構(gòu)建Windows服務(wù)器的安全防護林

1、構(gòu)建Windows 2000服務(wù)器的安全防護林 中小學(xué)校的校園網(wǎng)普遍應(yīng)用Windows 2000作為服務(wù)器的操作系統(tǒng)，但有些學(xué)校剛開始運行就遭到網(wǎng)絡(luò)黑客的攻擊，造成網(wǎng)絡(luò)崩潰。那么，安全問題怎么解決？其實不需要任何的軟硬件的介入，僅靠系統(tǒng)本身我們就能構(gòu)建一個安全防護林。設(shè)置禁用，構(gòu)建第一道防線在安裝完Windows 2000后，首先要裝上最新的系統(tǒng)補丁。但即使裝上了，在因特網(wǎng)上的任何一臺機器上只要輸入“你的IP地址c$”，然后輸入用戶名Guest，密碼空，就能進入你的C盤，你還是完全暴露了。解決的方法是禁用Guest賬號，為Administrator設(shè)置一個安全的密碼，將各驅(qū)動器的共享設(shè)為不共享

2、。同時你還要關(guān)閉不需要的服務(wù)。你可以在管理工具的服務(wù)中將它們設(shè)置為禁用，但要提醒的是一定要慎重，有的服務(wù)是不能禁用的。一般可以禁用的服務(wù)有Telnet、Task Scheduler(允許程序在指定時間運行)、Remote Registry Service(允許遠(yuǎn)程注冊表操作)等。這是你構(gòu)建的服務(wù)器的第一道防線。設(shè)置IIS，構(gòu)建第二道防線作為校園網(wǎng)的服務(wù)器，很多學(xué)校將該服務(wù)器同時作為網(wǎng)站服務(wù)器，而IIS的漏洞也是一個棘手的問題。實際上，你可以通過簡單的設(shè)置，完全可以將網(wǎng)站的漏洞補上。你可以將IIS默認(rèn)的服務(wù)都停止(如圖1，F(xiàn)TP服務(wù)你是不需要的，要的話推薦用Serv-U；“管理Web站點”和“默

3、認(rèn)Web站點”都會給你帶來麻煩；SMTP一般也不用)，然后再新建一個Web站點。圖1設(shè)置好常規(guī)內(nèi)容后，在“屬性主目錄”的配置中對應(yīng)用程序映射進行設(shè)置，刪除不需要的映射(如圖2)，這些映射是IIS受到攻擊的直接原因。如果你需要CGI和PHP的話，可參閱一些資料進行設(shè)置。圖2這樣，配合常規(guī)設(shè)置，你的IIS就可以安全運行了，你的服務(wù)器就有了第二道防線。運用掃描程序，堵住安全漏洞要做到全面解決安全問題，你需要掃描程序的幫助。推薦使用X-Scan(如圖3)，它可以幫助你檢測服務(wù)器的安全問題。圖3掃描完成后，你要看一下，是否存在口令漏洞，若有，則馬上要修改口令設(shè)置；再看一下是否存在IIS漏洞，若有，請檢查

4、IIS的設(shè)置。其他漏洞一般很少存在，要提醒大家的是注意開放的端口，你可以將掃描到的端口記錄下來，以方便進行下一步設(shè)置。封鎖端口，全面構(gòu)建防線黑客大多通過端口進行入侵，所以你的服務(wù)器只能開放你需要的端口，那么你需要哪些端口呢？以下是常用端口，你可根據(jù)需要取舍：80為Web網(wǎng)站服務(wù)；21為FTP服務(wù)；25為E-mail SMTP服務(wù)；110為Email POP3服務(wù)。其他還有SQL Server的端口1433等，你可到網(wǎng)上查找相關(guān)資料。那些不用的端口一定要關(guān)閉！關(guān)閉這些端口，我們可以通過Windows 2000的安全策略進行。借助它的安全策略，完全可以阻止入侵者的攻擊。你可以通過“管理工具本地安全

5、策略”進入，右擊“IP安全策略”，選擇“創(chuàng)建IP安全策略”，點下一步。輸入安全策略的名稱，點下一步，一直到完成，你就創(chuàng)建了一個安全策略(如圖4)：圖4接著你要做的是右擊“IP安全策略”，進入管理IP篩選器和篩選器操作，在管理IP篩選器列表中，你可以添加要封鎖的端口，這里以關(guān)閉ICMP和139端口為例說明。關(guān)閉了ICMP，黑客軟件如果沒有強制掃描功能就不能掃描到你的機器，也Ping不到你的機器。關(guān)閉ICMP的具體操作如下：點添加，然后在名稱中輸入“關(guān)閉ICMP”，點右邊的添加，再點下一步。在源地址中選“任何IP地址”，點下一步。在目標(biāo)地址中選擇“我的IP地址”，點下一步。在協(xié)議中選擇“ICMP”

6、，點下一步?；氐疥P(guān)閉ICMP屬性窗口，即關(guān)閉了ICMP。下面我們再設(shè)置關(guān)閉139，同樣在管理IP篩選器列表中點“添加”，名稱設(shè)置為“關(guān)閉139”，點右邊的“添加”，點下一步。在源地址中選擇“任何IP地址”，點下一步。在目標(biāo)地址中選擇“我的IP地址”，點下一步。在協(xié)議中選擇“TCP”，點下一步。在設(shè)置IP協(xié)議端口中選擇從任意端口到此端口，在此端口中輸入139，點下一步。即完成關(guān)閉139端口，其他的端口也同樣設(shè)置，結(jié)果如圖5。特別指出的是關(guān)閉UDP4000可以禁止校園網(wǎng)中的機器使用QQ。圖5然后進入設(shè)置管理篩選器操作，點“添加”，點下一步，在名稱中輸入“拒絕”，點下一步。選擇“阻止”，點下一步。結(jié)果如圖6。圖6然后關(guān)閉該屬性頁，右擊新建的IP安全策略“安全”，打開屬性頁。在規(guī)則中選擇“添加”，點下一步。選擇“此規(guī)則不指定隧道”，點下一步。在選擇網(wǎng)絡(luò)類型中選擇“所有網(wǎng)絡(luò)連接”，點下一步。在IP篩選器列表中選擇“關(guān)閉ICMP”，點下一步。在篩選器操作中選擇“拒絕”，點下一步。這樣你就將“關(guān)閉ICMP”的篩選器加入到名為“安全”的IP安全策略中。同樣的方法，你可以將“關(guān)閉139”等其他篩選器加入進來。添加后的結(jié)果如圖7。最后要做的是指派該策略，只有指派后，它才起作用。方法是右擊“安全”，在菜單中選擇“所有任務(wù)”，選擇“指派”。IP安全