十三、修改共享目錄默認控制權限

    對于Windows NT/2000系統來說，默認情況下當新增一個共享目錄時，操作系統會自動將EveryOne這個用戶組添加到權限模塊當中，由于這個組的默認權限是完全控制，結果使得任何人都可以對共享目錄進行讀寫。因此，在新建共享目錄之后，要立刻刪除EveryOne組或者將該組的權限調整為讀取。相關編輯界面見下圖所示：

   

十四、禁止不必要的服務

    Windows NT/2000系統中有許多用不著的服務自動處于激活狀態，它們中可能存在的安全漏洞使攻擊者甚至不需要賬戶就能控制機器.為了系統的安全，應把該關的功能服務及時關閉，從而大大減少安全風險。

    具體操作可以在“控制面板”的“管理工具”里面“服務”菜單中，選取不必要的服務進行禁止，見下圖：

   

   

    相關需要禁止的服務如下：

    Alerter：通知所選用戶和計算機有關系統管理級警報。

    Application Management：提供軟件安裝服務，諸如分派，發行以及刪除。

    ClipBook：支持“剪貼簿查看器”，以便可以從遠程剪貼簿查閱剪貼頁面。

    COM+ Event System：提供事件的自動發布到訂閱 COM 組件。

    Computer Browser：維護網絡上計算機的最新列表以及提供這個列表給請求的程序。

    Distributed Link Tracking Client：當文件在網絡域的 NTFS 卷中移動時發送通知。

    Distributed Transaction Coordinator：并列事務，是分布于兩個以上的數據庫，消息隊列，文件系統，或其它事務保護資源管理器。

    Fax Service：幫助您發送和接收傳真。

    FTP publishing service：通過 Internet 信息服務的管理單元提供 FTP 連接和管理。

    Indexing Service：本地和遠程計算機上文件的索引內容和屬性；通過靈活查詢語言提供文件快速訪問。

    Messenger：發送和接收系統管理員或者”警報器”服務傳遞的消息。

    Net Logon：支持網絡上計算機 pass-through 帳戶登錄身份驗證事件。”

    Network DDE ：提供動態數據交換 （DDE） 的網絡傳輸和安全特性。

    Network DDE DSDM ：管理網絡 DDE 的共享動態數據交換

    Network Monitor ：網絡監視器

    NetMeeting Remote Desktop Sharing：允許有權限的用戶使用 NetMeeting 遠程訪問 Windows 桌面。

    Plug and Play （在配置好所有硬件后應該禁止掉）：管理設備安裝以及配置，并且通知程序關于設備更改的情況。

    Remote Procedure Call （RPC）： 提供終結點映射程序 （endpoint mapper） 以及其它 RPC 服務。

    Remote Registry Service：允許遠程注冊表操作。

    Removable Storage：管理可移動媒體、驅動程序和庫。

    Routing and Remote Access：在局域網以及廣域網環境中為企業提供路由服務。

    RunAs Service：在不同憑據下啟用啟動過程。

    Server：提供 RPC 支持、文件、打印以及命名管道共享。

    Smart Card：對插入在計算機智能卡閱讀器中的智能卡進行管理和訪問控制。

    Smart Card Helper：提供對連接到計算機上舊式智能卡的支持。

    Task Schedule：允許程序在指定時間運行。

    TCP/IP Netbios Helper：允許對“TCP/IP 上 NetBIOS （NetBT）”服務以及 NetBIOS 名稱解析的支持。

    Telephone Service：供 TAPI 的支持，以便程序控制本地計算機，服務器以及 LAN 上的電話設備和基于 IP 的語音連接。

    Windows Management Instrumentation：提供系統管理信息。

    必要時需禁止的服務如下：

    SNMP service：簡單網絡管理協議

    SNMP trap：簡單網絡協議陷阱跟蹤

    UPS：USP電源管理。

十五、如何防范NetBIOS漏洞攻擊

    NetBIOS（Network Basic Input Output System，網絡基本輸入輸出系統），是一種應用程序接口（API），系統可以利用WINS（管理計算機netbios名和IP影射關系）服務、廣播及Lmhost文件等多種模式將NetBIOS名解析為相應IP地址，從而實現信息通訊。在局域網內部使用NetBIOS協議可以非常方便地實現消息通信，但是如果在互聯網上，NetBIOS就相當于一個后門程序，很多攻擊者都是通過NetBIOS漏洞發起攻擊。

    對于Windows NT系統，可以取消NetBIOS與TCP/IP協議的綁定，具體方法是：首先打開“控制面板”，然后雙擊“網絡”圖標，并在“NetBIOS接口”中選擇“WINS客戶（TCP/IP）”為“禁用”，最后重新啟動計算機即可。

    對于Windows2000系統而言，它沒有限制TCP/IP綁定在NetBIOS上，我們可以通過以下方式來設置：

    首先選擇“開始”→“設置”→“控制面板”→“網絡和撥號連接”→“本地連接”菜單中，雙擊“Internet協議（TCP/IP）”，界面見下圖：

   

    接著在打開的對話框中單擊“高級”按鈕，并選擇“選項”菜單，如下圖：

   

    隨后點擊“屬性”按鈕，將彈出“TCP/IP篩選”對話框，選擇“啟用TCP/IP篩選”，見下圖：

   

    最后在以上“TCP端口”對話框中添加除了139之外要用到的服務端口即可。

十六、如何解決SNMP緩沖區溢出漏洞

    SNMP（Simple Network Management Protocol，簡單網絡管理協議）是所有基于TCP/IP網絡上管理不同網絡設備的基本協議，比如防火墻、計算機和路由器。所有的Windows系統（除了Windows ME）都提供了SNMP功能，但是在所有版本的系統中都不是默認安裝和執行的。

    現在已經發現，如果攻擊者發送懷有惡意信息給SNMP的信息接收處理模塊，就會引起服務停止（拒絕服務）或緩沖器溢出；或者說通過向運行SNMP服務的系統發送一個畸形的管理請求，此時就存在一個緩沖區溢出漏洞，或者造成拒絕服務影響。一旦緩沖區溢出，可以在本地運行任意的代碼，可以讓攻擊者進行任意的操作。因為SNMP的程序一般需要系統權限來運行，因此緩沖器溢出攻擊可能會造成系統權限被奪取，而形成嚴重的安全漏洞。具體解決方法如下：

    由于許多基于Windows安全設備和程序都是使用SNMP服務進行管理的，所以我們建議如果不需要使用SNMP服務就應該停止它。如果要防止從外界進行的攻擊破壞，請在防火墻或者路由器上設置禁止從外界進行SNMP（UDP161和UDP162端口）操作。

    另外，微軟已經為此發布了一個安全公告（MS02-006）以及相應補丁程序：

http://www.microsoft.com/technet/security/bulletin/MS02-006.asp ，請用戶及時下載安裝補丁程序。

十七、如何加固IIS服務器的安全

    Windows系統近幾年的攻擊都偏重在IIS上，曾在2001到2002年大肆流行的Nimda，CodeRed病毒等都是通過利用IIS的一些漏洞入侵并且開始傳播的。由于NT/2000系統上使用IIS作為WWW服務程序居多，再加上IIS的脆弱性以及與操作系統相關性，整個NT/2000系統的安全性也受到了很大的影響。通過IIS的漏洞入侵來獲得整個操作系統的管理員權限對于一臺未經安全配置的機器來說是輕而易舉的事情，所以，配置和管理好你的IIS在整個系統配置里面顯得舉足輕重了。

    IIS的配置可以分為以下幾方面： （以下操作均是使用Internet服務管理器操作，你可以在控制面板的管理工具里面找到該快捷方式，運行界面如下：）

   

    刪除目錄映射。

    默認安裝的IIS默認的根目錄是C:\inetpub，我們建議你更改到其他分區的目錄里面，比如：D:\inetpub目錄。

    默認在IIS里面有Scripts，IISAdmin，IISSamples，MSADC，IISHelp，Printers這些目錄映射，建議你完全刪除掉安裝IIS默認映射的目錄，包括在服務器上真實的路徑（%systemroot%是一個環境變量，在具體每臺服務器上可能不一樣，默認值由安裝時候選擇目錄決定）：

    Scripts對應c:\inetpub\scripts目錄

    IISAdmin對應%systemroot%\System32\inetsrv\iisadmin目錄

    IISSamples對應c:\inetpub\iissamples目錄。

    MSADC對應c:\program files\common files\system\msadc目錄。

    IISHelp對應%systemroot%\help\iishelp目錄。

    Printers對應%systemroot%web\printers目錄。

    還有一些IIS管理員頁面目錄：

    IISADMPWD 對應%systemroot%\system32\inetsrv\iisadmpwd目錄

    IISADMIN 對應 %systemroot%\system32\inetsrv\iisadmin目錄

   

    刪除可執行文件擴展名（應用程序）映射。

    在應用程序配置里面 （上圖“配置按鈕”），默認有以下程序映射：

   

    如果不使用SSI（server side include， 服務器端嵌入腳本），建議刪除“.shtm” “.stm” 和 “.shtml”這些映射.像：“.cer”  “.cdx”  “htr”  “idc”   “printer”等，如無特別需要，建議只保留“.asp”和“.asa”的映射。

    Frontpage擴展服務

    從控制面板里面打開“添加或刪除程序”選擇“添加/刪除windows組件”

   

    選擇“Internet信息服務（IIS）”，點“詳細信息”，請確認FrontPage 2000服務器擴展沒有被勾上。如果有，則取消掉，點確定就可以了。

   

    提示： 微軟公司提供了一個叫iislockd的程序，它可以用來幫助你更安全的配置IIS。除了上面的Frontpage擴展沒有提供外，其他兩點均能很好的支持。

    下載地址：http://download.microsoft.com/download/iis50/Utility/2.1/NT45XP/EN-US/iislockd.exe

 

 

來源：巨靈鳥 歡迎分享本文