十三、修改共享目錄默認控制權(quán)限

    對于Windows NT/2000系統(tǒng)來說，默認情況下當新增一個共享目錄時，操作系統(tǒng)會自動將EveryOne這個用戶組添加到權(quán)限模塊當中，由于這個組的默認權(quán)限是完全控制，結(jié)果使得任何人都可以對共享目錄進行讀寫。因此，在新建共享目錄之后，要立刻刪除EveryOne組或者將該組的權(quán)限調(diào)整為讀取。相關(guān)編輯界面見下圖所示：

   

十四、禁止不必要的服務(wù)

    Windows NT/2000系統(tǒng)中有許多用不著的服務(wù)自動處于激活狀態(tài)，它們中可能存在的安全漏洞使攻擊者甚至不需要賬戶就能控制機器.為了系統(tǒng)的安全，應(yīng)把該關(guān)的功能服務(wù)及時關(guān)閉，從而大大減少安全風險。

    具體操作可以在“控制面板”的“管理工具”里面“服務(wù)”菜單中，選取不必要的服務(wù)進行禁止，見下圖：

   

   

    相關(guān)需要禁止的服務(wù)如下：

    Alerter：通知所選用戶和計算機有關(guān)系統(tǒng)管理級警報。

    Application Management：提供軟件安裝服務(wù)，諸如分派，發(fā)行以及刪除。

    ClipBook：支持“剪貼簿查看器”，以便可以從遠程剪貼簿查閱剪貼頁面。

    COM+ Event System：提供事件的自動發(fā)布到訂閱 COM 組件。

    Computer Browser：維護網(wǎng)絡(luò)上計算機的最新列表以及提供這個列表給請求的程序。

    Distributed Link Tracking Client：當文件在網(wǎng)絡(luò)域的 NTFS 卷中移動時發(fā)送通知。

    Distributed Transaction Coordinator：并列事務(wù)，是分布于兩個以上的數(shù)據(jù)庫，消息隊列，文件系統(tǒng)，或其它事務(wù)保護資源管理器。

    Fax Service：幫助您發(fā)送和接收傳真。

    FTP publishing service：通過 Internet 信息服務(wù)的管理單元提供 FTP 連接和管理。

    Indexing Service：本地和遠程計算機上文件的索引內(nèi)容和屬性；通過靈活查詢語言提供文件快速訪問。

    Messenger：發(fā)送和接收系統(tǒng)管理員或者”警報器”服務(wù)傳遞的消息。

    Net Logon：支持網(wǎng)絡(luò)上計算機 pass-through 帳戶登錄身份驗證事件。”

    Network DDE ：提供動態(tài)數(shù)據(jù)交換 （DDE） 的網(wǎng)絡(luò)傳輸和安全特性。

    Network DDE DSDM ：管理網(wǎng)絡(luò) DDE 的共享動態(tài)數(shù)據(jù)交換

    Network Monitor ：網(wǎng)絡(luò)監(jiān)視器

    NetMeeting Remote Desktop Sharing：允許有權(quán)限的用戶使用 NetMeeting 遠程訪問 Windows 桌面。

    Plug and Play （在配置好所有硬件后應(yīng)該禁止掉）：管理設(shè)備安裝以及配置，并且通知程序關(guān)于設(shè)備更改的情況。

    Remote Procedure Call （RPC）： 提供終結(jié)點映射程序 （endpoint mapper） 以及其它 RPC 服務(wù)。

    Remote Registry Service：允許遠程注冊表操作。

    Removable Storage：管理可移動媒體、驅(qū)動程序和庫。

    Routing and Remote Access：在局域網(wǎng)以及廣域網(wǎng)環(huán)境中為企業(yè)提供路由服務(wù)。

    RunAs Service：在不同憑據(jù)下啟用啟動過程。

    Server：提供 RPC 支持、文件、打印以及命名管道共享。

    Smart Card：對插入在計算機智能卡閱讀器中的智能卡進行管理和訪問控制。

    Smart Card Helper：提供對連接到計算機上舊式智能卡的支持。

    Task Schedule：允許程序在指定時間運行。

    TCP/IP Netbios Helper：允許對“TCP/IP 上 NetBIOS （NetBT）”服務(wù)以及 NetBIOS 名稱解析的支持。

    Telephone Service：供 TAPI 的支持，以便程序控制本地計算機，服務(wù)器以及 LAN 上的電話設(shè)備和基于 IP 的語音連接。

    Windows Management Instrumentation：提供系統(tǒng)管理信息。

    必要時需禁止的服務(wù)如下：

    SNMP service：簡單網(wǎng)絡(luò)管理協(xié)議

    SNMP trap：簡單網(wǎng)絡(luò)協(xié)議陷阱跟蹤

    UPS：USP電源管理。

十五、如何防范NetBIOS漏洞攻擊

    NetBIOS（Network Basic Input Output System，網(wǎng)絡(luò)基本輸入輸出系統(tǒng)），是一種應(yīng)用程序接口（API），系統(tǒng)可以利用WINS（管理計算機netbios名和IP影射關(guān)系）服務(wù)、廣播及Lmhost文件等多種模式將NetBIOS名解析為相應(yīng)IP地址，從而實現(xiàn)信息通訊。在局域網(wǎng)內(nèi)部使用NetBIOS協(xié)議可以非常方便地實現(xiàn)消息通信，但是如果在互聯(lián)網(wǎng)上，NetBIOS就相當于一個后門程序，很多攻擊者都是通過NetBIOS漏洞發(fā)起攻擊。

    對于Windows NT系統(tǒng)，可以取消NetBIOS與TCP/IP協(xié)議的綁定，具體方法是：首先打開“控制面板”，然后雙擊“網(wǎng)絡(luò)”圖標，并在“NetBIOS接口”中選擇“WINS客戶（TCP/IP）”為“禁用”，最后重新啟動計算機即可。

    對于Windows2000系統(tǒng)而言，它沒有限制TCP/IP綁定在NetBIOS上，我們可以通過以下方式來設(shè)置：

    首先選擇“開始”→“設(shè)置”→“控制面板”→“網(wǎng)絡(luò)和撥號連接”→“本地連接”菜單中，雙擊“Internet協(xié)議（TCP/IP）”，界面見下圖：

   

    接著在打開的對話框中單擊“高級”按鈕，并選擇“選項”菜單，如下圖：

   

    隨后點擊“屬性”按鈕，將彈出“TCP/IP篩選”對話框，選擇“啟用TCP/IP篩選”，見下圖：

   

    最后在以上“TCP端口”對話框中添加除了139之外要用到的服務(wù)端口即可。

十六、如何解決SNMP緩沖區(qū)溢出漏洞

    SNMP（Simple Network Management Protocol，簡單網(wǎng)絡(luò)管理協(xié)議）是所有基于TCP/IP網(wǎng)絡(luò)上管理不同網(wǎng)絡(luò)設(shè)備的基本協(xié)議，比如防火墻、計算機和路由器。所有的Windows系統(tǒng)（除了Windows ME）都提供了SNMP功能，但是在所有版本的系統(tǒng)中都不是默認安裝和執(zhí)行的。

    現(xiàn)在已經(jīng)發(fā)現(xiàn)，如果攻擊者發(fā)送懷有惡意信息給SNMP的信息接收處理模塊，就會引起服務(wù)停止（拒絕服務(wù)）或緩沖器溢出；或者說通過向運行SNMP服務(wù)的系統(tǒng)發(fā)送一個畸形的管理請求，此時就存在一個緩沖區(qū)溢出漏洞，或者造成拒絕服務(wù)影響。一旦緩沖區(qū)溢出，可以在本地運行任意的代碼，可以讓攻擊者進行任意的操作。因為SNMP的程序一般需要系統(tǒng)權(quán)限來運行，因此緩沖器溢出攻擊可能會造成系統(tǒng)權(quán)限被奪取，而形成嚴重的安全漏洞。具體解決方法如下：

    由于許多基于Windows安全設(shè)備和程序都是使用SNMP服務(wù)進行管理的，所以我們建議如果不需要使用SNMP服務(wù)就應(yīng)該停止它。如果要防止從外界進行的攻擊破壞，請在防火墻或者路由器上設(shè)置禁止從外界進行SNMP（UDP161和UDP162端口）操作。

    另外，微軟已經(jīng)為此發(fā)布了一個安全公告（MS02-006）以及相應(yīng)補丁程序：

http://www.microsoft.com/technet/security/bulletin/MS02-006.asp ，請用戶及時下載安裝補丁程序。

十七、如何加固IIS服務(wù)器的安全

    Windows系統(tǒng)近幾年的攻擊都偏重在IIS上，曾在2001到2002年大肆流行的Nimda，CodeRed病毒等都是通過利用IIS的一些漏洞入侵并且開始傳播的。由于NT/2000系統(tǒng)上使用IIS作為WWW服務(wù)程序居多，再加上IIS的脆弱性以及與操作系統(tǒng)相關(guān)性，整個NT/2000系統(tǒng)的安全性也受到了很大的影響。通過IIS的漏洞入侵來獲得整個操作系統(tǒng)的管理員權(quán)限對于一臺未經(jīng)安全配置的機器來說是輕而易舉的事情，所以，配置和管理好你的IIS在整個系統(tǒng)配置里面顯得舉足輕重了。

    IIS的配置可以分為以下幾方面： （以下操作均是使用Internet服務(wù)管理器操作，你可以在控制面板的管理工具里面找到該快捷方式，運行界面如下：）

   

    刪除目錄映射。

    默認安裝的IIS默認的根目錄是C:\inetpub，我們建議你更改到其他分區(qū)的目錄里面，比如：D:\inetpub目錄。

    默認在IIS里面有Scripts，IISAdmin，IISSamples，MSADC，IISHelp，Printers這些目錄映射，建議你完全刪除掉安裝IIS默認映射的目錄，包括在服務(wù)器上真實的路徑（%systemroot%是一個環(huán)境變量，在具體每臺服務(wù)器上可能不一樣，默認值由安裝時候選擇目錄決定）：

    Scripts對應(yīng)c:\inetpub\scripts目錄

    IISAdmin對應(yīng)%systemroot%\System32\inetsrv\iisadmin目錄

    IISSamples對應(yīng)c:\inetpub\iissamples目錄。

    MSADC對應(yīng)c:\program files\common files\system\msadc目錄。

    IISHelp對應(yīng)%systemroot%\help\iishelp目錄。

    Printers對應(yīng)%systemroot%web\printers目錄。

    還有一些IIS管理員頁面目錄：

    IISADMPWD 對應(yīng)%systemroot%\system32\inetsrv\iisadmpwd目錄

    IISADMIN 對應(yīng) %systemroot%\system32\inetsrv\iisadmin目錄

   

    刪除可執(zhí)行文件擴展名（應(yīng)用程序）映射。

    在應(yīng)用程序配置里面 （上圖“配置按鈕”），默認有以下程序映射：

   

    如果不使用SSI（server side include， 服務(wù)器端嵌入腳本），建議刪除“.shtm” “.stm” 和 “.shtml”這些映射.像：“.cer”  “.cdx”  “htr”  “idc”   “printer”等，如無特別需要，建議只保留“.asp”和“.asa”的映射。

    Frontpage擴展服務(wù)

    從控制面板里面打開“添加或刪除程序”選擇“添加/刪除windows組件”

   

    選擇“Internet信息服務(wù)（IIS）”，點“詳細信息”，請確認FrontPage 2000服務(wù)器擴展沒有被勾上。如果有，則取消掉，點確定就可以了。

   

    提示： 微軟公司提供了一個叫iislockd的程序，它可以用來幫助你更安全的配置IIS。除了上面的Frontpage擴展沒有提供外，其他兩點均能很好的支持。

    下載地址：http://download.microsoft.com/download/iis50/Utility/2.1/NT45XP/EN-US/iislockd.exe

 

 

來源：巨靈鳥 歡迎分享本文