Win2K Internet服務器安全構建指南(三)(IIS篇)

　　4、為重要系統文件改頭換面

　　操作系統中有許多非常重要的文件，它們就象"雙刃劍"，既可以讓管理員方便地執行維護工作，又可能被攻擊者利用進行破壞活動。為此，建議對這些文件進行刪除、重命名或者為其設置NTFS權限，目的就是使攻擊者再也找不到熟悉的面孔。這些文件包括：

　　5、刪除危險的IIS組件

　　默認安裝后的有些IIS組件可能會造成安全威脅，應該從系統中去掉，所謂"多一個組件，不如少一個組件"。以下是一些"黑名單"參考，請管理員酌情考慮：

　　● Inte.net服務管理器（HTML）：這是基于Web 的IIS服務器管理頁面，一般情況下不應通過Web進行管理，建議卸載它。
　　● 樣本頁面和腳本：這些樣本中有些是專門為顯示IIS的強大功能設計的，但同樣可被用來從Internet上執行應用程序和瀏覽服務器，這不是好事情，建議刪除。
　　● Win2K資源工具箱 或IIS資源工具箱：這些由專家編寫的軟件大概是現在最好的黑客工具了，其中有許多項目可以被攻擊者利用從服務器上提取信息、進行破壞。
　　● SMTP和NNTP：如果不打算使用服務器轉發郵件和提供新聞組服務，就刪除這些項目吧。否則，別因為它們的漏洞帶來新的不安全。
　　● Internet打?。篒nternet打印是Win2K中的一個新特性，它提供了通過Internet將打印作業題交給打印機的方式。但是由于網絡上的打印機是通過一個Web頁面進行訪問并管理的，所以也就使系統增加了許多受到利用的可能。

　　6、改寫注冊表降低被攻擊風險

　　DDoS攻擊現在很流行，例如SYN使用巨量畸形TCP信息包向服務器發出請求，最終導致服務器不能正常工作。改寫注冊表信息雖然不能完全制止這類攻擊，但是可以降低其風險，所以，建議搜索并實施相關攻擊的注冊表改寫對策。降低SYN攻擊的注冊表改寫對策是：將HKLM\System\CurrentControlSet\Services\Tcpip\Parameters下的SynAttackProtect的值修改為2。

　　7、簡化IIS5中的驗證方法

　　Win2K和IIS5緊密結合的一點就體現在它們共享了驗證的功能和方法，這包括：匿名訪問、基本驗證（密碼用明文送出）、Windows域服務器的簡要驗證、集成Windows驗證等等。

原文轉自：http://www.kjueaiud.com