配置 TCP/IP过滤
发布:2018-08-13 17:46:38 浏览:3589
CurrentcontrolsetContronilesystem中将NsDisable&dot3NameCreston的值设为“1”(3)关闭NTFS的83格式文件识U别,这要在HKEY_LOCALMACHINESTSTEM
“系统启动栏”中列表显示默认值“30”改为“0”、(4)系统启动的等待时间设置为0秒,进行“控制面版一系统一启动/关闭”操作,然
(5)将Web服务器设置为独立的服务器,也能提高不少安全级别。
(6)从NT服务器上移走其他系统如OS2,Linux…“'以免他人从别的系统上修改你
的NT系统(7)除服务器的网络共享,可以使用这样的命令netshare/d,那些为了管理而设置的
ControlsetlcontroServiceslServerParameters的AutoshareServer改为0。共享就必须通过修改注册表的方法来实现了,HKEYLOCALMACHINESYSTEMCURTENT-
(8)严格审核success/FailedLogon/ogof日志,通过“域用户管理器一规则一审核”
进行(9)隐藏上次登录用户名,修改注册表HKEYLOCAL_MACHINEMicrosof
WindowsntCurrentVersionWinlogon中的Dontdisplaylastusername改为0
(10)在你的logon对话框中把“shutdown”按钮移走,修改注册表HKEY_LOCAL
MACHINESOFTWAREMMICROSOFWindowsntcurrentVersionWinlogonAShutdown.
WithoutLogon改为0(1)设定用户的口令长度,一般可以设到九位,密码位数到了这个数字再被猜出来的
可能性很小了:关闭guestI账号,将Administrator账号改名,并为管理员设置一个不易破
译的口令
(12)WindowsNT有一个特征:允许未认证的用户进入网络列举域内用户。如果想要
禁止这个功能,修改HKEYLOCALMACHINESYSTEMCurrentcontrolsetcontrollsa中
的Restrictanonymous,将它的值改为1(13)禁止P转发,通过“控制面版一网络一协议一TCPP协议一属性”,使这个框
为空
(14)配置TCP/IP过滤,可以减少许多不必要的麻烦。具体配置方法是:“控制面版
一网络一协议ーTCPP协议一属性一高级→启用安全机制一配置”,可以这样配置TCPPort
80和443(SSL的端口):不允许UDP端口;IP协议6。这是一个典型的安全配置,推
荐使用。
6.2.7IIS4.0的安全漏洞
随着OptionPack的发布,越来越多的人用IS40来做Web服务器,这样一来,ASP就
成了不少网管的宠爱。虽然ASP的开发和维护都比较简单,功能也比较强大,但在IS30的
都有数据库的结构,用户的访问口令等关键数据,所以这就成了ASP一个相当大的BUG时候,发现在ASP程序后面加Sdata就可以看到ASP的源程序。由于ASP的源程序里面一般
虽然修改目录的执行权限可以防止这个BUG在IS40里面,也出现了一个类似的漏洞,就
是在ASP后面加上81%或者是82%也可以看到ASP的源程序,这次修改目录权限就没有用
用河览器显示ASP文件的源码在加made/Samples/Selector目录下,后面跟上这样一句话了,推一的办法就是安装SP5,不仅如此,在IS40里面有个叫showcode,aspI的程序,允许
source-=/path/filename,就可以看到想看的源文件。H用http://domainname/msadc/samples/selector
opcode.asp?source=/'default.asp就可以显示default.asp的源代码(如果有的话),而用
则可以看到C盆下的boii文件hip:/domainnamelmsadc/Samplesselecorshowcodeaspsourcemsadc/Samples./J.Jboctini
6.2.8IS4.0的安全配置方法
1.设置正确的Server访问控制权限支人
System(FullControl)(1).EXE,CGI,DLL,PL权限设置Everyone(X),Administrators(FullControl),
Control);(2)ASP的权限设置Everyone(X),Administrators(FullControl),System(Full
(3)INC,SHTML,SHTM的权限设置Everyone(X),Administrators(FullControl),
System(FullControl)
(FullControl)。(4).HTNL,GF,JPEG的权限设置Everyone(R),Administrators(FullControl,System
系统带来不必要的麻烦2.正确设置虚拟目录,建议把默认安装后的那些虚拟目录刑除,因为这些目录将会给
(1)IIS:c:inetpubiissamples
(2)LISSDK:c:inetpubiissamplessdk
(3)Adminscripts:c:uinetpubadminscripts(4)Dataaccess:C:ProgramFileCommonFilesSystemsadcSamples
3.正确设置IS日志访问权限,ACL:Administrators(FullControl),System(Full
Control).
14.适当地设置P拒绝列表,防止黑客攻击服务器。
5.设置并使用权SecureSocketsLayer.
6.删除一些用不上的组件,regeditXXX.dll/。7.刑除虚拟目录IISADMPWD,因为它允许重新设置管理员口令,这是比较危险的
还是删除为好。8.删除一些不必要的SciptMapping,像.hr,idc,shum,,stm,shtml,都可以删
9.禁止RDS的支持,因为最近发现了一个它的BUG,所以还是禁用为好10.使用IS登录日志,每天记录客户P地址,用户名,服务器端口,方法,URI字
根,HITP状态,用户代理。11.在ASP页面中加入<ROM>输入的检测
12.禁止“ParentPaths"”,也就是不让别人用“.”来访问你的上一层目录,设置办
法:进入“站点属性一主目录一配置一应用程序选项一启用上层目录”将它disable就可
以了13.HKEYLOCALMACHNELSYSTEMSevicesW3SVCParametersf
Ssienablecmddirective设置为1,
网站设计禁止远程调用commandshell14.删除或转移/msadc/Samples/Selector目录下的showcode.asp.以免他人看到ASP代