毕业设计（论文）-Windows 2000 server的安全管理研究.doc

金华职业技术学院毕业教学环节成果正文题 目 Windows 2000 Server的安全管理研究 学 院 信息工程学院 专 业 计算机应用与技术 班级学号 计算机053班 姓 名 指导教师 2008年 5 月 10 日29Windows 2000 server的安全管理研究摘 要本文从讲解服务器windows 2000 server操作系统的安全管理出发，分析了系统的服务器最基本的基础防御策略、服务器的安全和配置的中级策略、服务器的安全和配置的中级策略。在此基础上就以Windows 2000 Server 为网络操作系统的网络在安装及配置中的安全问题进行了探究，主要对网络操作系统的安装、配置及具体管理提出了一些方法及建议，对系统中的一些漏洞提出了具体的解决方案。经过精心配置（安装杀病毒软件和网络防火墙、到微软官方网站下载安装最新补丁等）的windows 2000 server服务器可以防御大部分入侵和渗透。关键词：服务器，注册表，配置，安全Windows 2000 server on the safety managementABSTRACTThis article on the server - windows 2000 server operating system of safety management, analysis of the system servers based on the most basic defense strategy, the servers security and configuration of the intermediate strategy, the servers security and configuration of the intermediate strategy. On the basis of this on to Windows 2000 Server network operating system for the network installation and configuration of the security issues of the Inquiry, the major network operating system installation, configuration and management made a number of specific methods and recommendations on the system of Some loopholes put forward specific solutions. Carefully targeted (killed virus software installation and network firewalls, the official website to download and install Microsofts latest patch, etc.) windows 2000 server to server defense most of the invasion and infiltration.Key words： server, the registry, configuration, security目 录摘要i引言11 Windows概述21.1 Windows 的发展历史21.2 Winows 2000 Server的简介32 Windows 2000 Server安装注意项目42.1 版本的选择42.2 安装组件的选择42.3 分区和逻辑盘的分配42.4 组件安装顺序53 Windows 2000 Server的基本安全配置53.1 只安装一种操作系统53.2 安装最新的MDAC53.3 帐号策略63.4 本地安全策略73.5 加密文件或文件夹83.6 目录和文件权限83.7 关闭不必要的服务103.8 禁止dump file的产生和自动清除掉页面文件103.9 注册表的锁住和修改103.10 禁止从软盘和CD Rom启动系统123.11 关闭DirectDraw123.12 系统的备份134 Windows 2000 Server的网络安全配置134.1 网卡的端口筛选134.2 注册表校验154.3 进程监控154.4 考虑使用IPSec增强IP数据包的安全性164.5 考虑使用智能卡来代替密码164.6 将服务器隐藏起来164.7 协议管理174.8 删除所有的网络共享资源174.9 补丁程序184.10 安装杀病毒软件和网络防火墙184.11 ASP编程安全194.12 防止ACCESS.mdb数据库有可能被下载的漏洞204.13 SQL SERVER的安全205 IIS安全设置215.1 关闭并删除默认站点215.2 删除虚拟目录215.3 应用程序配置215.4 启用日志记录225.5 修改IIS标志225.6 使用IIS安全工具225.7 IIS安全备份236 预防DoS攻击236.1 DoS攻击手段236.2 DoS攻击的防御手段237 日常安全检查247.1 要养成经常给杀毒软件升级的习惯247.2 养成良好的操作习惯，做好重要数据的备份247.3 定期进行磁盘碎片整理257.4 进行磁盘碎片整理257.5 清理垃圾文件26结论与谢辞27参考文献28 引 言在科学技术飞速发展的今天，计算机技术也在飞速发展。随着我国科学技术的进步和综合国力的增强，计算机在我们越来越普及。而随着Internet飞速发展，互联网成为人们快速获取、发布和传递信息的重要渠道，它在人们学习、经济、生活等各个方面发挥着重要的作用。Windows 2000 Server是为服务器开发的多用途操作系统，可为部门工作小组或中小型公司用户提供文件打印、软件应用、Web功能和通信等各种服务。它是一个性能更好、工作更加稳定、更容易管理的平台。因为安装方便，管理简单，可视化的操作模式，国内网络中大部分主机都是使用的是Windows 2000 Server版本。但是在默认安装下，Windows 2000 Server的版本中存在巨大的安全漏洞，而用微软的东西用的人最多，普遍又是水平不是很高，不会作各种安全设置，给网络安全带来巨大隐患。Windows 2000 Server目前是比较流行的服务器操作系统之一，但是要想安全的配置微软的这个操作系统，却不是一件容易的事。要想用户自己安全地使用服务器系统，这就要求用户熟练掌握Windows 2000 server的安全管理，通过各种手段进行安全配置，使用户掌握服务器的安全管理的技术方法。1 Windows概述1.1 Windows的发展历史1975年4月4日Microsoft成立。1979年1月1日Microsoft从北墨西哥州Albuquerque迁移至华盛顿州Bellevue市。1981年6月25日Microsoft正式登记公司。1981年8月12日，IBM推出内含Microsoft的16位元作业系统MS-DOS 1.0的个人电脑。MS-DOS是Microsoft Disk Operating System的简称，意即由美国微软公司(Microsoft)提供的磁盘操作系统。1985年11月，推出Microsoft Windows 1.0。1987年12月9日，Windows 2.0发布，之后又推出了windows 286和windows 386版本。1990年5月22日，Windows 3.0正式发布，由于在界面/人性化/内存管理多方面的巨大改进，终于获得用户的认同。之后微软公司趁热打铁，于1991年10月发布了windows 3.0的多语版本，为windows在非英语母语国家的推广起到了重大作用。1992年4月，windows 3.1发布，添加了对声音输入输出的基本多媒体的支持和一个CD音频播放器，以及对桌面出版很有用的TrueType字体。1993年Windows NT 3.1发布,1994年，windows 3.2的中文版本发布，1995年最轰动的事件，莫过于8月期间windows95发布，1996年8月，Windows NT 4.0发布。1998年6月25日，Windows 98发布，Windows ME（Windows Millennium Edition）是一个16位/32位混合的Windows系统，由微软公司发行于2000年9月14日。Microsoft Windows 2000（起初称为Windows NT 5.0）是一个由微软公司发行于2000年12月19日的Windows NT系列的纯32位图形的视窗操作系统。Windows 2000是主要面向商业的操作系统。Windows XP于2001年8月24日正式发布。2003年4月，Windows Server 2003也正式发布。Windows Vista，是美国微软公司开发代号为Longhorn的下一版本Microsoft Windows操作系统的正式名称。它是继Windows XP和Windows Server 2003之后的又一重要的操作系统。该系统带有许多新的特性和技术。2005年7月22日太平洋标准时间早晨6点，微软正式公布了这一名字。1.2 Windows 2000 Server的简介Windows 2000 Server 是为满足各种规模的企业的需要而设计的，这些企业包括从集中管理的小型企业到分散经营的大型企业。Windows 2000 Server 建立在Windows NT Server 4.0的强大功能基础之上，它为一个操作系统可以与基于标准的目录、Web、应用程序、网络、文件和打印服务、强大的端对端管理和可靠性的集成程度设定了新的标准，这种集成为业务与Internet更好地结合提供了最佳的基础。“商务互联网”从这里开始。Windows 2000 Server是建立在Windows NT的有力基础上，是Windows NT Server 4.0的下一版本。它是适用于各种规模企业的多用途网络操作系统。Windows 2000 Server可以让企业上网更简单。随着企业越来越多地依赖于Internet，企业有机会将其网络扩展、延伸到合作伙伴和用户中间，并且可以设想将其产品和服务推向市场的很多新途径。为利用这些机会，各企业需要一个能迅速地对市场因素作出响应的基础结构，该基础结构要非常可靠、管理高效、简单易用，并且支持网络硬件的最新发展。为能很好地利用这些机会，各企业都努力在他们现有投资的基础上强化其技能和系统。Windows 2000 Server的特点：使企业与Internet紧密联系：Windows 2000 Server能使许多单位轻松地利用基于Internet的解决方案和机会。Windows 2000 Server内置全面的Web、安全和通信技术，具有处理Internet通信所需求的可伸缩性和性能，它是一个独特的、支持Internet的、可充分利用“商务互联网”的平台。可靠：Windows 2000 Server能使许多单位最大程度地降低对最终用户的网络中断。通过改善系统体系结构以提高服务器的正常运行时间，建立容错和冗余系统以提供更好的可用性，以及在线配置和维护功能，Windows 2000 Server能使您充分自信，您的服务器一直会正常运行，贵单位的商务渠道会畅通无阻。便于管理：Windows 2000 Server能提高整个企业的效率和生产力。通过使系统更加容易地部署、管理和使用的增强功能，以及通过Active Directory活动目录服务所实现的强大的中央管理，基于标准实现了与现有系统的互操作，Windows 2000 Server将能提高IT人员、最终用户和系统的效率。2 Windows 2000 Server安装注意项目2.1 版本的选择Windows 2000 Server有各种语言的版本，可以选择英文版或简体中文版。对于一些初学者来说，语言应该是问题，应使用中文版。而作为网络操作系统维护和使用的专业人员，应尽可能地使用英文版，因为Windows 2000 Server作为微软的新产品是有较多Bug的，中文版Bug远远多于英文版，而中文版的补丁比英文版的补丁一般晚至少半个月发布（也就是说一般微软公布了漏洞后你的机子还会有半个月处于无保护状况），且技术支持也不如英文版快和好。2.2 安装组件的选择Windows 2000 Server在默认情况下会安装一些常用的组件，但是正是这个默认安装是极度危险的，你应该确切的知道你需要哪些服务，而且仅仅安装你确实需要的服务，根据安全原则，最少的服务+最小的权限=最大的安全。典型的WEB服务器需要的最小组件选择是：只安装IIS的Com Files，IIS Snap-In，WWW Server组件。如果你确实需要安装其他组件，请慎重，特别是：Indexing Service, FrontPage 2000 Server Extensions, Internet Service Manager (HTML)这几个危险服务。2.3 分区和逻辑盘的分配（1）NTFS比FAT分区多了安全控制功能，可以对不同的文件夹设置不同的访问权限，安全性增强。（2）建议最好一次性安装成NTFS分区，而不要先安装成FAT分区再转化为NTFS分区，这样做在安装了SP5和SP6的情况下会导致转化不成功，甚至系统崩溃。（3）存放备份数据的分区由于使用GHOST等恢复软件，从DOS下启动进行系统恢复时只认FAT32格式,必须使用FAT32格式。其它分区最好都使用NTFS格式。（4）分区和逻辑盘的分配：有一些朋友为了省事，将硬盘仅仅分为一个逻辑盘，所有的软件都装在C驱上，这是很不好的，建议最少建立两个分区，一个系统分区，一个应用程序分区，这是因为，微软的IIS经常会有泄漏源码/溢出的漏洞，如果把系统和IIS放在同一个驱动器会导致系统文件的泄漏甚至入侵者远程获取ADMIN。推荐的安全配置是建立三个逻辑驱动器，第一个大于2G，用来装系统和重要的日志文件，第二个放IIS，第三个放FTP，这样无论IIS或FTP出了安全漏洞都不会直接影响到系统目录和系统文件。要知道，IIS和FTP是对外服务的，比较容易出问题。而把IIS和FTP分开主要是为了防止入侵者上传程序并从IIS中运行。2.4 组件安装顺序安装顺序的选择：Windows 2000 Server在安装中有几个顺序是一定要注意的：首先，何时接入网络，Windows 2000 Server在安装时有一个漏洞，在你输入Administrator密码后，系统就建立了ADMIN$的共享，但是并没有用你刚刚输入的密码来保护它，这种情况一直持续到你再次启动后，在此期间，任何人都可以通过ADMIN$进入你的机器；同时，只要安装一完成，各种服务就会自动运行，而这时的服务器是满身漏洞，非常容易进入的，因此，在完全安装并配置好Windows 2000 Server之前，一定不要把主机接入网络。其次，补丁的安装：补丁的安装应该在所有应用程序安装完之后，因为补丁程序往往要替换或修改某些系统文件，如果先安装补丁再安装应用程序有可能导致补丁不能起到应有的效果，例如：IIS的补丁就要求每次更改IIS的配置都需要安装。3 Windows 2000 Server的基本安全配置3.1 只安装一种操作系统因为安装两种以上操作系统，会给黑客以可乘之机，利用攻击使系统重启到另外一个没有安全设置的操作系统（或者他熟悉的操作系统），进而进行破坏。3.2 安装最新的MDACMDAC为数据访问部件，通常程序对数据库的访问都通过它（如图3-1）。图3-1 MDAC控件但它也是黑客攻击的目标，为防止以前版本的漏洞可能会被带入升级后的版本，建议卸载后安装最新的版本。注意：在安装最新版本前最好先做一下测试，因为有的数据访问方式或许在新版本中不再被支持，这种情况下可以通过修改注册表来档漏洞，祥见漏洞测试文档。下载网址：/data/download.htm3.3 帐号策略（1）在计算机管理的用户里面把Guest帐号停用掉，任何时候都不允许Guest帐号登陆系统。为了保险起见，最好给Guest加一个复杂的密码，你可以打开记事本，在里面输入一串包含特殊字符、数字、字母的长字符串，然后把它作为Guest帐号的密码COPY进去。必要时将它从Guest组删掉，因为有的黑客工具正是利用了guest的弱点，可以将帐号从一般用户提升到管理员组。（2）去掉所有的测试用帐户、共享帐号、普通部门帐号等等。用户组策略设置相应权限，并且经常检查系统的帐户，删除已经不在使用的帐户。这些帐户很多时候都是黑客们入侵系统的突破口，系统的帐户越多，黑客们得到合法用户的权限可能性一般也就越大。（3）创建一个属于管理员组的帐号处理一些日常事物，另一个Administrators帐户只在需要的时候使用。两个管理员组的帐号，一方面防止管理员一旦忘记一个帐号的口令还有一个备用帐号；另方面，一旦黑客攻破一个帐号并更改口令，我们还有机会重新在短期内取得控制权。（4）陷阱帐号就是创建一个名为“Administrator”的本地帐户，把它的权限设置成最低，什么事也干不了的那种，并且加上一个超过10位的超级复杂密码。这样可以让那些攻击者忙上一段时间了，并且可以借此发现它们的入侵企图。（5）一个好的密码对于一个网络是非常重要的，但是它是最容易被忽略的。一些公司的管理员创建帐号的时候往往用公司名，计算机名，或者一些别的一猜就到的东西做用户名，然后又把这些帐户的密码设置得非常简单，比如：welcome、iloveyou、letmein或者和用户名相同等等。这样的帐户应该要求用户首此登陆的时候更改成复杂的密码，还要注意经常更改密码。我们给好密码下了个定义：安全期内无法破解出来的密码就是好密码，也就是说，如果人家得到了你的密码文档，必须花10天或者更长的时间才能破解出来，而你的密码策略是9天必须改密码。（6）大家都知道，Windows 2000 Server的Administrator帐号是不能被停用的，这意味着别人可以一遍又一边的尝试这个帐户的密码。把Administrator帐户改名可以有效的防止这一点。当然，请不要使用Admin之类的名字，改了等于没改，尽量把它伪装成普通用户，比如改成：Guestuser（如图3-2）。图3-2 Administrator帐户改名（7）口令必须定期更改（建议至少两周改一次），且最好记在心里，除此以外不要在任何地方做记录；另外如果在日志审核中发现某个帐号被连续尝试，则必须立刻更改此帐号（包括用户名和口令）。（8）在帐号属性中设立锁定次数，比如改帐号失败登录次数超过5次即锁定改帐号。这样可以防止某些大规模的登录尝试，同时也使管理员对该帐号提高警惕。（9）设置屏幕保护密码。很简单也很有必要，设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。注意不要使用一些复杂的屏幕保护程序，浪费系统资源，让他黑屏就可以了。还有一点，所有系统用户所使用的机器也最好加上屏幕保护密码。3.4 本地安全策略（1）Windows 2000 server的默认安装是不开任何安全审核的！那么请你到本地安全策略审核策略中打开相应的审核，推荐的审核如下（如图3-3）：图3-3 安全审核策略（2）账户策略密码策略中设定：密码复杂性要求启用密码长度最小值6位强制密码历史5次最长存留期30天 （3）在账户策略账户锁定策略中设定：账户锁定错误登录5次锁定时间20分复位锁定计数20分钟3.5 加密文件或文件夹为了防止别人偷看系统中的文件, 可以利用Window 2000 Server系统提供的加密工具，来保护自己文件和文件夹。其具体操作步骤是，在Windows资源管理器中，用鼠标右键单击想要加密的文件或文件夹，然后单击“属性”。单击“常规”选项卡上的“高级”，然后选定“加密内容以保证数据安全”复选框。3.6 目录和文件权限为了控制好服务器上用户的权限，同时也为了预防以后可能的入侵和溢出，我们还必须非常小心地设置目录和文件的访问权限，Windows的访问权限分为：读取、写入、读取及执行、修改、列目录、完全控制。在默认的情况下，大多数的文件夹对所有用户（Everyone这个组）是完全控制的（Full Control），你需要根据应用的需要进行权限重设。在进行权限控制时，请记住以下几个原则：（）仅给用户真正需要的权限，权限的最小化原则是安全的重要保障。（）限是累计的：如果一个用户同时属于两个组，那么他就有了这两个组所允许的所有权限。（）NTFS下所有文件默认情况下对所有人（EveryOne）为完全控制权限，这使黑客有可能使用一般用户身份对文件做增加、删除、执行等操作，建议对一般用户只给予读取权限，而只给管理员和System以完全控制权限。（）把共享文件的权限从“everyone”组改成“授权用户”。“everyone”在Windows 2000 server中意味着任何有权进入你的网络的用户都能够获得这些共享资料。任何时候都不要把共享文件的用户设置成“everyone”组。包括打印共享，默认的属性就是“everyone”组的，一定要更改。（）C、D、E等盘全部设置为仅Administrator组有完全控制权限(必须)。）C:Program Files这个目录，像连接数据库这些都是要读取的，是C盘下比较重要的权限设置。设置为：administrators组完全控制SYSTEM完全控制creator group全空的权限除了以上这三个以外，其它的统统删掉。）C:Documents and Settings这个目录设置为Administrator，SYSTEM拥有所有控制权限。）C:WINNT这个目录设置为Administrator，SYSTEM拥有所有控制权限。IIS来宾帐户设置为仅读取权限(如有建立了专门的IIS用户组，则这里设置为IIS的用户组)。）C:WINNT目录内除TEMP，system32目录以外，所有目录均设置为Admin istrator，SYSTEM拥有所有控制权限。）C:Winntsystem32目录下的xcopy.exe, wscript.exe, cscript.exe, net.exe, ftp.exe,telnet.exe,arp.exe,edlin.exe,ping.exe,route.exe,at.exe,finger.exe,posix.exe,rsh.exe,atsvc.exe,qbasic.exe,runonce.exe,syskey.exe这些常用的程序也要设置为仅Administrator,SYS TEM有所有控制权限。3.7 关闭不必要的服务Windows 2000 Server的Terminal Services（终端服务），IIS和RAS都可能给你的系统带来安全漏洞。要确认你已经正确的配置了终端服务。有些恶意的程序也能以服务方式悄悄的运行。要留意服务器上面开启的所有服务，中期性(每天)的检查他们。以下仅供参考（具体还要看服务器上运行的应用来确定）：可以禁止（disable）的服务包括：Network DDE and DDE DSDM，Remote Registry Service，Telephony Server，Indexing Service，RPC Locator WINS，RPC service Workstation，Net logon等；设置如下服务为自动启动(required)：Event log，NT LM Security Provider，RPC service，WWW，Workstation，MSDTC，Protected Storage。3.8 禁止dump file的产生和自动清除掉页面文件（）dump文件在系统崩溃和蓝屏的时候是一份很有用的查找问题的资料。然而，它也能够给黑客提供一些敏感信息比如一些应用程序的密码等。要禁止它，打开控制面板系统属性高级启动和故障恢复，把“写入调试信息”改成“无”。要用的时候，可以再重新打开它。（）页面文件也就是调度文件，是Windows 2000 Server用来存储没有装入内存的程序和数据文件部分的隐藏文件。一些第三方的程序可以把一些没有的加密的密码存在内存中，页面文件中也可能含有另外一些敏感的资料。要在关机的时候清楚页面文件，可以编辑注册表：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSessio nManagerMemory Management把ClearPageFileAtShutdown的值设置成1。3.9 注册表的锁住和修改（）防止注册表被匿名访问：默认权限不限制对注册表的远程访问。只有管理员才对注册表具有远程访问权限。在默认情况下, Windows 2000 注册表编辑工具支持远程访问，通过将下列项添加到注册表限制对注册表的网络访问：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurePipeServerswinreg。选择右键winreg“权限”将管理员权限设置为“完全控制”，确保不列出其他用户或组，然后单击“确定”。此项设置定义哪些用户或组可连接到系统远程访问注册表。如图3-4图3-4 注册表的锁定（2）注册表一些条目的修改： ）去除所有网络共享：将HKEY_LOCAL_MACHINESYSTEMCurrentControl SetServicesLanManServerParameters中AutoShareServer把REG_DWORD值设为0，再创建一个AutoShareWks双字节值，设置为0（注意大小写）。2）隐藏上次登陆的用户名：将HKEY_LOCAL_MACHINESOFTWARE MirosoftWindows NTCurrentVersionWinlogon中DefaultUserName的EG_SZ 值设为13）禁止建立空连接：默认情况下，任何用户可通过空连接连上服务器，枚举账号并猜测密码。可以通过以下两种方法禁止建立空连接：HKEY_LOCAL_MACHINE SYSTEMCurrentControlSetControlLSA-RestrictAnonymous的值改成14）修改终端服务的默认端口：终端服务的默认端口为3389，可考虑修改为别的端口。修改方法为：打开注册表，在HKEY_LOCAL_MACHINESYSTEMCurrentCon trolSetControlTerminal ServerWin Stations处找到类似RDP-TCP的子键，修改PortNum ber值。5）限制LSA匿名访问：将HKEY_LOCAL_MACHINESYSTEMCurrentControl SetControlLSA中RestricAnonymous的REG_DWORD值设为1。3.10 禁止从软盘和CD Rom启动系统Windows 2000 Server的光盘的自动运行功能也是系统安全的隐患，光盘中只要存在autorun.inf文件，则系统会自动试图执行文件中“open”字段后的文件路径(市场上已经出现了破解屏保密码的光盘，如果不禁止光盘的自动运行功能，那么有些设置都将是白费)，步骤为：展开HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionPoliciesExplorer子键分支；在Explorer主键中新建DWORD值NoDriveTypeAutoRun，改值为1。还可以使用Windows优化大师（如图3-5）、超级魔法兔子等第三方软件来禁止光驱自动启动。图3-5 禁止光盘自动启动3.11 关闭DirectDrawDirectDraw是一个面向对象的函数库，可能对一些需要用到DirectX的程序有影响（如游戏），但是对于绝大多数的商业站点都应该是没有影响的。修改注册表：HKEY_LOCAL_MACHINESYSTEMSYSTEMCurrentControlSetControlGraphicsDriversDCI的Timeout(REG_DWORD)为0即可。如图3-6图3-6 关闭DirectDraw3.12 系统的备份一旦系统资料被破坏，备份盘将是你恢复资料的唯一途径。所以使用Ghost对全面配置完毕的系统分区进行映像备份，并存放到隐藏的分区中。备份完资料后，把备份盘防在安全的地方.虽然现在服务器的硬盘容量都很大，但是你还是应该考虑是否有必要把一些重要的用户数据(文件，数据表，项目文件等)存放在另外一个安全的服务器中，并且经常备份它们。4 Windows 2000 Server的网络安全配置4.1 网卡的端口筛选（1）端口是计算机和外部网络相连的逻辑接口，也是计算机的第一道屏障，端口配置正确与否直接影响到主机的安全，一般来说，仅打开你需要使用的端口会比较安全，配置的方法是在网卡属性TCP/IP高级选项TCP/IP筛选中启用TCP/IP筛选或用个人防火墙关闭无用端口。第一项TCP端口：只允许80（www服务）、21(一般的ftp默认)、53(DNS服务)、110 (MAIL的SMTP服务)、25(MAIL的POP3服务)。还有例如你的远程终端的端口(默认为3389，也有可能你改为别的端口，如6666，则加上6666)。第二项UDP端口：此项可不添加，因为限制了以后，服务器则不能打开网页等操作。第三项IP协议：ip协议只允许6。如图4-1图4-1 网卡端口筛选（2）Windows 2000 Server的安全策略来关闭不需要的端口，具体的做法是:开始程序管理工具本地安全策略(鼠标右击)“IP安全策略”，在菜单中选择“创建IP安全策略”，点下一步，输入安全策略的名称如“安全”，点下一步，直到完成，这样，你就创建了一个安全策略。接着你要做的是右击“IP安全策略”，进入“管理IP筛选器和筛选器操作”，在管理IP筛选器列表中，添加要封锁的端口，下面以关闭ICMP为例予以说明。ICMP的风暴攻击和碎片攻击是Windows 2000 Server主机比较头疼的攻击方法，关闭了ICMP，黑客软件如果没有强制扫描功能就不能扫描到你的机器，也Ping不到你的机器。关闭ICMP的具体操作如下:在管理IP筛选器列表点添加，然后在名称中输入“关闭ICMP”，点右边的添加，再点下一步。在源地址中选“任何IP地址”，点下一步。在目标地址中选择“我的IP地址”，点下一步。在协议中选择“ICMP”，点下一步。回到关闭ICMP属性窗口，即关闭了ICMP。同样的，关闭其他端口也可同样设置，特别指出的是关闭UDP4000可以禁止校园网中的机器使用QQ。然后进入管理筛选器操作，将“关闭ICMP”的筛选器加入到IP安全策略中。最后要做的是指派该策略，方法是在本地安全策略窗口中，右击“IP安全策略”，在菜单中选择“所有任务”选择“指派” （如图4-2）。图4-2 IP筛选4.2 注册表校验一般来说，木马或者后门都会利用注册表来再次运行自己，所以，校验注册表来发现入侵也是常用的手法之一。一般来说，如果一个入侵者只懂得使用流行的木马，那么由于普通木马只能写入特定的几个键值（比如Run、Runonce等等），查找起来是相对容易的，但是对于可以自己编写/改写木马的人来说，注册表的任何地方都可以藏身，靠手工查找就没有可能了。应对的方法是监控注册表的任何改动，这样改写注册表的木马就没有办法遁形了。监控注册表的软件非常多，很多追查木马的软件都带有这样的功能，一个监控软件加上定期对注册表进行备份，万一注册表被非授权修改，系统管理员也能在最短的时间内恢复。4.3 进程监控进程监控技术是追踪木马后门的另一个有力武器，大部分木马和后门是以进程的形式存在的，所以做一份每台服务器运行进程的列表非常必要，能一眼就发现入侵进程，异常的用户进程或者异常的资源占用都有可能是非法进程。除了进程外，DLL也是危险的东西，例如把原本是exe类型的木马改写为dll后，使用rundll32运行就比较具有迷惑性。4.4 考虑使用IPSec增强IP数据包的安全性正如其名字的含义，IPSec提供IP数据包的安全性。IPSec提供身份验证、完整性和可选择的机密性。发送方计算机在传输之前加密数据，而接收方计算机在收到数据之后解密数据。利用IPSec可以使得系统的安全性能大大增强。有关IPSes的详细信息可以参考：/china/technet/security/ipsecloc.asp4.5 考虑使用智能卡来代替密码对于密码，总是使安全管理员进退两难，容易受到10phtcrack等工具的攻击，如果密码太复杂，用户把为了记住密码，会把密码到处乱写。如果条件允许，用智能卡来代替复杂的密码是一个很好的解决方法（如下图4-3）。图4-3 起用智能卡4.6 将服务器隐藏起来为了防止黑客或其他非法攻击者轻易搜索到局域网服务器的名字，你可以巧妙使用“net config”命令，将服务器的名称暂时隐藏起来。如此一来局域网中的非法用户，即使通过网上邻居窗口，也无法找到服务器的“身影”了，服务器遭受外来攻击的危险性将会大大下降。要用命令隐藏服务器的名称时，可以直接在DOS命令行中输入“net config server/hidden:yes”（其中server是服务器的计算机名称），回车后，服务器的计算机名称就会从网上邻居窗口中自动消失，这样黑客就无法知道服务器的名称是什么了，更不要谈如何去攻击它了。4.7 协议管理卸载不需要的协议，比如IPX/SPX，NetBIOS。网站需要的通讯协议只有TCP/IP，IPX/SPX是面临淘汰的协议，放在网站上没有任何用处，反而会被某些黑客工具利用。NetBois在局域网内是不可缺少的功能，在网站服务器上却成了黑客扫描工具的首选目标。方法：控制面版网络和拨号连接本地网络属性TCP/IP属性高级WINS禁用TCP/IP上的NETBIOS。4.8 删除所有的网络共享资源在网络连接的设置中删除文件和打印共享，只留下TCP/IP协议,因为windows 2000 server在默认情况下有不少网络共享资源，在局域网内对网络管理和网络通讯有用，在网站服务器上同样是一个特大的安全隐患。（卸载“Microsoft网络的文件和打印机共享”。当查看“网络和拨号连接”中的任何连接属性时，将显示该选项。单击“卸载”按钮删除该组件；清除“Microsoft网络的文件和打印机共享”复选框将不起作用。）方法：（1）控制面版管理工具计算及管理共享文件夹停止共享。但上述方法太麻烦，服务器每重启一次，管理员就必须停止一次。（2）修改注册表运行Regedit，然后修改注册表在HKEY_LOCAL_MACHINESYS TEMCurrentControlSetServicesLanmanServerParameters下增加一个键：Name：AutoShareServerType：REG_DWORDValue：0然后重新启动您的服务器，磁盘分区共享去掉，但IPC共享仍存在，需每次重启后手工删除。（如下图4-4）图4-4 停止共享4.9 补丁程序经常访问微软和一些安全站点，下载最新的service pack和漏洞补丁，是保障服务器长久安全的唯一方法。说明：（1）最新的补丁程序，表示系统以前有重大漏洞，非补不可了，对于局域网内服务器可以不是最新的，但站点必须安装最新补丁，否则黑客可能会利用低版本补丁的漏洞对系统造成威胁。这是一部分管理员较易忽视的一点。（2）安装windows 2000 server的SP5、SP6有一个潜在威胁，就是一旦系统崩溃重装时，系统将不会认NTFS分区，原因是微软在这两个补丁中对NTFS做了改进。只能通过Windows 2000 server安装过程中认NTFS，这样会造成很多麻烦，建议同时做好数据备份工作。（3）安装Service Pack前应先在测试机器上安装一次，以防因为例外原因导致机器死机，同时做好数据备份。（4）到官网下载最新补丁：/4.10 安装杀病毒软件和网络防火墙Internet给全世界的人们带来了无限生机，真正实现了无国界的全球村。但网络却越来越不安全。如今病毒猖撅，部分黑客的行为已经从单纯的技术性攻击发展成了针对性、目的性和功利性都很强的盗窃行为，并且越来越猖狂他们盯上的，往往是你的上网账号、网络游戏账号、QQ号码甚至是你的私人信用卡账号，这些已经成为人们见怪不怪的社会公害，为了保证计算机系统的稳定和重要数据不因病毒的侵蚀而丢失，各种杀毒软件和网络防火墙已经成为电脑的必备软件。国产的几种杀病毒软件如诺顿、瑞星、360安全卫士（如下图4-5）等，都基本能达到防、杀病毒的目的，而且价格又不太高，建议大家购买正版软件。图4-5 360安全卫士4.11 ASP编程安全（1）安全不仅是网管的事，编程人员也必须在某些安全细节上注意，养成良好的安全习惯，否则，会给黑客造成可乘之机。目前，大多数网站上的ASP程序有这样那样的安全漏洞，但如果写程序的时候注意的话，还是可以避免的。涉及用户名与口令的程序最好封装在服务器端，尽量少的在ASP文件里出现，涉及到与数据库连接地用户名与口令应给予最小的权限。（2）注意某些ASP编辑器会自动备份asp文件，会被下载的漏洞：在有些编辑asp程序的工具，当创建或者修改一个asp文件时，编辑器自动创建一个备份文件，比如：UltraEdit就会备份一个.bak文件，如你创建或者修改了some.asp，编辑器自动生成一个叫some.asp.bak文件，如果你没有删除这个bak文件，攻击有可以直接下载some.asp. bak文件，这样some.asp的源程序就会给下载。4.12 防止ACCESS.mdb数据库有可能被下载的漏洞在用ACCESS做后台数据库时，如果有人通过各种方法知道或者猜到了服务器的ACCESS数据库的路径和数据库名称，那么他能够下载这个ACCESS数据库文件，这是非常危险的。解决方法：（1）为你的数据库文件名称起个复杂的非常规的名字，并把他放在其他目录下。所谓“非常规”，打个比方：比如有个数据库要保存的是有关书籍的信息，可不要把他起个“book.mdb”的名字，起个怪怪的名称，比如d34ksfslf.mdb，再把他放在如./kdslf/i44 /studi/的几层目录下，这样黑客要想通过猜的方式得到你的ACCESS数据库文件就难上加难了。（）使用ACCESS来为数据库文件编码及加密。首先在选取“工具安全加密/解密数据库”，选取数据库（如：employer.mdb），然后接确定，接着会出现“数据库加密后另存为”的窗口，存为：employer1.mdb。接着employer.mdb就会被编码，然后存为employer1.mdb。要注意的是，以上的动作并不是对数据库设置密码，而只是对数据库文件加以编码，目的是为了防止他人使用别的工具来查看数据库文件的内容。接下来我们为数据库加密，首先以打开经过编码了的 employer1.mdb，在打开时，选择“独占”方式。然后选取功能表的“工具安全设置数据库密码”，接着输入密码即可。这样即使他人得到了employer1.mdb文件，没有密码他是无法看到employer1.mdb的。4.13 SQL SERVER的安全（1）SQL SERVER是windows平台上用的最多的数据库系统，但是它的安全问题也必须引起重视。数据库中往往存在着最有价值的信息，一旦数据被窃后果不堪设想。（2）及时更新补丁程序。SQL SERVER的许多漏洞会由补丁程序来弥补。建议在安装补丁程序之前先在测试机器上做测试，同时提前做好目标服务器的数据备份。（3）给SA一个复杂的口令（如图4-6）。SA具有对SQL SERVER数据库操作的全部权限。遗憾的是，一部分网管对数据库并不熟悉，建立数据库的工作由编程人员完成，而这部分人员往往只注重编写SQL语句本身，对SQL SERVER数据库的管理不熟悉，这样很有可能造成SA口令为空。这对数据库安全是一个严重威胁。目前具有这种隐患的站点不在少数。图4-6 SA复杂的口令（4）严格控制数据库用户的权限，轻易不要给让用户对表有直接的查询、更改、插入、删除权限，可以通过给用户以访问视图的权限，以及只具有执行存储过程的权限。用户如果对表有直接的操作权限，就会存在数据被破坏的危险。（）制订完整的数据库备份与恢复策略。5 IIS安全设置5.1 关闭并删除