|
4、精巧设计密码,慎防入侵 <br/>呵呵,看了上面的第2点和第3点,有经验的朋友自然会常想到这一点了。不错,这是老生常谈的事情了,很多服务器被攻陷都是由于管理员密码过于简单而造成的。 <br/>对于密码的设置,我建议:①长度超过8位为宜。②大小写字母、数字、特殊符号的复杂组合,如:G1$2aLe^ ,避免“纯单词”或者“单词加数字”型的密码,如:gale、gale123等。 <br/>特别注意:MSSQL 7.0 中的SA密码千万不能为空!默认情况下“SA”密码是空的,而它的权限是“admin”,想想后果吧。 <br/>5、限制管理员组的用户数量 <br/>严格限制管理员组的用户,时时刻刻保证只有一个Administrator(也就是你自己)是该组的用户。至少每天检查一次该组的用户,发现多增加的用户一律删除!毫无疑问,那新增的用户一定是入侵者留下的后门!同时要注意Guest用户,聪明的入侵者一般不会添加陌生用户名,这样容易被管理员发现行踪,他们通常是先激活Guest用户,然后是更改它的密码,再放到管理员组,但Guest无端跑到管理员组来干嘛?停掉! <br/>6、停止不必要的服务 <br/>服务开的太多也不是个好事,将没有必要的服务通通关掉吧!特别是连管理员都不知道是干什么的服务,还开着干什么!关掉!免得给系统带来灾难。 <br/>另外,管理员如果不外出,不需要远程管理你的计算机的话,最好将一切的远程网络登录功能都关掉。注意,除非特别需要,否则禁用“Task Scheduler”、“RunAs Service”服务! <br/>关闭一项服务的方法很简单,运行cmd.exe之后,直接net stop servername 即可。<br/>比如以下服务可以禁用: <br/> * Alerter (disable) <br/> * ClipBook Server (disable)<br/> * Computer Browser (disable)<br/> * DHCP Client (disable)<br/> * Directory Replicator (disable)<br/> * FTP publishing service (disable)<br/> * License Logging Service (disable)<br/> * Messenger (disable)<br/> * Netlogon (disable)<br/> * Network DDE (disable)<br/> * Network DDE DSDM (disable)<br/> * Network Monitor (disable)<br/> * Plug and Play (disable after all hardware configuration)<br/> * Remote Access Server (disable)<br/> * Remote Procedure Call (RPC) locater (disable)<br/> * Schedule (disable)<br/> * Server (disable)<br/> * Simple Services (disable)<br/> * Spooler (disable)<br/> * TCP/IP Netbios Helper (disable)<br/> * Telephone Service (disable)<br/>在必要时禁止如下服务:<br/> * SNMP service (optional)<br/> * SNMP trap (optional)<br/> * UPS (optional<br/> 设置如下服务为自动启动:<br/> * Eventlog ( required )<br/> * NT LM Security Provider (required)<br/> * RPC service (required)<br/> * WWW (required)<br/> * Workstation (leave service on:will be disabled later in the document)<br/> * MSDTC (required)<br/> * Protected Storage (required)<br/>7、管理员安分守己,不用公司的服务器做私人用途 <br/>Win2K Server 除了可以像服务器之外,同时还可以做个人用户的计算机一样,上网浏览网页、收发E-mail等等。作为管理员,应该尽量少用服务器的浏览器来浏览网页,避免因浏览器的漏洞造成木马感染和公司的隐私信息暴露。微软IE漏洞多多,相信大家不会不知道吧?另外,也少在服务器上使用Outlook等工具来收发E-mail,避免染上病毒,给企业带来损失。 <br/>8、注意本地安全 <br/>防止远程入侵很重要,但系统的本地安全也不容忽视,入侵者不一定在远处,有可能就在身边! <br/>(1)及时打上最新版的补丁,防止输入法漏洞,这是不用再说的了。输入法漏洞不仅是导致本地入侵,如果开了终端服务的话,系统之门就会大开,一个装了终端客户端的机器就可以轻易闯进来! <br/>(2)不显示上次登录的用户 <br/>如果你的机器是不得不多人共用的话(其实,真正的一台服务器是不应该这样的),那禁止显示上次登录的用户很重要,免得别人猜中密码。设置方法是:在[开始]→[程序]→[管理工具]→[本地安全策略],打开“本地策略”的“安全选项”,在右边双击“登录屏幕上不要显示上次登录的用户名”,选中“已启用”,再点击[确定],这样,下次登录的时候就不会在用户名框上显示上次登录过的用户名了。 <br/>2、iis 的安全设置<br/> ■. 关闭并删除默认站点: <br/> 默认FTP站点<br/> 默认Web站点<br/> 管理Web站点<br/> ■. 建立自己的站点,与系统不在一个分区,如<br/> D:\wwwroot3. 建立 E:\Logfiles 目录,以后建立站点时的日志文件均位于此目录,确保此目录上的访问控制权限是: Administrators(完全控制)System(完全控制)<br/> ■. 删除IIS的部分目录: <br/> IISHelp C:\winnt\help\iishelp <br/> IISAdmin C:\system32\inetsrv\iisadmin <br/> MSADC C:\Program Files\Common Files\System\msadc\<br/> 删除 C:\\inetpub <br/>■. 删除不必要的IIS映射和扩展: <br/> IIS 被预先配置为支持常用的文件名扩展如 .asp 和 .shtm 文件。IIS 接收到这些类型的文件请求时,该调用由 DLL 处理。如果您不使用其中的某些扩展或功能,则应删除该 映射,步骤如下: <br/> 打开 Internet 服务管理器:<br/> 选择计算机名,点鼠标右键,选择属性: <br/> 然后选择编辑<br/> 然后选择主目录, 点击配置<br/> 选择扩展名 \".htw\",\".htr\",\".idc\",\".ida\",\".idq\"和\".printer\",点击删除<br/> 如果不使用server side include,则删除\".shtm\" \".stm\" 和 \".shtml\"<br/> ■. 禁用父路径 :<br/> “父路径”选项允许您在对诸如 MapPath 函数调用中使用“..”。在默认情况下,该选项处于启用状态,应该禁用它。 <br/> 禁用该选项的步骤如下:<br/> 右键单击该 Web 站点的根,然后从上下文菜单中选择“属性”。 <br/> 单击“主目录”选项卡。 <br/> 单击“配置”。 <br/> 单击“应用程序选项”选项卡。 <br/> 取消选择“启用父路径”复选框。 <br/> ■. 在虚拟目录上设置访问控制权限 <br/> 主页使用的文件按照文件类型应使用不同的访问控制列表: <br/> CGI (.exe, .dll, .cmd, .pl) <br/> Everyone (X) <br/> Administrators(完全控制)<br/> System(完全控制)<br/> 脚本文件 (.asp) <br/> Everyone (X) <br/> Administrators(完全控制) <br/> System(完全控制) <br/> include 文件 (.inc, .shtm, .shtml) <br/> Everyone (X) <br/> Administrators(完全控制)<br/> System(完全控制) <br/> 静态内容 (.txt, .gif, .jpg, .html) <br/> Everyone (R) <br/> Administrators(完全控制) <br/> System(完全控制) <br/> 在创建Web站点时,没有必要在每个文件上设置访问控制权限,应该为每个文件类型创建一个新目录,然后在每个目录上设置访问控制权限、允许访问控制权限传给各个文件。<br/> 例如,目录结构可为以下形式: <br/> D:\wwwroot\myserver\static (.html) <br/> D:\wwwroot\myserver\include (.inc) <br/> D:\wwwroot\myserver \script (.asp) <br/> D:\wwwroot\myserver \executable (.dll)<br/> D:\wwwroot\myserver\images (.gif, .jpeg)<br/> ■. 启用日志记录 <br/> 确定服务器是否被攻击时,日志记录是极其重要的。<br/> 应使用 W3C 扩展日志记录格式,步骤如下: <br/> 打开 Internet 服务管理器:<br/> 右键单击站点,然后从上下文菜单中选择“属性”。 <br/> 单击“Web 站点”选项卡。 <br/> 选中“启用日志记录”复选框。<br/> 从“活动日志格式”下拉列表中选择“W3C 扩展日志文件格式”。 <br/> 单击“属性”。<br/> 单击“扩展属性”选项卡,然后设置以下属性: <br/> * 客户 IP 地址 <br/> * 用户名 <br/> * 方法 <br/> * URI 资源 <br/> * HTTP 状态 <br/> * Win32 状态 <br/> * 用户代理 <br/> * 服务器 IP 地址 <br/> * 服务器端口 <br/> 六、其他方式达到的安全性<br/>1、安装防火墙软件<br/>■ 安装普通的防火墙软件.抵御一般性攻击.比如:天网防火墙软件 下载地址<br/>■ 安装专业网络检测以及系统防护软件.比如:blackice 下载地址<br/>2、在tcp/ip协议高级中进行端口限制<br/>解除NetBios与TCP/IP协议的绑定 <br/>说明:NetBois在局域网内是不可缺少的功能,在网站服务器上却成了黑客扫描工具的首选目标。方法:NT:控制面版——网络——绑定——NetBios接口——禁用 2000:控制面版——网络和拨号连接——本地网络——属性——TCP/IP——属性——高级——WINS——禁用TCP/IP上的NETBIOS <br/>只开放必要的端口,关闭其余端口。 <br/>说明:缺省情况下,所有的端口对外开放,黑客就会利用扫描工具扫描那些端口可以利用,这对安全是一个严重威胁。 <br/>现将一些常用端口列表如下: <br/> <br/>端口 协议 应用程序 <br/>21 TCP FTP <br/>25 TCP SMTP <br/>53 TCP DNS <br/>80 TCP HTTP SERVER <br/>1433 TCP SQL SERVER <br/>5631 TCP PCANYWHERE <br/>5632 UDP PCANYWHERE <br/>6(非端口) IP协议 <br/>8(非端口) IP协议 <br/>3、加强数据备份; <br/>说明:这一点非常重要,站点的核心是数据,数据一旦遭到破坏后果不堪设想,而这往往是黑客们真正关心的东西;遗憾的是,不少网管在这一点上作的并不好,不是备份不完全,就是备份不及时。数据备份需要仔细计划,制定出一个策略并作了测试以后才实施,而且随着网站的更新,备份计划也需要不断地调整。 <br/>方法:1、计划任务方式<br/> 2、专用软件方式,比如:腾龙数据备份大师. |
发表于 2007-3-16 13:04:59
置顶卡
楼主
发表于 2007-6-7 05:02:56