WIN2000服務(wù)器安全配置(二)_Windows教程

      編輯Tag賺U幣
      教程Tag:暫無Tag,歡迎添加,賺取U幣!
      三、 安全配置WIN2000 SERVER
          即使正確的安裝了WIN2000 SERVER,系統(tǒng)還是有很多的漏洞,還需要進(jìn)一步進(jìn)行細(xì)致地配置。
          1.端口:端口是計(jì)算機(jī)和外部網(wǎng)絡(luò)相連的邏輯接口,也是計(jì)算機(jī)的第一道屏障,端口配置正確與否直接影響到主機(jī)的安全,一般來說,僅打開你需要使用的端口會比較安全,配置的方法是在網(wǎng)卡屬性-TCP/IP-高級-選項(xiàng)-TCP/IP篩選中啟用TCP/IP篩選,不過對于win2000的端口過濾來說,有一個不好的特性:只能規(guī)定開哪些端口,不能規(guī)定關(guān)閉哪些端口,這樣對于需要開大量端口的用戶就比較痛苦。
          2.IIS:IIS是微軟的組件中漏洞最多的一個,平均兩三個月就要出一個漏洞,而微軟的IIS默認(rèn)安裝又實(shí)在不敢恭維,所以IIS的配置是我們的重點(diǎn),現(xiàn)在大家跟著我一起來:
      首先,把C盤那個什么Inetpub目錄徹底刪掉,在D盤建一個Inetpub(要是你不放心用默認(rèn)目錄名也可以改一個名字,但是自己要記得),在IIS管理器中將主目錄指向D:\Inetpub;
          其次,那個IIS安裝時默認(rèn)的什么scripts等虛擬目錄一概刪除(罪惡之源呀,忘了?我們雖然已經(jīng)把Inetpub從系統(tǒng)盤挪出來了,但是還是小心為上),如果你需要什么權(quán)限的目錄可以自己慢慢建,需要什么權(quán)限開什么(特別注意寫權(quán)限和執(zhí)行程序的權(quán)限,沒有絕對的必要千萬不要給)。
          第三,應(yīng)用程序配置:在IIS管理器中刪除必須之外的任何無用映射,必須指的是ASP,ASA和其他你確實(shí)需要用到的文件類型,例如你用到stml等(使用server side include),實(shí)際上90%的主機(jī)有了上面兩個映射就夠了,其余的映射幾乎每個都有一個凄慘的故事:htw, htr, idq, ida……想知道這些故事?去查以前的漏洞列表吧。什么?找不到在哪里刪?在IIS管理器中右擊主機(jī)->屬性->WWW服務(wù)編輯->主目錄->配置->應(yīng)用程序映射,然后就開始一個個刪吧(里面沒有全選的,嘿嘿)。接著在剛剛那個窗口的應(yīng)用程序調(diào)試書簽內(nèi)將腳本錯誤消息改為發(fā)送文本(除非你想ASP出錯的時候用戶知道你的程序/網(wǎng)絡(luò)/數(shù)據(jù)庫結(jié)構(gòu))錯誤文本寫什么?隨便你喜歡,自己看著辦。點(diǎn)擊確定退出時別忘了讓虛擬站點(diǎn)繼承你設(shè)定的屬性。
          為了對付日益增多的cgi漏洞掃描器,還有一個小技巧可以參考,在IIS中將HTTP404 Object Not Found出錯頁面通過URL重定向到一個定制HTM文件,可以讓目前絕大多數(shù)CGI漏洞掃描器失靈。其實(shí)原因很簡單,大多數(shù)CGI掃描器在編寫時為了方便,都是通過查看返回頁面的HTTP代碼來判斷漏洞是否存在的,例如,著名的IDQ漏洞一般都是通過取1.idq來檢驗(yàn),如果返回HTTP200,就認(rèn)為是有這個漏洞,反之如果返回HTTP404就認(rèn)為沒有,如果你通過URL將HTTP404出錯信息重定向到HTTP404.htm文件,那么所有的掃描無論存不存在漏洞都會返回HTTP200,90%的CGI掃描器會認(rèn)為你什么漏洞都有,結(jié)果反而掩蓋了你真正的漏洞,讓入侵者茫然無處下手(武俠小說中常說全身漏洞反而無懈可擊,難道說的就是這個境界)?不過從個人角度來說,我還是認(rèn)為扎扎實(shí)實(shí)做好安全設(shè)置比這樣的小技巧重要的多。
          最后,為了保險(xiǎn)起見,你可以使用IIS的備份功能,將剛剛的設(shè)定全部備份下來,這樣就可以隨時恢復(fù)IIS的安全配置。還有,如果你怕IIS負(fù)荷過高導(dǎo)致服務(wù)器滿負(fù)荷死機(jī),也可以在性能中打開CPU限制,例如將IIS的最大CPU使用率限制在70%。

      來源:網(wǎng)絡(luò)搜集//所屬分類:Windows教程/更新時間:2013-04-16
      相關(guān)Windows教程