?? nt4的一些安全配置方法…….txt
字號:
發信人: Suning (蘇寧★軍刀出鞘★), 信區: Security
標 題: NT4的一些安全配置方法……
發信站: 武漢白云黃鶴站 (Sun Oct 17 04:30:56 1999), 轉信
----
adam 于 99-9-25 21:52:28 加貼在 NT系統安全:
來這有一些日子了,一直沒有給大家做點貢獻,把前不久的一篇文章灌上來和大家
討論討論吧!
如何配置一臺NT(我在這里講的NT是指Windows NT 4.0版)對大家來說不是一件很困難
的事,可是要配置一臺安全性高的NT可就不那么容易了,作為一個好的系統管理人員,
一定要學會怎么讓你手中的NT 4達到微軟所說的C2級。下面的幾點大家可以作為一點借
鑒:
l 最重要的一點,經常看看一些安全站點,使用最新的Service Pack并時常打一些微
軟發布的小補丁。
l 硬盤最好Format 成NTFS格式,如果你現在使用的是FAT的文件格式,趕快用conve
rt.exe轉換成NTFS格式吧。
l 關閉NTFS的8.3格式文件識別,這需要在HKEY_LOCAL_MACHINE\SYSTEM \CurrentCo
ntrolSet\Control\FileSystem 中將NtfsDisable8dot3NameCreation的值設為“1”。
l 系統啟動的等待時間設置為0秒,控制面板->系統->啟動/關閉,然后將列表顯示的
默認值“30”改為“0”。
l 將你的Web服務器設置為獨立的服務器,減少能登陸到你的服務器的用戶,也能提
高不少安全級別。
l Remove 你NT服務器上的其他系統OS/2,Linux……,以免他人從別的系統上修改你
的NT系統。
l 刪除你的網絡共享,你可以使用這樣的命令net share /d,那些為了管理而設置
的共享就必須通過修改注冊表的方法來實現了,HKEY_LOCAL_MACHINE\SYSTEM \Current
ControlSet\Control\Services\LanmanServer\Parameters 的 AutoShareServer設置為
0。
l 嚴格審核Success/Failed Logon/Logoff日志,修改辦法:域用戶管理器->規則->
審核。
l 隱藏上次登陸用戶名,修改注冊表HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\Wi
ndows NT\Current Version\Winlogon 中的 DontDisplayLastUserName改為0。
l 在你的logon對話框中把”Shutdown”按鈕移走,修改注冊表HKEY_LOCAL_MACHINE
\SOFTWARE\Microsoft\WindowsNT\Current Version\Winlogon 中的 ShutdownWithoutL
ogon改為0。
l 設定用戶的口令長度,一般可以設到9位,密碼位數到了這個數字再被猜出的可能
性就很小了;關閉guest帳號,將Administrator帳號改名,并為管理員設置一個強壯的
口令。
l Windows NT 有這樣一個特征,他允許未認證的用戶進入網絡列舉域內用戶,如果
你要禁止這個功能,修改HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LS
A 中的RestrictAnonymous ,將它的值改為1。
l 只有管理員能分配打印機和盤符,要完成這個功能必須使用Windows NT Resource
Kit中的一個工具C2Conifg才可以完成。
l 注冊表允許遠程修改,這么做是危險的,最好是禁止,但這樣也許會給你帶來些許
的不方便,自己權衡一下吧。
l 最好不要綁定BetBIOS服務,以免被人使用Nbtstat等工具取得服務器的信息。
l 禁止IP轉發,設置辦法:控制面板->網絡->協議->TCP/IP協議->屬性,使這個選框
為空。
l 配置TCP/IP過濾,這樣做你可能有很多服務被禁止,但可以減少許多許多不必要的
麻煩,具體配置的方法是:控制面板->網絡->協議-.TCP/IP協議->屬性->高級->啟用安
全機制->配置,你可以這樣配置:TCP Ports 80和443(SSL的端口);不允許UDP端口;
IP協議6,這是一個典型的安全配置,推薦使用,但是,一定要知道你必須的其他服務的
端口號并開啟它,不然你的服務也就被禁止了。
l 不妨運行一下SYSKEY程序,加密你的帳號數據庫。
l 把一些工具從你的NT目錄中轉移到一個安全的目錄,例如:cmd.exe,net.exe,t
elnet.exe,ftp.exe ……
這些就是NT 4的一些安全配置,如果你對你的服務器安全有較高的要求,這可以作為一
個借鑒,也許我還遺忘了一些什么,希望大家能及時和我聯系(adam@chinaasp.com)。
下面,我再談談NT 4的搭檔IIS 4.0的一些安全配置方法。
l 首先是安裝一個能滿足你需要的最小的IIS
l 設置正確的Server訪問控制權限
.EXE, .CGI,.DLL, .CMD, .PL 權限設置Everyone (X),Administrators (Full Contr
ol),System (Full Control)
.ASP 的權限設置 Everyone (X),Administrators (Full Control),System (Full Co
ntrol)
.INC, .SHTML, .SHTM 的權限設置Everyone (X),Administrators (Full Control),S
ystem (Full Control)
.HTML, .GIF, .JPEG的權限設置 Everyone (R),Administrators (Full Control),Sy
stem (Full Control) 。
l 正確設置虛擬目錄,建議把默認安裝后的那些虛擬目錄刪除IIS --c:\inetpub\ii
ssamples,IIS SDK--c:\inetpub\iissamples\sdk,Admin Scripts--c:\inetpub\Admi
nScripts,Data access--c:\Program Files\Common Files\System\msadc\Samples,這
些目錄將給你的系統帶來不必要的麻煩。
l 正確設置IIS日志訪問權限,ACL:Administrators (Full Control),System (Fu
ll Control)。
l 適當地設置IP拒絕訪問列表,防止有些討厭的家伙攻擊你的Server。
l 設置并使用Secure Sockets Layer
l 刪除一些你用不上的組件,regedit XXX.dll /u。
l 刪除這個虛擬目錄IISADMPWD,因為它允許你重新設置你的管理員口令,實在是比
較危險,還是不要的好。
l 刪除一些不必要的Scipt Mapping,象.htr,.idc,. shtm, .stm, .shtml,都可以
在IIS服務管理器刪除。
l 禁止RDS的支持,因為最近發現了一個他的bug,所以最好還是禁用的好,禁用辦法
:刪除注冊表中這三個鍵,HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\W3SVC\Parameters\ADCLaunch\RDSServer.DataFactory ;HKEY_LOCAL_MACHINE\SYSTE
M\CurrentControlSet\Services\W3SVC\Parameters\ADCLaunch\AdvancedDataFactory
;HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\ADCL
aunch\VbBusObj.VbBusObjCls 。
l 使用IIS登陸日志,每天記錄客戶IP地址,用戶名,服務器端口,方法,URI字根,
HTTP狀態,用戶代理。
l 在你的ASP頁面中加入對<FORM>輸入的檢測,避免惡意的攻擊者輸入一些管道符從
而破壞你的機器。
l 禁止”Parent Paths”,也就是不讓別人用”··”來訪問你的上一層目錄,設置
辦法:站點屬性->主目錄->配置->應用程序選項->啟用上層目錄,將它disable就可以了
。
l HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters 的
SSIEnableCmdDirective設置為1禁止遠程調用command shell。
請注意,請你在修改你的注冊表之前對你的系統做好備份,以防出現異常情況的時候可
以進行恢復。
本文根據國外文章改編而成,根據國內的情況略有刪除,如果你有什么不同的意見
請mail to: adam@chinaasp.com,同時也希望您能參加討論。
----------------------------------------------------------------------------
----
--
心事浩茫連廣宇,于無聲處聽驚雷
?? 快捷鍵說明
復制代碼
Ctrl + C
搜索代碼
Ctrl + F
全屏模式
F11
切換主題
Ctrl + Shift + D
顯示快捷鍵
?
增大字號
Ctrl + =
減小字號
Ctrl + -