论文部分内容阅读
摘要:通常Web站点的设计目标都是以最易接受的方式,为访问者提供即时的信息访问。然而,越来越多的黑客、病毒和蠕虫带来的安全问题严重影响了网站的可访问性。服务器系统的安全没有设置好,信息服务(IIS)的权限没有设置好,黑客就有可乘之机,网站经常被挂马。本文就站点服务器和IIS的安全设置做归纳和总结。
关键词:站点服务器;IIS安全设置;安全策略
中图分类号:TP393 文献标识码:A 文章编号:1674-7712 (2012) 16-0042-02
一、设置安全服务器
(一)系统盘和站点放置盘(包括所以盘符)必须设置为NTFS格式,方便设置权限,系统盘和站点放置盘除administrators和system的用户权限全部去除。
(二)启用windows自带防火墙,暂只保留有用的端口,如:远程(80)、Ftp(21)、远程桌面(3389)等。
(三)安装好SQL后进入目录搜索xplog70然后将找到的三个文件改名或者删除。
(四)更改sa密码为超长密码,在任何情况下都不要用sa这个帐户。
(五)改名系统默认帐户名并新建一个Administrator帐户作为陷阱帐户,设置超长密码,并去掉所有用户组.(就是在用户组那里设置为空即可.让这个帐号不属于任何用户组)同样改名禁用掉Guest用户。
(六)配置帐户锁定策略(在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略,将账户设为“三次登陆无效”,“锁定时间30分钟”,“复位锁定计数设为30分钟”。)
(七)在安全设置里,本地策略-安全选项将“网络访问:可匿名访问的共享”、“网络访问:可匿名访问的命名管道”、“网络访问:可远程访问的注册表路径”、“网络访问:可远程访问的注册表路径和子路径”以上四项清空。
(八)在安全设置里,本地策略-安全选项:用户权利指派通过终端服务拒绝登陆加入ASPNET、Guest、IUSR_*****、IWAM_*****、NETWORKSERVICE、SQLDebugger(****表示机器名,注意不要添加进user组和administrators组,添加进去以后就没有办法远程登陆了。)
(十)更改本地安全策略的审核策略。审核策略更改-成功失败,审核登录事件-成功失败,审核对象访问-失败,审核过程跟踪-无审核,审核目录服务访问-失败,审核特权使用-失败,审核系统事件-成功失败,审核账户登录事件-成功失败,审核账户管理-成功失败。
二、保护IIS的技巧
(一)移除缺省的Web站点。很多攻击者瞄准inetpub这个文件夹,并在里面放置一些偷袭工具,从而造成服务器的瘫痪。防止这种攻击最简单的方法就是在IIS里将缺省的站点禁用。
(二)卸载不需要FTP和SMTP服务。进入计算机的最简单途径就是通过FTP访问。FTP本身就是被设计满足简单读/写访问的,如果你执行身份认证,你会发现你的用户名和密码都是通过明文的形式在网络上传播的。SMTP是另一种允许到文件夹的写权限的服务。通过禁用这两项服务,你能避免更多的黑客攻击。
(三)减少、排除Web服务器上的共享。如果网络管理员是唯一拥有Web服务器写权限的人,就没有理由让任何共享存在。共享是对黑客最大的诱惑。利用命令寻找Everyone/完全控制权限的共享。
(四)检查*.bat和*.exe文件,在这些破坏性的文件中,也许有一些是*.reg文件。如果你右击并选择编辑,可以发现黑客已经制造并能让他们能进入你系统的注册表文件。登陆你的Web服务器并在命令行下运行netstat-an。观察有多少IP地址正尝试和你的端口建立连接,检查IIS服务器上的服务列表并保持尽量少的服务,明确哪个服务应该存在,哪个服务不应该存在。
(五)管理用户账户。安装IIS后,可能产生了一个TSInternetUser账户。除非真正需要这个账户,否则你应该禁用它。这个用户很容易被渗透,是黑客们的显著目标。为了帮助管理用户账户,确定你的本地安全策略没有问题,IUSR用户的权限也应该尽可能的小。如果你经常察看异常数据库,你能在任何时候找到服务器的脆弱点。
四、结论
本文提出了适合于二路胖树的多区域位串编码方法。该方法利于路由信息的计算,并且具有良好的可扩展性,是一种良好的编码方法。
参考文献:
[1]Dhabaleswar K.Panda.“Issues in Designing Efficient and Practical Algorithms for Collective Communication on Wormhole-Routed Systems,”ICPP 1995:8-15.
[2]Rajeev Sivaram,Ram Kesavan,Dhabaleswar K.Panda,Craig B.Stunkel, “Where to Provide Support for Efficient Multicasting in Irregular Networks: Network Interface or Switch?”.ICPP,1998.
[3]X. Lin and L. M. Ni. Deadlock-free Multicast Wormhole Routing in Multicomputer Networks. In Proceedings of the International Symposium on Computer Architecture,1991:116-124
[4]孙圣.“二路胖树对虫孔交换树型组播的支持特性”.第9界计算机工程与工艺年会。
关键词:站点服务器;IIS安全设置;安全策略
中图分类号:TP393 文献标识码:A 文章编号:1674-7712 (2012) 16-0042-02
一、设置安全服务器
(一)系统盘和站点放置盘(包括所以盘符)必须设置为NTFS格式,方便设置权限,系统盘和站点放置盘除administrators和system的用户权限全部去除。
(二)启用windows自带防火墙,暂只保留有用的端口,如:远程(80)、Ftp(21)、远程桌面(3389)等。
(三)安装好SQL后进入目录搜索xplog70然后将找到的三个文件改名或者删除。
(四)更改sa密码为超长密码,在任何情况下都不要用sa这个帐户。
(五)改名系统默认帐户名并新建一个Administrator帐户作为陷阱帐户,设置超长密码,并去掉所有用户组.(就是在用户组那里设置为空即可.让这个帐号不属于任何用户组)同样改名禁用掉Guest用户。
(六)配置帐户锁定策略(在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略,将账户设为“三次登陆无效”,“锁定时间30分钟”,“复位锁定计数设为30分钟”。)
(七)在安全设置里,本地策略-安全选项将“网络访问:可匿名访问的共享”、“网络访问:可匿名访问的命名管道”、“网络访问:可远程访问的注册表路径”、“网络访问:可远程访问的注册表路径和子路径”以上四项清空。
(八)在安全设置里,本地策略-安全选项:用户权利指派通过终端服务拒绝登陆加入ASPNET、Guest、IUSR_*****、IWAM_*****、NETWORKSERVICE、SQLDebugger(****表示机器名,注意不要添加进user组和administrators组,添加进去以后就没有办法远程登陆了。)
(十)更改本地安全策略的审核策略。审核策略更改-成功失败,审核登录事件-成功失败,审核对象访问-失败,审核过程跟踪-无审核,审核目录服务访问-失败,审核特权使用-失败,审核系统事件-成功失败,审核账户登录事件-成功失败,审核账户管理-成功失败。
二、保护IIS的技巧
(一)移除缺省的Web站点。很多攻击者瞄准inetpub这个文件夹,并在里面放置一些偷袭工具,从而造成服务器的瘫痪。防止这种攻击最简单的方法就是在IIS里将缺省的站点禁用。
(二)卸载不需要FTP和SMTP服务。进入计算机的最简单途径就是通过FTP访问。FTP本身就是被设计满足简单读/写访问的,如果你执行身份认证,你会发现你的用户名和密码都是通过明文的形式在网络上传播的。SMTP是另一种允许到文件夹的写权限的服务。通过禁用这两项服务,你能避免更多的黑客攻击。
(三)减少、排除Web服务器上的共享。如果网络管理员是唯一拥有Web服务器写权限的人,就没有理由让任何共享存在。共享是对黑客最大的诱惑。利用命令寻找Everyone/完全控制权限的共享。
(四)检查*.bat和*.exe文件,在这些破坏性的文件中,也许有一些是*.reg文件。如果你右击并选择编辑,可以发现黑客已经制造并能让他们能进入你系统的注册表文件。登陆你的Web服务器并在命令行下运行netstat-an。观察有多少IP地址正尝试和你的端口建立连接,检查IIS服务器上的服务列表并保持尽量少的服务,明确哪个服务应该存在,哪个服务不应该存在。
(五)管理用户账户。安装IIS后,可能产生了一个TSInternetUser账户。除非真正需要这个账户,否则你应该禁用它。这个用户很容易被渗透,是黑客们的显著目标。为了帮助管理用户账户,确定你的本地安全策略没有问题,IUSR用户的权限也应该尽可能的小。如果你经常察看异常数据库,你能在任何时候找到服务器的脆弱点。
四、结论
本文提出了适合于二路胖树的多区域位串编码方法。该方法利于路由信息的计算,并且具有良好的可扩展性,是一种良好的编码方法。
参考文献:
[1]Dhabaleswar K.Panda.“Issues in Designing Efficient and Practical Algorithms for Collective Communication on Wormhole-Routed Systems,”ICPP 1995:8-15.
[2]Rajeev Sivaram,Ram Kesavan,Dhabaleswar K.Panda,Craig B.Stunkel, “Where to Provide Support for Efficient Multicasting in Irregular Networks: Network Interface or Switch?”.ICPP,1998.
[3]X. Lin and L. M. Ni. Deadlock-free Multicast Wormhole Routing in Multicomputer Networks. In Proceedings of the International Symposium on Computer Architecture,1991:116-124
[4]孙圣.“二路胖树对虫孔交换树型组播的支持特性”.第9界计算机工程与工艺年会。