台灣最大程式設計社群網站
線上人數
1579
 
會員總數:245468
討論主題:189226
歡迎您免費加入會員
討論區列表 >> 網管 / 資安 / VM >> 關於NT、IIS系統配置的安全性建議....必看
[]  
[我要回覆]
回應主題 加入我的關注話題 檢舉此篇討論 將提問者加入個人黑名單
關於NT、IIS系統配置的安全性建議....必看
價值 : 0 QP  點閱數:1650 回應數:0

樓主

黑白
初學者
138 39
92 49
發送站內信

1、使用最新版本的Microsoft Internet Information Server4.0,並安裝NT最新版本的Service Pack5,服務器的文件系統不要使用FAT,應該使用NTFS。 

2、把IIS中的sample、scripts、iisadmin和msadc等web目錄設置為禁止匿名訪問並限制IP地址。在微軟還沒有提供補丁之前,把ism.dll有關的應用程序映射刪除。 

3、有條件的話就採用防火牆機制,最簡單的如web服務開在前台,目錄放在後台,如果能一個服務一台機當然最好。 

4、Web目錄,CGI目錄,scripts目錄和winnt目錄等重要目錄要用NTFS的特性設置詳細的安全權限,包含註冊表信息的Winnt目錄只允許管理員完全控制,一般的用戶只讀的權限也不要給。凡是與系統有關的重要文件,除了Administrator,其它帳號都應該設置為只讀權限,而不是everyone/完全控制 。 

5、只開你需要的服務,block掉所有不應該打開的端口,如NetBios端口139,這是一個典型的危險端口;怎樣禁止這些端口?除了使用防火牆外,NT的Tcp/IP設置裡面也提供了這種功能:打開控制面板-網絡-協議-TCP/IP-屬性-高級-啟用安全機制-配置,這裡面提供了TCP和UDP端口的限制和IP協議的限制功能。 

6、管理員的帳號要設置得複雜一些,建議加入特殊字符。 

7、把FTP,Telnet的TCP端口改為非標準端口,通常我都是設置到10000~65000的範圍 

8、刪除可以刪除的所有共享,包括打印機共享和隱藏的共享如ICP$,Admin$等,微軟說這些特殊共享資源很重要,大多數情況下不能刪除,而實際上放在Internet上的機器大多數不需要共享。 

IPC$: 適用於遠程管理計算機和查看共享資源,在網上最好不要用 

Admin$: 實際上就是 c:\winnt,也沒有必要共享 

C$: 登錄為Admin和Backup-operator的用戶可以用\\計算機名\C$的方式訪問C盤,雖然僅限於局域網,但是遠程黑客也有辦法偽裝成局域網的登錄用戶,所以都應該關掉。 

Print$: 這是放打印機驅動程序的目錄,與上面的一樣也是個很危險的入口。 

Netlogon: 這是處理域登錄請求的共享。如果你的機器為主域控制器,域內有其它機器要登錄進來,就不要刪除它,否則照樣可以刪除。 

如何關閉這些共享?用「服務器管理器」—>「共享目錄」—>「停止共享」 

9、將ASP的目錄集中管理,ASP的程序目錄設置詳盡的訪問權限,一般建議不要使用「讀」權限。 

10、把winnt下的sam._文件改名,實踐證明這個可能洩露密碼的文件可以刪除不要。 

11、對於已知的NT安全漏洞,都應該在自己的機器上做測試檢查。並及時安裝補丁程序。 

12、有必要的情況下採用IIS4.0提供的SSL安全通信機制來防止數據在網上被截獲。 
===================
黑白駭客網
http;//www.5gogo.com
===================

本篇文章發表於2003-02-04 16:27
別忘捐VP感謝幫助你的人 新手會員瞧一瞧
目前尚無任何回覆
   

回覆
如要回應,請先登入.