如果你的電腦新安裝nt
/win
以後
並不是說就可以直接用來作Internet服務器了
盡管微軟的補丁打了一大堆
但還是有些漏洞
現在我們就簡單的談一下如何使用IIS建立一個高安全性能的服務器
一
以Windows NT的安全機制為基礎
)NT打SP
補丁
K打SP
補丁
把磁盤的文件系統轉換成NTFS(安裝系統的分區可以在安裝系統的時候轉換
也可以安裝完系統以後
用工具轉換)
同時把使用權限裡有關Everyone的寫
修改的權限去掉
關鍵目錄
如Winnt\Repair連讀的權限也去掉
)共享權限的修改
在NT下到開始菜單
》程序
》管理工具
》系統策略編輯器
然後打開系統策略裡文件菜單裡的
打開注冊表
修改其中的windows NT 網絡把其中勾去掉
K下可以寫個net share c$ /delete的bat文件
放到機器的啟動任務裡
)為系統管理員賬號更名
同時把系統管理員的密碼改成強加密
密碼長度在
位以上
並且密碼要包括數字
字母
!等各種字符
)廢止TCP/IP上的NetBIOS
通過網絡屬性的綁定選項
廢止NetBIOS與TCP/IP之間的綁定
)安裝其他服務
應該盡量不在同台服務器上安裝數據庫的別的服務
如果裝了的話
最主要一點是數據庫密碼不能跟系統的登陸密碼一樣
二
設置IIS的安全機制
)解決IIS
以及之前的版本受到D
O
S攻擊會停止服務
運行Regedt
exe 在
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\w
svc\parameters 增加一個值
Value Name: MaxClientRequestBuffer Data Type: REG_DWORD 設置為十進制 具體數值設置為你想設定的IIS允許接受的URL最大長度
CNNS的設置為
)刪除HTR腳本映射
)將IIS web server下的 /_vti_bin 目錄設置成禁止遠程訪問
)在IIS管理控制台中
點 web站點
屬性
選擇主目錄
配置(起始點)
應用程序映射
將htw與webhits
dll的映射刪除
)如果安裝的系統是
K的話
安裝Q
_W
K_SP
_x
_en
EXE
)刪除:c:\Program Files\Common Files\System\Msadc\msadcs
dll
)如果不需要使用Index Server
禁止或卸載該服務
如果你使用了Index Server
請將包含敏感信息的目錄的
Index this resource的選項禁止
)解決unicode漏洞
K安裝
kunicode
exe
NT安裝ntunicode
exe
經過以上的設置之後
我還是不敢說它就完全安全了
你可不要回去睡大覺呀!不過你可以放松一下了!
微軟的產品雖然好用
但是它的漏洞和同類比起來是漏洞最多的一個
作為一個網管要時刻的注意新漏洞的出現
及時的采取相應的措施
做到有備無患!
PS
無懈可擊倒是沒可能
不過一些起碼的安全問題還豆提及樂
From:http://tw.wingwit.com/Article/Security/201312/30097.html
