分享
 
 
 

加固NT和IIS的安全(上)

王朝厨房·作者佚名  2007-01-05
窄屏简体版  字體: |||超大  

本文仅试用于运行IIS 4.0的NTS 4.0系统,如果服务器上还有其他的应用(比如Cold Fusion),那么必须同时保证这些应用本身的安全。下面所述的方法应该在安装新系统时进行,以避免不可预知的结果出现。另外需要注意的是,这种方法不应该在内部网络上(比如文件服务器)使用,因为它删除了一些NT常用的默认服务。

一、安装

1.所有分区为NTFS

服务器选择独立的服务器,不选择PDC

选择工作组成员,不选择域

2.安装IE 4.0 SP2,不安装active desktop

3.安装最新的服务包:SP6a

安装最新的热补丁:

q241041 Enabling NetBT to Open IP Ports Exclusively

q243404 WINOBJ.EXE May Let You View Securable Objects Created/Opened by JET500.DLL

q243405 Device Drivers Create their Corresponding DeviceObject with FILE_DEVICE_SECURE_OPEN Device Characteristics

q244599 Fixes Required in TCSEC C2 Security Evaluation Configuration for Windows NT 4.0 Service Pack 6a. Windows NT Appears to Hang When You Log Off After Installing Service Pack 6.

q188806 NTFS Alternate Data Stream Name of a File May Return Source

q252463 Security Update, April 13, 2000

q267559 Security Update, July 17, 2000

q269862 Security Update, August 15, 2000

q271652 Security Update, September 8, 2000

4.安装option pack

选择自定义安装:

只安装如下组件:

[_] Internet Information Server

[_] Internet Service Manager

[_] World Wide Web Server

[_] Microsoft Data Access Components 1.5

[_] Data Sources

[_] MDAC: ADO, OBDC, and OLE DB

[_] Remote Data Service 1.5

[_] RDS Core Files

[_] Microsoft Management Console

[_] NT Option Pack Common Files

[_] Transaction Server

[_] Transaction Server Core Components

将www安装在和操作系统不同的分区上

安装transaction server时选择default/local administration

5.安装最新的MDAC (2.6 RTM as of 10/30/00)

二、配置NT

1.设置权限

使用用户管理器在所有分区上的根目录上设置如下:

* Administrators::FULL CONTROL

* System::FULL CONTROL

2.设置屏幕保护

在控制面板中选择显示

选择屏幕保护程序

选中密码保护,点击确定

3.设置服务

禁止如下的服务:

Alerter (disable)

ClipBook Server (disable)

Computer Browser (disable)

DHCP Client (disable)

Directory Replicator (disable)

FTP publishing service (disable)

License Logging Service (disable)

Messenger (disable)

Netlogon (disable)

Network DDE (disable)

Network DDE DSDM (disable)

Network Monitor (disable)

Plug and Play (disable after all hardware configuration)

Remote Access Server (disable)

Remote Procedure Call (RPC) locater (disable)

Schedule (disable)

Server (disable)

Simple Services (disable)

Spooler (disable)

TCP/IP Netbios Helper (disable)

Telephone Service (disable)

在必要时禁止如下服务:

SNMP service (optional)

SNMP trap (optional)

UPS (optional

设置如下服务为自动启动:

Eventlog ( required )

NT LM Security Provider (required)

RPC service (required)

WWW (required)

Workstation (leave service on: will be disabled later in the document)

MSDTC (required)

Protected Storage (required)

4.如果安装了SNMP,改变community的值

5.删除IIS例子程序的所在目录

IIS d:\inetpub\iissamples

Admin Scripts d:\inetpub\scripts

Admin Samples %systemroot%\system32\inetsrv\adminsamples

IISADMPWD %systemroot%\system32\inetsrv\iisadmpwd

IISADMIN %systemroot%\system32\inetsrv\iisadmin

Data access c:\Program Files\Common Files\System\msadc\Samples

6.从ISM(Internet Service Manager)中删除如下目录

IISSamples

Scripts

IISAdmin

IISHelp

IISADMPWD

7.删除不必要的IIS扩展名映射

从ISM中:

选择计算机名,点鼠标右键,选择属性

然后选择编辑

然后选择主目录, 点击配置

选择扩展名 ".HTA", ".HTR" 和 ".IDC" ,点击删除

如果不使用server side include,则删除".shtm" ".stm" 和 ".shtml"

8.禁止缺省的www站点

9.禁止管理员从网络登陆

使用NT resouce kit中的工具passprop,执行如下命令:

passprop /adminlockout /complex

10.仅开放使用的端口

在控制面板中选择网络,点击属性择TCP/IP协议并点击属性

点击高级选项

选择"启用安全机制"并点击"配置"

将允许所有改为仅允许如下的端口:

TCP Ports UDP Ports IP Protocols

80 HTTP 161 SNMP 6

443 SSL 162 SNMP 8

22 SSH

11.仅安装TCP/IP协议

在控制面板中选择网络,点击协议,删除所有非TCP/IP的协议

12.禁止NetBIOS

在控制面板中选择网络,点击绑定, 选择NetBios接口,然后点击禁用

13.移动部分重要文件并加访问控制

创建一个只有系统管理员能够访问的目录,比如:

d:\admin

将system32目录下的如下文件移动到上面创建的目录:

xcopy.exe, wscript.exe, cscript.exe, net.exe, ftp.exe, telnet.exe,arp.exe,

edlin.exe, ping.exe, route.exe,at.exe,finger.exe,posix.exe,rsh.exe,

atsvc.exe, qbasic.exe,runonce.exe,syskey.exe,cacls.exe, ipconfig.exe,

rcp.exe, secfixup.exe, nbtstat.exe, rdisk.exe, debug.exe, regedt32.exe,

regedit.exe, edit.com, netstat.exe, tracert.exe, nslookup.exe, rexec.exe,

cmd.exe,nslookup.exe

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有