www.国产视频,一级看片免费视频囗交动图,波多野结衣高清无码中文456,中国一级特黄特级毛片,69mmWWW路cOm,天天摸夜夜摸黄片,aaaaaaaaa在线观看

綠色資源網(wǎng):您身邊最放心的安全下載站! 最新軟件|熱門排行|軟件分類|軟件專題|廠商大全

綠色資源網(wǎng)

技術(shù)教程
您的位置:首頁服務器類Web服務器 → Web站點的Win服務器安全解決方案

Web站點的Win服務器安全解決方案

我要評論 2009/07/22 16:36:34 來源:綠色資源網(wǎng) 編輯:佚名 [ ] 評論:0 點擊:260次

用NT(2000)建立的Web站點在所有的網(wǎng)站中占了很大一部分比例,但NT的安全問題也一直比較突出,使得一些每個基于NT的網(wǎng)站都有一種如履薄冰的感覺,然而微軟并沒有明確的堅決方案,只是推出了一個個補丁程序,各種安全文檔上對于NT的安全描述零零碎碎,給人們的感覺是無所適從。于是,有的網(wǎng)管干脆什么措施也不采取,有的忙著下各種各樣的補丁程序,有的在安裝了防火墻以后就以為萬事大吉了。這種現(xiàn)狀直接導致了大量網(wǎng)站的NT安全性參差不齊。只有極少數(shù)NT網(wǎng)站有較高的安全性,大部分網(wǎng)站的安全性很差。為此,瑞星公司決心對NT主要漏洞予以搜集整理,同時,站在整體的高度,力圖找出一套用NT建立安全站點的解決方案來,讓用戶放心使用NT(2000)建立Web站點。

解決方案:(說明:本方案主要是針對建立Web站點的NT、2000服務器安全,對于局域網(wǎng)內(nèi)的服務器并不合適。)

一、安裝:

1.不論是NT還是2000,硬盤分區(qū)均為NTFS分區(qū);

說明:

(1)NTFS比FAT分區(qū)多了安全控制功能,可以對不同的文件夾設置不同的訪問權(quán)限,安全性增強。

(2)建議最好一次性全部安裝成NTFS分區(qū),而不要先安裝成FAT分區(qū)再轉(zhuǎn)化為NTFS分區(qū),這樣做在安裝了SP5和SP6的情況下會導致轉(zhuǎn)化不成功,甚至系統(tǒng)崩潰。

(3)安裝NTFS分區(qū)有一個潛在的危險,就是目前大多數(shù)反病毒軟件沒有提供對軟盤啟動后NTFS分區(qū)病毒的查殺,這樣一旦系統(tǒng)中了惡性病毒而導致系統(tǒng)不能正常啟動,后果就比較嚴重,因此及建議平時做好防病毒工作。

2.只安裝一種操作系統(tǒng);

說明:安裝兩種以上操作系統(tǒng),會給黑客以可乘之機,利用攻擊使系統(tǒng)重啟到另外一個沒有安全設置的操作系統(tǒng)(或者他熟悉的操作系統(tǒng)),進而進行破壞。

3.安裝成獨立的域控制器(StandAlone),選擇工作組成員,不選擇域;

說明:主域控制器(PDC)是局域網(wǎng)中隊多臺聯(lián)網(wǎng)機器管理的一種方式,用于網(wǎng)站服務器包含著安全隱患,使黑客有可能利用域方式的漏洞攻擊站點服務器。

4.將操作系統(tǒng)文件所在分區(qū)與Web數(shù)據(jù)包括其他應用程序所在的分區(qū)分開,并在安裝時最好不要使用系統(tǒng)默認的目錄,如將\WINNT改為其他目錄;

說明:黑客有可能通過Web站點的漏洞得到操作系統(tǒng)對操作系統(tǒng)某些程序的執(zhí)行權(quán)限,從而造成更大的破壞。

5.Windows程序,都要重新安裝一次補丁程序,2000下不需要這樣做。

說明:

(1)最新的補丁程序,表示系統(tǒng)以前有重大漏洞,非補不可了,對于局域網(wǎng)內(nèi)服務器可以不是最新的,但站點必須安裝最新補丁,否則黑客可能會利用低版本補丁的漏洞對系統(tǒng)造成威脅。這是一部分管理員較易忽視的一點;

(2)安裝NT的SP5、SP6有一個潛在威脅,就是一旦系統(tǒng)崩潰重裝NT時,系統(tǒng)將不會認NTFS分區(qū),原因是微軟在這兩個補丁中對NTFS做了改進。只能通過Windows2000安裝過程中認NTFS,這樣會造成很多麻煩,建議同時做好數(shù)據(jù)備份工作。

(3)安裝ServicePack前應先在測試機器上安裝一次,以防因為例外原因?qū)е聶C器死機,同時做好數(shù)據(jù)備份。

6.盡量不安裝與Web站點服務無關的軟件;

說明:其他應用軟件有可能存在黑客熟知的安全漏洞。

二、NT設置:

1.帳號策略:

(1)帳號盡可能少,且盡可能少用來登錄;

說明:網(wǎng)站帳號一般只用來做系統(tǒng)維護,多余的帳號一個也不要,因為多一個帳號就會多一份被攻破的危險。

(2)除過Administrator外,有必要再增加一個屬于管理員組的帳號;

說明:兩個管理員組的帳號,一方面防止管理員一旦忘記一個帳號的口令還有一個備用帳號;另方面,一旦黑客攻破一個帳號并更改口令,我們還有機會重新在短期內(nèi)取得控制權(quán)。

(3)所有帳號權(quán)限需嚴格控制,輕易不要給帳號以特殊權(quán)限;

(4)將Administrator重命名,改為一個不易猜的名字。其他一般帳號也應尊循著一原則。

說明:這樣可以為黑客攻擊增加一層障礙。

(5)將Guest帳號禁用,同時重命名為一個復雜的名字,增加口令,并將它從Guest組刪掉;

說明:有的黑客工具正是利用了guest的弱點,可以將帳號從一般用戶提升到管理員組。

(6)給所有用戶帳號一個復雜的口令(系統(tǒng)帳號出外),長度最少在8位以上,且必須同時包含字母、數(shù)字、特殊字符。同時不要使用大家熟悉的單詞(如microsoft)、熟悉的鍵盤順序(如qwert)、熟悉的數(shù)字(如2000)等。

說明:口令是黑客攻擊的重點,口令一旦被突破也就無任何系統(tǒng)安全可言了,而這往往是不少網(wǎng)管所忽視的地方,據(jù)我們的測試,僅字母加數(shù)字的5位口令在幾分鐘內(nèi)就會被攻破,而所推薦的方案則要安全的多。

(7)口令必須定期更改(建議至少兩周該一次),且最好記在心里,除此以外不要在任何地方做記錄;另外,如果在日志審核中發(fā)現(xiàn)某個帳號被連續(xù)嘗試,則必須立刻更改此帳號(包括用戶名和口令);

(8)在帳號屬性中設立鎖定次數(shù),比如改帳號失敗登錄次數(shù)超過5次即鎖定改帳號。這樣可以防止某些大規(guī)模的登錄嘗試,同時也使管理員對該帳號提高警惕。

2.解除NetBios與TCP/IP協(xié)議的綁定

說明:NetBois在局域網(wǎng)內(nèi)是不可缺少的功能,在網(wǎng)站服務器上卻成了黑客掃描工具的首選目標。方法:NT:控制面版——網(wǎng)絡——綁定——NetBios接口——禁用2000:控制面版——網(wǎng)絡和撥號連接——本地網(wǎng)絡——屬性——TCP/IP——屬性——高級——WINS——禁用TCP/IP上的NETBIOS

3.刪除所有的網(wǎng)絡共享資源

說明:NT與2000在默認情況下有不少網(wǎng)絡共享資源,在局域網(wǎng)內(nèi)對網(wǎng)絡管理和網(wǎng)絡通訊有用,在網(wǎng)站服務器上同樣是一個特大的安全隱患。(卸載“Microsoft網(wǎng)絡的文件和打印機共享”。當查看“網(wǎng)絡和撥號連接”中的任何連接屬性時,將顯示該選項。單擊“卸載”按鈕刪除該組件;清除“Microsoft網(wǎng)絡的文件和打印機共享”復選框?qū)⒉黄鹱饔谩?

方法:

(1)NT:管理工具——服務器管理器——共享目錄——停止共享;

2000:控制面版——管理工具——計算及管理——共享文件夾———停止共享

但上述兩種方法太麻煩,服務器每重啟一次,管理員就必須停止一次

(2)修改注冊表:

運行Regedit,然后修改注冊表在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters下增加一個鍵

Name:AutoShareServer

Type:REG_DWORD

Value:0

然后重新啟動您的服務器,磁盤分區(qū)共享去掉,但IPC共享仍存在,需每次重啟后手工刪除。

4.改NTFS的安全權(quán)限;

說明:NTFS下所有文件默認情況下對所有人(EveryOne)為完全控制權(quán)限,這使黑客有可能使用一般用戶身份對文件做增加、刪除、執(zhí)行等操作,建議對一般用戶只給予讀取權(quán)限,而只給管理員和System以完全控制權(quán)限,但這樣做有可能使某些正常的腳本程序不能執(zhí)行,或者某些需要寫的操作不能完成,這時需要對這些文件所在的文件夾權(quán)限進行更改,建議在做更改前先在測試機器上作測試,然后慎重更改。

5.系統(tǒng)啟動的等待時間設置為0秒,控制面板->系統(tǒng)->啟動/關閉,然后將列表顯示的默認值“30”改為“0”。(或者在boot.ini里將TimeOut的值改為0)

6.只開放必要的端口,關閉其余端口。

說明:缺省情況下,所有的端口對外開放,黑客就會利用掃描工具掃描那些端口可以利用,這對安全是一個嚴重威脅。

現(xiàn)將一些常用端口列表如下:

端口協(xié)議應用程序

21TCPFTP

25TCPSMTP

53TCPDNS

80TCPHTTPSERVER

1433TCPSQLSERVER

5631TCPPCANYWHERE

5632UDPPCANYWHERE

6(非端口)IP協(xié)議

8(非端口)IP協(xié)議

7.加強日志審核;

說明:日志任何包括事件查看器中的應用、系統(tǒng)、安全日志,IIS中的WWW、SMTP、FTP日志、SQLSERVER日志等,從中可以看出某些攻擊跡象,因此每天查看日志是保證系統(tǒng)安全的必不可少的環(huán)節(jié)。安全日志缺省是不記錄,帳號審核可以從域用戶管理器——規(guī)則——審核中選擇指標;NTFS中對文件的審核從資源管理器中選取。要注意的一點是,只需選取你真正關心的指標就可以了,如果全選,則記錄數(shù)目太大,反而不利于分析;另外太多對系統(tǒng)資源也是一種浪費。

8.加強數(shù)據(jù)備份;

說明:這一點非常重要,站點的核心是數(shù)據(jù),數(shù)據(jù)一旦遭到破壞后果不堪設想,而這往往是黑客們真正關心的東西;遺憾的是,不少網(wǎng)管在這一點上作的并不好,不是備份不完全,就是備份不及時。數(shù)據(jù)備份需要仔細計劃,制定出一個策略并作了測試以后才實施,而且隨著網(wǎng)站的更新,備份計劃也需要不斷地調(diào)整。

9.只保留TCP/IP協(xié)議,刪除NETBEUI、IPX/SPX協(xié)議;

說明:網(wǎng)站需要的通訊協(xié)議只有TCP/IP,而NETBEUI是一個只能用于局域網(wǎng)的協(xié)議,IPX/SPX是面臨淘汰的協(xié)議,放在網(wǎng)站上沒有任何用處,反而會被某些黑客工具利用。

10.停掉沒有用的服務,只保留與網(wǎng)站有關的服務和服務器某些必須的服務。

說明:有些服務比如RAS服務、Spooler服務等會給黑客帶來可乘之機,如果確實沒有用處建議禁止掉,同時也能節(jié)約一些系統(tǒng)資源。但要注意有些服務是操作系統(tǒng)必須的服務,建議在停掉前查閱幫助文檔并首先在測試服務器上作一下測試。

11.隱藏上次登錄用戶名,修改注冊表Winnt4.0:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon中增

關鍵詞:Win服務器,解決方案

閱讀本文后您有什么感想? 已有 人給出評價!

  • 1 歡迎喜歡
  • 1 白癡
  • 1 拜托
  • 1 哇
  • 1 加油
  • 1 鄙視