WindowsServer2003作为
Microsoft最新推出的
服务器操作
系统,相比Windows2000/
XP系统来说,各方面的
功能确实得到了增强,尤其在
安全方面,总体感觉做的还算不错。但“金无足赤”任何事物也没有十全十美的,
微软Windows2003也是如此,照样存在着系统漏洞、存在着不少安全隐患!无论你用
计算机欣赏音乐、上网冲浪、运行游戏,还是编写文档都要不可避免地遭受新病毒泛滥时的威胁,如何让WindowsServer2003更加安全,成为广大用户十分关注的问题。
: Z! W" W q1 p2 G, N
一、取消IE安全提示对话框
, r3 o, C+ T: Z7 V; P& G6 l
面对
黑客组织恶意
程序的攻击,微软公司一直都在努力致力于降低产品的安全隐患,这是有目共睹的。微软新一代的WindowsServer2003
操作系统在安全
性能方面就得到了加强。比如在使用
& S/ x! k' g* C
WindowsServer2003自带的IE
浏览器浏览网页时,每次都会弹出一个安全提示框,“不厌其烦”地提示我们,是否需要将当前访问的
网站添加到自己信任的站点中去;如果表示不信任的话,只能单击“关闭”按钮;而要是想浏览该站点的话,就必须单击“添加”按钮,将该网页添加到信任网站的列表中去。不过每次访问网页,都要经过这样的步骤,实在是太烦琐了。其实我们可以通过下面的方法来让IE取消对网站安全性的检查:
/ D; g7 K8 Q! O0 F1 z. S' Z$ [6 P 1.一旦系统打开安全提示页面时,你可以用
鼠标将其中的“当网站的内容被堵塞时继续提示”复选项选中;
9 d. K6 u# X! x: T( W[color=#FFFFFF']
- m# F" c% I4 K( e4 q4 J+ |# ^1 r1 U* e$ l5 w
2.在浏览界面中,用鼠标单击“工具”菜单项,从打开的下拉菜单中执行“Internet选项”命令;
3 p; a- X3 b; q8 ~! y: k# M
3.在弹出的选项设置界面中,你可以将系统默认状态下的最高安全级别设置为中等级别;
5 T6 H0 A q& m0 G8 D 4.设置时,只要在“安全”标签页面中,拖动其中的安全滑块到“中”位置处就可以了;
+ F3 E+ c- @5 x: j2 p/ O/ C/ R4 h- e 5.完成设置后,单击“确定”按钮,就可以将浏览器的安全自动提示页面取消了。
# q3 a8 i0 S" N
经过修改IE的默认安全级别的设置,再上网的时候,IE就不会自动去检查网站的安全性了,麻烦解决了吧!
% R, U' M! Z8 U5 n 二、重新支持ASP脚本
3 a" v: }( D/ }7 ~# q% ~2 n
[color=#FFFFFF']
+ F6 P ~6 b9 S+ S! P
q2 Z6 i% z7 b, F 提起ASP(ActiveServerPage)大家都会
联想到Windows,它以其强大的功能,简单易学的特点而受到广大WEB开发人员的喜欢。但为了将系统安全隐患降到最低限度,WindowsServer2003操作系统在默认状态下,是不支持ASP脚本运行的%26;#8212;%26;#8212;系统将不会再对网站中的ASP代码进行任何的操作;但现在许多网页的服务功能多是通过ASP脚本来实现的,怎么办?其实我们完全可以在系统安全得到保障的前提下,让系统重新支持ASP脚本。具体实现的方法为:
* x- {7 P; {2 u& [. F J
1.在系统的开始菜单中,依次单击“
管理工具”/“Internet
信息服务管理器”命令(如图1)。
. r/ h8 X! H! B; w5 c4 f[color=#FFFFFF']
! V. j* O9 [2 U# W3 E+ ` k- N% G# u' r8 O2 p; d
8 V, y/ Y5 a) C F& x
8 B$ l# `9 ~5 n) A
7 w4 { p" G! @" v) e9 G. o( S
4 q; U& r2 O! ?- C! k. P4 |: O0 K1 g: _; n& @
2.在随后出现的Internet信息服务属性设置窗口中,用鼠标选中左侧区域中的“Web服务器扩展”选项;
* ]7 h% n7 [3 w9 m9 N; _ 3.接着在对应该选项右侧的区域中,用鼠标双击“Activesserverpages”选项,然后将“
任务栏”设置项处的“允许”按钮单击一下,系统中的IIS6就可以重新支持ASP脚本了(如图2)。
. C0 u' s z$ D; i" E. F( s) }
3 K- p" f: p. q" E& Z+ p: j3 y8 c+ r6 l" a0 ?* E# k8 |
: @) L7 ?- E# t( ]& q& N! l, T% j
9 }( G. ~$ ~# |. n$ H. j, u3 }2 G
[color=#FFFFFF']
k, g$ Y- Q/ T$ {* M# K! ~# X' x. q( P# {4 `" R
用户最关心的问题大概就是原有的ASP组件是否还可以继续使用?我可以告诉大家,经这番修改设置,系统中的IIS6重新支持ASP脚本了,一切的操作是不是很简单啊!
. j; I0 o1 ?8 G( |! d& p1 j; o 三、清除默认
共享隐患
$ F3 |1 e+ u \% B: T+ F. [' E
使用WindowsServer2003的用户都会碰到一个问题,就是系统在默认安装时,都会产生默认的共享文件夹。虽然用户并没有设置共享,但每个盘符都被Windows自动设置了共享,其共享名为盘符
( T6 i. U( ^& R3 `2 p# O& n
后面加一个符号$(共享名称分别为c$、d$、ipc$以及admin$)。也就是说,只要攻击者知道了该系统的管理员密码,就有可能通过“\\工作站名\共享名称”的方法,来打开系统的指定文件夹,如此一来,用户精心设置的安全防范岂不成了摆设?还有安全嘛!为此,我们很有必要将WindowsServer2003系统默认的共享隐患,立即从系统中清除掉。
" T5 ^$ H9 \8 a+ C' a 1、删除WindowsServer2003默认共享
: c0 {* Z6 U6 h( }# U, ~$ O& f1 ] 首先编写如下内容的批处理文件:
5 [- @8 p8 F4 I8 k: D* n9 d @echooff
+ V" p9 Q. z- u* I0 }) ]' @+ {2 C[color=#FFFFFF']
! H! p& ], {3 k; _9 D! r! R5 f M& k
, h7 ~% c7 e0 B/ W9 t% ^ netshareC$/del
& Y/ l. G! v* J; A- R8 N netshareD$/del
/ R( {' G6 {: k# @! K netshareE$/del
4 M: H( d. G# U6 q
[color=#FFFFFF']
! w% M+ z f( B* e5 A6 F$ V0 g2 u# G
4 t* {+ \2 |: ? netshareF$/del
1 I7 [1 O& X8 X0 I+ A netshareadmin$/del
( j% H m/ a3 M 以上文件的内容用户可以根据自己需要进行修改。保存为delshare.bat,存放到系统所在文件夹下的system32\GroupPolicy\User\Scripts\Logon目录下。然后在开始菜单→运行中输入gpedit.msc,
+ { v1 M9 r+ y9 q8 @6 w- I 回车即可打开组策略
编辑器。点击用户配置→Windows设置→脚本(登录/注销)→登录(如图3),
/ p% C6 K, S, \) ~3 E# c7 `7 I6 w2 O! D" a+ _* J
( J$ `" P _+ _' N$ c" \
( T0 @( \8 u# V' n
/ H5 ^2 M7 @ l" j4 {
. A0 r K ]3 W 在出现的“登录属性”窗口中单击“添加”,会出现“添加脚本”对话框,在该窗口的“脚本名”栏中输入delshare.bat,然后单击“确定”按钮即可(如图4)。
5 O. c8 @6 K+ G' u3 T! P4 i
/ b+ C3 Y- _0 ^! R9 B" T1 U/ I1 N" Q" F3 V8 L& a
7 e$ M% ~5 V3 P) Z$ v" U, `5 w. y5 D* K) m# R
* @% f+ w3 K4 N3 l' x7 B[color=#FFFFFF']
+ @- @# A) k4 d( F4 k% ]
$ L' O$ V8 m: c 重新启动计算机系统,就可以自动将系统所有的隐藏共享文件夹全部取消了,这样就能将系统安全隐患降低到最低限度。
3 }" C$ b8 _4 r& M; u; j
2、禁用IPC连接
# R! {, q: q- I" l) W$ Y: x6 w. o
IPC$(InternetProcessConnection)是共享“命名管道”的资源,它是为了让进程间
通信而开放的命名管道,通过提供可信任的用户名和口令,连接双方计算机即可以建立安全的通道并以此通道进行加密
数据的交换,从而实现对远程计算机的访问。它是WindowsNT/2000/XP/2003特有的功能,但它有一个特点,即在同一
时间内,两个IP之间只允许建立一个连接。NT/2000/XP/2003在提供了ipc$功能的同时,在初次安装系统时还打开了默认共享,即所有的
逻辑共享(c$,d$,e$……)和系统目录winnt或
windows(admin$)共享。所有的这些,微软的初衷都是为了方便管理员的管理,但也为简称为IPC入侵者有意或无意的提供了方便条件,导致了系统安全性能的降低。在建立IPC的连接中不需要任何黑客工具,在命令行里键入相应的命令就可以了,不过有个前提条件,那就是你需要知道远程主机的用户名和密码。打开CMD后输入如下命令即可进行连接:netuse\\ip\ipc$"password"/user:"usernqme"。我们可以通过修改注册表来禁用IPC连接。打开注册表编辑器。找到如下组建HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa中的restrictanonymous子键,将其值改为1即可禁用IPC连接(如图5)。
& [8 a' A- U2 Y$ X7 k3 C
7 M. S j4 f- _
& }+ ~9 ]" s4 ]" C1 D9 i/ `# _8 {
# M; s6 z6 W# y: X/ R3 P% `
/ }+ j2 n' J; O/ U4 y% t
4 a) g$ Z- V6 ?) ^( r- |+ l0 k$ B( a( \% I3 ?/ s: l
8 }0 V: c3 k: A( A, I% v z9 g
四、清空远程可访问的注册表路径
: b+ U+ l& F" U7 ]8 y. A
大家都知道,Windows2003操作系统提供了注册表的远程访问功能,只有将远程可访问的注册表路径设置为空,这样才能有效的防止黑客利用扫描器通过远程注册表读取计算机的系统信息及其它信息(如图6)。
4 [; ]8 w6 k% S, d8 V* ]7 T* v) v; T3 ^
|$ \: M5 n" L" Y1 \& i: h7 w; N+ Z
9 p; E: E/ Q) M# G# ]. ^
* P6 W2 } X, S& H3 s0 d
" U) N% \7 ^9 v: D5 m8 x[color=#FFFFFF']
~/ j% v& M8 g; M! i O0 x
打开组策略编辑器,依次展开“计算机配置→Windows设置→安全设置→本地策略→安全选项”,在右侧窗口中找到“
网络访问:可远程访问的注册表路径”,然后在打开的窗口中,将可远程访问的注册表路径和子路径内容全部设置为空即可(如图7)。
1 J% s7 x1 ]( Y$ ^
/ H+ U4 k$ ^ l( [6 O
+ w7 |" \, @! H7 T' f; q0 t1 u# W" S: v- d; [: T! g
9 D+ j+ B5 t" \) a9 `# D' W9 v# T8 x7 l: J1 I' n
2 n7 z9 S2 j# y; `3 q0 s5 n
五、关闭不必要的
端口! ^3 v/ o W: [8 ?
对于个人用户来说安装中默认的有些端口确实是没有什么必要的,关掉端口也就是关闭无用的服务。139端口是NetBIOS协议所使用的端口,在安装了
TCP/IP协议的同时,NetBIOS也会被作为默认设置安装到系统中。139端口的开放意味着
硬盘可能会在网络中共享;网上黑客也可通过NetBIOS知道你的
电脑中的一切!在以前的Windows版本中,只要不安装Microsoft网络的文件和打印共享协议,就可关闭139端口。但在WindowsServer2003中,只这样做是不行的。如果想彻底关闭139端口,具体步骤如下:
4 n% l% y9 V! g6 x 鼠标右键单击“网络邻居”,选择“属性”,进入“网络和拨号连接”,再用鼠标右键单击“本地连接”,选择“属性”,打开“本地连接属性”页(如图8),
% ]: h* O& U9 H) l
[color=#FFFFFF']
; @/ j: j" w: B: i! L
& X3 E- R+ x' [: f+ e& Y* p$ h( B- a; M- h! E7 j+ p
% k# s; E) W3 I/ b
' ~2 S* V: N. ~1 n# ?9 v0 g" D! t5 G( i$ A
# l% D, d/ E& n4 O9 y
( H7 T9 w1 C1 f$ _
' h5 G& ~; x4 L1 W4 O9 ~' X& w# r 然后去掉“Microsoft网络的文件和打印共享”前面的“√”(如图9),
+ e( J$ B- ?! z' I' P
; `1 e8 x; W- p8 Y4 d 6 v+ O, z, H, H' M1 j' N
[color=#FFFFFF']
- V! T( h. }+ }' p
# B) z; W: A9 H1 ?1 x8 s$ E, K, e! B
* S) k1 q3 t# k2 ~+ {: }0 |
5 u4 U* ~4 f3 R- {
- _( [/ K( T1 J+ L" u* N
# q1 I4 `, E" f+ A5 L: b) C/ B% g h4 N- y/ L0 z* t! B, a" K& _0 R
; d/ s9 R2 ], C
- U! E4 ^. B) p! H, w 接下来选中“Internet协议(TCP/IP)”,单击“属性”→“高级”→“WINS”,把“禁用TCP/IP上的NetBIOS”选中,即任务完成(如图10)!
" @7 y2 b4 b7 {' q* t( X+ ?& c, O: K
$ B2 {7 m- E$ q3 d
2 l% z* ^7 m6 Q# b1 q: ^
( {/ _' e) y; O1 w6 X" m2 U0 t
0 v2 {; J6 v/ b) ?1 R/ I
- I) {. D d3 o2 ^* {: F$ O6 ]7 b- X% P+ @. n4 u- k0 N" d2 H
* F3 \+ ~' n3 m* K! S1 D
; U/ n7 T& h5 a6 Y+ a0 G: x
对于个人用户来说,可以在各项服务属性设置中设为“禁用”,以免下次重启服务也重新启动,端口也开放了。
* \/ ^4 [! i! C5 r
+ Q% ]4 }3 ~3 G1 p 假如你的电脑中还装了IIS,你最好重新设置一下端口过滤。步骤如下:选择
网卡属性,然后双击“Internet协议(TCP/IP)”,在出现的窗口中单击“高级”按钮,会进入“高级TCP/IP设置”窗口,接下来选择“选项”标签下的“TCP/IP筛选”项,点“属性”按钮,会来到“TCP/IP筛选”的窗口,在该窗口的“启用TCP/IP筛选(所有适配器)”前面打上“√”,然后根据需要配置就可以了。如果你只打算浏览网页,则只开放TCP端口80即可,所以可以在“TCP端口”上方选择“只允许”,然后单击“添加”按钮,输入80再单击“确定”即可(如图11)
$ z& K# e2 ? c0 ?& ? s2 r
; W$ q6 y& d- }+ A+ b2 I- T
- j1 I7 Y9 X: s/ y/ ^! H
|8 ?4 g; j; E) {7 s/ f; f' `; K: C- _. x& t% n
, N, y+ ]) G& A; g- `" y7 h1 s$ R3 c0 n) o, [' y
8 q4 o ]( |( t' o6 r& p 六、杜绝非法访问应用程序
! ]# y/ X& M4 \: K7 V; \4 R[color=#FFFFFF']
! m3 N+ j$ E' } U5 x F x0 e& g% G, X: q& u
WindowsServer2003是一种服务器操作系统,为了防止登陆到其中的用户,随意启动服务器中的应用程序,给服务器的正常运行带来不必要的麻烦,我们很有必要根据不同用户的访问权限,来限制
. ^9 [. S: g; A3 `2 A- L) \$ t7 _ P 他们去调用应用程序。实际上我们只要使用组策略编辑器作进一步的设置,即可实现这一目的,具体步骤如下:
1 U, p5 ]$ y1 i9 U4 h2 P( ~ 打开“组策略编辑器”的方法为:依次点击“开始→运行”,在“运行”对话框中键入“gpedit.msc”命令并回车,即可打开“组策略编辑器”窗口。然后依次打开“组策略控制台→用户配置→管理模
/ g/ B; A1 C- S) J
板→系统”中的“只运行许可的Windows应用程序”并启用此策略(如图12),
2 u0 \6 u' O0 r$ Z, L9 C, E
[color=#FFFFFF']
; f& ]4 g* `2 n7 M4 ^$ j
7 T& f) y/ N1 P1 |* }- ~
! c) ^% v. ~$ d: z } L! }* `1 Q# k5 A7 u8 z3 e2 T. S e, l: s9 Z
+ }' |: u3 y2 j
! e$ O2 e3 X2 g! Z' F+ A4 m5 E! d( c- z
9 }. |4 [& E# l8 {2 A* q' j. B
# l- k" k% F: n9 @& g7 ~ 然后点击下面的“允许的应用程序列表”边的“显示”按钮,弹出一个“显示内容”对话框,在此单击“添加”按钮来添加允许运行的应用程序即可(如图13)。
5 q8 M; A( f, d' [! ` F: M1 y
3 [3 k. `5 O6 k, L
0 P: P1 f1 n3 c- G# ]2 @
! j" P) f- }$ y- \/ [% Z J' S: m2 W) z- p
8 j3 [3 v2 g& @' T* p6 o7 Q5 v" i3 i# x( x3 p$ A
1 @# Y5 t* J. [6 B9 K1 t% A
. ^% E) g$ ^$ \3 G6 e
( s1 j' l i& S 以后一般用户只能运行“允许的应用程序列表”中的程序。
+ {/ ] D5 Y& q: _
- @: z1 |6 a9 @, o[color=#FFFFFF']
