構(gòu)建Windows服務(wù)器的安全防護(hù)林

1、構(gòu)建Windows 2000服務(wù)器的安全防護(hù)林 中小學(xué)校的校園網(wǎng)普遍應(yīng)用Windows 2000作為服務(wù)器的操作系統(tǒng)，但有些學(xué)校剛開始運(yùn)行就遭到網(wǎng)絡(luò)黑客的攻擊，造成網(wǎng)絡(luò)崩潰。那么，安全問題怎么解決？其實(shí)不需要任何的軟硬件的介入，僅靠系統(tǒng)本身我們就能構(gòu)建一個(gè)安全防護(hù)林。設(shè)置禁用，構(gòu)建第一道防線在安裝完Windows 2000后，首先要裝上最新的系統(tǒng)補(bǔ)丁。但即使裝上了，在因特網(wǎng)上的任何一臺(tái)機(jī)器上只要輸入“你的IP地址c$”，然后輸入用戶名Guest，密碼空，就能進(jìn)入你的C盤，你還是完全暴露了。解決的方法是禁用Guest賬號(hào)，為Administrator設(shè)置一個(gè)安全的密碼，將各驅(qū)動(dòng)器的共享設(shè)為不共享

2、。同時(shí)你還要關(guān)閉不需要的服務(wù)。你可以在管理工具的服務(wù)中將它們?cè)O(shè)置為禁用，但要提醒的是一定要慎重，有的服務(wù)是不能禁用的。一般可以禁用的服務(wù)有Telnet、Task Scheduler(允許程序在指定時(shí)間運(yùn)行)、Remote Registry Service(允許遠(yuǎn)程注冊(cè)表操作)等。這是你構(gòu)建的服務(wù)器的第一道防線。設(shè)置IIS，構(gòu)建第二道防線作為校園網(wǎng)的服務(wù)器，很多學(xué)校將該服務(wù)器同時(shí)作為網(wǎng)站服務(wù)器，而IIS的漏洞也是一個(gè)棘手的問題。實(shí)際上，你可以通過簡單的設(shè)置，完全可以將網(wǎng)站的漏洞補(bǔ)上。你可以將IIS默認(rèn)的服務(wù)都停止(如圖1，F(xiàn)TP服務(wù)你是不需要的，要的話推薦用Serv-U；“管理Web站點(diǎn)”和“默

3、認(rèn)Web站點(diǎn)”都會(huì)給你帶來麻煩；SMTP一般也不用)，然后再新建一個(gè)Web站點(diǎn)。圖1設(shè)置好常規(guī)內(nèi)容后，在“屬性主目錄”的配置中對(duì)應(yīng)用程序映射進(jìn)行設(shè)置，刪除不需要的映射(如圖2)，這些映射是IIS受到攻擊的直接原因。如果你需要CGI和PHP的話，可參閱一些資料進(jìn)行設(shè)置。圖2這樣，配合常規(guī)設(shè)置，你的IIS就可以安全運(yùn)行了，你的服務(wù)器就有了第二道防線。運(yùn)用掃描程序，堵住安全漏洞要做到全面解決安全問題，你需要掃描程序的幫助。推薦使用X-Scan(如圖3)，它可以幫助你檢測服務(wù)器的安全問題。圖3掃描完成后，你要看一下，是否存在口令漏洞，若有，則馬上要修改口令設(shè)置；再看一下是否存在IIS漏洞，若有，請(qǐng)檢查

4、IIS的設(shè)置。其他漏洞一般很少存在，要提醒大家的是注意開放的端口，你可以將掃描到的端口記錄下來，以方便進(jìn)行下一步設(shè)置。封鎖端口，全面構(gòu)建防線黑客大多通過端口進(jìn)行入侵，所以你的服務(wù)器只能開放你需要的端口，那么你需要哪些端口呢？以下是常用端口，你可根據(jù)需要取舍：80為Web網(wǎng)站服務(wù)；21為FTP服務(wù)；25為E-mail SMTP服務(wù)；110為Email POP3服務(wù)。其他還有SQL Server的端口1433等，你可到網(wǎng)上查找相關(guān)資料。那些不用的端口一定要關(guān)閉！關(guān)閉這些端口，我們可以通過Windows 2000的安全策略進(jìn)行。借助它的安全策略，完全可以阻止入侵者的攻擊。你可以通過“管理工具本地安全

5、策略”進(jìn)入，右擊“IP安全策略”，選擇“創(chuàng)建IP安全策略”，點(diǎn)下一步。輸入安全策略的名稱，點(diǎn)下一步，一直到完成，你就創(chuàng)建了一個(gè)安全策略(如圖4)：圖4接著你要做的是右擊“IP安全策略”，進(jìn)入管理IP篩選器和篩選器操作，在管理IP篩選器列表中，你可以添加要封鎖的端口，這里以關(guān)閉ICMP和139端口為例說明。關(guān)閉了ICMP，黑客軟件如果沒有強(qiáng)制掃描功能就不能掃描到你的機(jī)器，也Ping不到你的機(jī)器。關(guān)閉ICMP的具體操作如下：點(diǎn)添加，然后在名稱中輸入“關(guān)閉ICMP”，點(diǎn)右邊的添加，再點(diǎn)下一步。在源地址中選“任何IP地址”，點(diǎn)下一步。在目標(biāo)地址中選擇“我的IP地址”，點(diǎn)下一步。在協(xié)議中選擇“ICMP”

6、，點(diǎn)下一步?；氐疥P(guān)閉ICMP屬性窗口，即關(guān)閉了ICMP。下面我們?cè)僭O(shè)置關(guān)閉139，同樣在管理IP篩選器列表中點(diǎn)“添加”，名稱設(shè)置為“關(guān)閉139”，點(diǎn)右邊的“添加”，點(diǎn)下一步。在源地址中選擇“任何IP地址”，點(diǎn)下一步。在目標(biāo)地址中選擇“我的IP地址”，點(diǎn)下一步。在協(xié)議中選擇“TCP”，點(diǎn)下一步。在設(shè)置IP協(xié)議端口中選擇從任意端口到此端口，在此端口中輸入139，點(diǎn)下一步。即完成關(guān)閉139端口，其他的端口也同樣設(shè)置，結(jié)果如圖5。特別指出的是關(guān)閉UDP4000可以禁止校園網(wǎng)中的機(jī)器使用QQ。圖5然后進(jìn)入設(shè)置管理篩選器操作，點(diǎn)“添加”，點(diǎn)下一步，在名稱中輸入“拒絕”，點(diǎn)下一步。選擇“阻止”，點(diǎn)下一步。結(jié)果如圖6。圖6然后關(guān)閉該屬性頁，右擊新建的IP安全策略“安全”，打開屬性頁。在規(guī)則中選擇“添加”，點(diǎn)下一步。選擇“此規(guī)則不指定隧道”，點(diǎn)下一步。在選擇網(wǎng)絡(luò)類型中選擇“所有網(wǎng)絡(luò)連接”，點(diǎn)下一步。在IP篩選器列表中選擇“關(guān)閉ICMP”，點(diǎn)下一步。在篩選器操作中選擇“拒絕”，點(diǎn)下一步。這樣你就將“關(guān)閉ICMP”的篩選器加入到名為“安全”的IP安全策略中。同樣的方法，你可以將“關(guān)閉139”等其他篩選器加入進(jìn)來。添加后的結(jié)果如圖7。最后要做的是指派該策略，只有指派后，它才起作用。方法是右擊“安全”，在菜單中選擇“所有任務(wù)”，選擇“指派”。IP安全