資訊動(dòng)態(tài)
配置 TCP/IP過濾
發(fā)布:2018-08-13 17:46:38 瀏覽:4165
CurrentcontrolsetContronilesystem中將NsDisable&dot3NameCreston的值設(shè)為“1”(3)關(guān)閉NTFS的83格式文件識(shí)U別,這要在HKEY_LOCALMACHINESTSTEM
“系統(tǒng)啟動(dòng)欄”中列表顯示默認(rèn)值“30”改為“0”、(4)系統(tǒng)啟動(dòng)的等待時(shí)間設(shè)置為0秒,進(jìn)行“控制面版一系統(tǒng)一啟動(dòng)/關(guān)閉”操作,然
(5)將Web服務(wù)器設(shè)置為獨(dú)立的服務(wù)器,也能提高不少安全級(jí)別。
(6)從NT服務(wù)器上移走其他系統(tǒng)如OS2,Linux…“'以免他人從別的系統(tǒng)上修改你
的NT系統(tǒng)(7)除服務(wù)器的網(wǎng)絡(luò)共享,可以使用這樣的命令netshare/d,那些為了管理而設(shè)置的
ControlsetlcontroServiceslServerParameters的AutoshareServer改為0。共享就必須通過修改注冊(cè)表的方法來實(shí)現(xiàn)了,HKEYLOCALMACHINESYSTEMCURTENT-
(8)嚴(yán)格審核success/FailedLogon/ogof日志,通過“域用戶管理器一規(guī)則一審核”
進(jìn)行(9)隱藏上次登錄用戶名,修改注冊(cè)表HKEYLOCAL_MACHINEMicrosof
WindowsntCurrentVersionWinlogon中的Dontdisplaylastusername改為0
(10)在你的logon對(duì)話框中把“shutdown”按鈕移走,修改注冊(cè)表HKEY_LOCAL
MACHINESOFTWAREMMICROSOFWindowsntcurrentVersionWinlogonAShutdown.
WithoutLogon改為0(1)設(shè)定用戶的口令長(zhǎng)度,一般可以設(shè)到九位,密碼位數(shù)到了這個(gè)數(shù)字再被猜出來的
可能性很小了:關(guān)閉guestI賬號(hào),將Administrator賬號(hào)改名,并為管理員設(shè)置一個(gè)不易破
譯的口令
(12)WindowsNT有一個(gè)特征:允許未認(rèn)證的用戶進(jìn)入網(wǎng)絡(luò)列舉域內(nèi)用戶。如果想要
禁止這個(gè)功能,修改HKEYLOCALMACHINESYSTEMCurrentcontrolsetcontrollsa中
的Restrictanonymous,將它的值改為1(13)禁止P轉(zhuǎn)發(fā),通過“控制面版一網(wǎng)絡(luò)一協(xié)議一TCPP協(xié)議一屬性”,使這個(gè)框
為空
(14)配置TCP/IP過濾,可以減少許多不必要的麻煩。具體配置方法是:“控制面版
一網(wǎng)絡(luò)一協(xié)議ーTCPP協(xié)議一屬性一高級(jí)→啟用安全機(jī)制一配置”,可以這樣配置TCPPort
80和443(SSL的端口):不允許UDP端口;IP協(xié)議6。這是一個(gè)典型的安全配置,推
薦使用。
6.2.7IIS4.0的安全漏洞
隨著OptionPack的發(fā)布,越來越多的人用IS40來做Web服務(wù)器,這樣一來,ASP就
成了不少網(wǎng)管的寵愛。雖然ASP的開發(fā)和維護(hù)都比較簡(jiǎn)單,功能也比較強(qiáng)大,但在IS30的
都有數(shù)據(jù)庫(kù)的結(jié)構(gòu),用戶的訪問口令等關(guān)鍵數(shù)據(jù),所以這就成了ASP一個(gè)相當(dāng)大的BUG時(shí)候,發(fā)現(xiàn)在ASP程序后面加Sdata就可以看到ASP的源程序。由于ASP的源程序里面一般
雖然修改目錄的執(zhí)行權(quán)限可以防止這個(gè)BUG在IS40里面,也出現(xiàn)了一個(gè)類似的漏洞,就
是在ASP后面加上81%或者是82%也可以看到ASP的源程序,這次修改目錄權(quán)限就沒有用
用河覽器顯示ASP文件的源碼在加made/Samples/Selector目錄下,后面跟上這樣一句話了,推一的辦法就是安裝SP5,不僅如此,在IS40里面有個(gè)叫showcode,aspI的程序,允許
source-=/path/filename,就可以看到想看的源文件。H用http://domainname/msadc/samples/selector
opcode.asp?source=/'default.asp就可以顯示default.asp的源代碼(如果有的話),而用
則可以看到C盆下的boii文件hip:/domainnamelmsadc/Samplesselecorshowcodeaspsourcemsadc/Samples./J.Jboctini
6.2.8IS4.0的安全配置方法
1.設(shè)置正確的Server訪問控制權(quán)限支人
System(FullControl)(1).EXE,CGI,DLL,PL權(quán)限設(shè)置Everyone(X),Administrators(FullControl),
Control);(2)ASP的權(quán)限設(shè)置Everyone(X),Administrators(FullControl),System(Full
(3)INC,SHTML,SHTM的權(quán)限設(shè)置Everyone(X),Administrators(FullControl),
System(FullControl)
(FullControl)。(4).HTNL,GF,JPEG的權(quán)限設(shè)置Everyone(R),Administrators(FullControl,System
系統(tǒng)帶來不必要的麻煩2.正確設(shè)置虛擬目錄,建議把默認(rèn)安裝后的那些虛擬目錄刑除,因?yàn)檫@些目錄將會(huì)給
(1)IIS:c:inetpubiissamples
(2)LISSDK:c:inetpubiissamplessdk
(3)Adminscripts:c:uinetpubadminscripts(4)Dataaccess:C:ProgramFileCommonFilesSystemsadcSamples
3.正確設(shè)置IS日志訪問權(quán)限,ACL:Administrators(FullControl),System(Full
Control).
14.適當(dāng)?shù)卦O(shè)置P拒絕列表,防止黑客攻擊服務(wù)器。
5.設(shè)置并使用權(quán)SecureSocketsLayer.
6.刪除一些用不上的組件,regeditXXX.dll/。7.刑除虛擬目錄IISADMPWD,因?yàn)樗试S重新設(shè)置管理員口令,這是比較危險(xiǎn)的
還是刪除為好。8.刪除一些不必要的SciptMapping,像.hr,idc,shum,,stm,shtml,都可以刪
9.禁止RDS的支持,因?yàn)樽罱l(fā)現(xiàn)了一個(gè)它的BUG,所以還是禁用為好10.使用IS登錄日志,每天記錄客戶P地址,用戶名,服務(wù)器端口,方法,URI字
根,HITP狀態(tài),用戶代理。11.在ASP頁(yè)面中加入<ROM>輸入的檢測(cè)
12.禁止“ParentPaths"”,也就是不讓別人用“.”來訪問你的上一層目錄,設(shè)置辦
法:進(jìn)入“站點(diǎn)屬性一主目錄一配置一應(yīng)用程序選項(xiàng)一啟用上層目錄”將它disable就可
以了13.HKEYLOCALMACHNELSYSTEMSevicesW3SVCParametersf
Ssienablecmddirective設(shè)置為1,網(wǎng)站設(shè)計(jì)禁止遠(yuǎn)程調(diào)用commandshell14.刪除或轉(zhuǎn)移/msadc/Samples/Selector目錄下的showcode.asp.以免他人看到ASP代
>>> 查看《配置 TCP/IP過濾》更多相關(guān)資訊 <<<
本文地址:http://ccrxjh.com/news/html/3662.html
上一個(gè):MS SMTP Server
下一個(gè):網(wǎng)站安全概述
