Web站点的 Win2000服务器安全解决方案
Web服务器的安全问题及对策
网 络
数字化系统 安 全
数据库 Windows Office 多媒体 PC 硬件
服务器
Linux Bug & Fix 疑难解答
的数据都保存在浪潮英信NS3500 SCSI磁 盘阵列上,进行集中存储,主要优点如下: 一,当需要进行服务器的应用切换时,不 需要对大量的数据进行转移,只需要将数 据流通的路线加以转换就可以完成,真正 实现数据和应用分离,即使当一个机器出 现故障时,可以将数据的使用权限自动切 换到备用服务器上,这样大大减少了以往 的将自身的数据传递给备用服务器的切换 时间,对数据也有很好的保护功能;二, 便于对数据归类整理,有利于对数据的查 找,更有利于为以后增加的服务应用提供 数据的支援。
该方案体现了八大特点:
1. 软件与硬件的结合,采用共享磁盘阵 列,实现了真正意义上的数据与系统分离。
2. NS3500为专用存储设备,高可靠 的硬件和 RAID 设计减少了故障发生率, 保证数据安全存储及应用,高性能配置极 大地提升了数据传输率(平均数据传输率 达到 120MB/s 以上)。
3. 对服务器硬件配置要求不高,可以 根据应用情况采用不同型号或配置。
164 02 200 5 PC WORLD CHINA
责任编辑;王炳晨 wang_bingchen@ccw.com.cn 责任美编;张楠 zhang_nan@ccw.com.cn
网 络
数字化系统
服务器 数据库 Windows Office 多媒体 PC 硬件
安 全
管理Web站点含有大量有安全
漏洞的文件,极易给黑客造成 攻击机会,要禁止。同时另建 新目录,并在该目录下新建
表1 常用端口列表
端口
协议
(下转第 167 页)
2000服务器的安全配置
实例26 Windows 2000服务器的安全配置实现目的由于windows 2000系统远比windows Nt 4系统安全性,因此目前使用windows 2000的系统越来越多。
安全配置windows 2000成为一个保证网络安全的重要措施之一。
而要想安全的配置微软的这个操作系统,却不是一件容易的事。
本例从如何选择windows 2000版本、如何安装、如何对系统进行设置等方面介绍提高windows 2000安全性的方法,以保证windows 2000服务器的高安全性,从而保证网络的高可靠性。
实现技术Windows系统发布时,往往存在一些漏洞,Microsoft公司也往往是通过补丁的方式进行解决,因此版本的选择对系统的安全必然存在一定的影响。
而系统的配置(如帐户权限的设置、共享资源的设置等)更是直影响系统的安全。
选择适当的版本,正确配置系统可以减少安全隐患,提高系统的安全度。
实现方法1、安装windows 2000(1)版本的选择我们认为:在语言不成为障碍的情况下,建议使用英文版。
因为,微软的产品是以“漏洞加补丁(Bug & Patch)”而著称的,中文版的bug远比英文版要多,而解决相应漏洞的补丁一般比英文版至少迟半个月,这就意味着,微软公布了漏洞后,你的服务器还会有半个月处于无保护状态,这就成了公开的安全隐患。
(2)组件的定制Windows 2000在默认情况下会安装一些常用的组件,但是正是由于安装了这些默认组件,使系统安全变得非常脆弱,安全性全面降低。
根据安全原则“最大的安全=最少的服务+最小的权限”,也就是说,为了保证系统安全,只安装确实需要的服务即可,将不需要的服务组件删除。
尤其值得特别提醒注意的是:“Indexing Service”、“Frontpage 2000 Server Extensions”、“Internet Service Manager”这几个组件,对系统安全影响最大,对于系统安全来说,这几个组件是危险服务,如果不需要,建议不要安装。
基于WIN2000SERVER的WEB服务器的安全策略
③ 删 除无 用 的脚 本 映 射 。IS接 收 到 特 定 后 I
缀 类 型 的 文 件请 求 时 , 用 相 应 的 DL 调 L处 理 , 如
果 不 使 用 其 中 的 某 些 扩 展 或 功 能 , 应 删 除 该 映 则
面采取 一 些安 全措 施 。
关 键 词 策略 帐号 管 理 网络 服务 文 件 管理 病 毒 黑客
IS5 0是 W i 2 0 ERVER 操 作 系 统 的 一 I . n 0 0S
子 邮 件 程 序 , 其 不 要 是 安 装 微 软 公 是 通 过 它 的 漏 洞 进 行 传 ok 因
网 络 , 则 由于 系统 存 在 各种 漏 洞 , 否 非常 容 易感 染
病毒。 需 要 特 别 指 出 的 是 , 要 在 服 务 器 上 安 装 电 不
射 。 比如 基于 W E B的密 码 重设 (h r , 引服 务 . t) 索
维普资讯
成普通用户; 码长度在 1 密 0位 以 上 , 要 包 括 数 并
字 、 母 等 字符 , 要 不定 期 变换 。 字 并
1 安 装 策 略
作 为 W E 服 务 器 , 安 装 W i2 0 E B 在 n 0 0S RV— E 前 就 应 对 硬 盘 作 统 筹 安 排 , 至 少 建 立 两 个 R 应
维普资讯
第2 7卷
内 蒙 古 石 油 化 工
15 6
基 于 W I 2 E N 0 S RVER 的 0 0 WE B服务器 的安全 策略
樊硕 蒙 玉 平 马 世 防 袁 克敏
基于Win2000 Server的web服务器安全技术探讨
Ab ta t i p p rd su s s h e u i et g a d ma a e n f i2 0 e e + I ae b s r e , wi n e h s n t es f s r c : s a e i se e sc rt s t n n n g me t n 0 0 S r r IS b s d we e r Th c t y i o W v v t a mp ai o h o t h s — wae sc rt o rg mt n S st u e we i n e h r tc o fat tl e u e e u t rh tcu e r u y c r u i , O a o p t h b s e u d rt e p o e t n o o a y s c r d s c ry a c i t r . e i i f o t t i l i e
Th e h iu f h c rySet go i2 0 e v +l s d W e re e T c nq e o e Se u i tn fW n 0 0 S rer l Ba e b Sev r t t i S ( ie s Ad ns a o W rl s mii rt nO伍c f e z o enca dFseyBueu, e z o 2 0 0Chn ) e ti eo n h u 0c a i n i r ra W n h u 3 5 0 , ia W h ’
摘 要 : 文 介 绍 了基 于 W i2 0 e e+I 术 的 网站 服 务 器的 安 全 设 置及 管理 , 本 n 0 0Sr r I v S技 着重 介 绍 了软 件 方 面 的 安 全 设 置 , 立 一 个 全 面 建
的 安 全 防 范体 系 . 保 网站 的安 全运 行 。 确
Windows_2000_server的安全设置
Windows 2000 server的安全设置一、基本的安全设定(1)文件系统的设定windows2000server 支持多种文件系统,最安全的要数NTFS文件系统,如果你的windows2000server要用作服务器,最好将所有的分区都格式化为NTFS文件系统,fat32是不能用的(2)补丁(pack)微软的作风就是三天一小补,五天一大补,漏洞太多,补一点就好一点,使用“开始-Windows Update" 然后把所有的补丁都装进去,目前windows2000已经到sp4了,这个大补丁一定要装的,安装sp4后再到网络上升级,将微软提供的各种重要系统安全更新全部都升级,不要怕麻烦,这是防病毒和黑客攻击的非常重要安全设置步骤。
(3)帐号安全帐号是windows2000server的重要的安全保证,要注意区分一些工作组的权限:administrators是系统管理员组,administrator是系统默认的管理帐号,administrator最好设置一个复杂的密码,复杂到什么程度呢?简单的说,自己都要记不住这个密码,这个密码可以是字符、数字、符号、大小写的组合(如:AGgF!452KhtUN),密码不要让别人猜得到,不要用自己得电话号码啦之类的东西,最好在笔记本上将密码设定好后再设置,设好密码后妥善保管记录密码的笔记本,每隔一段时间更改自己的密码guest帐号最好禁止使用,如果没有必要,不要添加其他的系统管理员帐号2.删除默认共享2.1删除IPC$共享Win2k的缺省安装很容易被攻击者取得帐号列表,即使安装了最新的Service ack 也是如此。
在Win2k中有一个缺省共享IPC$,并且还有诸如admin$ C$ D$等等,而IPC$允许匿名用户(即未经登录的用户)访问,利用这个缺省共享可以取得用户列表。
如何防范这东东,很简单在"管理工具\本地安全策略\安全设置\本地策略\安全选项"中的"对匿名连接的额外限制"可修改为"不允许枚举SAM帐号和共享"。
如何保护web服务器安全
如何保护web服务器安全大多数Web站点的设计目标都是:以最易接受的方式,为访问者提供即时的信息访问。
在过去的几年里,越来越多的黑客、病毒和蠕虫带来的安全问题严重影响了网站的可访问性,那么你知道如何保护web服务器安全吗?下面是店铺整理的一些关于如何保护web服务器安全的相关资料,供你参考。
web服务器安全措施1、保持Windows升级你必须在第一时间及时地更新所有的升级,并为系统打好一切补丁。
考虑将所有的更新下载到你网络上的一个专用的服务器上,并在该机器上以web的形式将文件发布出来。
通过这些工作,你可以防止你的Web服务器接受直接的Internet访问。
web服务器安全措施2、使用IIS防范工具这个工具有许多实用的优点,然而,请慎重地使用这个工具。
如果你的Web服务器和其他服务器相互作用,请首先测试一下防范工具,以确定它已经被正确地配置,保证其不会影响Web服务器与其他服务器之间的通讯。
web服务器安全措施3、移除缺省的Web站点很多攻击者瞄准inetpub这个文件夹,并在里面放置一些偷袭工具,从而造成服务器的瘫痪。
防止这种攻击最简单的方法就是在IIS里将缺省的站点禁用。
然后,因为网虫们都是通过IP地址访问你的网站的(他们一天可能要访问成千上万个IP地址),他们的请求可能遇到麻烦。
将你真实的Web站点指向一个背部分区的文件夹,且必须包含安全的NTFS权限(将在后面NTFS的部分详细阐述)。
web服务器安全措施4、如果你并不需要FTP和SMTP服务,请卸载它们进入计算机的最简单途径就是通过FTP访问。
FTP本身就是被设计满足简单读/写访问的,如果你执行身份认证,你会发现你的用户名和密码都是通过明文的形式在网络上传播的。
SMTP是另一种允许到文件夹的写权限的服务。
通过禁用这两项服务,你能避免更多的黑客攻击。
web服务器安全措施5、有规则地检查你的管理员组和服务如果发现在管理员组里多了一个用户,这意味着这时某个人已经成功地进入了你的系统,他或她可能冷不丁地将炸弹扔到你的系统里,这将会突然摧毁你的整个系统,或者占用大量的带宽以便黑客使用。
Windows 2000终端服务器安全设置
终端模式下Windows 2000的安全设置前言微软的操作系统从最初的单任务、单用户的DOS,到多任务、单用户的Windows 3.1、Windows 95/98,到目前的多任务、多用户的Windows 2000操作系统,从原来的一台机器仅仅是一个用户运行单一的应用程序,到一个用户可以运行多个应用程序,再到目前一台机器可以由多个用户同时登陆使用,并且同时运行多个应用程序,微软在操作系统的领域,已经有了一系列的可以满足各种不同需求的从低到高的操作系统群了。
目前最新的操作系统Windows 2000服务器操作系统,便是一个多用户、多任务的操作系统,提供了一个战略性的功能,终端服务功能,用户通过Windows终端登陆到服务器上,共享服务器上的资源,在这样一个完全共享的使用环境中,安全问题便显得特别的重要了,如何搭建一个安全高效的服务器器,为每个用户分配不同的权限,便是系统管理员的一个重要的工作内容了。
终端服务可以在应用服务器模式或远程管理模式下在服务器上进行配置。
作为应用服务器,终端服务提供了一种有效而可靠的方式,通过网络服务器分发基于 Windows 的程序。
在应用服务器模式下,终端服务为可能无法正常运行 Windows 的计算机显示 Windows 2000 的桌面以及目前基于 Windows 的大多数应用程序。
在远程管理模式下使用时,终端服务提供了远程访问的能力,使您可以从网络上的任何地方虚拟地管理您的服务器终端服务是一种多会话环境,可以让远程计算机访问服务器上运行的基于 Windows 的程序。
Windows 2000 Server 包括终端服务客户软件,以支持 16 位和 32 位基于 Windows 的客户端。
终端服务提供了通过作为终端仿真器工作的“瘦客户机”远程访问服务器的桌面。
终端服务只把该程序的用户界面传给客户机。
客户机然后返回键盘和鼠标单击动作,以便由服务器处理。
每个用户都只能登录并看到它们自己的会话,这些会话由服务器操作系统透明地进行管理,而且与任何其他客户机会话无关。
WEB服务安全和Windows_2000_IP安全策略
WEB服务安全和Windows 2000 IP安全策略一,WEB服务安全实验目的:掌握WEB服务器和浏览器的安全设置1.身份验证和访问控制1)禁止匿名访问安装IIS后,系统会产生匿名用户IUSR_Computername,如图一所示;它的匿名访问给WEB服务器带来潜在的安全问题,应取消WEB的匿名服务,如图二所示,取消“匿名访问”选项前面的勾,再点“确定”即可!图一图二2)IP地址的控制在此以拒绝IP192.168.0.100对WEB站点的访问为例进行说明,如图三所示。
图三3)目录安全设置为确保网站的安全性。
配置WEB服务器可以看到的目录以及相应的访问层次也很要。
这里以设置目录访问权限为只读访问为例说明,如图四所示。
图四2.提高IE浏览器的安全性1)限制Cookies使用通过IE浏览器总体提供的Cookies的安全设置选项来实现。
右击桌面Internet图标,选择属性,在选择安全选项卡,选中Internet地球型图标,如图五所示,再点自定义级别,弹出图六所是对话框,移动对话框中垂直滑块,直到出现Cookies设置选项,有两个Cookies选项,将其禁用即可。
图五图六2)限制ActiveX的使用仍按上述方法打开图七所是对话框,按图七、图八所示设置即可。
图七图八3)设置Java的安全性。
打开图九所示对话框,按图九、图十设置可以在保证正常使用的前提下提高安全性。
图九图十二,Windows 2000 IP安全策略实验目的:IP筛选器列表触发建立在与源、目标及IP传输类型匹配的基础上的安全协商。
这种类型的IP包筛选允许网络管理员准备定义哪些IP传输将受到保护。
每个IP筛选器列表包含一个或多个筛选器,它定义了IP地址与传输类型。
一个IP筛选器列表可用于多个通信情形。
本实验的目的是利用windows 2000 自身IP安全策略实现防火墙功能。
1)按照“开始”——“设置”——“控制面板”——“管理工具”——“本地安全策略”打开“本地安全设置”对话框,再选中“IP安全策略”右击它选择“管理IP筛选器表和筛选器操作”,如图一所示,图一2)在“管理IP筛选器表和筛选器操作”对话框中单击“添加”打开图二所示对话框,在【名称】里输入“我的IP筛选器列表1”、在【描述】里输入“阻止任何计算机对本级特定端口的访问”,且不勾选【使用“添加向导”】,然后单击【添加】设置源地址与目的地址,如图三所示。
win2000服务安全与建议服务
win2000服务安全与建议服务在windows2000中,服务基本上是一个在启动时运行的程序,它的运行和任何用户都无关,一台服务器所执行的大多数功能,例如文件共享等都是以服务得形式来运行.而且大多数十以system特权运行的,这样黑客们通过非法的途径利用某个服务获得system特权,那将决对不是个好事.因此,了解每个 win2000的服务,并禁止一些不必要的,能让你的服务器更加安全.Alerter服务方向: 负责向用户通报管理警报,该服务和Mesenger服务一起工作,后者接收并路由前者的信息.可执行文件: %systemRoot%\system32\services.exe风险: 潜在可能导致社会工程攻击建议: 将Alerter服务发出的警告限定为只由管理员接收.Application Management服务方向: 提供和active directory之间的通信.通过group policy(组策划)来指定,发布并删除在系统中安装的应用程序.可执行文件: winnt\system32\services.exe风险: 无建议: 非组策略使用应用程序,最好禁用该服务.Boot Information Negotiation Layer服务方向: 与Remote Installation Service(RIS)一起使用,除有需要通过RIS安装操作系统,否则不要运行.可执行文件: winnt\system32\services.exe风险: 无Brower服务方向: 负责保存网络上的计算机列表,并将该列表提供给那些请求得到该列表的程序可执行文件: winnt\system32\services.exe风险: 暴露有关网络的信息建议: 禁止Indexing服务方向: 负责索引磁盘上的文档和文档属性,并且在一个目录中保存信息,使得你在以后可以搜索他们.可执行文件: winnt\system32\services.exe风险: 其为IISweb服务器上诸多安全弱点的根源建议: 除非特别需要,否则禁止.ClipBook服务方向: ClipBook支持ClipBook Viewer程序,该程序可以允许剪贴页被远程计算机上的ClipBook浏览.可以使得用户能够通过网络连接来剪切和粘贴文本和图形.可执行文件: winnt\system32\Clipsrv.exe风险: 潜在被非法用于远程访问ClipBook剪贴页面建议: 禁止Distributed File System服务方向: 允许创建单一逻辑盘.文件分布在网络上不同位置.可执行文件: winnt\system32\Dfssrc.exe风险: 暂无已知风险建议: 禁止(会产生disk error,可忽略该错误)DHCP client服务方向: 通过注册和更新IP地址和DNS域名来管理网络配置.可执行文件: winnt\system32\services.exe风险: 无已知风险建议:为服务器分配一个静态IPLogical Disk Manager Administrative服务方向: 用于管理逻辑盘可执行文件: winnt\system32\dmadmin.exe风险: 暂无已知风险建议:将服务的启动类型设为手动(Manual)Logical Disk Manager服务方向: 该服务为 Logical Disk Manager Watchdog 服务.负责管理动态磁盘的服务.可执行文件: winnt\system32\services.exe风险: 无已知风险建议: 系统运行时需要,保持默认得自动启动DNS Server服务方向: 负责解答DNS域名查询可执行文件: winnt\system32\dns.exe风险: 无已知风险建议: 因其通常是导致许多安全性弱点的根源,该服务应谨慎使用.DNS Client服务方向: 用于缓存DNS查询来进行记录.可用于某个入侵检测系统的DNS 查询,可加速DNS查询的速度.可执行文件: winnt\system32\services.exe风险: 无已知风险,但攻击者可以查看你的缓存内容.确定你所访问过的网站. 命令行形式为(ipconfig/displaydns)建议:可停可不停Event Log服务方向:Event Log服务负责记录来自系统和运行中程序的管理事件消息.虽然该服务功能有限,并具有一些小问题,但是该服务可以用于入侵检测和系统监视.可执行文件: winnt\system32\services.exe风险: 无已知风险建议: 该服务应该被启动,尤其实在独立服务器上.COM+Eent System服务方向: 提供自动事件分布功能来订阅COM组件.可执行文件: winnt\system32\svchost.exe -k nesvcs风险: 无已知风险建议: 如果该服务不需要已安装的任何程序所使用,你可以禁用COM+Event System 和 System Event Notification服务.Fax服务方向: 它负责管理传真的发送和接收.可执行文件: winnt\system32\faxsvc.exe风险: 无已知风险建议: 对于服务器而言,不需要也不建议使用该服务,除非该服务器专门被指定为用做一个传真服务器.Single Instance Storage Groveler服务方向: 该服务和Remote Installation服务一起使用.扫描单一实例存储卷来寻找重复的文件,并将重复文件指向某个数据存储点以节省磁盘空间.风险: 无已知风险建议: 除非你需要使用 Remote Installation 服务,否则请停止它.Internet Authentication Service服务方向: 用于认证拨号和VPN用户.可执行文件: winnt\system32\svchost.exe -k netsvcs风险: 无已知风险建议: 显然除了在拨号和VPN服务器上,该服务不应该使用.禁止.IIS Admin服务方向: IIS Admin服务允许通过Internet Services Manager MMC程序面板来对IIS服务进行管理.可执行文件: winnt\system32\inetsrv\inetinfo.exe风险: 无已知风险建议: 如果服务器正在运行Inetrnet服务,则该服务是需要的.如果没有运行任何Inetrnet服务,则应当从Control Panel,Add and Remove Programs中卸载Internet Information Server,这样IIS Admin服务也将被卸载.Intersite Messaging服务方向: Intersite Messaging服务和Active Directory replication 一起使用.可执行文件: winnt\system32\ismserv.exe风险: 无已知风险建议: 除了Active Directory服务器之外,不需要也不建议使用该服务.Kerberos Key Distribution Center服务方向: 这是个域服务,提供了Kerberos认证服务(AS Authentication Service)和票证授予服务(TGT,Ticket-Granting Service)可执行文件: winnt\system32\lsass.exe风险: 没有已知风险建议: Kerberos Key Distribution Center服务和位于某个域控制器是的Active Directory一起工作的,而且不能被停止,除了在域控制器上,该服务不应该在其他计算机上运行.Server服务方向: 该服务提供RPC支持以及文件,打印和命名管道共享,Server服务是作为文件系统驱动器来实现的,可以处理I/O请求.可执行文件: winnt\system32\services.exe风险: 如果没有提供适当地用户保护,会暴露系统文件和打印机资源建议: 除非你打算在windows网络上共享文件或打印机,否则不需要运行该服务. (附言: 对以2000而言,这个是一个高风险服务,2000的用户多知道默认共享吧,就是该服务的问题,如果不禁止,每次注销或开机,默认共享就会打开,你的所以重要信息都将暴露.例如winnt文件夹.大家都应该知道他对于2000的重要.除非你的密码够安全,否则这个共享将是你机子的死穴!!!!)Workstation服务方向: 该服务提供网络连接和通信,该服务以一个文件系统驱动器的形式工作,并且可以允许用户访问位于windows网络上的资源.可执行文件: winnt\system32\services.exe风险: 一些独立服务器,例如web服务器,不应当参与到某个windows网络中建议: 该服务应当只在位于某个内部网络,并受到某个防火墙保护的工作站和服务器上运行,在任何可以连接到Internet的服务器上都应该禁用这个服务.TCP/IP打印服务器服务方向: 该服务允许远程UNIX用户通过使用TCP/IP协议来访问由某个windows2000服务器所管理的打印机.可执行文件: winnt\system32\tcpsvcs.exe风险: 具有一些安全性弱点,并打开一个监听端口建议: 该服务具有一些安全性弱点,因为打开了一个到internet的端口,因此,除非网络通过防火墙与Internet隔离开.否则不要使用该服务.License Logging服务方向: 该服务负责管理某个站点的许可协议信息.可执行文件: winnt\system32\llssrv.exe风险: 没有已知风险建议: 除了在域控制器上,其他计算机不应当使用该服务.TCP/IP NETBIOS Helper服务方向: 该服务允许在TCP/IP网络上进行NETBIOS通信.可执行文件: winnt\system32\services.exe风险: 暴露出系统中的netBIOS安全性弱点,例如NTLM认证建议: 除非你需要和一个旧版本的windows保持兼容,否则应当禁止该服务.Messenger服务方向: Messenger服务负责发送和接收由管理员或Alerter服务所传递的消息.可执行文件: winnt\system32\services.exe风险: 没有已知风险建议: 该服务不需要而且应当被禁用.NetMeeting Remote Desktop Sharing服务方向: 该服务允许授权用户通过使用NetMeeting来远程访问你的Windows桌面.可执行文件: winnt\system32\mnmsrvc.exe风险: 是一个具有潜在不安全性的服务建议: 该服务应当被禁止.因为它是会导致潜在地安全性弱点的.你可以使用Terminal服务来代替该服务用于远程桌面访问.Distributed Transaction Coordinator服务方向: 微软的Distributed Transaction Coordinator服务(MS DTC)可以借助OLE Transactions协议来提供一个事务(Transaction)协调工具,可以协调分布于两个和多个数据库,消息队列文件系统和其他事务保护 (trasaction protected)资源管理器的事务.可执行文件: winnt\system32\msdtc.exe风险: 没有已知风险建议: 无需禁止FTP Publishing服务方向: 文件传输协议不是一种安全的协议,如果不进行适当地保护,FTP Publishing服务将大来很多的安全性风险.可执行文件: winnt\system32\inetsrv\inetinfo.exe风险: 微软的FTP Server没有已知风险.但一般而言,FTP是已知不安全的服务.建议: 除非你需要通过FTP来提供文件共享,否则该服务应当被禁止.如果需要,请谨慎地对其进行保护和监视.。
Win2000中优化Web服务器性能
Win2000中优化Web服务器性能 -电脑资料2019-01-01本文包括的内容:一、概要二、禁用不必要的服务三、最大化网络应用程序数据吞吐量四、优化后台服务的性能)五、最小化 IIS 5.0 日志记录六、实现带宽调节七、限制处理器使八、限制 Web 站点连接九、使用“保持 HTTP 连接”一、概要:为了能够好好的让IIS运行稳定,俺主要介绍用于优化专用的 Windows 2000 Web 服务器性能的一点方法,。
PS:开始吧。
二、禁用不必要的服务:禁用专用 Web 服务器不需要的 Windows 2000 服务。
方法是:单击开始,依次指向程序、工具,然后单击计算机管理。
在“计算机管理(本地)”下,展开“服务和应用程序”,然后单击服务。
当前所运行服务的状态列中显示已启动。
以下服务是专用 Web 服务器上不需要的:警报器剪贴簿计算机浏览器DHCP 客户端DHCP 服务器传真服务文件复制红外线监视器Internet 连接共享信使NetMeeting 远程桌面共享网络 DDE网络 DDE DSDMNWLink NetBIOSNWLink IPX/SPXR后台打印程序TCP/IP NetBIOS 支持服务电话不间断电源记下与要停止的服务有依存关系的那些服务。
方法是:双击所需的服务。
例如,双击信使。
单击依存关系选项卡。
在“服务名依赖这些服务”列表中(其中服务名是所选服务的名称),记下该服务依赖的那些服务。
在“这些服务依赖服务名”列表中,记下没有该服务就无法启动的那些服务。
单击确定。
禁用所需的服务。
方法是:右键单击要禁用的服务,然后在出现的快捷菜单上单击属性。
在“启动类型”列表中,单击禁用。
如果要立即停止服务,请单击停止。
如果显示停止其他服务对话框,依赖于该服务的其他服务也将被停止。
请记下受影响的服务,然后单击是。
单击确定。
该服务的启动类型列中会显示禁用。
重复执行第 4 步,禁用其他不必要的服务。
备注:禁用每个服务之后,应测试 Web 服务器计算机是否运行正常。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Win2000服务器安全方案总则用windows2000建立的Web站点在所有的网站中占了很大一部分比例,但windows2000的安全问题也一直比较突出,使得一些每个基于windows2000的网站都有一种如履薄冰的感觉,然而微软并没有明确的解决方案,只是推出了一个个补丁程序,各种安全文档上对于windows2000的安全描述零零碎碎,给人们的感觉是无所适从。
于是,有的网管干脆什么措施也不采取,有的忙着下各种各样的补丁程序,有的在安装了防火墙以后就以为万事大吉了。
这种现状直接导致了大量网站的windows2000安全性参差不齐。
只有极少数windows2000网站有较高的安全性,大部分网站的安全性很差。
为此,我公司决心对windows2000主要漏洞予以搜集整理,同时,站在整体的高度,力图找出一套用windows2000建立安全站点的解决方案来,让榆林教育网安全的使用windows2000服务器。
Web站点的Win2000服务器安全解决方案对windows2000来说web站点主要解决的安全问题如下:Web 应用程序;Internet 信息服务(IIS) 5.0 ;Windows 2000 Advanced Server 操作系统;IP 安全标准(IPSec) 策略;远程管理与监视;SQL Server 2000 ;密码。
解决方案:(说明:本方案主要是针对建立Web站点的windows2000服务器安全,对于局域网内的服务器并不合适。
)一、安装:1.硬盘分区为NTFS分区;说明:(1)NTFS比FAT分区多了安全控制功能,可以对不同的文件夹设置不同的访问权限,安全性增强。
(2)建议最好一次性全部安装成NTFS分区,而不要先安装成FAT分区再转化为NTFS分区,这样做在安装了SP4的情况下会导致转化不成功,甚至系统崩溃。
(3)安装NTFS分区有一个潜在的危险,就是目前大多数反病毒软件没有提供对软盘启动后NTFS分区病毒的查杀,这样一旦系统中了恶性病毒而导致系统不能正常启动,后果就比较严重,因此平时做好防病毒工作是必要的。
2.只安装一种操作系统;说明:安装两种以上操作系统,会给黑客以可乘之机,利用攻击使系统重启到另外一个没有安全设置的操作系统(或者他熟悉的操作系统),进而进行破坏。
3.安装成独立的域控制器(Stand Alone),选择工作组成员,不选择域;说明:主域控制器(PDC)是局域网中队多台联网机器管理的一种方式,用于网站服务器包含着安全隐患,使黑客有可能利用域方式的漏洞攻击站点服务器。
4.将操作系统文件所在分区与Web数据包括其他应用程序所在的分区分开,并在安装时最好不要使用系统默认的目录,如将\WINNT 改为其他目录;说明:黑客有可能通过Web站点的漏洞得到操作系统对操作系统某些程序的执行权限,从而造成更大的破坏。
5.Windows程序,都要重新安装一次补丁程序,windows2000下更需要这样做。
说明:(1)最新的补丁程序,表示系统以前有重大漏洞,非补不可了,对于局域网内服务器可以不是最新的,但站点必须安装最新补丁,否则黑客可能会利用低版本补丁的漏洞对系统造成威胁。
这是一部分管理员较易忽视的一点;(2)安装windows2000的SP4有一个潜在威胁,就是一旦系统崩溃重装windows2000时,系统将不会认NTFS分区,原因是微软在这个补丁中对NTFS做了改进。
只能通过Windows 2000安装过程中认NTFS,这样会造成很多麻烦,建议同时做好数据备份工作。
(3)安装Service Pack前应先在测试机器上安装一次,以防因为例外原因导致机器死机,同时做好数据备份。
6.尽量不安装与Web站点服务无关的软件;说明:其他应用软件有可能存在黑客熟知的安全漏洞。
二、windows2000设置:1.帐号策略:(1)帐号尽可能少,且尽可能少用来登录;说明:网站帐号一般只用来做系统维护,多余的帐号一个也不要,因为多一个帐号就会多一份被攻破的危险。
(2)除过Administrator外,有必要再增加一个属于管理员组的帐号;说明:两个管理员组的帐号,一方面防止管理员一旦忘记一个帐号的口令还有一个备用帐号;另方面,一旦黑客攻破一个帐号并更改口令,我们还有机会重新在短期内取得控制权。
(3)所有帐号权限需严格控制,轻易不要给帐号以特殊权限;(4)将Administrator重命名,改为一个不易猜的名字。
其他一般帐号也应遵循这一原则。
说明:这样可以为黑客攻击增加一层障碍。
(5)将Guest帐号禁用,同时重命名为一个复杂的名字,增加口令,并将它从Guest组删掉;说明:有的黑客工具正是利用了guest 的弱点,可以将帐号从一般用户提升到管理员组。
(6)给所有用户帐号一个复杂的口令(系统帐号出外),长度最少在8位以上,且必须同时包含字母、数字、特殊字符。
同时不要使用大家熟悉的单词(如microsoft)、熟悉的键盘顺序(如qwert)、熟悉的数字(如2000)等。
说明:口令是黑客攻击的重点,口令一旦被突破也就无任何系统安全可言了,而这往往是不少网管所忽视的地方,据我们的测试,仅字母加数字的5位口令在几分钟内就会被攻破,而所推荐的方案则要安全的多。
(7)口令必须定期更改(建议至少两周改一次),且最好记在心里,除此以外不要在任何地方做记录;另外,如果在日志审核中发现某个帐号被连续尝试,则必须立刻更改此帐号(包括用户名和口令);(8)在帐号属性中设立锁定次数,比如改帐号失败登录次数超过5次即锁定改帐号。
这样可以防止某些大规模的登录尝试,同时也使管理员对该帐号提高警惕。
2.解除NetBios与TCP/IP协议的绑定说明:NetBois在局域网内是不可缺少的功能,在网站服务器上却成了黑客扫描工具的首选目标。
方法:控制面版——网络和拨号连接——本地网络——属性——TCP/IP——属性——高级——WINS——禁用TCP/IP上的NETBIOS。
3.删除所有的网络共享资源说明:windows2000在默认情况下有不少网络共享资源,在局域网内对网络管理和网络通讯有用,在网站服务器上同样是一个特大的安全隐患。
(卸载“Microsoft 网络的文件和打印机共享”。
当查看“网络和拨号连接”中的任何连接属性时,将显示该选项。
单击“卸载”按钮删除该组件;清除“Microsoft 网络的文件和打印机共享”复选框将不起作用。
)方法:(1)控制面版——管理工具——计算及管理——共享文件夹———停止共享。
但上述两种方法太麻烦,服务器每重启一次,管理员就必须停止一次(2)修改注册表:运行Regedit,然后修改注册表在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lan manServer\Parameters下增加一个键Name: AutoShareServer Type: REG_DWORD Value: 0 然后重新启动您的服务器,磁盘分区共享去掉,但IPC共享仍存在,需每次重启后手工删除。
4.改NTFS的安全权限;说明:NTFS下所有文件默认情况下对所有人(EveryOne)为完全控制权限,这使黑客有可能使用一般用户身份对文件做增加、删除、执行等操作,建议对一般用户只给予读取权限,而只给管理员和System以完全控制权限,但这样做有可能使某些正常的脚本程序不能执行,或者某些需要写的操作不能完成,这时需要对这些文件所在的文件夹权限进行更改,建议在做更改前先在测试机器上作测试,然后慎重更改。
5.系统启动的等待时间设置为0秒,控制面板->系统->启动/关闭,然后将列表显示的默认值“30”改为“0”。
(或者在boot.ini里将TimeOut 的值改为0)6.只开放必要的端口,关闭其余端口。
说明:缺省情况下,所有的端口对外开放,黑客就会利用扫描工具扫描那些端口可以利用,这对安全是一个严重威胁。
端口扫描在网络扫描中大约占了96%,UDP(User Datagram Protocol)服务次之,占3.7%。
除了这两种之外,剩余的0.3%是用户名和密码扫描、NetBIOS 域登录信息和SNMP管理数据等。
Tel Aviv大学已经开始努力防止蠕虫攻击和对NetBIOS弱点的网络攻击,因为这些攻击可能会感染所有的Windows系统。
同时,在发送流量之前,要求ISP对所有的NetBIOS流量进行过滤。
现将一些常用端口列表如下:(附)10种最易受攻击的端口端口协议应用程序21 TCP FTP25 TCP SMTP53 TCP DNS80 TCP HTTP SERVER1433 TCP SQL SERVER5631 TCP PCANYWHERE5632 UDP PCANYWHERE7.加强日志审核;说明:日志任何包括事件查看器中的应用、系统、安全日志,IIS 中的WWW、SMTP、FTP日志、SQL SERVER日志等,从中可以看出某些攻击迹象,因此每天查看日志是保证系统安全的必不可少的环节。
安全日志缺省是不记录,帐号审核可以从域用户管理器——规则——审核中选择指标;NTFS中对文件的审核从资源管理器中选取。
要注意的一点是,只需选取你真正关心的指标就可以了,如果全选,则记录数目太大,反而不利于分析;另外太多对系统资源也是一种浪费。
8.加强数据备份;说明:这一点非常重要,站点的核心是数据,数据一旦遭到破坏后果不堪设想,而这往往是黑客们真正关心的东西;遗憾的是,不少网管在这一点上做的并不好,不是备份不完全,就是备份不及时。
数据备份需要仔细计划,制定出一个策略并作了测试以后才实施,而且随着网站的更新,备份计划也需要不断地调整。
9.只保留TCP/IP协议,删除NETBEUI、IPX/SPX协议;说明:网站需要的通讯协议只有TCP/IP,而NETBEUI是一个只能用于局域网的协议,IPX/SPX是面临淘汰的协议,放在网站上没有任何用处,反而会被某些黑客工具利用。
10.停掉没有用的服务,只保留与网站有关的服务和服务器某些必须的服务。
说明:有些服务比如RAS服务、Spooler服务等会给黑客带来可乘之机,如果确实没有用处建议禁止掉,同时也能节约一些系统资源。
但要注意有些服务是操作系统必须的服务,建议在停掉前查阅帮助文档并首先在测试服务器上做一下测试。
11.隐藏上次登录用户名,修改注册表:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\Current Version\Winlogon 中找到DontDisplayLastUserName,将其值设为1。
说明:缺省情况下,上次登录的用户名会出现在登录框中,这就为黑客猜测口令提供了线索,最好的方式就是隐藏上次登录用户名。