頻道欄目
首頁 > 資訊 > 系統安全 > 正文

構建Windows 2000服務器的安全防護林

04-10-01        來源:[db:作者]  
收藏   我要投稿
作者:張曉明
中小學校的校園網普遍應用Windows 2000作為服務器的操作系統,但有些學校剛開始運行就遭到網絡黑客的攻擊,造成網絡崩潰。那么,安全問題怎么解決?其實不需要任何的軟硬件的介入,僅靠系統本身我們就能構建一個安全防護林。

  設置禁用,構建第一道防線


  在安裝完Windows 2000后,首先要裝上最新的系統補丁。但即使裝上了,在因特網上的任何一臺機器上只要輸入“\\你的IP地址\c”,然后輸入用戶名Guest,密碼空,就能進入你的C盤,你還是完全暴露了。解決的方法是禁用Guest賬號,為Administrator設置一個安全的密碼,將各驅動器的共享設為不共享。同時你還要關閉不需要的服務。你可以在管理工具的服務中將它們設置為禁用,但要提醒的是一定要慎重,有的服務是不能禁用的。一般可以禁用的服務有Telnet、Task Scheduler(允許程序在指定時間運行)、Remote Registry Service(允許遠程注冊表操作)等。這是你構建的服務器的第一道防線。

  設置IIS,構建第二道防線

  作為校園網的服務器,很多學校將該服務器同時作為網站服務器,而IIS的漏洞也是一個棘手的問題。實際上,你可以通過簡單的設置,完全可以將網站的漏洞補上。你可以將IIS默認的服務都停止(FTP服務你是不需要的,要的話筆者推薦用Serv-U;“管理Web站點”和“默認Web站點”都會給你帶來麻煩;SMTP一般也不用),然后再新建一個Web站點。

  設置好常規內容后,在“屬性→主目錄”的配置中對應用程序映射進行設置,刪除不需要的映射(如圖2),這些映射是IIS受到攻擊的直接原因。如果你需要CGI和PHP的話,可參閱一些資料進行設置。

  這樣,配合常規設置,你的IIS就可以安全運行了,你的服務器就有了第二道防線。

  運用掃描程序,堵住安全漏洞

  要做到全面解決安全問題,你需要掃描程序的幫助。筆者推薦使用X-Scan,它可以幫助你檢測服務器的安全問題。

  掃描完成后,你要看一下,是否存在口令漏洞,若有,則馬上要修改口令設置;再看一下是否存在IIS漏洞,若有,請檢查IIS的設置。其他漏洞一般很少存在,我要提醒大家的是注意開放的端口,你可以將掃描到的端口記錄下來,以方便進行下一步設置。

  封鎖端口,全面構建防線

  黑客大多通過端口進行入侵,所以你的服務器只能開放你需要的端口,那么你需要哪些端口呢?以下是常用端口,你可根據需要取舍:

  80為Web網站服務;21為FTP服務;25為E-mail SMTP服務;110為Email POP3服務。

  其他還有SQL Server的端口1433等,你可到網上查找相關資料。那些不用的端口一定要關閉!關閉這些端口,我們可以通過Windows 2000的安全策略進行。

  借助它的安全策略,完全可以阻止入侵者的攻擊。你可以通過“管理工具→本地安全策略”進入,右擊“IP安全策略”,選擇“創建IP安全策略”,點[下一步]。輸入安全策略的名稱,點[下一步],一直到完成,你就創建了一個安全策略:

  接著你要做的是右擊“IP安全策略”,進入管理IP篩選器和篩選器操作,在管理IP篩選器列表中,你可以添加要封鎖的端口,這里以關閉ICMP和139端口為例說明。

  關閉了ICMP,黑客軟件如果沒有強制掃描功能就不能掃描到你的機器,也Ping不到你的機器。關閉ICMP的具體操作如下:點[添加],然后在名稱中輸入“關閉ICMP”,點右邊的[添加],再點[下一步]。在源地址中選“任何IP地址”,點[下一步]。在目標地址中選擇“我的IP地址”,點[下一步]。在協議中選擇“ICMP”,點[下一步]。回到關閉ICMP屬性窗口,即關閉了ICMP。

  下面我們再設置關閉139,同樣在管理IP篩選器列表中點“添加”,名稱設置為“關閉139”,點右邊的“添加”,點[下一步]。在源地址中選擇“任何IP地址”,點[下一步]。在目標地址中選擇“我的IP地址”,點[下一步]。在協議中選擇“TCP”,點[下一步]。在設置IP協議端口中選擇從任意端口到此端口,在此端口中輸入139,點下一步。即完成關閉139端口,其他的端口也同樣設置。

  特別指出的是關閉UDP4000可以禁止校園網中的機器使用QQ。

  然后進入設置管理篩選器操作,點“添加”,點下一步,在名稱中輸入“拒絕”,點下一步。選擇“阻止”,點[下一步]。

  然后關閉該屬性頁,右擊新建的IP安全策略“安全”,打開屬性頁。在規則中選擇“添加”,點[下一步]。選擇“此規則不指定隧道”,點下一步。在選擇網絡類型中選擇“所有網絡連接”,點下一步。在IP篩選器列表中選擇“關閉ICMP”,點[下一步]。在篩選器操作中選擇“拒絕”,點下一步。這樣你就將“關閉ICMP”的篩選器加入到名為“安全”的IP安全策略中。同樣的方法,你可以將“關閉139”等其他篩選器加入進來。

  最后要做的是指派該策略,只有指派后,它才起作用。方法是右擊“安全”,在菜單中選擇“所有任務”,選擇“指派”。IP安全設置到此結束,你可根據自己的情況,設置相應的策略。

  設置完成后,你可再用X-Scan進行檢查,發現問題再補上。

  通過以上的設置,你的Windows 2000服務器可以說是非常安全了。希望你早日筑起服務器的安全防護林。

相關TAG標簽
上一篇:臺積電:絕大多數7nm客戶都會轉向6nm_IT新聞_博客園
下一篇:最后一頁
相關文章
圖文推薦

關于我們 | 聯系我們 | 廣告服務 | 投資合作 | 版權申明 | 在線幫助 | 網站地圖 | 作品發布 | Vip技術培訓 | 舉報中心

版權所有: 紅黑聯盟--致力于做實用的IT技術學習網站

免费的黄色网站