windows2000服務安全與建議
Alerter
服務方向: 負責向用戶通報管理警報,該服務和Mesenger服務一起工作,後者接收並路由前者的信息.
可執行文件: %systemRoot%/system32/services.exe
風險: 潛在可能導致社會工程攻擊
建議: 將Alerter服務發出的警告限定爲只由管理員接收.
Application Management
服務方向: 提供和active directory之間的通信.通過group policy(組策劃)來指定,發佈並刪除在系統中安裝的應用程序.
可執行文件: winnt/system32/services.exe
風險: 無
建議: 非組策略使用應用程序,最好禁用該服務.
Boot Information Negotiation Layer
服務方向: 與Remote Installation Service(RIS)一起使用,除有需要通過RIS安裝操作系統,否則不要運行.
可執行文件: winnt/system32/services.exe
風險: 無
Brower
服務方向: 負責保存網絡上的計算機列表,並將該列表提供給那些請求得到該列表的程序
可執行文件: winnt/system32/services.exe
風險: 暴露有關網絡的信息
建議: 禁止
Indexing
服務方向: 負責索引磁盤上的文檔和文檔屬性,並且在一個目錄中保存信息,使得你在以後可以搜索他們.
可執行文件: winnt/system32/services.exe
風險: 其爲IISweb服務器上諸多安全弱點的根源
建議: 除非特別需要,否則禁止.
ClipBook
服務方向: ClipBook支持ClipBook Viewer程序,該程序可以允許剪貼頁被遠程計算機上的ClipBook瀏覽.可以使得用戶能夠通過網絡連接來剪切和粘貼文本和圖形.
可執行文件: winnt/system32/Clipsrv.exe
風險: 潛在被非法用於遠程訪問ClipBook剪貼頁面
建議: 禁止
Distributed File System
服務方向: 允許創建單一邏輯盤.文件分佈在網絡上不同位置.
可執行文件: winnt/system32/Dfssrc.exe
風險: 暫無已知風險
建議: 禁止(會產生disk error,可忽略該錯誤)
DHCP client
服務方向: 通過註冊和更新IP地址和DNS域名來管理網絡配置.
可執行文件: winnt/system32/services.exe
風險: 無已知風險
建議:爲服務器分配一個靜態IP
Logical Disk Manager Administrative
服務方向: 用於管理邏輯盤
可執行文件: winnt/system32/dmadmin.exe
風險: 暫無已知風險
建議:將服務的啓動類型設爲手動(Manual)
Logical Disk Manager
服務方向: 該服務爲 Logical Disk Manager Watchdog 服務.負責管理動態磁盤的服務.
可執行文件: winnt/system32/services.exe
風險: 無已知風險
建議: 系統運行時需要,保持默認得自動啓動
DNS Server
服務方向: 負責解答DNS域名查詢
可執行文件: winnt/system32/dns.exe
風險: 無已知風險
建議: 因其通常是導致許多安全性弱點的根源,該服務應謹慎使用.
DNS Client
服務方向: 用於緩存DNS查詢來進行記錄.可用於某個入侵檢測系統的DNS查詢,可加速DNS查詢的速度.
可執行文件: winnt/system32/services.exe
風險: 無已知風險,但攻擊者可以查看你的緩存內容.確定你所訪問過的網站. 命令行形式爲(ipconfig/displaydns)
建議:可停可不停
Event Log
服務方向:Event Log服務負責記錄來自系統和運行中程序的管理事件消息.雖然該服務功能有限,並具有一些小問題,但是該服務可以用於入侵檢測和系統監視.
可執行文件: winnt/system32/services.exe
風險: 無已知風險
建議: 該服務應該被啓動,尤其實在獨立服務器上.
COM+Eent System
服務方向: 提供自動事件分佈功能來訂閱COM組件.
可執行文件: winnt/system32/svchost.exe -k nesvcs
風險: 無已知風險
建議: 如果該服務不需要已安裝的任何程序所使用,你可以禁用COM+Event System 和 System Event Notification服務.
Fax
服務方向: 它負責管理傳真的發送和接收.
可執行文件: winnt/system32/faxsvc.exe
風險: 無已知風險
建議: 對於服務器而言,不需要也不建議使用該服務,除非該服務器專門被指定爲用做一個傳真服務器.
Single Instance Storage Groveler
服務方向: 該服務和Remote Installation服務一起使用.掃描單一實例存儲捲來尋找重複的文件,並將重複文件指向某個數據存儲點以節省磁盤空間.
風險: 無已知風險
建議: 除非你需要使用 Remote Installation 服務,否則請停止它.
Internet Authentication Service
服務方向: 用於認證撥號和VPN用戶.
可執行文件: winnt/system32/svchost.exe -k netsvcs
風險: 無已知風險
建議: 顯然除了在撥號和VPN服務器上,該服務不應該使用.禁止.
IIS Admin
服務方向: IIS Admin服務允許通過Internet Services Manager MMC程序面板來對IIS服務進行管理.
可執行文件: winnt/system32/inetsrv/inetinfo.exe
風險: 無已知風險
建議: 如果服務器正在運行Inetrnet服務,則該服務是需要的.如果沒有運行任何Inetrnet服務,則應當從Control Panel,Add and Remove Programs中卸載Internet Information Server,這樣IIS Admin服務也將被卸載.
Intersite Messaging
服務方向: Intersite Messaging服務和Active Directory replication一起使用.
可執行文件: winnt/system32/ismserv.exe
風險: 無已知風險
建議: 除了Active Directory服務器之外,不需要也不建議使用該服務.
Kerberos Key Distribution Center
服務方向: 這是個域服務,提供了Kerberos認證服務(AS Authentication Service)和票證授予服務(TGT,Ticket-Granting Service)
可執行文件: winnt/system32/lsass.exe
風險: 沒有已知風險
建議: Kerberos Key Distribution Center服務和位於某個域控制器是的Active Directory一起工作的,而且不能被停止,除了在域控制器上,該服務不應該在其他計算機上運行.
Server
服務方向: 該服務提供RPC支持以及文件,打印和命名管道共享,Server服務是作爲文件系統驅動器來實現的,可以處理I/O請求.
可執行文件: winnt/system32/services.exe
風險: 如果沒有提供適當地用戶保護,會暴露系統文件和打印機資源
建議: 除非你打算在windows網絡上共享文件或打印機,否則不需要運行該服務. (附言: 對以2000而言,這個是一個高風險服務,2000的用戶多知道默認共享吧,就是該服務的問題,如果不禁止,每次註銷或開機,默認共享就會打開,你的所以重要信息都將暴露.例如winnt文件夾.大家都應該知道他對於2000的重要.除非你的密碼夠安全,否則這個共享將是你機子的死穴!!!!)
Workstation
服務方向: 該服務提供網絡連接和通信,該服務以一個文件系統驅動器的形式工作,並且可以允許用戶訪問位於windows網絡上的資源.
可執行文件: winnt/system32/services.exe
風險: 一些獨立服務器,例如web服務器,不應當參與到某個windows網絡中
建議: 該服務應當只在位於某個內部網絡,並受到某個防火牆保護的工作站和服務器上運行,在任何可以連接到Internet的服務器上都應該禁用這個服務.
TCP/IP打印服務器
服務方向: 該服務允許遠程UNIX用戶通過使用TCP/IP協議來訪問由某個windows2000服務器所管理的打印機.
可執行文件: winnt/system32/tcpsvcs.exe
風險: 具有一些安全性弱點,並打開一個監聽端口
建議: 該服務具有一些安全性弱點,因爲打開了一個到internet的端口,因此,除非網絡通過防火牆與Internet隔離開.否則不要使用該服務.
License Logging
服務方向: 該服務負責管理某個站點的許可協議信息.
可執行文件: winnt/system32/llssrv.exe
風險: 沒有已知風險
建議: 除了在域控制器上,其他計算機不應當使用該服務.
TCP/IP NETBIOS Helper
服務方向: 該服務允許在TCP/IP網絡上進行NETBIOS通信.
可執行文件: winnt/system32/services.exe
風險: 暴露出系統中的netBIOS安全性弱點,例如NTLM認證
建議: 除非你需要和一箇舊版本的windows保持兼容,否則應當禁止該服務.
Messenger
服務方向: Messenger服務負責發送和接收由管理員或Alerter服務所傳遞的消息.
可執行文件: winnt/system32/services.exe
風險: 沒有已知風險
建議: 該服務不需要而且應當被禁用.
NetMeeting Remote Desktop Sharing
服務方向: 該服務允許授權用戶通過使用NetMeeting來遠程訪問你的Windows桌面.
可執行文件: winnt/system32/mnmsrvc.exe
風險: 是一個具有潛在不安全性的服務
建議: 該服務應當被禁止.因爲它是會導致潛在地安全性弱點的.你可以使用Terminal服務來代替該服務用於遠程桌面訪問.
Distributed Transaction Coordinator
服務方向: 微軟的Distributed Transaction Coordinator服務(MS DTC)可以藉助OLE Transactions協議來提供一個事務(Transaction)協調工具,可以協調分佈於兩個和多個數據庫,消息隊列文件系統和其他事務保護(trasaction protected)資源管理器的事務.
可執行文件: winnt/system32/msdtc.exe
風險: 沒有已知風險
建議: 無需禁止
FTP Publishing
服務方向: 文件傳輸協議不是一種安全的協議,如果不進行適當地保護,FTP Publishing服務將大來很多的安全性風險.
可執行文件: winnt/system32/inetsrv/inetinfo.exe
風險: 微軟的FTP Server沒有已知風險.但一般而言,FTP是已知不安全的服務.
建議: 除非你需要通過FTP來提供文件共享,否則該服務應當被禁止.如果需要,請謹慎地對其進行保護和監視.
Windows Installer
服務方向: 負責管理軟件的安裝,改服務對於安裝和修復軟件應用程序時很有用的.
可執行文件: winnt/system32/msiexec.exe/V
風險:無已知風險
建議: 保留
Network DDE
服務方向: 該服務提供動態數據交換(DDE,Dynamic Data Exhange)數據流傳輸和安全性.
可執行文件: winnt/system32/netdde.exe
風險: 通過網絡接受DDE請求
建議: 對於大多數應用程序而言,Network DDE是不需要的,你應當將它設置爲手工啓動.
Network DDE DSDM
服務方向: 該服務保存一個共享對話(shared conversation)
數據庫,這樣當某個Network DDE共享被訪問時,共享會話將被應用,並且安全性檢測系統將確定請求這是否被允許訪問.
可執行文件: winnt/system32/netdde.exe
風險: 沒有已知風險
建議: 該服務應當設置爲手工啓動
Net Logon
服務方向: 支持爲域中計算機進行的帳號登錄事件的傳遞認證(pass-through authentication).
可執行文件: winnt/system32/lsass.exe
風險: 可以用於對強力密碼攻擊進行傳遞
建議: 該服務不應當在那些不作爲域中一部分的獨立服務器上使用.禁止.
Network Connections
服務方向: 該服務負責管理Network and Dial-Up Connections文件夾中的對象,該文件夾中你可以看到局域網和遠程連接.
可執行文件: winnt/system32/svchost.exe -k netsvcs
風險: 沒有已知風險
建議: 由於該服務在需要時將自己啓動,因此可以設置爲手動啓動.
Network News Transport Protocol(NNTP)
服務方向: 用於提供一個新聞服務器服務,例如USENET.
可執行文件: winntsystem32/inetsrv/inetinfo.exe
風險: 沒有已知風險
建議: NNTP服務器應當安裝在一個DMZ網絡中,而且應當像其他網絡服務,例如FTP,Nail和Web服務那樣來對待.不建議在私有網絡上配置NNTP服務器,任何位於某個內部網絡上的服務器應當卸載或禁用NNTP服務.
File Replication
服務方向: file replication服務(FRS)可以跨域中的服務器來進行文件,系統策略和登錄腳本的複製,該服務還可以用於爲分佈式文件系統(DFS, Distributed File System)複製數據.
可執行文件: winnt/system32/ntfrs.exe
風險:沒有已知風險
建議:它在多個服務之間維護文件目錄內容的文件同步,保持原狀.
NTLM Security Support Provider
服務方向: 該服務委遠程過程調用(RPC.Remote Procedure Call)程序提供安全性,這些程序使用除命名管道之外的傳輸方式.該服務僅當client for microsoft安裝後纔在服務列表中出現.
可執行文件: winnt/system32/lsass.exe
風險: 無已知風險
建議: 既然是安裝後纔有.當然無需去管,只有你沒有安裝client for microsoft.
Removable Storage
服務方向: 該服務負責管理可移動媒質,磁盤和庫.
可執行文件 : winnt/system32/svchost.exe -k netsvcs
風險: 沒有已知風險
建議: 你可以在需要時啓動該服務.
Plug-and-Play
服務方向: 該服務負責管理設備安裝和配置,並向程序通告設備所出現的變化.
可執行文件: winnt/system32/services.exe
風險: 無已知風險
建議: 在沒有這個服務的情況下啓動系統是可能的,但時間較長,而且一些服務也無法運行了(如RAS),所以服務可能最好是設置爲自動啓動.
IPSEC Policy Agent
服務方向: 該服務負責管理IP安全並啓動ISAKMP/Oakley(IKE)和IP安全性驅動程序.
可執行文件: winnt/system32/lsass.exe
風險: 無已知風險
建議: 這個服務請保留吧.
Protected Storage
服務方向: 該服務可以爲敏感數據(例如私鑰)提供受保護的儲存來防止它們被未授權的服務,進程或用戶訪問.
可執行文件: winnt/system32/services.exe
風險: 沒有已知風險
建議: 這個就不必問了,它對系統來說是必須的.
Remote Access Auto Connection Manager
服務方向: 當用戶請求訪問某個遠程網絡地址時,該服務將自動撥號網絡連接.
可執行文件: winnt/system32/svchost.exe -k netsvcs
風險: 沒有已知風險
建議: 該服務僅在你使用撥號網絡連接時才需要,如果你不是通過撥號上網的,當然也就不需要了.
Remote Access Connection Manager
服務方向: 該服務管理撥號網絡連接
可執行文件: winnt/system32/svchost.exe -k netsvcs
風險: 沒有已知風險
建議: 只有服務器需要支持Routing and Remote Access Service(RRAS)時才需要運行該服務,所以你可以禁止.
Routing and Remote Access
服務方向: 該服務在局域網和廣域網環境中提供路由服務.該服務僅用於遠程訪問點.
可執行文件: winnt/system32/svchost.exe -k netsvcs
風險: 如果配置不當,該服務將會使非法用戶在未授權的情況下訪問網絡
建議: 該服務是不能關閉的,那隻好好好配置咯.
Remote Registry
服務方向: 使得經過授權的管理員能夠對位於遠程主機上的註冊表項目進行操作,對於一些功能,例如遠程性能監視,是需要Remote Registry
服務才能工作的.
可執行文件: winnt/system32/regsvc.exe
風險: 如果沒有得到適當的配置,會潛在地將註冊表暴露
建議: 風險是明顯的了,所以啊,不是特別需要,還是禁止吧.
Remote Procedure Call(RPC) Locator
服務方向: 該服務可以使那些支持RPC的應用程序註冊資源可用性,並使客戶能夠找到兼容的RPC服務器.
可執行文件: winnt/system32/svchost -k rpcss
風險: 無已知風險
建議: 該服務應當僅在某個域控制器上運行
Remote Procedure Call(RPC)
服務方向: 該服務調用位於遠程計算機上的可用服務,並用於遠程計算機管理.
可執行文件: winnt/system32/svchost -k rpcss
風險: 會暴露系統信息
建議: 雖然會暴露信息,不過沒辦法拉,誰叫他是任何Windows2000系統上都需要的?
QoS Admission Control
服務方向: 該服務提供帶寬管理控制來保證到網絡服務的訪問.
可執行文件: winnt/system32/rsvp.exe -s
風險: 無已知風險
建議: 如果你使用Windows QoS功能的話,就應當啓用它,不要就禁了吧.
Secrity Accounts Manager
服務方向: Secrity Accounts Manager(SAM)服務保存了本地用戶帳號的安全性信息以用於認證.
可執行文件: winnt/system32/lsass.exe
風險: 雖然有一些方法可以獲得SAM數據,但是SAM服務本身並不會帶來安全性風險.
建議: 這可是個必須的服務
Task Scheduler
服務方向: 該服務將某個程序調度到在指定的時間運行.對於NT4,只有管理員可以調度任務,而且所以任務都是作爲SYSTEM運行的,對於2000,則任何用戶都可以調度某一個任務,而且該任務僅在用戶各自的用戶環境下運行.
可執行文件: winnt/system32/MSTask.exe
風險: 入侵者可以在此替你運行他種下的木馬服務端喔
建議: 除非你需要對某個任務作業進行調度,否則該服務應當被禁止.
RunAs
服務方向: 該服務使得進程可以在另外的用戶憑證下啓動,這是微軟針對特洛伊木馬程序的一種應對手段.使用RunAs,你可以在作爲一個非特權用戶而登錄的同時以管理員權限運行某個進程.
可執行文件: winnt/system32/services.exe
風險: 沒有已知風險
建議: 該服務應當啓動
System Event Notification
服務方向: 該服務跟蹤系統事件.
可執行文件: winnt/system32/svchost.exe -k netsvcs
風險: 沒有已知風險
建議: 該服務記錄windows登錄,網絡和電源事件,建議服務啓用.
Internet Connection Sharing
服務方向: 將某計算機的Internet聯機與其他一些計算機進行共享.
可執行文件: winnt/system32/svchost.exe -k netsvcs
風險: 沒有已知風險
建議: 該服務應當禁止,因爲它可以使得用戶使用一個未經授權的連接,繞過公司網絡中的代理和監視服務.
Simple TCP/IP
服務方向: 這個服務是作爲基本的TCP/IP服務而運行,打開了TCP端口7,9,13,17,19.
可執行文件: winnt/system32/tcpsvcs.exe
風險: 在各種TCP端口上運行了一些不安全的服務
建議: 雖然有危險,還是運行吧.
Simple Mail Transport Protocol(SMTP)
服務方向: 提供外發的Internet郵件服務.
可執行文件: winnt/system32/inetsrv/inetinfo.exe
風險: 可以實現電子郵件的欺騙和中繼
建議: 該服務很有用,應當被限制爲只能從本地主機或網絡上才能訪問她.
SNMP
服務方向: 可以監視網絡設備活動的代理,並將這些監視信息報告給網絡控制檯工作站
可執行文件: winnt/system32/snmp.exe
風險: 在默認情況下,被設置爲使用Public作爲其社區字符串.他會暴露有關windows2000服務器的敏感信息.
建議: 在內部網上用它纔好.
SNMP Trap
服務方向: 接受從其他SNMP代理發過來的SNMP信息
可執行文件: winnt/system32/snmptrap.exe
風險: 沒有已知風險
建議: 在內部網使用吧,其他就不要了.
Print Spooler
服務方向: 該服務用於假脫機打印作業,使得應用程序打印文件時不必等待.
可執行文件: winnt/system32/spoolsv.exe
風險: 沒有已知風險
建議: 除非你要處理打印隊列,否則應當禁止該服務.
Performance Logs and Alerts
服務方向: 處理性能日誌和警報,對系統和網絡監視而言都是有用的.
可執行文件: winnt/system32/smlogsvc.exe
風險: 沒有已知風險
建議: 當然是啓用啊
Telephony
服務方向: 提供電話和基於IP地語音連接.
可執行文件: winnt/system32/svchost.exe -k tapisrv
風險: 沒有已知風險
建議: 除非你打算在局域網上使用這種功能,否則應當禁止該服務.
Terminal
服務方向: 可以提供通過TCP/IP連接的遠程桌面訪問
可執行文件: winnt/system32/termsrv.exe
風險: 可以導致潛在的非法訪問遠程桌面以及強力攻擊.
建議: 你應當通過IP地址的限制來嚴格限制對該服務的訪問.並且應該進行密切監視.
Terminal Services Licensing
服務方向: 用於在應用程序服務模式下使用Terminal服務時管理客戶的許可協議.
可執行文件: winnt/system32/lserver.exe
風險: 沒有已知風險
建議: 該服務當服務器在Application Server Mode下運行Terminal服務時是必須得.
Trivial FTP Daemon
服務方向: 實現Trivial FTP Internet標準.
可執行文件: winnt/system32/tftpb.exe
風險: 導致潛在的未經授權的文件訪問
建議: 應當應用在本地的可信任網絡上.
Telnet
服務方向: 該服務允許某個遠程用戶登錄到系統,並使用命令行來運行控制檯程序.
可執行文件: winnt/system32/tlntsvr.exe
風險:他的密碼是以明文形式傳輸,如果MTLM認證被啓用,則NTLM密碼散列也會被發現.
建議: 禁止吧
Utility Manager
服務方向: 可以啓動和配置可達性工具.
可執行文件: winnt/system32/UtilMan.exe
風險: 沒有已知風險
建議: 除非你需要使用可達性工具,否則應當禁止他
Windows Time
服務方向: 從一個網絡時間服務器來設置系統時間.
可執行文件: winnt/system32/services.exe
風險: 沒有已知風險
建議: 如果你不是2000,就禁了吧
World Wide Web Publishing
服務方向: 該服務提供Internet的匿名Web站點訪問服務.
可執行文件: winnt/system32/inetsrv/inetinfo.exe
風險: 各種文件訪問,遠程命令執行,拒絕服務和其他風險都有
建議: 他是必須得,只有靠其他工具維護他的安全咯
Windows Management Instrumentation
服務方向: 提供系統管理信息,它基本上是一個基於WEB的企業管理兼容工具,用於從各種來源收集並關聯管理數據.
可執行文件: winnt/system32/WBEM/WinMgmt.exe
風險: 具有暴露敏感信息的潛在危險
建議: WMI是一種有用的工具,同樣也可用於收集信息.如果你不是特別不希望使用該服務,還是啓用吧
Windows Internet Name Service
服務方向: 是微軟用於NetBIOS網絡的名稱服務.
可執行文件: winnt/system32/win.exe
風險: 具有暴露敏感系統信息的潛在危險
建議: 純粹的Windows2000網絡並不依賴WINS.應當被禁用.或是隻在本地使用好了.
端口部分
139端口
1.開始—程序—管理工具—本地安全策略—鼠標右點“IP安全策略,在本地機器”;
2.點擊“管理IP篩選器表和篩選器操作”,在“管理IP篩選器列表”上點“添加”;
3.將彈出“IP篩選器列表”窗口;
4.添入名稱和描述,比如“禁止
5.到“指定IP源地址”窗口,在“源地址”中選擇“任何IP地址”,點下一步;
6.在“IP通信目標”的“目標地址”選擇“我的IP地址”,點下一步;
7.在“IP協議類型”的“選擇協議類型”選擇“TCP”,點下一步;
8.在“篩選器嚮導”的“設置IP協議端口”裏第一攔“從任意端口”,第二攔“到此端口”並且添上“
9.點“完成”,然後在點“關閉”,回到“管理IP篩選器表和篩選器操作”;
10.選擇“管理篩選器操作”,點“添加”;
11.這時會出現一個“篩選器操作嚮導”的,點“下一步”,在“名稱“裏添上“禁止139端口”連接,點下一步,選擇“阻止”,再點下一步;
12.點“完成”和“關閉”。
445端口
方法和上面的139端口的方法一樣,只是注意在添加篩選器操作的時候不能用同一個“阻止”篩選器操作,否則規則沒有作用。
完成上面兩項操作後,回到“IP安全策略,在本地機器”,右點“IP安全策略”:
1.“IP安全策略嚮導”,點“下一步”,在“名稱”中,添入“禁止使用139,445端口連接”一路點下一步,完成。
2.在“禁止使用139,445端口連接”裏點“添加”,出現“安全規則嚮導”,一路下一步,到“IP篩選器列表”,選擇“禁止
3.通過“添加”將禁用445端口的篩選器列表和操作也添進去一路下一步,到“IP篩選器列表”,選擇“禁止
最後,只需要將剛纔配置好的東西指派就成了。
135端口
對於135端口開放的問題,可以在你的防火牆上,增加一條規則:拒絕所有的這類進入的UDP包,目的端口是135,源端口是7,19,或者135,這樣可以保護內部的系統,防止來自外部的攻擊。大多數防火牆或者包過濾器已經設置了很多嚴格的規則,已覆蓋了這條過濾規則,但任需注意:有一些NT的應用程序,它們依靠UDP135端口進行合法的通訊,而打開你135的端口與NT的RPC服務進行通訊。如果真是這樣,你一定要在那些原始地址的系統上(需要135口通訊),實施上述的規則,指定來自這些系統的通訊可以通過防火牆,或者,可以被攻擊檢測系統所忽略,以便維持那些應用程序的正常連接。
關於17,19,7,9端口的打開應該是屬於使用的是默認服務配置,關閉的方法;先去下載一個叫做 Configure Port Blocker 的軟件,該軟件可以直接刪除不必要的端口
80端口
http://www.yesky.com/20010527/181643.shtml
使用安全有效的驗證用戶身份的方法(建議不允許匿名登陸);
在IIS中,將HTTP404 Object Not Found 出錯頁面通過URL重定向到一個定製的HTM文件。
IIS服務器
更改默認的IIS路徑,把C盤下的InetPub目錄徹底刪除,然後隨便在什麼盤建立一個,在IIS管理器中將主目錄指向我們建立的目錄
打開IIS服務器,到“主目錄”頁面,找到“設置”,刪除不必要的映射,留下我們要用的。刪除在IIS管理器中右點主機—屬性—WWW 服務編輯—主目錄配置—應用程序映射。在那個窗口的應用程序調試書籤內,講腳本錯誤消息改爲發送文本,錯誤文本隨便怎麼寫好了。退出時,讓虛擬站點繼承設定的屬性。
刪除默認的那些不必要用到的虛擬目錄,比如mstdc,scripts等
到C:/Winnt/system32下,把 FTP , CMD, TFTP 這樣重要的EXE程序進行一次全新的設置,把系統的“IUSR_計算機名”,這個用戶拒絕訪問。
其他
關掉Guest帳號:把這個賬號停用,任何時候都不允許使用他登陸。最好是給他設置一個超複雜密碼,用記事本亂打他什麼數字,大小寫字母,特殊符號,弄他二十幾位出來,然後從記事本上覆制進去;
刪除掉沒有用處的用戶;
把Administrator帳號改名,隨便改成一個什麼。這個帳號好象可以使人用窮舉法一次一次的嘗試破解的。或者使用超長密碼;
共享文件的權限改成“授權用戶”;
打開審覈策略記錄下比如嘗試用戶密碼,改變帳戶策略,未經許可的文件訪問等;
密碼策略得開啓;
不讓系統顯示上次登陸的用戶名:修改HKLM / Software / Microsoft /Windows NT / CurrentVersion /Winlogon / DontDisplay LastUserName 把 REG_SZ 的鍵值 改爲 1;
禁止建立空連接:默認情況下,任何人都可以通過空連接連上服務器,猜密碼。修改Local_Machine / System / CurrentControlSet / Control / LSA-RestrictAnonymous 的值改成1;
如果服務器不玩遊戲的話,把DirectDraw關掉: HKLM / SYSTEM / CurrentControlSet / Control / GraphicsDrivers /DGI的Timeout(TEG_DWORD)爲 0;
禁止Dump File 的產生:這個東西能提供給別人一些敏感信息,如應用程序的密碼等,記錄的是在死機,藍屏時的信息,關掉。控制面板—系統屬性—高級—啓動和故障恢復,把“寫入調試信息”改爲 無。
終端服務的設置
第一步,更改終端服務的服務器端設置。
打開註冊表,找到類似這樣的鍵值HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/Terminal Server/Wds/Repwd/Tds/Tcp, 找到PortNumber。0xd3d,這個是16進制,就是3389,這個值是RDP(遠程桌面協議)的默認值,也就是說用來配置以後新建的RDP服務的,要改已經建立的RDP服務,我們去下一個鍵值:HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/TerminalServer/WinStations這裏應該有一個或多個類似RDP-TCP的子健(取決於你建立了多少個RDP服務),一樣改掉PortNumber。
第二步,改客戶端。
再來改客戶端:打開客戶端連接管理器,按照正常的步驟建立一個客戶 端連接的快捷方式,選中這個連接,然後在“文件”菜單裏選擇“導出”(Menu->File->Export),這個操作會生成一個cns文件,就是終端服務客戶端的配置文件,你可以用文本編輯器(比如記事本)編輯這個文件,找到“Server Port=
需要注意的是,從微軟主頁上下載的終端服務客戶端Terminal Service Client(MSI版)以及ActiveX版都不能更改端口,只有使用Win2000服務器版終端服務自帶的“製作安裝盤”功能製作版本可以改端口,這個功能在管理工具的“終端服務客戶端生成器”(Terminal Service Client Creator)中。
對於日誌的問題,其實Terminal Service自己是有日誌功能的,在管理工具中打開遠程控制服務配置(Terminal Service Configration),點擊“連接”,右擊你想配置的RDP服務(比如RDP-TCP(Microsoft RDP5.0)),選中書籤“權限”,點擊左下角的“高級”,看見上面那個“審覈”了嗎?我們來加入一個Everyone組,這代表所有的用戶,然後審覈他的“連接”、“斷開”、“註銷”的成功和“登陸”的功能和失敗就足夠了,審覈太多了反而不好,這個審覈試記錄在安全日誌中的,可以從“管理工具”->“日誌查看器”中查看。現在什麼人什麼時候登陸都一清二楚了,可是它卻不記錄客戶端的IP(只能查看在線用戶的ip)而是記錄計算機名。我們建立一個.bat文件,叫做TSLog.bat,這個文件用來記錄登錄者的ip,內容如下:
time /t>>TSLog.log
netstat -n -p tcp|find ":3389">>TSLog.log
start Explorer
來解釋一下這個文件的含義:
第一行是記錄用戶登陸的時間,Time/t的意思是直接返回系統時間(如果不加/t,系統會等待你輸入新的時間),然後我們用追加符號>>把這個時間記入TSLog.log第二行是記錄用戶的ip地址,Netstat是用來顯示當前網絡連接狀況的命令,-n表示顯示ip和端口而不是域名、協議,-p tcp是隻顯示tcp協議,然後我們用管道符號“|”把這個命令的結果輸出給Find命令,從輸出結果中查找包含“:3389”的行(這就是我們要得客戶的ip所在行,如果你改了終端服務的端口,這個數值也要作相應的改變),最後我們同樣把這個結果重定向到日誌文件TSLog.log中去,於是在TSLog.log文件中,記錄格式如下:
22:40
TCP 192.168.12.28:3389 192.168.10.123:4903ESTABLISHED
22:54
TCP 192.168.12.28:3389 192.168.12.29:1039ESTABLISHED
也就是說只要TSLog.bat文件一運行,所有連在3389端口的ip都會被記錄,那麼如何讓這個批處理文件運行呢?終端服務允許我們爲用戶自定義起始的程序,在終端服務配置中,我們覆蓋用戶的登陸腳本設置並指定TSLog.bat爲用戶登錄時需要打開的腳本,這樣每個用戶登錄後都必須執行這個腳本,因爲默認得腳本(相當於SHELL環境)是Explorer(資源管理器),所以我在TSLog.bat的最後一行加上了啓動Explorer的命令start Explorer,如果不加這一行命令,用戶是沒有辦法進入桌面的。當然,如果你只需要給用戶特定的SHELL:例如cmd.exe或者word.exe你也可以把start explorer替換成任意的SHELL。這個腳本也可以有其他的寫法,例如寫一個腳本把每個登陸用戶的ip發送到自己的信箱對於很重要的服務器也是一個很好的方法。正常情況下,一般的用戶沒有查看終端服務設置的權限,所以他不會知道你對登陸進行了ip審覈,只要把TSLog.bat文件和TSLog.log文件放在比較隱蔽的目錄裏就足夠了,不過需要注意的是這只是一個簡單的終端服務日誌攻略,並沒有太多的安全保障措施和權限機制。