moodle-blog-wiki安装
分析:RSS带来“个性化搜索”
2005/01/03 10:12
一、安装顺序的选择
WIN2K的安装顺序是非常重要的。 安装时候,请务必把把主机从网络环境中断开 。
因为WIN2K在安装时有一个漏洞,就是在输入Administrator的密码后,系统会建立“$ADMIN”的共享,但是并没有用刚输入的密码来保护它,这种情况一直会持续到计算机再次启动。在此期间,任何人都可以通过“$ADMIN”进入系统;同时,只要安装一完成,各种服务就会自动运行,而这时的服务器还到处是漏洞,非常容易从外部侵入。因此,在完全安装并配置好WIN2K Server之前,一定不要把主机接入网络。
administrator密码请务必记住以下原则:
1 长度至少为8位
2 必须是字母数字和其他符号的组合 如thisismyroom#502, 12xiaoxue!@等
3 如果有可能,建议每两个月修改一次本机密码
如果本机还安装了SQL SERVER2000,那么SQL SERVER2000的密码同样符合上述原则。
二、组件的定制
资料来源:http://www.sz-rainbow.com/help_center/maintain/index.htm(“数字化教学平台”系统维护区)
WIN2K在默认情况下会安装一些常用的组件,但是正是这个默认安装是非常危险的,根据安全原则“最少的服务+最小的权限=最大的安全”,只安装确实需要的服务即可。除非您非常了解下列这些服务的内容,并且必须得安装,否则请务必卸载:
1. Internet 信息服务(IIS)中:
FrontPage 2000扩展
Internet 管理服务器(HTML)
NNTP服务器
SMTP服务器
文件传输协议服务器(FTP)
2. Windows Media 服务(如果本服务器不用于作为流媒体服务器,请务必卸载此服务)
3. 管理和监视工具
4. 脚本调试器
5. 其他网络文件和打印服务
6. 群集服务(如果是advance server并且不需要群集服务,请关闭此服务)
7. 索引服务(如果本服务器不作为文件服务器,请关闭此服务)
8. 网络服务中:
Site Server ILS服务
windows Internet命名服务(WINS)
动态主机配置协议(DHCP)(如果本服务器不作为IP动态服务的主机,请不要安装此项服务)
简单TCP/IP服务
域名系统(DNS)(如果本服务器不承担域名解析任务,请不要安装此项服务)
9. 远程安装服务
10.远程存储
11.终端服务 (除非外部授权人员需要远程登录来查看本机情况,否则请不要安装此项服务)
12.终端服务授权
查看卸载方式
三、分区和逻辑盘的分配
至少建立两个分区,一个系统分区,一个应用程序分区。这是因为,微软的IIS(Internet Information Server)经常会有漏洞,如果把系统和IIS放在同一个驱动器会导致系统文件的泄漏,甚至让入侵者远程获取管理权。推荐建立两个逻辑驱动器,第一个用来装系统和重要的日志文件;第二个放IIS,这样如果IIS出了安全漏洞不会直接影响到系统目录和系统文件。
四、重视Windows2000 ServicePack补丁包和Windows Update的随时保持更新
强烈建议:安装最新的windows2000SP补丁包(目前版本是windows2000 SP4)并且随时保持本服务器的“Windows 自动更新”有效。
五、网卡协议的选择
对于分配外网IP的网卡的协议,强烈建议只保留:“Microsoft网络客户端”和“Internet 协议(TCP/IP)”,并且去除"NetBEUI Protocol"和"Microsoft网络和打印机共享"前的选勾(这两个协议不需要删除),删除其他所有服务和协议。
对于分配内网IP的网卡,无此要求,根据环境的需要酌情配置。
查看卸载方式
六、安装必要的杀毒软件和软件防火墙
服务器上必须安装杀毒软件。目前市面上任意比较流行的杀毒软件均可,比如:瑞星,诺顿,金山,KV3000等,请务必随时保持病毒库的即时更新。
如果本网络环境中没有设置硬件防火墙,强烈建议在本系统内安装软件防火墙,现以KFW防火墙为例, 详细说明安装和配置过程
七、Internet 信息服务(IIS)的配置
IIS是微软的组件中问题比较多的一个,而微软的IIS默认安装有比较大的安全问题,所以IIS的配置是我们的重点。
首先,删除系统盘下的(比如C盘)Inetpub目录,在D盘建一个Inetpub,在IIS管理器中将主目录指向D:Inetpub。
其次,把IIS安装时默认的"scripts","IISHelp","IISAdmin","IISSamples","MSADC","_vti_bin"等虚拟目录也一概删除,注意保留rainbow和sourcefile这两个虚拟目录,如果你需要什么权限的目录可以以后再建(特别注意写权限和执行程序的权限)。
然后, 是应用程序的配置。在IIS管理器中把无用映射都统统删除(当然必须保留如ASP、ASA等)。在IIS管理器中“主机→属性→WWW服务编辑→主目录→配置→应用程序映射”,然后开始一个个删吧。接着再在应用程序调试书签内,将“脚本错误消息”改为“发送文本”。点击“确定”退出时别忘了让虚拟站点继承刚才设定好的属性。
最后,为了保险起见,可以使用IIS的备份功能,将刚刚的设定全部备份下来,这样就可以随时恢复IIS的安全配置。还有,如果怕IIS负荷过高导致服务器死机,也可以在性能中打开CPU限制,如将IIS的最大CPU使用率限制在70%。
查看配置方式
八、账号安全配置
首先,WIN2K的默认安装允许任何用户通过空用户得到系统所有账号和共享列表,这本来是为了方便局域网用户共享资源和文件的,但是,同时任何一个远程用户也可以通过同样的方法得到你的用户列表,并可能使用暴力法破解用户密码给整个网络带来破坏。很多人都只知道更改注册表Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous = 1来禁止空用户连接,实际上WIN2K的本地安全策略里(如果是域服务器就是在域服务器安全和域安全策略里)就有这样的选项RestrictAnonymous(匿名连接的额外限制),其中有三个值:
“0”:None, Rely on default permissions(无,取决于默认的权限)
“1”:Do not allow enumeration of SAM accounts and shares(不允许枚举SAM账号和共享)
“2”:No access without explicit anonymous permissions(没有显式匿名权限就不允许访问)
“0”这个值是系统默认的,没有任何限制,远程用户可以知道你机器上所有的账号、组信息、共享目录、网络传输列表(NetServerTransportEnum)等,对服务器来说这样的设置非常危险。“1”这个值是只允许非NULL用户存取SAM账号信息和共享信息。“2”这个值只有WIN2K才支持,需要注意的是,如果使用了这个值,就不能再共享资源了。但因为现有的黑客软件已经可以攻破“1”的限制,所以强烈建议设为“2”。
查看更改方式
九、 安全日志配置
这里需要注意:WIN2K的默认安装是不开任何安全审核的!那么就应该到“本地安全策略→审核策略”中打开相应的审核,这里需要说明的是,审核项目如果太少的话,你万一想查看的时候发现没有记录那就一点办法都没有,但是审核项目如果太多,不仅会占用大量的系统资源,而且你也可能根本没空去全部看完,这样就失去了审核的意义。推荐的审核如下:
“账户管理”、“登录事件”、“策略更改”、“系统事件”、“账户登录事件”需要把“成功”和“失败”都打开;“对象访问”、“特权使用”、“目录服务访问”就只打开“失败”。与之相关的还有,在“账户策略→密码策略”中设定:“密码复杂性要求启用”,“密码长度最小值6位”,“强制密码历史5次”,“最长存留期 30天”;在“账户策略→账户锁定策略”中设定:“账户锁定3次错误登录”,“锁定时间20分钟”,“复位锁定计数20分钟”等。
Terminal Service的安全日志默认也是不启用的,可以在“Terminal Service Configration(远程服务配置)→权限→高级”中配置安全审核,一般来说只要记录登录、注销事件就可以了。
查看更改方式
十、目录和文件权限说明
为了控制好服务器上用户的权限,同时也为了预防以后可能的入侵和溢出,还必须非常小心地设置目录和文件的访问权限。NT的访问权限分为:读取、写入、读取及执行、修改、列目录、完全控制。在默认的情况下,大多数的文件夹对所有用户(Everyone这个组)是完全敞开的(Full Control),你需要根据应用的需要进行权限重设。在进行权限控制时,请记住以下几个原则:
1. 权限是累计的,如果一个用户同时属于两个组,那么他就有了这两个组所允许的所有权限。
2. 拒绝的权限要比允许的权限高(拒绝策略会先执行)。如果一个用户属于一个被拒绝访问某个资源的组,那么不管其他的权限设置给他开放了多少权限,他也一定不能访问这个资源。
3. 文件权限比文件夹权限高。
4. 利用用户组来进行权限控制是一个成熟的系统管理员必须具有的优良习惯。
5. 只给用户真正需要的权限,权限的最小化原则是安全的重要保障。
6. 预防ICMP攻击:ICMP的风暴攻击和碎片攻击也是NT主机比较头疼的攻击方法,其实应付的方法也很简单,WIN2K自带一个Routing & Remote Access工具,这个工具初具路由器的雏形。在这个工具中,我们可以轻易地定义输入输出包过滤器。如设定输入ICMP代码255丢弃就表示丢弃所有的外来ICMP报文。目前抵御ICMP最简单的方法是还是通过第三方工具防御,如各种防火墙软件。
配置总结
实际上,安全和应用在很多时候是矛盾的,因此,你需要在其中找到平衡点,毕竟服务器是给用户用的,如果安全原则妨碍了系统应用,那么这个安全原则也不是一个好的原则。网络安全是一项系统工程,它不仅有空间的跨度,还有时间的跨度。很多朋友(包括部分系统管理员)认为进行了安全配置的主机就是安全的,其实这里有个误区,我们只能说一台主机在一定的情况下一定的时间内是安全的,随着网络结构的变化、新的漏洞的发现、管理员和用户的操作,主机的安全状况是随时随地变化着的,只有让安全意识和安全制度贯穿整个过程才能做到真正的安全。
WIN2K的安装顺序是非常重要的。 安装时候,请务必把把主机从网络环境中断开 。
因为WIN2K在安装时有一个漏洞,就是在输入Administrator的密码后,系统会建立“$ADMIN”的共享,但是并没有用刚输入的密码来保护它,这种情况一直会持续到计算机再次启动。在此期间,任何人都可以通过“$ADMIN”进入系统;同时,只要安装一完成,各种服务就会自动运行,而这时的服务器还到处是漏洞,非常容易从外部侵入。因此,在完全安装并配置好WIN2K Server之前,一定不要把主机接入网络。
administrator密码请务必记住以下原则:
1 长度至少为8位
2 必须是字母数字和其他符号的组合 如thisismyroom#502, 12xiaoxue!@等
3 如果有可能,建议每两个月修改一次本机密码
如果本机还安装了SQL SERVER2000,那么SQL SERVER2000的密码同样符合上述原则。
二、组件的定制
资料来源:http://www.sz-rainbow.com/help_center/maintain/index.htm(“数字化教学平台”系统维护区)
WIN2K在默认情况下会安装一些常用的组件,但是正是这个默认安装是非常危险的,根据安全原则“最少的服务+最小的权限=最大的安全”,只安装确实需要的服务即可。除非您非常了解下列这些服务的内容,并且必须得安装,否则请务必卸载:
1. Internet 信息服务(IIS)中:
FrontPage 2000扩展
Internet 管理服务器(HTML)
NNTP服务器
SMTP服务器
文件传输协议服务器(FTP)
2. Windows Media 服务(如果本服务器不用于作为流媒体服务器,请务必卸载此服务)
3. 管理和监视工具
4. 脚本调试器
5. 其他网络文件和打印服务
6. 群集服务(如果是advance server并且不需要群集服务,请关闭此服务)
7. 索引服务(如果本服务器不作为文件服务器,请关闭此服务)
8. 网络服务中:
Site Server ILS服务
windows Internet命名服务(WINS)
动态主机配置协议(DHCP)(如果本服务器不作为IP动态服务的主机,请不要安装此项服务)
简单TCP/IP服务
域名系统(DNS)(如果本服务器不承担域名解析任务,请不要安装此项服务)
9. 远程安装服务
10.远程存储
11.终端服务 (除非外部授权人员需要远程登录来查看本机情况,否则请不要安装此项服务)
12.终端服务授权
查看卸载方式
三、分区和逻辑盘的分配
至少建立两个分区,一个系统分区,一个应用程序分区。这是因为,微软的IIS(Internet Information Server)经常会有漏洞,如果把系统和IIS放在同一个驱动器会导致系统文件的泄漏,甚至让入侵者远程获取管理权。推荐建立两个逻辑驱动器,第一个用来装系统和重要的日志文件;第二个放IIS,这样如果IIS出了安全漏洞不会直接影响到系统目录和系统文件。
四、重视Windows2000 ServicePack补丁包和Windows Update的随时保持更新
强烈建议:安装最新的windows2000SP补丁包(目前版本是windows2000 SP4)并且随时保持本服务器的“Windows 自动更新”有效。
五、网卡协议的选择
对于分配外网IP的网卡的协议,强烈建议只保留:“Microsoft网络客户端”和“Internet 协议(TCP/IP)”,并且去除"NetBEUI Protocol"和"Microsoft网络和打印机共享"前的选勾(这两个协议不需要删除),删除其他所有服务和协议。
对于分配内网IP的网卡,无此要求,根据环境的需要酌情配置。
查看卸载方式
六、安装必要的杀毒软件和软件防火墙
服务器上必须安装杀毒软件。目前市面上任意比较流行的杀毒软件均可,比如:瑞星,诺顿,金山,KV3000等,请务必随时保持病毒库的即时更新。
如果本网络环境中没有设置硬件防火墙,强烈建议在本系统内安装软件防火墙,现以KFW防火墙为例, 详细说明安装和配置过程
七、Internet 信息服务(IIS)的配置
IIS是微软的组件中问题比较多的一个,而微软的IIS默认安装有比较大的安全问题,所以IIS的配置是我们的重点。
首先,删除系统盘下的(比如C盘)Inetpub目录,在D盘建一个Inetpub,在IIS管理器中将主目录指向D:Inetpub。
其次,把IIS安装时默认的"scripts","IISHelp","IISAdmin","IISSamples","MSADC","_vti_bin"等虚拟目录也一概删除,注意保留rainbow和sourcefile这两个虚拟目录,如果你需要什么权限的目录可以以后再建(特别注意写权限和执行程序的权限)。
然后, 是应用程序的配置。在IIS管理器中把无用映射都统统删除(当然必须保留如ASP、ASA等)。在IIS管理器中“主机→属性→WWW服务编辑→主目录→配置→应用程序映射”,然后开始一个个删吧。接着再在应用程序调试书签内,将“脚本错误消息”改为“发送文本”。点击“确定”退出时别忘了让虚拟站点继承刚才设定好的属性。
最后,为了保险起见,可以使用IIS的备份功能,将刚刚的设定全部备份下来,这样就可以随时恢复IIS的安全配置。还有,如果怕IIS负荷过高导致服务器死机,也可以在性能中打开CPU限制,如将IIS的最大CPU使用率限制在70%。
查看配置方式
八、账号安全配置
首先,WIN2K的默认安装允许任何用户通过空用户得到系统所有账号和共享列表,这本来是为了方便局域网用户共享资源和文件的,但是,同时任何一个远程用户也可以通过同样的方法得到你的用户列表,并可能使用暴力法破解用户密码给整个网络带来破坏。很多人都只知道更改注册表Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous = 1来禁止空用户连接,实际上WIN2K的本地安全策略里(如果是域服务器就是在域服务器安全和域安全策略里)就有这样的选项RestrictAnonymous(匿名连接的额外限制),其中有三个值:
“0”:None, Rely on default permissions(无,取决于默认的权限)
“1”:Do not allow enumeration of SAM accounts and shares(不允许枚举SAM账号和共享)
“2”:No access without explicit anonymous permissions(没有显式匿名权限就不允许访问)
“0”这个值是系统默认的,没有任何限制,远程用户可以知道你机器上所有的账号、组信息、共享目录、网络传输列表(NetServerTransportEnum)等,对服务器来说这样的设置非常危险。“1”这个值是只允许非NULL用户存取SAM账号信息和共享信息。“2”这个值只有WIN2K才支持,需要注意的是,如果使用了这个值,就不能再共享资源了。但因为现有的黑客软件已经可以攻破“1”的限制,所以强烈建议设为“2”。
查看更改方式
九、 安全日志配置
这里需要注意:WIN2K的默认安装是不开任何安全审核的!那么就应该到“本地安全策略→审核策略”中打开相应的审核,这里需要说明的是,审核项目如果太少的话,你万一想查看的时候发现没有记录那就一点办法都没有,但是审核项目如果太多,不仅会占用大量的系统资源,而且你也可能根本没空去全部看完,这样就失去了审核的意义。推荐的审核如下:
“账户管理”、“登录事件”、“策略更改”、“系统事件”、“账户登录事件”需要把“成功”和“失败”都打开;“对象访问”、“特权使用”、“目录服务访问”就只打开“失败”。与之相关的还有,在“账户策略→密码策略”中设定:“密码复杂性要求启用”,“密码长度最小值6位”,“强制密码历史5次”,“最长存留期 30天”;在“账户策略→账户锁定策略”中设定:“账户锁定3次错误登录”,“锁定时间20分钟”,“复位锁定计数20分钟”等。
Terminal Service的安全日志默认也是不启用的,可以在“Terminal Service Configration(远程服务配置)→权限→高级”中配置安全审核,一般来说只要记录登录、注销事件就可以了。
查看更改方式
十、目录和文件权限说明
为了控制好服务器上用户的权限,同时也为了预防以后可能的入侵和溢出,还必须非常小心地设置目录和文件的访问权限。NT的访问权限分为:读取、写入、读取及执行、修改、列目录、完全控制。在默认的情况下,大多数的文件夹对所有用户(Everyone这个组)是完全敞开的(Full Control),你需要根据应用的需要进行权限重设。在进行权限控制时,请记住以下几个原则:
1. 权限是累计的,如果一个用户同时属于两个组,那么他就有了这两个组所允许的所有权限。
2. 拒绝的权限要比允许的权限高(拒绝策略会先执行)。如果一个用户属于一个被拒绝访问某个资源的组,那么不管其他的权限设置给他开放了多少权限,他也一定不能访问这个资源。
3. 文件权限比文件夹权限高。
4. 利用用户组来进行权限控制是一个成熟的系统管理员必须具有的优良习惯。
5. 只给用户真正需要的权限,权限的最小化原则是安全的重要保障。
6. 预防ICMP攻击:ICMP的风暴攻击和碎片攻击也是NT主机比较头疼的攻击方法,其实应付的方法也很简单,WIN2K自带一个Routing & Remote Access工具,这个工具初具路由器的雏形。在这个工具中,我们可以轻易地定义输入输出包过滤器。如设定输入ICMP代码255丢弃就表示丢弃所有的外来ICMP报文。目前抵御ICMP最简单的方法是还是通过第三方工具防御,如各种防火墙软件。
配置总结
实际上,安全和应用在很多时候是矛盾的,因此,你需要在其中找到平衡点,毕竟服务器是给用户用的,如果安全原则妨碍了系统应用,那么这个安全原则也不是一个好的原则。网络安全是一项系统工程,它不仅有空间的跨度,还有时间的跨度。很多朋友(包括部分系统管理员)认为进行了安全配置的主机就是安全的,其实这里有个误区,我们只能说一台主机在一定的情况下一定的时间内是安全的,随着网络结构的变化、新的漏洞的发现、管理员和用户的操作,主机的安全状况是随时随地变化着的,只有让安全意识和安全制度贯穿整个过程才能做到真正的安全。
机票 
2008/11/24 23:36
哈哈!挺好机票
机票
2008/11/09 22:30
哈哈!挺好机票
机票
2008/11/07 23:38
哈哈!挺好机票
机票
2008/11/06 22:37
哈哈!挺好机票
机票
2008/11/05 22:56
哈哈!挺好机票
机票
2008/11/04 22:51
哈哈!挺好机票
机票
2008/11/02 22:02
哈哈!挺好机票
机票
2008/11/01 23:16
哈哈!挺好机票
机票
2008/10/29 22:52
哈哈!挺好机票
机票
2008/10/28 21:44
哈哈!挺好机票
分页: 1/4 
1 2 3 4 
1 2 3 4
