如果你的电脑新安装了NT4/Win2000,并不意味着可以直接作为互联网服务器使用。虽然微软的补丁很多,但还是有一些漏洞。现在简单说一下如何使用iis搭建高安全性服务器。
首先,基于Windows NT的安全机制
1.为NT修补SP6,为2K修补SP4。将磁盘的文件系统转换为NTFS(系统安装时可以转换系统安装所在的分区,也可以在系统安装后用工具转换)。同时删除了使用权中每个人的写和修改权限,也删除了Winnt\Repair等关键目录的读权限。
2.分享权的修改。在NT下,进入开始菜单-程序-管理工具-系统策略编辑器,然后在系统策略的文件菜单中打开“打开注册表”来修改windows NT网络并将其从挂钩中删除。可以在2K下写一个net share c$ /delete的bat文件,放在机器的启动任务里。
3.重命名系统管理员帐户。同时,将系统管理员的密码改为强加密:密码长度应大于10位,密码应包含数字、字母、和其他角色。
4.废除TCP/IP上的NetBIOS。通过网络属性的绑定选项废除NetBIOS和TCP/IP之间的绑定。
5.安装其他服务。尽量不要在同一台服务器上安装数据库的其他服务。如果安装,最重要的一点是数据库密码不能和系统的登录密码相同。
第二,建立IIS的安全机制
1.解决IIS4及之前版本被D.O.S攻击将停止服务的问题。Regedt32.exe运行在:HKEY _本地_机器\系统\当前控制集\服务\ W3SVC \参数。添加值:value name:maxclientRequestBuffer数据类型:reg _ dword。将十进制特定值设置为您想要设置的IIS所允许的最大URL长度。CNN设置为256。
2.删除HTR脚本映射。
3.将IIS web服务器下的/_vti_bin目录设置为禁止远程访问。
4.在IIS管理控制台中,单击“网站”、“属性”,选择“主目录”、“配置(起点)”和“应用映射”,并删除htw和webhits.dll之间的映射。
5.删除:C:\ Program Files \ Common Files \ System \ MSADC \ MSADCS.dll。
6.如果不需要使用索引服务器,禁止或卸载该服务。如果使用索引服务器,请在包含敏感信息的目录中禁用“索引此资源”选项。
8.解决unicode漏洞:2K安装2kunicode.exe,NT安装ntunicode86.exe。
经过以上设置,我还是不敢说完全安全。不要回去睡觉!但是你可以放松!
微软的产品虽然好用,但是相比同类产品,它的漏洞是最常见的。作为网络管理员,要时刻关注新漏洞的出现,及时采取相应措施,做到有备无患!
