IIS 7.0比IIS 6.0在安全性上有哪些变化
IIS 7.0以上版本在安全性上引入了很多新特性。本文就从两个系统管理员使用最频繁的功能入手,简单描述下新老IIS版本中在安全性方面有何区别与联系。
身份验证和访问控制
1、以下是IIS 6.0的身份验证方法。IIS 6.0支持匿名验证、集成Windows身份验证、基本身份验证以及域服务器验证等,其中最常用的就是匿名身份验证,也是大部分中小网站能够顺利访问的重要基石。
2、以下是IIS 8.0默认安装后的身份验证截图。从下图中我们不难发现,匿名身份验证依然支持,并且默认启用了。同时安装的还有ASP.NET模拟验证和Forms身份验证,但默认没有启用。IIS 6.0中支持的基本身份验证和域服务器验证默认都没有安装,这也是IIS 7.0以上版本模块化的一个很好体现。
请注意以上表述中的“安装”和“启用”两个词,安装的模块可能没有启用,但启用的模块一定已经安装了。另外,匿名验证除了支持特定Windows用户之外,IIS 7.0以上版本还支持应用程序池用户的匿名验证,这对于使用独立应用程序池的网站是一个更加便捷的选择。
IP地址和域名限制
1、下图是IIS 6.0中的IP地址限制设置图。看上去设置是相当简单的,我们先选择是全部”授权访问“,还是全部”拒绝访问“,然后再设置例外IP地址或IP地址段。
、下图是IIS 8.0中的IP地址和域限制截图。所有的操作都可以在右侧面板中完成,相比老版本的IIS,该功能更加具体详细。同时,还新增了域名限制、代理模式以及动态限制三大亮点。
小结
本文简要的从两个方面对比了IIS 6.0和IIS 7.0以上版本关于安全性方面的变化。除了这两个最常用的功能之外,在SSL、经典模式、管道模式等方面,IIS 7.0也有着长足的改进,有兴趣的读者可以进一步研究。
http://www.zhaomu.com/news/detail-400.html
IIS高能性服务器安全设置的重要性是什么?
1、百度搜索一下iis安全设置
2、还有服务器的安全设置
3、原则上是这样的
(1、删除不必要的端口,2、删除不必要的服务,3、删除不必要的用户组和用户,4、给每个网站配置独立的访客账户,5、给每个网站配置独立的数据库、6、给每个网站配置独立的应用程序池、7、给每个网站设置好读写权限,8、可写入的不能有执行权限。9、可执行的不能有写入权限,10、给服务器系统打好安全补丁,11、给网站系统打好安全补丁。12、给网站做好安全备份。13、给服务器做好杀毒措施,14、删除不必要的网站文件,特别是可以写入的程序文件。15、做好网站后台安全设置
IIS 6.0的特点
可靠性与可伸缩性IIS 6.0提供了更智能的、更可靠的Web服务器环境,新的环境包括应用程序健康监测、应用程序自动地循环利用。其可靠的性能提高了网络服务的可用性并且节省了管理员用于重新启动网络服务所花费的时间,IIS 6.0将提供最佳的扩展性和强大的性能从而充分发挥每一台Web服务器的最大功效。更安全、易于管理 IIS 6.0在安全与管理方面做出了重大的改进。安全性能的增强包括技术与需求处理变化两方面。另外,增强了在安全方面的认证和授权。IIS 6.0的默认安装是被全面锁定的,这意味着默认系统的安全系数就被设为最大,它提供的增强的管理性能改善了XML metabase的管理及新的命令行工具。服务器合并 IIS 6.0是一个具有高伸缩性的Web服务器,它为Web服务器的合并提供了新的机遇。通过将可靠的体系结构和内核模式驱动程序完美结合在一起,IIS 6.0允许您在单台服务器上托管更多的应用程序。服务器合并还可以降低企业与人工、硬件以及站点管理相关的成本。增强的开发与国际化支持 通过Windows Server 2003 与IIS 6.0支持的先进功能如内核模式缓存,应用程序开发人员将从Windows Server 2003 与IIS 6.0 单一的、完整的应用平台环境中受益。基于IIS 6.0,Windows Server 2003为开发者提供高标准的附加功能,包括快速应用程序开发以及广泛的语言选择,同时也提供了国际化支持和支持最新的Web标准。更高的安全性 IIS 6.0显著改进了Web服务器的安全性。IIS 6.0在默认情况下处于锁定状态,从而减少了暴露在攻击者面前的攻击表面积。此外,IIS 6.0的身份验证和授权功能也得到了改进。IIS 6.0还提供了更多更强大的管理功能,改善了对XML元数据库(metabase)的管理,并且提供了新的命令行工具。IIS 6.0在降低系统管理成本的同时,大大提高了信息系统的安全性。
IIS高性能服务器安全设置的重要性是什么?
IIS高性能服务器安全设置的重要性在于首先是删除不必要的端口,服务和用户组和用户以及删除不必要的网站文件,特别是可以写入的程序文件。然后是给每个网站配置独立的访客账户,独立的数据库,独立的应用程序池以及给每个网站设置好读写权限再然后它还可写入的不能有执行权限,可执行的不能有写入权限和给服务器系统打好安全补丁。之后它可以给网站系统打好安全补丁,给网站做好安全备份和给服务器做好杀毒措施,最后它可以做好网站后台安全设置。【感兴趣的话点击此处,免费了解一下】IIS是一种Web(网页)服务组件,其中包括Web服务器、FTP服务器、NNTP服务器和SMTP服务器,分别用于网页浏览、文件传输、新闻服务和邮件发送等方面,它使得在网络(包括互联网和局域网)上发布信息成了一件很容易的事。IIS是企业识别体系重要的有机组成部分,是互联网时代企业必须关注的并进行有效管理的领域。是企业在互联网上的名片,能让企业更好的拥抱互联网时代。亿万克为民族高科技制造企业领导者,自主知识产权,十大关键核心技术,为党政、金融、医疗、教育、电信、电力、交通和制造等各行业和领域的信息化发展和数字化转型提供安全可靠的自主创新解决方案。亿万克服务器真正做到了自主研发、能力内化、安全可信和安全可控。
如何用IIS建立高安全性Web服务器
一、 以Windows NT的安全机制为基础 作为运行在 Windows NT操作系统环境下的IIS,其安全性也应建立在Windows NT安全性的基础之上。 1.应用NTFS文件系统 NTFS可以对文件和目录进行管理,而FAT(文件分配表)文件系统只能提供共享级的安全,建议在安装Windows NT时使用NTFS系统。 2.共享权限的修改 在缺省情况下,每建立一个新的共享,其everyone用户就能享有“完全控制”的共享权限,因此,在建立新共享后要立即修改everyone缺省权限。 3.为系统管理员账号更名 域用户管理器虽可限制猜测口令的次数,但对系统管理员账号却用不上,这可能给非法用户带来攻击管理员账号口令的机会,通过域用户管理器对管理员账号更名不失为一种好办法。具体设置如下: (1) 启动“域用户管理器”; (2) 选中管理员账号; (3) 启动“用户”选单下的“重命名”对其进行修改。 4.废止TCP/IP上的NetBIOS 管理员可以通过构造目标站NetBIOS名与其IP地址之间的映像,对Internet上的其他服务器进行管理,非法用户也可从中找到可乘之机。如果这种远程管理不是必须的,应立即废止(通过网络属性的绑定选项,废止NetBIOS与TCP/IP之间的绑定)。 二、 设置IIS的安全机制 1.安装时应注意的安全问题 (1)避免安装在主域控制器上 (2)避免安装在系统分区上 把IIS安放在系统分区上,会使系统文件与IIS同样面临非法访问,容易使非法用户侵入系统分区。
如何提高WEB服务器的安全?
随着校园网络建设和应用的逐步深入,越来越多的学校建立了自己的Web服务器。IIS(Internet Information Server)作为目前最为流行的Web服务器平台,在校园网中发挥着巨大的作用。因此,了解如何加强IIS的安全机制,建立一个高安全性能的Web服务器就显得尤为重要。
保证系统的安全性
因为IIS是建立在Windows NT/2000操作系统下,安全性也应该建立在系统安全性的基础上,因此,保证系统的安全性是IIS安全性的基础,为此,我们要做以下事情。
1、使用NTFS文件系统
在NT系统中应该使用NTFS系统,NTFS可以对文件和目录进行管理,而FAT文件系统只能提供共享级的安全,而且在默认情况下,每建立一个新的共享,所有的用户就都能看到,这样不利于系统的安全性。和FAT文件系统不同,在NTFS文件下,建立新共享后可以通过修改权限保证系统安全。
2、关闭默认共享
在Windows 2000中,有一个“默认共享”,这是在安装服务器的时候,把系统安装分区自动进行共享,虽然对其访问还需要超级用户的密码,但这是潜在的安全隐患,从服务器的安全考虑,最好关闭这个“默认共享”,以保证系统安全。方法是:单击“开始/运行”,在运行窗口中输入“Regedit”,打开注册表编辑器,展开“HKEY_ LOCAL_MACHINESYSTEMCurrentControlSetanmanworkstationparameters”,在右侧窗口中创建一个名为“AutoShare-
Wks”的双字节值,将其值设置为0,这样就可以彻底关闭“默认共享”。
3、设置用户密码
用户一定要设置密码,用户的密码尽量使用数字与字母大小混排的口令,还需要经常修改密码,封锁失败的登录尝试,并且设定严格的账户生存时间。应避免设置简单的密码,且用户的密码尽可能不要和用户名有任何关联。
保证IIS自身的安全性
在保证系统具有较高安全性的情况下,还要保证IIS的安全性,主要请注意以下事情:
1、要尽量避免把IIS安装在网络中的主域控制器上。因为在安装完IIS后,会在所安装的计算机上生成IUSR_Computername的匿名账户。这个账户会被添加到域用户组中,从而把应用于域用户组的访问权限提供给访问Web服务器的每个匿名用户,这样不仅不能保证IIS的安全性,而且会威胁到主域控制器。
2、限制网站的目录权限。目前有很多的脚本都有可能导致安全隐患,因此在设定IIS中网站的目录权限时,要严格限制执行、写入等权限。
3、经常到微软的站点下载IIS的补丁程序,保证IIS最新版本。
只要提高安全意识,经常注意系统和IIS的设置情况,IIS就会是一个比较安全的服务器平台,能为我们提供安全稳定的服务。
如何配置网络服务器安全
服务器的安全设置很重要,所以相对也会很繁琐,需要进行的操作有很多:
系统漏洞扫描与修复;管理员账号、来宾账号、普通账号、影子账号的优化保护系
统不被黑客恶意添加或修改;
对IIS下的ASP、ASPX网站相关的EXE和DLL文件进行保护操作防止网站被恶意上传和特殊权限的运行;
对系统文件夹下
的关键二进制文件进行保护操作,确保存储的DLL文件和以及其他用于支持、配置或操作的文件的安全;对系统文件夹下的文件进行保护操作,防止系统文件被修
改,以确保系统的正常运行;
对用户配置信息的文件夹进行保护操作,以防止用户当前桌面环境、应用程序设置和个人数据信息的泄露;
对数据库进行权限优化以及
安全加固;
停止了类似Remote Registry(远程修改注册表服务) Remote Desktop Help Session
Manager(远程协助服务)
这种不必要的服务,以防被黑客利用,降低安全隐患;
关闭135和445这类用于远程过程调用,局域网中轻松访问各种共享文件夹或共享打印机的端口;
禁止掉
ICP空连接功能,以防止连接者与目标主机建立无需用户名与密码的空连接造成的风险出现;
配置backlog,提高网络并发性及网络的处理能力;
优化设置
SYN-ACK等待时间,检查无效网关用以提高网络性能;
检查TCPIP协议栈IGMP堆栈溢出本地拒绝服务、检查ICMP重定向报文,并进行优化操作,
防止被用于攻击;
禁止路由发现功能,用以防止ICMP路由通告报文带来的增加路由表纪录的攻击;
限制处于TIME_WAIT状态的最长时间,使运行的应用
程序可以更快速地释放和创建连接;
卸载掉wshom.ocx组件和shell32.dll组件,防止默认允许asp运行、exe可执行文件带来的安全隐
患;
禁止掉系统自动启动服务器共享的功能,用以防止服务器上的资源被共享功能泄露出去。
在手动配置的同时也可以安装服务器安全狗进行相应的设置,能够更加的完善服务器的安全设置,并且服务器安全狗也能给服务器提供实时防护,一举两得,新手和老手同样适合使用,免费又安全。建议可以去试试
我的服务器用的是小鸟云的,性能稳定,访问很流畅。
iis如何给ASP执行权限
先看IIS设置中“主目录”中的执行权限是不是“纯脚本”
1。然后看你的网站把在盘是不是NTFS格式,是的话看网站所在文件夹的读写权限EVERYONE用户组是否有读取的权限,如果有数据库还要有写的权限。
2。右键点击你网站的文件夹,在共享方式里面选择访问方式。
还有在IIS里面也要设置一下访问以“纯脚本”方式访问,并且设置asp为优先
iis的用户权限怎样设置
ASP 执行时,是以"IUSR_机器名"的身份访问硬盘的,这里没给该用户帐号权限,ASP
也就不能读写硬盘上的文件了。 下面要做的就是给每个虚拟主机用户设置一个单独的用户帐号,然后再给每个帐号分配一个允许其完全控制的目录。 如下图所示,打开"计算机管理"→"本地用户和组"→"用户",在右栏中点击鼠标右键,在弹出的菜单中选择"新用户":
在弹出的"新用户"对话框中根据实际需要输入"用户名"、"全名"、"描述"、"密码"、"确认密码",并将"用户下次登录时须更改密码"前的对号去掉,选中"用户不能更改密码"和"密码永不过期"。本例是给第一虚拟主机的用户建立一个匿名访问
Internet 信息服务的内置帐号"IUSR_VHOST1", 访问此虚拟主机时,都是以这个身份来访问的。输入完成后点"创建"即可。可以根据实际需要,创建多个用户,创建完毕后点"关闭":
现在新建立的用户已经出现在帐号列表中了,在列表中双击该帐号,以便进一步进行设置:
在弹出的"IUSR_VHOST1"(即刚才创建的新帐号)属性对话框中点"隶属于"选项卡:
刚建立的帐号默认是属于"Users"组,选中该组,点"删除":
现在出现的是如下图所示,此时再点"添加":
在弹出的"选择
组"对话框中找到"Guests",点"添加",此组就会出现在下方的文本框中,然后点"确定":
出现的就是如下图所示的内容,点"确定"关闭此对话框:
打开"Internet
信息服务",开始对虚拟主机进行设置,本例中的以对"第一虚拟主机"设置为例进行说明,右击该主机名,在弹出的菜单中选择"属性":
弹出一个"第一虚拟主机
属性"的对话框,从对话框中可以看到该虚拟主机用户的使用的是"F:\VHOST1"这个文件夹:
暂时先不管刚才的"第一虚拟主机
属性"对话框,切换到"资源管理器",找到"F:\VHOST1"这个文件夹,右击,选"属性"→"安全"选项卡,此时可以看到该文件夹的默认安全设置是"Everyone"完全控制(视不同情况显示的内容不完全一样),首先将最将下的"允许将来自父系的可继承权限传播给该对象"前面的对号去掉:
此时会弹出如下图所示的"安全"警告,点"删除":
此时安全选项卡中的所有组和用户都将被清空(如果没有清空,请使用"删除"将其清空),然后点"添加"按钮。
将如图中所示的"Administrator"及在前面所创建的新帐号"IUSR_VHOST1"添加进来,
将给予完全控制的权限,还可以根据实际需要添加其他组或用户,但一定不要将"Guests"组、
"IUSR_机器名"这些匿名访问的帐号添加上去!
再切换到前面打开的"第一虚拟主机
属性"的对话框,打开"目录安全性"选项卡,点匿名访问和验证控制的"编辑":
在弹出的"验证方法"对方框(如下图所示),点"编辑":
弹出了"匿名用户帐号",默认的就是"IUSR_机器名",点"浏览":
在"选择
用户"对话框中找到前面创建的新帐号"IUSR_VHOST1",双击:
此时匿名用户名就改过来了,在密码框中输入前面创建时,
为该帐号设置的密码:
再确定一遍密码:
OK,完成了,点确定关闭这些对话框。 经此设置
后,"第一虚拟主机"的用户,使用 ASP 的
FileSystemObject 组件也只能访问自己的目录:
F:\VHOST1
下的内容,当试图访问其他内容时,会出现诸如
"没有权限"、"硬盘未准备好"、"5a8zd_00
服务器内部错误"等出错提示了。
另:如果该用户需要读取硬盘的分区容量及硬盘的序列号,那这样的设置将使其无法读取。如果要允许其读取这些和整个分区有关的内容,请右键点击该硬盘的分区(卷),选择"属性"→"安全",将这个用户的帐号添加到列表中,并至少给予"读取"权限。由于该卷下的子目录都已经设置为"禁止将来自父系的可继承权限传播给该对象",所以不会影响下面的子目录的权限设置。
windows 2000操作系统的安全机制有哪些
安全描述符、访问控制列表、访问令牌、访问掩码等
初级安全篇
1.物理安全
服务器应该安放在安装了监视器的隔离房间内,并且监视器要保留15天以上的摄像记录。另外,机箱,键盘,电脑桌抽屉要上锁,以确保旁人即使进入房间也无法使用电脑,钥匙要放在另外的安全的地方。
2.停掉Guest 帐号
在计算机管理的用户里面把guest帐号停用掉,任何时候都不允许guest帐号登陆系统。为了保险起见,最好给guest 加一个复杂的密码,你可以打开记事本,在里面输入一串包含特殊字符,数字,字母的长字符串,然后把它作为guest帐号的密码拷进去。
3.限制不必要的用户数量
去掉所有的duplicate user 帐户, 测试用帐户, 共享帐号,普通部门帐号等等。用户组策略设置相应权限,并且经常检查系统的帐户,删除已经不在使用的帐户。这些帐户很多时候都是嘿客们入侵系统的突破口,系统的帐户越多,嘿客们得到合法用户的权限可能性一般也就越大。国内的nt/2000主机,如果系统帐户超过10个,一般都能找出一两个弱口令帐户。我曾经发现一台主机197个帐户中竟然有180个帐号都是弱口令帐户。
4.创建2个管理员用帐号
虽然这点看上去和上面这点有些矛盾,但事实上是服从上面的规则的。 创建一个一般权限帐号用来收信以及处理一些*常事物,另一个拥有Administrators 权限的帐户只在需要的时候使用。可以让管理员使用 “ RunAS” 命令来执行一些需要特权才能作的一些工作,以方便管理。
5.把系统administrator帐号改名
大家都知道,windows 2000 的administrator帐号是不能被停用的,这意味着别人可以一遍又一边的尝试这个帐户的密码。把Administrator帐户改名可以有效的防止这一点。当然,请不要使用Admin之类的名字,改了等于没改,尽量把它伪装成普通用户,比如改成:guestone 。
6.创建一个陷阱帐号
什么是陷阱帐号? Look!>创建一个名为” Administrator”的本地帐户,把它的权限设置成最低,什么事也干不了的那种,并且加上一个超过10位的超级复杂密码。这样可以让那些 Scripts s忙上一段时间了,并且可以借此发现它们的入侵企图。或者在它的login scripts上面做点手脚。嘿嘿,够损!
7.把共享文件的权限从”everyone”组改成“授权用户”
“everyone” 在win2000中意味着任何有权进入你的网络的用户都能够获得这些共享资料。任何时候都不要把共享文件的用户设置成”everyone”组。包括打印共享,默认的属性就是”everyone”组的,一定不要忘了改。
8.使用安全密码
一个好的密码对于一个网络是非常重要的,但是它是最容易被忽略的。前面的所说的也许已经可以说明这一点了。一些公司的管理员创建帐号的时候往往用公司名,计算机名,或者一些别的一猜就到的东西做用户名,然后又把这些帐户的密码设置得N简单,比如 “welcome” “iloveyou” “letmein”或者和用户名相同等等。这样的帐户应该要求用户首此登陆的时候更改成复杂的密码,还要注意经常更改密码。前些天在IRC和人讨论这一问题的时候,我们给好密码下了个定义:安全期内无法破解出来的密码就是好密码,也就是说,如果人家得到了你的密码文档,必须花43天或者更长的时间才能破解出来,而你的密码策略是42天必须改密码。
9.设置屏幕保护密码
很简单也很有必要,设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。注意不要使用OpenGL和一些复杂的屏幕保护程序,浪费系统资源,让他黑屏就可以了。还有一点,所有系统用户所使用的机器也最好加上屏幕保护密码。
10. 使用NTFS格式分区
把服务器的所有分区都改成NTFS格式。NTFS文件系统要比FAT,FAT32的文件系统安全得多。这点不必多说,想必大家得服务器都已经是NTFS的了。
11.运行防毒软件
我见过的Win2000/Nt服务器从来没有见到有安装了防毒软件的,其实这一点非常重要。一些好的杀毒软件不仅能杀掉一些著名的病毒,还能查杀大量木马和后门程序。这样的话,“嘿客”们使用的那些有名的木马就毫无用武之地了。不要忘了经常升级病毒库
12.保障备份盘的安全
一旦系统资料被破坏,备份盘将是你恢复资料的唯一途径。备份完资料后,把备份盘防在安全的地方。千万别把资料备份在同一台服务器上,那样的话,还不如不要备份。
中级安全篇:
1.利用win2000的安全配置工具来配置策略
微软提供了一套的基于MMC(管理控制台)安全配置和分析工具,利用他们你可以很方便的配置你的服务器以满足你的要求。具体内容请参考微软主页:
http://www.microsoft.com/windows2000/techi...y/sctoolset.asp
2.关闭不必要的服务
windows 2000 的 Terminal Services(终端服务),IIS ,和RAS都可能给你的系统带来安全漏洞。为了能够在远程方便的管理服务器,很多机器的终端服务都是开着的,如果你的也开了,要确认你已经正确的配置了终端服务。有些恶意的程序也能以服务方式悄悄的运行。要留意服务器上面开启的所有服务,中期性(每天)的检查他们。下面是C2级别安装的默认服务:
Computer Browser service TCP/IP NetBIOS Helper
Microsoft DNS server Spooler
NTLM SSP Server
RPC Locator WINS
RPC service Workstation
Netlogon Event log
3.关闭不必要的端口
关闭端口意味着减少功能,在安全和功能上面需要你作一点决策。如果服务器安装在防火墙的后面,冒的险就会少些,但是,永远不要认为你可以高枕无忧了。用端口扫描器扫描系统所开放的端口,确定开放了哪些服务是嘿客入侵你的系统的第一步。\system32\drivers\etc\services 文件中有知名端口和服务的对照表可供参考。具体方法为:
网上邻居>属性>本地连接>属性>internet 协议(tcp/ip)>属性>高级>选项>tcp/ip筛选>属性 打开tcp/ip筛选,添加需要的tcp,udp,协议即可。
4.打开审核策略
开启安全审核是win2000最基本的入侵检测方法。当有人尝试对你的系统进行某些方式(如尝试用户密码,改变帐户策略,未经许可的文件访问等等)入侵的时候,都会被安全审核记录下来。很多的管理员在系统被入侵了几个月都不知道,直到系统遭到破坏。下面的这些审核是必须开启的,其他的可以根据需要增加:
策略 设置
审核系统登陆事件 成功,失败
审核帐户管理 成功,失败
审核登陆事件 成功,失败
审核对象访问 成功
审核策略更改 成功,失败
审核特权使用 成功,失败
审核系统事件 成功,失败
5.开启密码密码策略
策略 设置
密码复杂性要求 启用
密码长度最小值 6位
强制密码历史 5 次
强制密码历史 42 天
6.开启帐户策略
策略 设置
复位帐户锁定计数器 20分钟
帐户锁定时间 20分钟
帐户锁定阈值 3次
7.设定安全记录的访问权限
安全记录在默认情况下是没有保护的,把他设置成只有Administrator和系统帐户才有权访问。
8.把敏感文件存放在另外的文件服务器中
虽然现在服务器的硬盘容量都很大,但是你还是应该考虑是否有必要把一些重要的用户数据(文件,数据表,项目文件等)存放在另外一个安全的服务器中,并且经常备份它们。
9.不让系统显示上次登陆的用户名
默认情况下,终端服务接入服务器时,登陆对话框中会显示上次登陆的帐户明,本地的登陆对话框也是一样。这使得别人可以很容易的得到系统的一些用户名,进而作密码猜测。修改注册表可以不让对话框里显示上次登陆的用户名,具体是:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\DontDisplayLastUserName
把 REG_SZ 的键值改成 1 .
10.禁止建立空连接
默认情况下,任何用户通过通过空连接连上服务器,进而枚举出帐号,猜测密码。我们可以通过修改注册表来禁止建立空连接:
Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成”1”即可。
10.到微软网站下载最新的补丁程序
很多网络管理员没有访问安全站点的习惯,以至于一些漏洞都出了很久了,还放着服务器的漏洞不补给人家当靶子用。谁也不敢保证数百万行以上代码的2000不出一点安全漏洞,经常访问微软和一些安全站点,下载最新的service pack和漏洞补丁,是保障服务器长久安全的唯一方法。
高级篇:
1. 关闭 DirectDraw
这是C2级安全标准对视频卡和内存的要求。关闭DirectDraw可能对一些需要用到DirectX的程序有影响(比如游戏,在服务器上玩星际争霸?我晕..$%$^%^&??),但是对于绝大多数的商业站点都应该是没有影响的。 修改注册表 HKLM\SYSTEM\CurrentControlSet\Control\GraphicsDrivers\DCI 的Timeout(REG_DWORD)为 0 即可。
2.关闭默认共享
win2000安装好以后,系统会创建一些隐藏的共享,你可以在cmd下打 net share 查看他们。网上有很多关于IPC入侵的文章,相信大家一定对它不陌生。要禁止这些共享 ,打开 管理工具>计算机管理>共享文件夹>共享 在相应的共享文件夹上按右键,点停止共享即可,不过机器重新启动后,这些共享又会重新开启的。
默认共享目录 路径和功能
C$ D$ E$ 每个分区的根目录。Win2000 Pro版中,只有Administrator
和Backup Operators组成员才可连接,Win2000 Server版本
Server Operatros组也可以连接到这些共享目录
ADMIN$ %SYSTEMROOT% 远程管理用的共享目录。它的路径永远都
指向Win2000的安装路径,比如 c:\winnt
FAX$ 在Win2000 Server中,FAX$在fax客户端发传真的时候会到。
IPC$ 空连接。IPC$共享提供了登录到系统的能力。
NetLogon 这个共享在Windows 2000 服务器的Net Login 服务在处
理登陆域请求时用到
PRINT$ %SYSTEMROOT%\SYSTEM32\SPOOL\DRIVERS 用户远程管理打印机
解决办法:
打开注册表编辑器。REGEDIT
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
在右边建立一个名为AutoShareServer的DWORD键。值为0
3.禁止dump file的产生
dump文件在系统崩溃和蓝屏的时候是一份很有用的查找问题的资料(不然我就照字面意思翻译成垃圾文件了)。然而,它也能够给嘿客提供一些敏感信息比如一些应用程序的密码等。要禁止它,打开 控制面板>系统属性>高级>启动和故障恢复 把 写入调试信息 改成无。要用的时候,可以再重新打开它。
4.使用文件加密系统EFS
Windows2000 强大的加密系统能够给磁盘,文件夹,文件加上一层安全保护。这样可以防止别人把你的硬盘挂到别的机器上以读出里面的数据。记住要给文件夹也使用EFS,而不仅仅是单个的文件。 有关EFS的具体信息可以查看
http://www.microsoft.com/windows2000/techi...ity/encrypt.asp
5.加密temp文件夹
一些应用程序在安装和升级的时候,会把一些东西拷贝到temp文件夹,但是当程序升级完毕或关闭的时候,它们并不会自己清除temp文件夹的内容。所以,给temp文件夹加密可以给你的文件多一层保护。
6.锁住注册表
在windows2000中,只有administrators和Backup Operators才有从网络上访问注册表的权限。如果你觉得还不够的话,可以进一步设定注册表访问权限,详细信息请参考:
http://support.microsoft.com/support/kb/ar...s/Q153/1/83.asp
7.关机时清除掉页面文件
页面文件也就是调度文件,是win2000用来存储没有装入内存的程序和数据文件部分的隐藏文件。一些第三方的程序可以把一些没有的加密的密码存在内存中,页面文件中也可能含有另外一些敏感的资料。 要在关机的时候清楚页面文件,可以编辑注册表
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management
把ClearPageFileAtShutdown的值设置成1。
8.禁止从软盘和CD Rom启动系统
一些第三方的工具能通过引导系统来绕过原有的安全机制。如果你的服务器对安全要求非常高,可以考虑使用可移动软盘和光驱。把机箱锁起来扔不失为一个好方法。
9.考虑使用智能卡来代替密码
对于密码,总是使安全管理员进退两难,容易受到 10phtcrack 等工具的攻击,如果密码太复杂,用户把为了记住密码,会把密码到处乱写。如果条件允许,用智能卡来代替复杂的密码是一个很好的解决方法。
10.考虑使用IPSec
正如其名字的含义,IPSec 提供 IP 数据包的安全性。IPSec 提供身份验证、完整性和可选择的机密性。发送方计算机在传输之前加密数据,而接收方计算机在收到数据之后解密数据。利用IPSec可以使得系统的安全性能大大增强。
可信操作系统一般具有哪些关键的安全特征
安全操作系统是指计算机信息系统在自主访问控制、强制访问控制、标记、身份鉴别、客体重用、审计、数据完整性、隐蔽信道分析、可信路径、可信恢复等十个方面满足相应的安全技术要求。 安全操作系统主要特征: 1 、最小特权原则,即每个特权用户只拥有能进行他工作的权力; 2、自主访问控制;强制访问控制,包括保密性访问控制和完整性访问控制; 3 、安全审计; 4 、安全域隔离。只要有了这些最底层的安全功能,各种混为“ 应用软件 ” 的病毒、木马程序、网络入侵和人为非法操作才能被真正抵制,因为它们违背了操作系统的安全规则,也就失去了运行的基础。过去,微软一直以在操作系统上捆绑许多额外特性而著称,这些额外特性大多数是以默认的服务访问权限进行安装的。Windows Server 2003打破了这种传统的模式,使得在Windows 2000 Server默认情况下能够运行的二十多种服务被关闭或者使其以更低的权限运行。在Windows 2003中,两个最重要的安全特性的革新在于直接处理IIS和Telnet服务器。IIS和Telnet在默认的情况下都没有安装,并且这两个服务是在两个新的账户下运行,新账户的权限比正常系统账户的权限要低。如果恶意的软件危及到这两个服务时,这种革新将直接改善服务器的安全性。与IIS和Telnet上的服务账户改进一起,Windows 2003还包含了大量的新的安全特性,也许,这些新的安全特性将是你决定升级到Windows Server 2003的决定因素。新的安全特性1.Internet连接防火墙(ICF)ICF是一个软件防火墙,它为用户的网络服务器提供了基本的端口安全性。它与用户当前的安全设备一起工作,给用户的关键的基础设施增加了一层保护。2.软件限制策略软件限制策略使用策略和强制执行机制,来限制系统上运行的未授权的可执行程序。这些限制是一些额外的手段,以防止用户执行那些不是该公司标准用户软件套件中的程序。3.网页服务器的安全性当装载了IIS 6.0的默认安装时,网页服务器的安全性将达到最大化。新的IIS 6.0安全特性包括可选择的加密服务,高级的摘要认证以及可配置的过程访问控制。4.新的摘要安全包新的摘要安全包支持在RFC 2617中定义的摘要认证协议。该包对IIS和活动目录(AD)提供了更高级的保护。5.改善了以太局域网和无线局域网的安全性不论连接的介质是什么,基于IEEE 802.1X规范改进了以太局域网和无线局域网的安全性,促进了用户和计算机的安全认证和授权。这些改进也支持公钥证书和智能卡的自动注册,使得能够对传统的位于或者横跨公共场所的网络进行访问控制,例如大学校园的广域网(WAN)和横穿大城市的政府广域网(WAN)。6.凭证管理器对于所有的用户凭证,包括口令密码和X.509证书,凭证管理器提供了一个安全的仓库。这个特性使得单一的签名特性可以获得多个领域的信任。7.Internet认证服务器和远程认证拨号用户服务器(IAS/RADIUS)Internet认证服务器和远程认证拨号用户服务器(IAS/RADIUS)控制远程的用户认证和授权访问。对于不同的连接类型,例如拨号上网,虚拟专用网(VPNs)以及防火墙连接,该服务都是很实用的。8.FIPS——广为认可的内核模式加密算法联邦信息处理标准(FIPS)算法支持SHA-1、DES、3DES和一个随机数发生器。这种政府级的加密模式用于加密通过VPN使用第二层隧道协议(L2TP)和IP安全(IPSec)建立的连接,这种连接或是从客户端到服务器,或是从服务器到服务器,或是从网关到网关。9.改进的SSL客户端认证安全套接字层(SSL)客户端认证的改进使得会话速度可以提高35%,而且多个进程可以缓存和共享会话。这样可以减少用户对应用程序的认证,从而减少应用程序服务器上的网络通信量和CPU工作周期。10.增强的EFS加密文件服务(EFS)的改进允许管理员和用户提供给多个用户访问多组加密文件的可能。它还提供了额外的文件存储保护和最大数量的用户容量。除了这些新的安全特性之外,微软已经发行了一个安全配置管理器,用于将整个操作系统的安全选项集合成一个管理控制台。安全配置规则一、物理安全服务器应当放置在安装了监视器的隔离房间内,并且监视器应当保留15天以内的录像记录。另外,机箱、键盘、抽屉等要上锁,以保证旁人即使在无人值守时也无法使用此计算机,钥匙要放在安全的地方。二、停止Guest帐号在[计算机管理]中将Guest帐号停止掉,任何时候不允许Guest帐号登录系统。为了保险起见,最好给Guest帐号加上一个复杂的密码,并且修改Guest帐号属性,设置拒绝远程访问。三、限制用户数量去掉所有的测试帐户、共享帐号和普通部门帐号,等等。用户组策略设置相应权限、并且经常检查系统的帐号,删除已经不适用的帐号。很多帐号不利于管理员管理,而黑客在帐号多的系统中可利用的帐号也就更多,所以合理规划系统中的帐号分配。四、多个管理员帐号管理员不应该经常使用管理者帐号登录系统,这样有可能被一些能够察看Winlogon进程中密码的软件所窥探到,应该为自己建立普通帐号来进行日常工作。同时,为了防止管理员帐号一旦被入侵者得到,管理员拥有备份的管理员帐号还可以有机会得到系统管理员权限,不过因此也带来了多个帐号的潜在安全问题。五、管理员帐号改名在Windows 2000系统中管理员Administrator帐号是不能被停用的,这意味着攻击者可以一再尝试猜测此帐户的密码。把管理员帐户改名可以有效防止这一点。不要将名称改为类似Admin之类,而是尽量将其伪装为普通用户。六、陷阱帐号和第五点类似、在更改了管理员的名称后,可以建立一个Administrator的普通用户,将其权限设置为最低,并且加上一个10位以上的复杂密码,借此花费入侵者的大量时间,并且发现其入侵企图。七、更改文件共享的默认权限将共享文件的权限从“Everyone"更改为"授权用户”,”Everyone"意味着任何有权进入网络的用户都能够访问这些共享文件。八、安全密码安全密码的定义是:安全期内无法破解出来的密码就是安全密码,也就是说,就算获取到了密码文档,必须花费42天或者更长的时间才能破解出来(Windows安全策略默认42天更改一次密码,如果设置了的话)。九、屏幕保护 / 屏幕锁定 密码防止内部人员破坏服务器的一道屏障。在管理员离开时,自动加载。十、使用NTFS分区比起FAT文件系统,NTFS文件系统可以提供权限设置、加密等更多的安全功能。十一、防病毒软件Windows操作系统没有附带杀毒软件,一个好的杀毒软件不仅能够杀除一些病毒程序,还可以查杀大量的木马和黑客工具。设置了杀毒软件,黑客使用那些著名的木马程序就毫无用武之地了。同时一定要注意经常升级病毒库 !十二、备份盘的安全一旦系统资料被黑客破坏,备份盘将是恢复资料的唯一途径。备份完资料后,把备份盘放在安全的地方。不能把备份放置在当前服务器上,那样的话还不如不做备份。(二) Windows Server 2003的安全结构体系 Windows Server 2003是目前最为成熟的网络服务器平台,安全性相对于Windows 2000有很大的提高,本节就从Windows 2003的安全结构体系入手,带领大家学习Windows 2003的安全结构特性。LSA组件概述身份验证1.LSA组件概述身份验证是通过基于密码的事务处理来实现的,其中涉及Kerberos或者经典NT LanMan(NTLM)Challenge-Response(质询-响应)。Windows 2003使用名为“安全描述符”的特殊数据结构来保护资源。安全描述符指出谁能访问一个资源,以及他们能对这个资源采取什么操作。所有进程都由定义了用户安全上下文的“访问令牌”来进行标识。审核由安全系统中的特殊功能完成,它们能记录对安全记录的访问。在本地安全机构(Local Security Authority,LSA)组件中,包含作为Windows Executive一部分来执行的“核心模式”服务,以及对客户端-服务进程(比如交互式登录和网络访问权限的授予)进行控制的“用户模式”服务。LSA中的用户模式安全服务包含在两个可执行程序中,即“本地安全机构子系统(Local Security Subsystem,LSASS.EXE)”以及Winlogon.exe。LSASS容纳着以下进程:(1)Kerberos KDC。该服务提供Kerberos身份验证和票证授予服务。它使用AD来存储安全身份凭据。(2)NTLM安全性支持提供者。它支持所有下级客户端以及非域成员的现代Windows客户端。(3)Netlogon。处理来自下级客户的“直通(Pass-Through)”式身份验证,从而提供对经典NT身份验证的支持。但不支持Kerberos事务处理。在基于AD的域控制器上,它负责注册DNS记录。(4)IPSec。这个服务管理IP Security连接策略和IPSec Internet Key Exchange(IKE)。(5)保护性存储(Protected Storge)。这个服务负责加密并安全存储与PKI子系统关联的证书。LSA组件的“封装”2.LSA组件访问一个服务器上的安全资源时,对这个所将发生的安全事务处理进行管理的服务称为“封装”或者“包”。有两种类型的封装:身份验证封装和安全性封装。(1)身份验证封装。Microsoft提供了Kerberos和MSV1_0(质询-响应)两种身份验证封装。Windows支持源于DOS的客户端(Windows Me以下)所用的LanMan(LM)质询-响应,以及NT客户端和非域成员的现代Windows客户端所用的NT LanMan(NTLM)质询-响应。(2)经典安全性数据库。NTLM身份验证将安全信息存储在注册表的3个数据库中。①builtin:这个数据库包含Administraotr和Guest两个默认的用户账户,另外还有各个默认组,如用于域的Domain Users及用于工作站和独立服务器的Power User组。Builtin账户包含在SAM注册表分支中。②安全账户管理器(SAM):这个数据库包含了本地用户和组账户。③LSA:这个数据库包含了计算机的密码规则、系统策略以及可信账户。LSA数据库包含在Security Registry分支中,这个分支也包含了SAM数据库的一个副本。Windows得登录身份凭据3.WINLOGONLSA需要某种机制从用户处获得登录身份凭据。负责获取这些身份凭据的可执行程序就是Windows exe,当按下Ctrl+Alt+Del组合键时,就调用 Winlogon exe。Winlogon所提供的窗口来源于一个名为“图形标识和身份验证”的DLL。用户登录时,LSA会构建一个访问令牌,用身份安全系统描述这个用户。由用户所有的一个进程在尝试访问一个安全对象时,安全性参考监视器(SRM)会将安全描述中的SID与用户访问令牌中的SID进行比较,并依此得出用户的访问权限集合。用户连接到一个服务器时,服务器上的LSASS必须建立代表该用户的一个本地访问令牌,并将令牌附加到用户的进程上。LSASS通过两种方式以获取构建这个本地访问令牌所需的信息:· 如果是Kerberos身份验证,它从客户端出示的Kerberos会话票证的Authorization Data字段中获取信息。· 如果是NTLM身份验证,它从一个域控制器获取信息,这是作为“直通”式身份验证过程的一部分来完成的。LSA工作过程4.LSA工作过程概述(1)Windows从用记收集登录身份信息。(2)LSASS获取这些身份凭据,并在Kerberos或者NTLM的帮助(通过MSV1_))下使用这些凭据来验证用户的身份。这是“身份验证”阶段。(3)LSASS构建一个访问令牌,它定义用户的访问权限和系统权限。(4)安全性参考监视器(Security Reference Monitor,SRM)将这个令牌与对象的安全描述符中的访问控制列表(Access Control List,ACL)进行比较,判断是否允许用户访问。这是“授权”阶段。(5)最后,LSASS和SRM配合,监视对安全对象的访问,并生成报告来记录部分或者全部事件。这是“审核”阶段。