夹权限进行更改,建议在做更改前先在测试机器上作测试,然后慎重更改。
5.系统启动的等待时间设置为0秒,控制面板->系统->启动/关闭,然后将列表显示的默认值“30”改为“0”。
(或者在boot.ini里将TimeOut的值改为0)6.只开放必要的端口,关闭其余端口。
说明:缺省情况下,所有的端口对外开放,黑客就会利用扫描工具扫描那些端口可以利用,这对安全是一个严重威胁。
现将一些常用端口列表如下:端口协议应用程序21TCPFTP25TCPSMTP53TCPDNS80TCPHTTPSERVER1433TCPSQLSERVER5631TCPPCANYWHERE5632UDPPCANYWHERE6(非端口)IP协议8(非端口)IP协议7.加强日志审核;说明:日志任何包括事件查看器中的应用、系统、安全日志,IIS中的WWW、SMTP、FTP日志、SQLSERVER日志等,从中可以看出某些攻击迹象,因此每天查看日志是保证系统安全的必不可少的环节。
安全日志缺省是不记录,帐号审核可以从域用户管理器——规则——审核中选择指标;NTFS中对文件的审核从资源管理器中选取。
要注意的一点是,只需选取你真正关心的指标就可以了,如果全选,则记录数目太大,反而不利于分析;另外太多对系统资源也是一种浪费。
8.加强数据备份;说明:这一点非常重要,站点的核心是数据,数据一旦遭到破坏后果不堪设想,而这往往是黑客们真正关心的东西;遗憾的是,不少网管在这一点上作的并不好,不是备份不完全,就是备份不及时。
数据备份需要仔细计划,制定出一个策略并作了测试以后才实施,而且随着网站的更新,备份计划也需要不断地调整。
9.只保留TCP/IP协议,删除NETBEUI、IPX/SPX协议;说明:网站需要的通讯协议只有TCP/IP,而NETBEUI是一个只能用于局域网的协议,IPX/SPX是面临淘汰的协议,放在网站上没有任何用处,反而会被某些黑客工具利用。
10.停掉没有用的服务,只保留与网站有关的服务和服务器某些必须的服务。
说明:有些服务比如RAS服务、Spooler服务等会给黑客带来可乘之机,如果确实没有用处建议禁止掉,同时也能节约一些系统资源。
但要注意有些服务是操作系统必须的服务,建议在停掉前查阅帮助文档并首先在测试服务器上作一下测试。
11.隐藏上次登录用户名,修改注册表Winnt4.0:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentV ersion\Winlogon中增加DontDisplayLastUserName,将其值设为1。
Windows2000中该项已经存在,只需将其值改为1。