Win2K Internet服务器安全构建指南
二、Win2K安装时要重点考虑的安全配置信息
安装Win2K时,直到配置网络协议时才需要考虑安全问题。对于一个Internet网站,配置网络协议时一定要关闭一个很大的安全漏洞:NetBIOS协议!就是说,在“本地连接属性”窗口中,只选中“Microsoft网络客户端”和“Internet协议(TCP/IP)”两项:
选中“Microsoft网络客户端”的原因在于NTLM (NT/LAN 管理器)安全支持供应(Security Support Provider)组件是嵌入在操作系统中的,如果没有这个组件,IIS将无法运行。
你可能要问了:“只配置这两个协议,需要其他的功能怎么办”?解决方法很简单:为服务器安装配置两个网卡,第一个用于Internet连接,其上只绑定那两个服务协议;第二个用于从本地网络访问服务器,根据需要添加其他的服务协议,例如“Microsoft网络的文件和打印机共享”等:
接下来,我们要设置TCP/Ip协议的属性内容。除了确定网卡IP地址以及默认网关地址外,还需要点击“高级”按钮进入“WINS”选项卡设置“禁止TCP/IP上的NetBIOS”,以阻止网卡向Internet发送和接收NetBIOS信息:
NetBIOS是简单友好的机器名表达法,例如\\servername\shareresource。如果打开这个功能,攻击者就可以使用端口扫描器等软件测试出具有端口137 和139监听的机器,从而进一步使用其NetBIOS 名尝试获取系统资源的访问权。