加固NT和IIS的安全(上)_網絡服務器

加固NT和IIS的安全(上)

發表于：2007-05-25來源：作者：點擊數：標簽：

本文僅試用于運行IIS 4.0的NTS 4.0系統，如果服務器上還有其他的應用（比如Cold Fusion），那么必須同時保證這些應用本身的安全。下面所述的方法應該在安裝新系統時進行，以避免不可預知的結果出現。另外需要注意的是，這種方法不應該在內部網絡上（比如

本文僅試用于運行IIS 4.0的NTS 4.0系統，如果服務器上還有其他的應用（比如Cold Fusion），那么必須同時保證這些應用本身的安全。下面所述的方法應該在安裝新系統時進行，以避免不可預知的結果出現。另外需要注意的是，這種方法不應該在內部網絡上（比如文件服務器）使用，因為它刪除了一些NT常用的默認服務。

　　一、安裝

　　1．所有分區為NTFS

　　服務器選擇獨立的服務器，不選擇PDC

　　選擇工作組成員，不選擇域

　　2．安裝IE 4.0 SP2,不安裝active desktop

　　3．安裝最新的服務包：SP6a

　　安裝最新的熱補?。?/B>

q241041 Enabling NetBT to Open IP Ports Exclusively
q243404 WINOBJ.EXE May Let You View Securable Objects Created/Opened by JET500.DLL
q243405 Device Drivers Create their Corresponding DeviceObject with FILE_DEVICE_SECURE_OPEN Device Characteristics
q244599 Fixes Required in TCSEC C2 Security Evaluation Configuration for Windows NT 4.0 Service Pack 6a. Windows NT Appears to Hang When You Log Off After Installing Service Pack 6.
q188806 NTFS Alternate Data Stream Name of a File May Return Source
q252463 Security Update, April 13, 2000
q267559 Security Update, July 17, 2000
q269862 Security Update, August 15, 2000
q271652 Security Update, September 8, 2000

　　4．安裝option pack

　　選擇自定義安裝：

　　只安裝如下組件：

[_] Internet Information Server
[_] Internet Service Manager
[_] World Wide Web Server
[_] Microsoft Data Aclearcase/" target="_blank" >ccess Components 1.5
[_] Data Sources
[_] MDAC: ADO, OBDC, and OLE DB
[_] Remote Data Service 1.5
[_] RDS Core Files
[_] Microsoft Management Console
[_] NT Option Pack Common Files
[_] Transaction Server
[_] Transaction Server Core Components

　　將www安裝在和操作系統不同的分區上

　　安裝transaction server時選擇default/local administration

　　5．安裝最新的MDAC (2.6 RTM as of 10/30/00)

　　二、配置NT

　　1．設置權限

　　使用用戶管理器在所有分區上的根目錄上設置如下：

* Administrators:：FULL CONTROL
* System:：FULL CONTROL

　　2．設置屏幕保護

在控制面板中選擇顯示
選擇屏幕保護程序
選中密碼保護，點擊確定

　　3．設置服務

　　禁止如下的服務：

Alerter (disable)
ClipBook Server (disable)
Computer Browser (disable)
DHCP Client (disable)
Directory Replicator (disable)
FTP publishing service (disable)
License Logging Service (disable)
Messenger (disable)
Netlogon (disable)
Network DDE (disable)
Network DDE DSDM (disable)
Network Monitor (disable)
Plug and Play (disable after all hardware configuration)
Remote Access Server (disable)
Remote Procedure Call (RPC) locater (disable)
Schedule (disable)
Server (disable)
Simple Services (disable)
Spooler (disable)
TCP/IP Netbios Helper (disable)
Telephone Service (disable)

　　在必要時禁止如下服務：

SNMP service (optional)
SNMP trap (optional)
UPS (optional

　　設置如下服務為自動啟動：

Eventlog ( required )
NT LM Security Provider (required)
RPC service (required)
WWW (required)
Workstation (leave service on: will be disabled later in the document)
MSDTC (required)
Protected Storage (required)

　　4．如果安裝了SNMP,改變community的值

　　5．刪除IIS例子程序的所在目錄

IIS d:\inetpub\iissamples
Admin Scripts d:\inetpub\scripts
Admin Samples %systemroot%\system32\inetsrv\adminsamples
IISADMPWD %systemroot%\system32\inetsrv\iisadmpwd
IISADMIN %systemroot%\system32\inetsrv\iisadmin
Data access c:\Program Files\Common Files\System\msadc\Samples

　　6．從ISM(Internet Service Manager)中刪除如下目錄

IISSamples
Scripts
IISAdmin
IISHelp
IISADMPWD

　　7．刪除不必要的IIS擴展名映射

　　從ISM中：

選擇計算機名，點鼠標右鍵，選擇屬性
然后選擇編輯
然后選擇主目錄，點擊配置
選擇擴展名 ".HTA", ".HTR" 和 ".IDC" ，點擊刪除
如果不使用server side include，則刪除".shtm" ".stm" 和 ".shtml"

　　8．禁止缺省的www站點

　　9．禁止管理員從網絡登陸

　　使用NT resouce kit中的工具passprop,執行如下命令：

passprop /adminlockout /complex

　　10．僅開放使用的端口

在控制面板中選擇網絡，點擊屬性擇TCP/IP協議并點擊屬性
點擊高級選項
選擇"啟用安全機制"并點擊"配置"
將允許所有改為僅允許如下的端口：
TCP Ports UDP Ports IP Protocols
80 HTTP 161 SNMP 6
443 SSL 162 SNMP 8
22 SSH

　　11．僅安裝TCP/IP協議

在控制面板中選擇網絡，點擊協議，刪除所有非TCP/IP的協議

　　12．禁止NetBIOS

在控制面板中選擇網絡，點擊綁定, 選擇NetBios接口，然后點擊禁用

　　13．移動部分重要文件并加訪問控制

　　創建一個只有系統管理員能夠訪問的目錄，比如：

　　d:\admin

將system32目錄下的如下文件移動到上面創建的目錄：

xcopy.exe, wscript.exe, cscript.exe, net.exe, ftp.exe, telnet.exe,arp.exe,
edlin.exe, ping.exe, route.exe,at.exe,finger.exe,posix.exe,rsh.exe,
atsvc.exe, qbasic.exe,runonce.exe,syskey.exe,cacls.exe, ipconfig.exe,
rcp.exe, secfixup.exe, nbtstat.exe, rdisk.exe, debug.exe, regedt32.exe,
regedit.exe, edit.com, netstat.exe, tracert.exe, nslookup.exe, rexec.exe,
cmd.exe,nslookup.exe
原文轉自：http://www.kjueaiud.com

相關文章

解密阿里云之飛天平臺內核

解析Google集群資源管理系統Omega

kvm 虛擬機的詳細說明

好的系統管理員應該是個瞎子

查看IIS中應用程序池相對應的網站

Apache設置web 緩存

周排行

月排行

下載

全網最詳細的接口測試實戰

先測試再開發？TDD測試驅動

自動化測試架構

軟件測試架構師的知識能力

大數據平臺測試方法

用不同的測試模型來構建測

當軟件測試遇上ChatGPT：軟件

全網最詳細的接口測試實戰

先測試再開發？TDD測試驅動

自動化測試架構

軟件測試架構師的知識能力

大數據平臺測試方法

用不同的測試模型來構建測

當軟件測試遇上ChatGPT：軟件

MBT基于模型的測試介紹資料

iso29119相關介紹性資料

HP QTP 10 中文版官方中文補丁

HP QTP 10 英文版下載地址

HP ALM 11 官方中文版下載地址

Quality Center 9.0中文版下載地

HttpWatch Basic Edition Version 7.

WIN2003+ORACLE11G+QC11(ALM11) 安裝

WIN2003+SQL2005(SP3)+QC11(ALM11) 安

軟件測試沙龍 More>>

新浪微博 More>>

熱門標簽

功能測試

性能測試

安全測試

本地化測試

游戲測試

web測試

單元測試

敏捷測試

測試用例

測試模版

測試管理

測試工具

《測試團隊的招聘與管理

《我們應該如何構建我們

軟件測試 > 測試開發技術 > 軟件測試環境搭建 > 網絡服務器 >

加固NT和IIS的安全(上)