NT/2000服务器终极安全设置与效率优化指南
[[wiki]wiki[/wiki]][/wiki]作者: arlenecc e-mail:arlenecc@netease.com [wiki]版权[/wiki]所有,如需转载请注明出处 现在有很多人都认为[wiki]微软[/wiki]的东西漏洞太多,,微软的[wiki]系统[/wiki][wiki]安全[/wiki]性极差,不过通过我在做各种系统的安全配置的过程中我总结出了一些经验,特拿来与各位[wiki]共享[/wiki],其实各种系统都有很多漏洞,只不过微软的东西用的人最多,普遍又是水平不是很高,不会作各种安全设置,所以才会让人有现在网上的NT/2000服务性安全性都很差的感觉,其实NT/2000的[wiki]服务器[/wiki]如果真的做好了各项安全设置之后,其安全性绝对不会比nix系统差,如果你按照下面我说的做,我可以保证你95%以上的安全性,100%我可不敢保证,当然你必须要及时打上微软的各种大大小小的补丁,呵呵,是谁,谁拿香蕉皮扔我,站出来!!呵呵,废话少说,转入正题。 1.初级篇:NT/2000系统本身的定制安装与相关设置 用NT(2000)建立的WEB站点在所有的[wiki]网站[/wiki]中占了很大一部分比例,主要因为其易用性与易管[wiki]理性[/wiki],使该公司不必再投入大量的金钱在服务器的[wiki]管理[/wiki]上,这一点优于nix系统,不必请很专业的管理员,不必支付一份可以节省的高薪,呵呵,当然nix的管理员也不会失业,因为其开放[wiki]结构[/wiki])错误文本写什么?随便你喜欢,自己看着办。点击确定退出时别忘了让虚拟站点继承你设定礫wiki]氖[/wiki]粜浴0沧靶碌腟ervice Pack后,IIS的应用[wiki]程序[/wiki]映射应重新设置。(说明:安装新的Service Pack后,某些应用程序映射又会出现,导致出现安全漏洞。这是管理员较易忽视的一点。) 为了对付日益增多的cgi漏洞扫描器,还有一个小技巧可以参考,在IIS中将HTTP404 [wiki]object[/wiki] Not Found出错页面通过[wiki]URL[/wiki]重定向到一个定制HTM文件,可以让目前绝大多数CGI漏洞扫描器失灵。其实原因很简单,大多数CGI扫描器在编写时为了方便,都是通过查看返回页面的HTTP代码来判断漏洞是否存在的,例如,著名的IDQ漏洞一般都是通过取1.idq来检验,如果返回HTTP200,就认为是有这个漏洞,反之如果返回HTTP404就认为没有,如果你通过URL将HTTP404出错[wiki]信息[/wiki]重定向到HTTP404.htm文件,那么所有的扫描无论存不存在漏洞都会返回HTTP200,90%的CGI扫描器会认为你什么漏洞都有,结果反而掩盖了你真正的漏洞,让入侵者茫然无处下手,不过从个人角度来说,我还是认为扎扎实实做好安全设置比这样的小技巧重要的多。 最后,为了保险起见,你可以使用IIS的备份功能,将刚刚的设定全部备份下来,这样就可以随时恢复IIS的安全配置。还有,如果你怕IIS负荷过高导致服务器满负荷死机,也可以在性能中打开CPU限制,例如将IIS的最大CPU使用率限制在70%。 3.帐号策略: (1)帐号尽可能少,且尽可能少用来登录; 说明:网站帐号一般只用来做系统维护,多余的帐号一个也不要,因为多一个帐号就会多一份被攻破的危险。 (2)除过Administrator外,有必要再增加一个属于管理员组的帐篬wiki]牛[/wiki]
