一. 系统文件的配置
DOS系统在启动计算机的时候会自动寻找CONFIG.SYS这个文件,如果没有它,电脑就按默认的方式运行,但是默认方式启动将无法使用一些设备,比如扩展内存、光盘驱动器等。下面是CONFIG.SYS常用的配置。
1、FILES=数字?
表示可同时打开的文件数,一般可选择20到50,需要注意的是,如果把FILES的值设得过大会占用过多的基本内存。系统缺省为FILES=8。
2、BUFFERS=数字?
表示设置磁盘缓冲区的数目,通常设置为20-30左右。缺省值一般为15。磁盘缓冲区是一块内存区,用于存储从磁盘读入的数据或存储写到磁盘的数据。
3、DEVICE和DEVICEHIGH
用于加载一些内存驻留程序,用于管理设备。比如内存管理程序和光驱驱动程序等。如:
DEVICE=C:\DOS\HIMEM.SYS
DEVICE=C:\DOS\EMM386.EXE RAM
DEVICEHIGH=C:\CDROM\CDROM.SYS
DEVICEHIGH与DEVICE的不同是前者将程序加载入高端内存。
4、HIMEM.SYS和EMM386 .EXE
DOS只能直接使用640KB的内存,即基本内存,必须依靠其他内存管理程序来使用更多的内存,这两条命令就是最常用的内存管理程序。
其中640KB到1MB之间的内存被称为高端内存,是系统保留使用的。1MB以上的内存成为扩展内存,HIMEM.SYS就是负责管理扩展内存的。
EMM386.EXE负责管理高端内存并在扩展内存中模拟扩充内存供某些软件使用。 因此为了使用更多的内存,配置文件中应有以下指令。
DEVICE=C:\DOS\HIMEM.SYS
DEVICE=C:\DOS\EMM386.EXE RAM
需要注意的是:EMM386.EXE必须要求先安装HIMEM.SYS,因而必须确保安装HIMEM.SYS的配置命令在EMM386.EXE之前。
5、DOS=HIGH?UMB
一般情况下,需要CONFIG.SYS文件加入这条命令,这样会将DOS的系统文件移入高端内存,空出更多的基本内存给其他软件使用。需要注意的是,如果没有安装EMM386.EXE,UMB,那么这条指令将是无效的。
下面给出一个典型的CONFIG.SYS文件内容:
DEVICE=C:\DOS\HIMEM.SYS
DEVICE=C:\DOS\EMM386.EXE NOEMS
BUFFERS=15,0 FILES=50 DOS=UMB LASTDRIVE=Z DOS=HIGH
DEVICEHIGH=C:\DOS\ATAPI_CD.SYS /D:MSCD000 /I:0
STACKS=9,256
此外,在CONFIG中还可以配置菜单式多重任务选择的配置,用于不同任务的选择,比如玩游戏、设置虚拟磁盘等。
6.关于AUTOEXEC.BAT
电脑每次启动时都会自动寻找AUTOEXEC.BAT批处理文件,从而可执行一些每次开机都要执行的命令,比如设置路径PATH、加载鼠标驱动MOUSE、磁盘加速SMARTDRV等。
下面给出一个比较典型的AUTOEXEC.BAT文件:
@ECHO OFF '不显示命令行
'设置提示符前有目录提示
PROMPT P G
PATH C:\DOS;C:\;C:\WINDOWS; C:\TOOLS '设置文件查找路径
LH C:\MOUSE\MOUSE.COM '加载鼠标驱动程序
LH C:\DOS\SMARTDRV.EXE '加载磁盘加速管理
LH C:\DOS\MSCDEX /S /D:MSCD000/M:12 /V '加载CD-ROM驱动 '设置临时目录 SET TEMP=C:\TEMP
二.帐号管理
1.对于winxp系统,我们可以给管理员账号Administrator修改密码.或者将其账号改为其它名字.
⑴要更名默认的管理员账号,只要这样操作即可:单击“开始→运行”,在弹出的运行对话框中输入“gpedit.msc”打开组策略编辑器,依次展开“Windows设置→安全设置→本地策略→安全选项”,并将右边列表框下拉到最底下,双击“重命名系统管理员账户”即可更名了。
⑵我的电脑-右键-管理-本地用户和组-用户,此处也可以修改管理员用户名,但不能重新设置密码。
2. 创建新用户
开始-控制面板-用户帐号,打开用户帐号管理界面。再单击创建一个新帐号
填入用户名
设定用户类型
单击创建用户,用户列表中便出现刚刚创建的用户名
单击新建帐号,进入一下界面
这样就可以给此帐号更改名称,创建密码(修改密码),更改图片,更改帐户类型和删除帐户等操作。
更改名称界面
创建(更改)密码
更改图片界面
更改帐户类型界面
删除帐户界面
3.如果忘记了windows用户帐号了如何进入
开机时按住f8进入安全模式。
⑴如果还记得管理员用户密码,则用Administrator试登录。登录后修改遗忘的用户的密码即可。
⑵如果没有任何管理员用户可使用了,那么只有与有刻录机的同事或朋友商量,下载ERD Commander 2005,并用光盘启动或映像的方式恢复刻录至光盘上,然后用这张光盘启动电脑,更改你的用户密码。
三.服务管理
系统服务是为某个功能工作所要求的操作系统的一部分,它建造于基础操作系统、目前安装的硬件设备和其他系统服务之上,提供网络连接、错误检测、安全性和其他基本操作系统功能。通过系统服务,管理员可以管理本地或远程计算机(甚至包括运行Windows NT4.0
的远程计算机)的服务。
1.Windows 提供的系统服务
在Windows中,系统为用户提供了许多服务和功能。用户使用这些系统服务与系统功能可以完成所需要的各种操作。例如,用户可以使用系统服务进行网络连接、系统错误检测、保证系统安全等操作。其中Windows 2000中的默认的服务及其功能主要包括以下几项:
? Alerter:发生服务失败这样的管理警报时,为选定的用户或计算机提供通知。Alerter服务由Server服务使用,且要求Messenger服务在运行。
? ClipBook Server:允许其他计算机上的过程剪贴簿看到在本地剪贴簿中存放的页。
? Computer Browser:跟踪网络上的其他计算机,并在需要时为应用程序提供信息。资源管理器和网上邻居使用Computer Browser服务。
? Directory Replicator:在网络上的计算机之间复制目录和目录中的文件。当管理员设置地容错环境或在远程服务器的本地副本会增加访问文件的性能时,通常使用这个服务。
? Event Log:在事件日志中存放应用程序、安全性和系统事件。事件日志查看器允许用户看到由Event Log服务存放的事件。
? Messenger:发送和接收由系统管理员或Alerter服务发送的信息。
? Net Logon:保持安全性特性,如用户登录和域安全性。Net Logon服务还提供安全性文件在域内服务器之间同步的机制。
? Network DDE:为DDE(动态数据交换)会话提供网络传输和安全性。Word和Excel这样的应用程序在网络上通过DDE共享信息时,利用Network DDE服务。
? Network DDE DSDM:DDE共享数据库管理器(DSDM)处理多个DDE会话的管理,由Network DDE服务使用。
? NTLM Security Support Provider Plug and Play Locator:为使用LAN Manager命名管道之外的RPC应用程序提供Windows NT安全性。这个服务主要由老的数据库服务器应用程序使用。
这个服务管理Windows NT和在系统中安装的任何即插即用的BIOS支持。
? Remote Procedure Call(RPC):这个服务处理数据库服务器这样的分布式应用程序的目录。RPC应用程序使用RPC Locator服务登记它的可用性。这个服务还由客户端用于查找兼容的分布式RPC服务器应用程序。
? Remote Procedure Call(RPC) Service:RPC Service为RPC Locator和其他RPC服务提供通信功能。
? Schedule:At命令使用Schedule服务在指定的时间和日期运行应用程序。
? Server:Server服务为连接到本地计算机的用户管理文件和打印服务,它还管理命名管道和RPC支持功能。当Server服务失败时,该计算机不能从网络上进行用户访问。
? Spooler:提供打印作业假脱机服务。当一个打印作业发送到打印机时,Spooler服务把它排在前面的打印作业的后面,等待发送到打印机。当打印作业准备好打印时,Spooler服务管理从打印队列到打印机制数据流。
? UPS:管理连接到计算机的不间断电源的功能。UPS服务处理UPS硬件和计算机上UPS控制器服务之间的通信。当电源掉电时,UPS服务给管理电源定时的UPS控制器服务发送一个信息,并处理任何系统关闭功能。
? Workstation:Workstation服务管理网络连接、驱动器号映射、打印机连接和本地其他应用程序与网络的交互。Internet浏览器使用Workstation服务。
2.启动和停止系统服务
在Windows 启动之后,系统将自动启动必需的服务。打开“开始”菜单,选择“管理工具”|“计算机管理”命令,屏幕上显示“计算机管理”控制台窗口。在左侧的目录树中双击“服务和应用程序”节点,在展开的项目中单击“服务”节点,则控制台右侧的窗口中将会列出系统中已有的服务选项,并给出了它们的名称、描述等属性和目前的状态等,如图
如果在系统运行过程中,我们需要启动某个服务,可在上述窗口中按照以下步骤来进行:
⑴用鼠标右键单击想要启动的系统服务名称,这里我们启动的是ASP.NET State Service服务。
⑵在弹出式菜单中选择“属性”命令,打开如图所示的“ASP.NET State Service的属性”对话框。
⑶在“启动参数”文本框中输入启动服务时所需的参数,单击“启动”按钮,打开“服务控制”对话框,其中显示了服务启动的进度。
在某项服务已被启动之后,如果想要快速的重新启动,可用鼠标右键单击服务名称,然后在弹出式菜单中选择“重新启动”命令即可。
如果由于硬件故障或其他的一些原因,要停止一个系统服务,也可按照上述步骤来进行。在选定已经启动的的服务时,“常规”选项卡的“当前状态”组合框中“停止”按钮将变为可用,单击此按钮即可停止当前选定的服务。
如果停止服务较为突然,例如,在计算机处于网络连接状态中,有其他用户正在使用某项服务,此时可以暂停服务,即允许当前用户完成正在做的工作,而且能够防止新用户开始使用此项服务。
3.设置系统服务
Windows中对服务提供了三种启动时的选项,允许用户灵活地选择系统中服务的初始启动方式。例如,对于必要的和常用的服务,用户就可以设置为“自动”,将在Windows启动时自动装入;对于不是很常用的服务,可以设置为“手动”,在系统启动后需要时手动启动服务;对于一些暂时用不上的服务,可以设置为“已禁用”。如要设置或更改服务的启动方式,可按以下步骤执行:
⑴在控制台的服务列表中用鼠标右键单击想要更改的系统服务名称,选择弹出式菜单中的“属性”命令,打开属性对话框。
⑵根据需要在“类型”下拉式列表框中选择“自动”、“手动”和“已禁用”三种方式中的一种。
3. 单击“确定”按钮,保存设置。
在Windows 2000中,许多服务通常使用“系统帐号”登录到系统,尽管如此,一些服务还是能够被设定为使用特定的用户帐户登录,以便用户具有访问被Windows 保护的资源的权限。设置服务登录方式可按以下步骤来执行:
选择“登录”选项卡后, 在“登录身份”组合框中,选择服务采取的登录身份(通常情况下服务采用的是默认的“系统帐户”,如果选择了“此帐户”选项,系统将会使用指定的帐户登录)。如果要指定帐户,可单击“选择用户”按钮,在如图所示的“选择用户”对话框中选择一个登录帐户,单击“确定”按钮即可。
注释在“登录”选项卡的下部的硬件配置文件列表框中,如果对应的硬件配置文件状态栏中标明了“已启用”,则说明在使用此硬件配置文件启动系统时,服务是可被启用的。
在服务属性对话框的“故障恢复”选项卡中用户还可以设置在服务失败时所采取的措施,分别是:“不操作”、“重新启动服务”、“运行文件”和“重新启动计算机”,其中每种措施还有相应的补充选项,用户可根据需要来自行设置。
系统中的服务可能依赖于其他服务的正常运行,如果某个服务不能正常运行,可能是因为所依赖的其他服务没有正常运行。在如图
对话框中的“依存关系”选项卡可以使用户清楚地看出各服务之间相互依存的关系。单击“依存关系”选项卡.
在选项卡上部的列表框中列出了选定的服务所依存的服务项目列表,下部则列出了需要当前选定服务的服务项目列表。
四. 配置安全策略
1. 物理安全
服务器应当放置在安装了监视器的隔离房间内,并且监视器应当保留15天以内的录像记录。另外,机箱、键盘、抽屉等要上锁,以保证旁人即使在无人值守时也无法使用此计算机,钥匙要放在安全的地方。
2. 停止Guest帐号
在[计算机管理]中将Guest帐号停止掉,任何时候不允许Guest帐号登录系统。为了保险起见,最好给Guest帐号加上一个复杂的密码,并且修改Guest帐号属性,设置拒绝远程访问。
3. 限制用户数量
去掉所有的测试帐户、共享帐号和普通部门帐号,等等。用户组策略设置相应权限、并且经常检查系统的帐号,删除已经不适用的帐号。
很多帐号不利于管理员管理,而黑客在帐号多的系统中可利用的帐号也就更多,所以合理规划系统中的帐号分配。
4. 多个管理员帐号
管理员不应该经常使用管理者帐号登录系统,这样有可能被一些能够察看Winlogon进程中密码的软件所窥探到,应该为自己建立普通帐号来进行日常工作。
同时,为了防止管理员帐号一旦被入侵者得到,管理员拥有备份的管理员帐号还可以有机会得到系统管理员权限,不过因此也带来了多个帐号的潜在安全问题。
5. 管理员帐号改名
在Windows 2000系统中管理员Administrator帐号是不能被停用的,这意味着攻击者可以一再尝试猜测此帐户的密码。把管理员帐户改名可以有效防止这一点。
不要将名称改为类似Admin之类,而是尽量将其伪装为普通用户。
6. 陷阱帐号
和第五点类似、在更改了管理员的名称后,可以建立一个Administrator的普通用户,将其权限设置为最低,并且加上一个10位以上的复杂密码,借此花费入侵者的大量时间,并且发现其入侵企图。
7. 更改文件共享的默认权限
将共享文件的权限从“Everyon"更改为"授权用户”,”Everyone"意味着任何有权进入网络的用户都能够访问这些共享文件。
⑴ 工具-文件夹选项-查看,打开查看菜单,去掉文件夹简单共享选项,这样再打开共享和安全菜单就有一些选项了。
在所要修改的文件夹:右键-共享和安全,并设置相关的参数
单击 权限,进入菜单
此时便可以修改此组的权限。选中,单击删除可完成删除此组的功能。
单击添加
选择高级-立即查找,找到适合的用户名
找到后,选中并单击确定
再次单击确定,便实现了添加操作
再单击应用即可。
2. 命令行格式修改共享属性
语法
cacls FileName [/t] [/e] [/c] [/g User:permission] [/r User [...]] [/p User:permission [...]] [/d User [...]]
参数
FileName
必需。显示指定文件的 DACL。
/t
更改当前目录和所有子目录中指定文件的 DACL。
/e
编辑 DACL,而不是替换它。
/c
忽略错误,继续修改 DACL。
/g User:permission
将访问权限授予指定用户。下表列出了 permission 的有效值。
n 无
r 阅读顺序
w 写入
c 更改(写入)
F 完全控制
/r user
取消指定用户的访问权限。
/p User:permission
替代指定用户的访问权限。下表列出了 permission 的有效值。
n 无
r 阅读顺序
w 写入
c 更改(写入)
F 完全控制
/d user
拒绝指定用户的访问。
8. 安全密码
安全密码的定义是:安全期内无法破解出来的密码就是安全密码,也就是说,就算获取到了密码文档,必须花费42天或者更长的时间才能破解出来(Windows安全策略默认42天更改一次密码,如果设置了的话)。
9. 屏幕保护/屏幕锁定密码
防止内部人员破坏服务器的一道屏障。在管理员离开时,自动加载。
1. 手工操作
修改步骤:桌面-右键-属性-屏幕保护程序,选择合适的等待时间并选择是否在恢复时返回到欢迎屏幕。
2. 修改注册表
修改注册表可以帮你锁定桌面,这里“锁定”的含义是对他人的修改不做储存,不管别人怎么改,只要重新启动计算机,你的设置就会原封不动地出现在你面前。
⑴.运行regedit进入注册表编辑器,找到如下分支:Hkey-Users/ Software/Microsoft/Windows/CurentV ersion/Polioies/Explores;
⑵.双击“No Save Setting”,并将其键值从0改为1;
⑶.确认后退出注册表编辑器,重新启动即可。
上面的修改是把计算机上所有用户的桌面设置全部锁定了,如果你只想锁定你自己的桌面,而不理会别人的设置是否被修改,可以在下面的路径中执行相同的操作:Hkey-Current-User/Software/Microsoft/Windows/Current Version/Policies/Explores。
10. 使用NTFS分区
比起FAT文件系统,NTFS文件系统可以提供权限设置、加密等更多的安全功能。
11. 防病毒软件
Windows操作系统没有附带杀毒软件,一个好的杀毒软件不仅能够杀除一些病毒程序,还可以查杀大量的木马和黑客工具。设置了杀毒软件,黑客使用那些著名的木马程序就毫无用武之地了。同时一定要注意经常升级病毒库 !
12. 备份盘的安全
一旦系统资料被黑客破坏,备份盘将是恢复资料的唯一途径。备份完资料后,把备份盘放在安全的地方。不能把备份放置在当前服务器上,那样的话还不如不做备份。
五.安全审核
㈠. 新建 MMC 控制台和添加“组策略”管理单元操作步骤:
- 单击开始,然后单击运行。在运行对话框中,键入 mmc 以启动一个新的 MMC 控制台。
- 在控制台菜单上,单击文件-添加/删除管理单元。
- 在添加/删除管理单元对话框中,单击添加。
- 在添加独立管理单元对话框中,在提供的管理单元列表中单击组策略。单击添加。
- 在选择组策略对象对话框中,单击完成以审核本地计算机,或者单击浏览以查找要审核的计算机。
- 如果单击了浏览,则继续执行步骤 7;如果单击了完成,则转到步骤 9。
- 在“浏览组策略对象”对话框中,单击计算机选项卡,单击其他计算机,通过浏览找到要审核的计算机,然后单击确定。
- 在选择组策略对象对话框中,单击完成。
- 关闭添加独立管理单元对话框。
- 单击确定。
- 在控制台菜单中,选择保存以便将新的控制台保存到硬盘上。这是您将用来配置审核功能的控制台。
㈡. 启用本地 Windows 安全审核操作步骤:
- 以具有管理员权限的帐户登录到 Windows。
- 确保已经安装“组策略”管理单元,如果未安装,请按照上面的说明进行安装。
- 单击开始,然后单击控制面板-性能和维护。
- 双击管理工具。
- 双击本地安全策略,启动“本地安全设置”MMC 管理单元。
- 双击本地策略将其展开,然后双击审核策略。
- 在右窗格中,双击要启用或禁用的策略。
- 对于登录和注销单击“成功(成功的已审核安全访问尝试)”或“失败(失败的已审核安全访问尝试)”复选框。例如,通过此设置,用户成功登录系统将记录为“成功”审核事件。如果用户尝试访问网络驱动器失败,则这次尝试将记录为“失败”审核事件。
㈢. 要设置审核,请按照下列步骤操作:
- 启动 Windows 资源管理器(单击开始,依次指向程序、附件,然后单击 Windows 资源管理器),然后找到要审核的文件或文件夹。
- 右键单击该文件或文件夹,单击属性,然后单击安全选项卡。
- 单击高级,然后单击审核选项卡。
- 执行以下某个适用的操作:
A. 要为新组或用户设置审核,请按照下列步骤操作:
-
-
- 单击添加。在名称框中,键入要审核的用户的名称。
-
-
-
- 单击确定以自动打开审核项对话框。
-
B. 要查看或更改对现有组或用户的审核,请单击该名称,然后单击查看/编辑。
C. 要删除对现有组或用户的审核,请单击该名称,然后单击删除。
- 根据要审核的访问类型,在访问下,单击成功、失败或成功 和失败。
- 如果要防止树中的文件和子文件夹继承这些审核项,请单击以选中“应用这些审核项”复选框。
㈣. 查看“Windows 安全日志”检测有可能发生的安全问题,操作步骤:
- 单击开始,指向设置,然后单击控制面板。
- 双击管理工具,然后双击计算机管理。
- 展开系统工具,然后展开事件查看器。
- 单击安全日志。
- 检查日志以发现可疑的安全事件,其中包括以下事件:
- 无效登录尝试。
- 特权的不成功使用。
- 访问和修改 .bat 或 .cmd 文件的不成功尝试。
- 修改安全权限或审核日志的尝试。
- 关闭服务器的尝试。
六. IIS安全
1. 因为IIS的用户同时也是Windows 2000的用户,并且IIS目录的权限依赖Windows的NTFS文件系统的权限控制,所以保护IIS安全的第一步就是确保Windows 2000操作系统的安全:
⑴. 使用NTFS文件系统,以便对文件和目录进行管理
⑵. 关闭默认共享
网上邻居属性--本地连接属性--Microsoft 网络的文件和打印机共享 卸载 可以完全关闭共享
打开注册表编辑器,展开“HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/ LanmanServer/Parameters”项,添加键值AutoShareServer,类型为REG_DWORD,值为0。这样就可以彻底关闭 “默认共享”。
⑶. 修改共享权限
建立新的共享后立即修改Everyone的缺省权限,不让Web服务器访问者得到不必要的权限。
⑷. 为系统管理员账号更名,避免非法用户攻击。
鼠标右击[我的电脑]→[管理]→启动“计算机管理”程序,在“本地用户和组”中,鼠标右击“管理员账号(Administrator)”→选择“重命名”,将管理员账号修改为一个很普通的用户名。
⑸. 禁用TCP/IP 上的NetBIOS
鼠标右击桌面上[网络邻居] →[属性] →[本地连接] →[属性],打开“本地连接属性”对话框。选择[Internet协议(TCP/IP)]→[属性]→[高级]→[WINS],选中下侧的“禁用 TCP/IP上的NetBIOS”一项即可解除TCP/IP上的NetBIOS。
⑹. TCP/IP上对进站连接进行控制
鼠标右击桌面上[网络邻居] →[属性] →[本地连接] →[属性],打开“本地连接属性”对话框。选择[Internet协议(TCP/IP)]→[属性]→[高级]→[选项],在列表中单击选中“TCP /IP筛选”选项。单击[属性]按钮,选择“只允许”,再单击[添加]按钮,只填入80端口。
⑺. 修改注册表,减小拒绝服务攻击的风险。
打开注册表:将HKLM/System/
CurrentControlSet/Services/Tcpip/Parameters下的SynAttackProtect的值修改为2,使连接对超时的响应更快。
2. 保证IIS自身的安全性
要构建一个安全的IIS服务器,必须从安装时就充分考虑安全问题。
⑴. 不要将IIS安装在系统分区上。
⑵. 修改IIS的安装默认路径。
⑶. 打上Windows和IIS的最新补丁。
IIS的安全配置
⑴. 删除不必要的虚拟目录
IIS安装完成后在wwwroot下默认生成了一些目录,包括IISHelp、IISAdmin、IISSamples、MSADC等,这些目录都没有什么实际的作用,可直接删除。
⑵. 删除危险的IIS组件
默认安装后的有些IIS组件可能会造成安全威胁,例如 Internet服务管理器(HTML)、SMTP Service和NNTP Service、样本页面和脚本,大家可以根据自己的需要决定是否删除。
⑶. 为IIS中的文件分类设置权限
除了在操作系统里为IIS的文件设置必要的权限外,还要在IIS管理器中为它们设置权限。一个好的设置策略是:为Web 站点上不同类型的文件都建立目录,然后给它们分配适当权限。例如:静态文件文件夹允许读、拒绝写,ASP脚本文件夹允许执行、拒绝写和读取,EXE等可执行程序允许执行、拒绝读写。
⑷. 删除不必要的应用程序映射
ISS中默认存在很多种应用程序映射,除了ASP的这个程序映射,其他的文件在网站上都很少用到。
在“Internet服务管理器”中,右击网站目录,选择“属性”,在网站目录属性对话框的“主目录”页面中,点击[配置]按钮,弹出“应用程序配置”对话框,在“应用程序映射”页面,删除无用的程序映射。如果需要这一类文件时,必须安装最新的系统修补补丁,并且选中相应的程序映射,再点击[编辑]按钮,在“添加/编辑应用程序扩展名映射”对话框中勾选“检查文件是否存在”选项。这样当客户请求这类文件时,IIS会先检查文件是否存在,文件存在后才会去调用程序映射中定义的动态链接库来解析。
⑸. 保护日志安全
日志是系统安全策略的一个重要环节,确保日志的安全能有效提高系统整体安全性。
● 修改IIS日志的存放路径
默认情况下,IIS的日志存放在%WinDir%/System32/LogFiles,黑客当然非常清楚,所以最好修改一下其存放路径。在 “Internet服务管理器”中,右击网站目录,选择“属性”,在网站目录属性对话框的“Web站点”页面中,在选中“启用日志记录”的情况下,点击旁边的[属性]按钮,在“常规属性”页面,点击[浏览]按钮或者直接在输入框中输入日志存放路径即可。
● 修改日志访问权限,设置只有管理员才能访问。
通过以上的一些安全设置,相信你的Web服务器会安全许多。
杀毒软件和防火墙的安装
避免机器受到蠕虫木马类的工具防火墙和杀毒软件是不可缺少的 这样就可以避免%98以上的蠕虫和变种病毒的入侵了 但是防范恶意的脚本攻击还是不起作用的。
DOS入侵
DOS是Hacker最经典和最常用的一中攻击手段
我们可以进入
windows2003/xp X:/windows/sysset32/cmd.exe (X系统盘符)
windows2000 X:/winNT/sysset32/cmd.exe (X系统盘符)
重命名或者删除CMDshell 最简单和最有效果的方法是重命名和修改cmdshell的使用权限
七. Apache安全
1. 确保你安装的是最新的补丁
2. 隐藏Apache的版本号及其它敏感信息
默认情况下,很多Apache安装时会显示版本号及操作系统版本,甚至会显示服务器上安装的是什么样的Apache模块。这些信息可以为黑客所用,并且黑客还可以从中得知你所配置的服务器上的很多设置都是默认状态。
这里有两条语句,你需要添加到你的httpd.conf文件中:
ServerSignature Off
ServerTokens Prod
ServerSignature出现在Apache所产生的像404页面、目录列表等页面的底部。ServerTokens目录被用来判断Apache 会在Server HTTP响应包的头部填充什么信息。如果把ServerTokens设为Prod,那么HTTP响应包头就会被设置成:
Server:Apache
3. 确保Apache以其自身的用户账号和组运行
有的Apache安装过程使得服务器以nobody的用户运行,所以,假定Apache和你的邮件服务器都是以nobody的账号运行的,那么通过Apache发起的攻击就可能同时攻击到邮件服务器,反之亦然。
User apache
Group apache
4. 确保web根目录之外的文件没有提供服务
我们不让Apache访问web根目录之外的任何文件。假设你的所以web站点文件都放在一个目录下(例如/web),你可以如下设置:
Order Deny,Allow
Deny from all
Options None
AllowOverride None
Order Allow,Deny
Allow from all
注意,因为我们设置Opitins None 和AllowOverride None,这将关闭服务器的所有Option和Override。你现在必须明确把每个目录设置成Option或者Override。
5. 关闭目录浏览
你可以在Directory标签内用Option命令来实现这个功能。设置Option为None或者-Indexes。
Options -Indexes
6. 关闭includes
这也可以通过在Directory标签内使用Option命令来实现。设置Option为None或者-Includes。
Options -Includes
7. 关闭CGI执行程序
如果你不用CGI,那么请把它关闭。在目录标签中把选项设置成None或-ExecCGI就可以:
Options -ExecCGI
8. 禁止Apache遵循符号链接
同上,把选项设置成None或-FollowSymLinks:
Options -FollowSymLinks
9. 关闭多重选项
如果想关闭所有选项,很简单:
Options None
如果只想关系一些独立的选项,则通过将Options做如下设置可实现:
Options -ExecCGI -FollowSymLinks -Indexes
10. 关闭对.htaccess文件的支持
在一个目录标签中实现:
AllowOverride None
如果需要重载,则保证这些文件不能够被下载,或者把文件名改成非.htaccess文件。比如,我们可以改成.httpdoverride文件,然后像下面这样阻止所有以.ht打头的文件:
AccessFileName .httpdoverride
Order allow,deny
Deny from all
Satisfy All
11. 运行mod_security
Run mod_security是Ivan Ristic所写的一个非常好用的一个Apache模块。可以用它实现以下功能:
·简单过滤
·基于过滤的常规表达式
·URL编码验证
·Unicode编码验证
·审计
·空字节攻击防止
·上载存储限制
·服务器身份隐藏
·内置的Chroot支持
·更多其它功能
12. 关闭任何不必要的模块
Apache通常会安装几个模块,浏览Apache的module documentation,了解已安装的各个模块是做什么用的。很多情况下,你会发现并不需要激活那些模块。
找到httpd.conf中包含LoadModule的代码。要关闭这些模块,只需要在代码行前添加一个#号。要找到正在运行的模块,可以用以下语句:
grep LoadModule httpd.conf
以下模块通常被激活而并无大用:mod_imap, mod_include, mod_info, mod_userdir, mod_status, mod_cgi, mod_autoindex。
八.安装Web服务
安装Web服务即安装Internet信息服务(IIS)。其安装步骤如下:
控制面板--添加/删除程序--添加/删除windows组件-- Internet信息服务(IIS)
详细信息
“万维网服务”可选组件包括重要的子组件,例如:“Active Server Pages”和“远程管理(HTML)”。要添加或删除这些子组件,单击“万维网服务”,然后单击“详细信息”,可以根据需要勾选安装。
在Internet信息服务(IIS)组件窗里有一项为FrontPage 2002 Server Extentions,如果您建立的WEB服务器需要使用微软的FrontPage软件开发站点,那么此项需要选中,也就是此项需要安装。通常FrontPage 2002 Server Extentions允许对FrontPage站点的远程授权和管理。其他的可以根据需要勾选安装。
完成以上步骤就已经安装好了Windows 网络服务器的Web服务。对外提供服务的内容具体的网站进行组织,Web服务安装好,自动建立默认的网站。
9. 配置访问控制
配置ACL
首先在全局配置模式下定义访问列表,然后将其应用到接口中,使通过该接口的数据包与我们以定义的访问规则进行相应的匹配,然后决定是否允许通过。这种匹配过程是自上而下进行的,在执行到访问列表的尾部,如果还没有与其相匹配的语句,数据包将被拒绝通过。在实现过程中应给每一条访问控制列表加上相应的标准IP访问控制列表编号,其作用主要是阻止/允许某一网络的所有通信流量。
access-list access-list-number(1~99)
{deny|permit} source [source-wildcard]
10. 使用文件完整性检查
文件完整性检查(File integrity checker)是一个软件程序,其保护系统免受文件修改或被替代。
Sfc.exe –windows 自带的文件完整性检查工具语法:
/scannow 命令扫描所有受保护的系统文件,并用正确的 Microsoft 版本替换错误的版本。此命令还使用最新版本的受保护文件重新填充 DLLCache 文件夹。为此,需要访问 Windows 安装源文件以及安装的 Service Pack 文件。在扫描操作过程中通常会提示您指定这些文件的位置。
/scanonce 命令扫描一次所有受保护的系统文件。此命令需要访问 Windows 安装源文件。
/scanboot 命令在每次启动计算机时扫描所有受保护的系统文件。此命令需要访问 Windows 安装源文件。
/cancel 命令取消所有暂停的对受保护系统文件的扫描。
/enable 命令为普通操作启用 WFP。
/purgecache 命令清除文件缓存并立即扫描所有受保护的系统文件。此命令需要访问 Windows 安装源文件。在运行/cachesize=x 命令之后,需要此命令。
/cachesize=x 命令设置文件缓存大小(以兆字节 (MB) 为单位)。此命令需要在使用用于调整磁盘上缓存大小的/purgecache 命令之后重新启动。
/quiet 命令替换所有错误的文件版本,而不提示用户。
/SCANNOW 扫描所有受保护的系统文件的完整性,并修复出问题的文件(如果出现问题)。
/VERIFYONLY 扫描所有受保护的系统文件的完整性。不执行修复操作。
/SCANFILE 扫描参考文件的完整性,如果找到问题,则修复文件。
指定完整路径 <文件>
/VERIFYFILE 验证带有完整路径 <文件> 的文件的完整性。不执行修复。
/OFFBOOTDIR 用于脱机修复指定脱机启动目录的位置
/OFFWINDIR 用于脱机修复指定脱机 Windows 目录的位置
例如
在运行框内输入:
sfc.exe /scanfile=E:/学习/zhuanye/网络安全课程设计/网络安全课程设计
即可完成指定文件的完整性检查。
十一. MICROSOFT EXCHANGE的管理与配置
1. 简介
Exchange Server 是个消息与协作系统。
⑴. 简单而言,Exchange server可以被用来构架应用于企业、学校的邮件系统甚至于象sohu或sina那样的免费邮件系统。
⑵. Exchange server还是一个协作平台。你可以在此基础上开发工作流,知识管理系统,Web系统或者是其他消息系统。
常见的任务包括:备份与还原;建立新邮箱;恢复;移动;安装新的硬件、存储区、软件和工具;以及应用更新和修补程序等。
2.安装
在Florence上放入Exchange2003的光盘,在安装向导中选择“仅安装Exchange系统管理工具”
同意了许可协议后,进行组件选择。我们需要选择“自定义”操作,然后仅仅在“Microsoft Exchange系统管理工具”组件上选择安装即可。
创建用户邮箱
在Active Directory用户和计算机中右键单击用户,选择“Exchange任务”
在Exchange任务中选择创建邮箱,任务成功完成后,我们就创建出了一个邮箱。
为多个用户创建邮箱,如下图所示,选中多个用户,选择“Exchange任务”,在任务中选择“创建邮箱”即可。
3.配置与管理
⑴管理协议
在 Exchange 邮件传递部署配置中,应使用 Exchange 系统管理器来管理您决定支持的协议。使用 Exchange 系统管理器管理协议时,应在各个虚拟服务器上为要配置的协议处理设置。与各种协议关联的虚拟服务器(如 Exchange 虚拟服务器和 IMAP4 虚拟服务器)所包含的设置,取决于特定协议的功能和使用。例如,Exchange 虚拟服务器(管理对 Exchange 的 HTTP 访问)提供可用于 Outlook Web Access 的设置(如 gzip 压缩支持)。
通常,管理针对某个协议的虚拟服务器的过程与管理针对其他协议的虚拟服务器的过程相同。常见的管理任务包括启用虚拟服务器、分配端口、设置连接限制、启动或停止虚拟服务器以及终止连接的用户。但是,存在一些服务器特定的管理任务。以下各节描述了与协议关联的所有虚拟服务器的常见任务,以及 Exchange 虚拟服务器、IMAP4 虚拟服务器和 NNTP 虚拟服务器的服务器特定任务。
要管理各个 Exchange 客户端访问设置,应使用 Active Directory 用户和计算机。
⑵全局配置
该配置确定 Exchange 2000 组织中邮件的最大大小;邮件包括传入的邮件、传出的邮件和内部邮件。
全局配置操作步骤:
①启动 Exchange 系统管理器。开始-Microsoft Exchange-System Manager。
②展开 Global Settings。
③用鼠标右键单击 Message Delivery,然后单击 Properties。
④单击 Default 选项卡以配置全局配置。
⑶连接器配置
每个连接器的配置用于控制用户能够通过相应连接器发送的传出邮件的最大大小。
连接器配置操作步骤:
①单击开始-Microsoft Exchange-System Manager。
②展开 Administrative Groups,然后展开Administrative Group Name,其中 Administrative Group Name 是管理组的名称。
③展开 Routing Groups,然后展开Routing Group Name,其中 Routing Group Name 是路由组的名称。
④展开 Connectors,用鼠标右键单击要配置的连接器,然后单击属性。
⑤在 Content Restrictions 选项卡中的“Allowed sizes”下,单击以选中“Only messages less than (KB)”复选框,然后键入您希望允许的大小(以 KB 为单位)。
⑷SMTP 虚拟服务器配置
该配置确定允许通过虚拟服务器传送的邮件的最大大小。虚拟服务器通过“扩展简单邮件传输协议 (ESMTP) 大小”命令谓词 (RFC 1870) 公开此限制。
简单邮件传输协议 (SMTP) 虚拟服务器配置操作步骤:
①单击开始-Microsoft Exchange-System Manager。
②展开 Administrative Groups,然后展开Your Administrative Group Name,其中 Your Administrative Group Name 是管理组的名称。
③展开 Servers,然后展开Your Server Name,其中 Your Server Name 是服务器的名称。
④展开 Protocol,然后展开SMTP 节点。
⑤用鼠标右键单击SMTP Virtual Server Name,其中 SMTP Virtual Server Name 是 SMTP 虚拟服务器的名称,然后单击属性。
⑥单击 Messages 选项卡以配置您希望允许的最大大小。
⑸用户邮箱配置
该配置确定用户能够通过邮箱发送或接收的邮件的最大大小。
单个用户的邮箱配置操作步骤:
①启动 Active Directory 用户和电脑管理单元,然后找到要配置的用户帐户。
②用鼠标右键单击该用户帐户,然后单击属性。
③单击Exchange 常规选项卡,然后单击传递限制以配置您希望允许的最大大小。
十二. SENDMAIL的管理与配置
1. 安装
sendmail有三个软件包需要安装(RedHat 9.0)
sendmail-8.12.8-4
sendmail-cf-8.12.8-4
sendmail-doc-8.12.8-4(说明文件,可以不安装)
使用命令
#rpm -qa | grep sendmail 查看安装了那些sendmail软件包
如果没有安装则要到安装光盘或者从网上下载
/etc/mail sendmail主目录
安装完成后使用命令启动sendmail服务.
#service sendmail start 启动sendmail服务
#/etc/init.d/sendmail start 同样可以启动服务
#service sendmail restart 重启服务
#netstat -an 查看端口状态,如果服务正常启动则会监听25号端口.
也可以使用telnet命令尝试登陆本地的25端口查看服务运行情况.
#telnet 127.0.0.1 25 使用telnet登陆本机25端口
Escape character is '^]'.
220 linux9.0 ESMTP Sendmail 8.12.8/8.12.8; Tue, 10 Oct 2006 15:33:22 +0800 返回服务器系统和时间等信息
ehlo hello 与服务器打招呼,返回以下服务器信息,说明服务启动正常.
250-linux9.0 Hello localhost.localdomain [127.0.0.1], pleased to meet you
250-ENHANCEDSTATUSCODES
250-PIPELINING
250-8BITMIME
250-SIZE
250-DSN
250-ETRN
250-DELIVERBY
250 HELP
使用命令quit退出
2. 本地邮件
默认情况下安装好sendmail并启动后就可以实现本地用户的邮件收发.
首先建立一个帐户
#useradd test 创建test用户并修改密码,然后登陆test用户,使用test用户发送邮件
#mail 查看有无新邮件
#mail root 向root用户发送一封新邮件
subject:hello 邮件主题为hello
hello root 输入邮件内容,输入完成后Ctrl+d结束输入
Cc: 抄送,可以是自己,也可以省略.
邮件发送完成,用root用户登陆系统,然后用mail命令查看新邮件
#mail 输入mail命令提示以下信息
Mail version 8.1 6/6/93. Type ? for help.
"/var/spool/mail/root": 1 message 1 new
>N 1 root@ linux9.0 Tue Oct 10 16:00 16/536 "hello"
输入编号1可以查看信件的内容,如果有多封邮件邮件编号以此类推.
后面是 发件人,邮件接收时间,邮件大小,邮件主题 等内容.
其中/var/spool/mail/root是root用户的邮箱目录,用户查看过的信件会保存在用户主目录下的mbox文件中
输入q退出.
可以把一个文档中的内容当作一封邮件发送出去
#mail -s 'hello' root < test.txt
如果需要查看已经阅读过的邮件可以用命令:
#mail -f ~/mbox
管理员可以查看其他用户的邮件,使用命令:
#mail -u test
限制邮件空间:
因为电子邮件的暂存空间是位于/var/spool/mail目录下的,所以只需通过磁盘配额设定每一个邮件帐户在此目录下能使用的最大空间即可。
3. 外部邮件
① 首先要确定主机名称正确,如果主机名称不匹配会出现意外错误.
(修改主机名称后需要重新启动计算机或者用hostname命令修改然后重新登陆才能生效)
修改以下四个文件:
/etc/sysconfig/network-scripts/ifcfg-eth0 修改网卡属性(网卡名,IP,子网掩码,IP获得方式,网关等信息)
/etc/sysconfig/network 修改主机名
/etc/resolv.conf DNS指向
/etc/hosts hosts文件(IP和主机名对应关系)
修改完成后重新启动服务
#service network restart
② 安装POP服务包,rethat默认安装了sendmail但是没有安装pop,所以如果要对外提供邮件服务必须要安装pop软件包,否则使用outlook等软件只能发邮件无法收取邮件.
#rpm -qa |grep imap 检查是否安装了pop服务
#rpm ivh imap-2005a-18.i386.rpm 从安装盘安装或者从网上下载RPM包
打开自启动服务管理
#ntsysv
然后选择以下四项
imap
imaps
ipop2
ipop3
重新启动超级守护进程
#service xinetd restart
POP的设置完成
③编辑/etc/mail/sendmail.mc
#vi /etc/mail/sendmail.mc
将下面行前面添加dnl 注释掉
dnl DAEMON_OPTIONS(`Port=smtp,Addr=127.0.0.1, )dnl
8.0以前版本redhat中的sendmail要将cwlocalhost这一行修改为cwtest.com(test.com为主机名)
修改完成后保存退出,然后使用命令编译为sendmail.cf主配置文件
#m4 /etc/mailsenmail.mc > /etc/mail/senmail.cf
重新启动sendmail服务
#service sendmail restart
④设置DNS
首先确定DNS服务器安装完成并且运行正常(具体过程请参看linux下的DNS管理那篇文章)
打开主配置文件,添加正向区域和反向区域(本例为test.com域)
#vi /etc/named.conf
zone "test.com" IN {
type master;
file "test.zone";
};
zone "1.168.192.in-addr.arpa" IN {
type master;
file "192.local";
};
修改区域文件:
#vi /ar/named/test.zone
mail IN MX 10 192.168.1.10
mail IN A 192.168.1.10
pop3 IN CNAME mail.test.com.
smtp IN CNAME mail.test.com.
同样建立反向区域文件.
然后重启动服务
#service named restart
或者重新加载配置文件
#rndc reload
在要收发邮件的计算机上要将DNS指向Linux的DNS.
现在就可以使用OUTLOOK等软件收发邮件了.
打开OUTLOOK
工具->帐户->邮件->添加->邮件(第一次使用时省略)
显示名:test(可自定义)
电子邮件地址:test@test.com
POP3服务器:pop3.test.com
SMTP服务器:smtp.test.com
帐户名:test 密码:test帐户密码
完成后在帐户属性中的服务器选项中"我的服务器需要身份验证"勾选.
OUTLOOK配置完成,可以收发邮件了.