網絡安全方面的書籍,非常好,本人從事嵌入linux以及網絡方面的研究

				发信人: Suning (苏宁★军刀出鞘★), 信区: Security 

				标  题: NT4的一些安全配置方法…… 

				发信站: 武汉白云黄鹤站 (Sun Oct 17 04:30:56 1999), 转信 

				  

				---- 

				adam 于 99-9-25 21:52:28 加贴在 NT系统安全： 

				    来这有一些日子了，一直没有给大家做点贡献，把前不久的一篇文章灌上来和大家 

				讨论讨论吧！ 

				如何配置一台NT（我在这里讲的NT是指Windows NT 4.0版）对大家来说不是一件很困难 

				的事，可是要配置一台安全性高的NT可就不那么容易了，作为一个好的系统管理人员， 

				一定要学会怎么让你手中的NT 4达到微软所说的C2级。下面的几点大家可以作为一点借 

				鉴： 

				l    最重要的一点，经常看看一些安全站点，使用最新的Service Pack并时常打一些微 

				软发布的小补丁。 

				l    硬盘最好Format 成NTFS格式，如果你现在使用的是FAT的文件格式，赶快用conve 

				rt.exe转换成NTFS格式吧。 

				l    关闭NTFS的8.3格式文件识别，这需要在HKEY_LOCAL_MACHINE\SYSTEM \CurrentCo 

				ntrolSet\Control\FileSystem 中将NtfsDisable8dot3NameCreation的值设为“1”。 

				l    系统启动的等待时间设置为0秒，控制面板->系统->启动/关闭，然后将列表显示的 

				默认值“30”改为“0”。 

				l    将你的Web服务器设置为独立的服务器，减少能登陆到你的服务器的用户，也能提 

				高不少安全级别。 

				l    Remove 你NT服务器上的其他系统OS/2，Linux……，以免他人从别的系统上修改你 

				的NT系统。 

				l    删除你的网络共享，你可以使用这样的命令net share  /d，那些为了管理而设置 

				的共享就必须通过修改注册表的方法来实现了，HKEY_LOCAL_MACHINE\SYSTEM \Current 

				ControlSet\Control\Services\LanmanServer\Parameters 的 AutoShareServer设置为 

				0。 

				l    严格审核Success/Failed Logon/Logoff日志，修改办法：域用户管理器->规则-> 

				审核。 

				l    隐藏上次登陆用户名，修改注册表HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\Wi 

				ndows NT\Current Version\Winlogon 中的 DontDisplayLastUserName改为0。 

				l    在你的logon对话框中把”Shutdown”按钮移走，修改注册表HKEY_LOCAL_MACHINE 

				\SOFTWARE\Microsoft\WindowsNT\Current Version\Winlogon 中的 ShutdownWithoutL 

				ogon改为0。 

				l    设定用户的口令长度，一般可以设到9位，密码位数到了这个数字再被猜出的可能 

				性就很小了；关闭guest帐号，将Administrator帐号改名，并为管理员设置一个强壮的 

				口令。 

				l    Windows NT 有这样一个特征，他允许未认证的用户进入网络列举域内用户，如果 

				你要禁止这个功能，修改HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LS 

				A 中的RestrictAnonymous ，将它的值改为1。 

				l    只有管理员能分配打印机和盘符，要完成这个功能必须使用Windows NT Resource 

				 Kit中的一个工具C2Conifg才可以完成。 

				l    注册表允许远程修改，这么做是危险的，最好是禁止，但这样也许会给你带来些许 

				的不方便，自己权衡一下吧。 

				l    最好不要绑定BetBIOS服务，以免被人使用Nbtstat等工具取得服务器的信息。 

				l    禁止IP转发，设置办法：控制面板->网络->协议->TCP/IP协议->属性，使这个选框 

				为空。 

				l    配置TCP/IP过滤，这样做你可能有很多服务被禁止，但可以减少许多许多不必要的 

				麻烦，具体配置的方法是：控制面板->网络->协议-.TCP/IP协议->属性->高级->启用安 

				全机制->配置，你可以这样配置：TCP Ports 80和443（SSL的端口）；不允许UDP端口； 

				IP协议6，这是一个典型的安全配置，推荐使用，但是，一定要知道你必须的其他服务的 

				端口号并开启它，不然你的服务也就被禁止了。 

				l    不妨运行一下SYSKEY程序，加密你的帐号数据库。 

				l    把一些工具从你的NT目录中转移到一个安全的目录，例如：cmd.exe，net.exe，t 

				elnet.exe，ftp.exe …… 

				这些就是NT 4的一些安全配置，如果你对你的服务器安全有较高的要求，这可以作为一 

				个借鉴，也许我还遗忘了一些什么，希望大家能及时和我联系(adam@chinaasp.com)。 

				下面，我再谈谈NT 4的搭档IIS 4.0的一些安全配置方法。 

				l    首先是安装一个能满足你需要的最小的IIS 

				l    设置正确的Server访问控制权限 

				.EXE, .CGI，.DLL, .CMD, .PL 权限设置Everyone (X)，Administrators (Full Contr 

				ol)，System (Full Control) 

				.ASP 的权限设置 Everyone (X)，Administrators (Full Control)，System (Full Co 

				ntrol) 

				.INC, .SHTML, .SHTM 的权限设置Everyone (X)，Administrators (Full Control)，S 

				ystem (Full Control) 

				.HTML, .GIF, .JPEG的权限设置 Everyone (R)，Administrators (Full Control)，Sy 

				stem (Full Control)  。 

				l    正确设置虚拟目录，建议把默认安装后的那些虚拟目录删除IIS --c:\inetpub\ii 

				ssamples，IIS SDK--c:\inetpub\iissamples\sdk，Admin Scripts--c:\inetpub\Admi 

				nScripts，Data access--c:\Program Files\Common Files\System\msadc\Samples，这 

				些目录将给你的系统带来不必要的麻烦。 

				l    正确设置IIS日志访问权限，ACL：Administrators (Full Control)，System (Fu 

				ll Control)。 

				l    适当地设置IP拒绝访问列表，防止有些讨厌的家伙攻击你的Server。 

				l    设置并使用Secure Sockets Layer 

				l    删除一些你用不上的组件，regedit XXX.dll /u。 

				l    删除这个虚拟目录IISADMPWD，因为它允许你重新设置你的管理员口令，实在是比 

				较危险，还是不要的好。 

				l    删除一些不必要的Scipt Mapping，象.htr,.idc,. shtm, .stm, .shtml，都可以 

				在IIS服务管理器删除。 

				l    禁止RDS的支持，因为最近发现了一个他的bug，所以最好还是禁用的好，禁用办法 

				：删除注册表中这三个键，HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 

				\W3SVC\Parameters\ADCLaunch\RDSServer.DataFactory ；HKEY_LOCAL_MACHINE\SYSTE 

				M\CurrentControlSet\Services\W3SVC\Parameters\ADCLaunch\AdvancedDataFactory 

				；HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\ADCL 

				aunch\VbBusObj.VbBusObjCls 。 

				

				l    使用IIS登陆日志，每天记录客户IP地址，用户名，服务器端口，方法，URI字根， 

				HTTP状态，用户代理。 

				l    在你的ASP页面中加入对输入的检测，避免恶意的攻击者输入一些管道符从 

				而破坏你的机器。 

				l    禁止”Parent Paths”，也就是不让别人用”··”来访问你的上一层目录，设置 

				办法：站点属性->主目录->配置->应用程序选项->启用上层目录，将它disable就可以了 

				。 

				l    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters 的 

				 SSIEnableCmdDirective设置为1禁止远程调用command shell。 

				请注意，请你在修改你的注册表之前对你的系统做好备份，以防出现异常情况的时候可 

				以进行恢复。 

				    本文根据国外文章改编而成，根据国内的情况略有删除，如果你有什么不同的意见 

				请mail to: adam@chinaasp.com，同时也希望您能参加讨论。 

				---------------------------------------------------------------------------- 

				---- 

				  

				-- 

				    心事浩茫连广宇,于无声处听惊雷