構(gòu)建windows服務(wù)器的安全防護(hù)林

1、1 / 9構(gòu)建Windows 2000服務(wù)器的安全防護(hù)林中小學(xué)校的校園網(wǎng)普遍應(yīng)用Windows 2000作為服務(wù)器的操 作系統(tǒng)，但有些學(xué)校剛開始運(yùn)行就遭到網(wǎng)絡(luò)黑客的攻擊，造成網(wǎng)絡(luò) 崩潰。那么，安全問題如何解決？事實(shí)上不需要任何的軟硬件的介 入，僅靠系統(tǒng)本身我們就能構(gòu)建一個(gè)安全防護(hù)林。設(shè)置禁用，構(gòu)建第一道防線在安裝完Windows 2000后，首先要裝上最新的系統(tǒng)補(bǔ)丁。但即使裝上了，在因特網(wǎng)上的任何一臺(tái)機(jī)器上只要輸入“你的IP地址c$”，然后輸入用戶名Guest，密碼空，就能進(jìn)入你的C盤， 你依舊完全暴 露了。解決的方 法是禁用Guest賬號(hào)， 為Administrator設(shè)置一個(gè)安全的密碼，將

2、各驅(qū)動(dòng)器的共享設(shè)為不共 享。同時(shí)你還要關(guān)閉不需要的服務(wù)。你能夠在治理工具的服務(wù)中將 它們?cè)O(shè)置為禁用，但要提醒的是一定要慎重， 有的服務(wù)是不能禁用 的。 一般能夠禁用的服務(wù)有Telnet、Task Scheduler（同意程序在指 定時(shí)刻運(yùn)行）、Remote Registry Service（同意遠(yuǎn)程注冊(cè)表操作）等。 這是你構(gòu)建的服務(wù)器的第一道防線。設(shè)置IIS，構(gòu)建第二道防線作為校園網(wǎng)的服務(wù)器， 專門多學(xué)校將該服務(wù)器同時(shí)作為網(wǎng)站服 務(wù)器， 而IIS2 / 9的漏洞也是一個(gè)棘手的問題。實(shí)際上，你能夠通過簡(jiǎn) 單的設(shè)置，完全能夠?qū)⒕W(wǎng)站的漏洞補(bǔ)上。你能夠?qū)IS默認(rèn)的服務(wù) 都停止（如圖1, FTP服務(wù)你

3、是不需要的，要的話推舉用Serv-U; “治 理Web站點(diǎn)”和“默認(rèn)Web站點(diǎn)”都會(huì)給你帶來苦惱；SMTP-般也不用），然后再新建一個(gè)Web站點(diǎn)。圖1設(shè)置好常規(guī)內(nèi)容后，在“屬性-主目錄”的配置中對(duì)應(yīng)用程序 映射進(jìn)行設(shè)置， 刪除不需要的映射（如圖2），這些映射是IIS受到攻 擊的直接緣故。假如你需要CGI和PHP的話，可參閱一些資料進(jìn)行 設(shè)置。3 / 9圖2如此，配合常規(guī)設(shè)置，你的IIS就能夠安全運(yùn)行了，你的服務(wù) 器就有了第二道防線。運(yùn)用掃描程序，堵住安全漏洞要做到全面解決安全問題，你需要掃描程序的關(guān)心。推舉使用X-Sean（如圖3），它能夠關(guān)心你檢測(cè)服務(wù)器的安全問題。圖3掃描完成后，你要看一下

4、，是否存在口令漏洞，若有，則立即 要修改口令設(shè)置；再看一下是否存在IIS漏洞，若有，請(qǐng)檢查IIS的設(shè)置。其他漏洞一般專門少存在，要提醒大伙兒的是注意開放的 端口，你能夠?qū)呙璧降亩丝谟涗浵聛?，以方便進(jìn)行下一步設(shè)置。4 / 9封鎖端口，全面構(gòu)建防線 黑客大多通過端口進(jìn)行入侵，因此你的服務(wù)器只能開放你需要 的端口，那么你需要哪些端口呢？以下是常用端口，你可依照需要 取舍：80為Web網(wǎng)站服務(wù)；21為FTP服務(wù)；25為E-mail SMTP服務(wù);110為Email POP3服務(wù)。其他還有SQL Server的端口1433等，你可到網(wǎng)上查找相關(guān)資5 / 9料。那些不用的端口一定要關(guān)閉！關(guān)閉這些端口，我

5、們能夠通過Windows 2000的安全策略進(jìn)行。 借助它的安全策略，完全能夠阻止入侵者的攻擊。你能夠通過“治理工具f本地安全策略”進(jìn)入， 右擊“IP安全策略”，選擇“創(chuàng) 建IP安全策略”，點(diǎn)下一步。輸入安全策略的名稱，點(diǎn)下一步, 一直到完成，你就創(chuàng)建了一個(gè)安全策略（如圖4）：圖4接著你要做的是右擊“IP安全策略”， 進(jìn)入治理IP篩選器和篩 選器操作，在治理IP篩選器列表中，你能夠添加要封鎖的端口，那 個(gè)地點(diǎn)以關(guān)閉ICMP和139端口為例講明。關(guān)閉了ICMP黑客軟件假如沒有強(qiáng)制掃描功能就不能掃描到你 的機(jī)器，6 / 9也Ping不到你的機(jī)器。關(guān)閉ICMP的具體操作如下：點(diǎn)添 加，然后在名稱中輸

6、入“關(guān)閉ICMP，點(diǎn)右邊的添加，再點(diǎn)下 一步。在源地址中選“任何IP地址”，點(diǎn)下一步。在目標(biāo)地址 中選擇“我的IP地址”，點(diǎn)下一步。在協(xié)議中選擇“ICMP，點(diǎn)下一步。回到關(guān)閉ICMP屬性窗口，即關(guān)閉了ICMP.下面我們?cè)僭O(shè)置關(guān)閉139，同樣在治理IP篩選器列表中點(diǎn)“添 加”，名稱設(shè)置為“關(guān)閉139”，點(diǎn)右邊的“添加”，點(diǎn)下一步。 在源地址中選擇“任何IP地址”，點(diǎn)下一步。在目標(biāo)地址中選擇 “我的IP地址”，點(diǎn)下一步。在協(xié)議中選擇“TCP，點(diǎn)下一步。 在設(shè)置IP協(xié)議端口中選擇從任意端口到此端口，在此端口中輸入139，點(diǎn)下一步。即完成關(guān)閉139端口，其他的端口也同樣設(shè)置，結(jié) 果如圖5。特不指出的是

7、關(guān)閉UDP4000能夠禁止校園網(wǎng)中的機(jī)器使用QQ7 / 9圖5然后進(jìn)入設(shè)置治理篩選器操作，點(diǎn)“添加”，點(diǎn)下一步，在名 稱中輸入“拒絕”，點(diǎn)下一步。選擇“阻止”，點(diǎn)下一步。 如圖6。圖6結(jié)果8 / 9然后關(guān)閉該屬性頁，右擊新建的IP安全策略“安全”，打開屬性頁。在規(guī)則中選擇“添加”，點(diǎn)下一步。選擇“此規(guī)則不指定 隧道”，點(diǎn)下一步。在選擇網(wǎng)絡(luò)類型中選擇“所有網(wǎng)絡(luò)連接”，點(diǎn) 下一步。在IP篩選器列表中選擇“關(guān)閉ICMP，點(diǎn)下一步。在篩 選器操作中選擇“拒絕”，點(diǎn)下一步。如此你就將“關(guān)閉ICMP的篩選器加入到名為“安全”的IP安全策略中。同樣的方法，你能夠 將“關(guān)閉139”等其他篩選器加入進(jìn)來。添加后的結(jié)果如圖7。最后要做的