详细的说明太麻烦了,只说明几点基本的。
1)确定你要用它来干什么,需要开什么服务,什么是不必要的,没用地就别装(像Index什么的),不必要的服务全都可以关掉。在控制面版=>管理=>工具中,自己看着办,如下服务是一定要禁止的:
Remote Registry Service
RunAs Service
Task Scheduler
Telnet
Windows Time
其他不必要的服务可以设为手动方式。
SNMP Service和SNMP Trap Service最好也关掉,要用的话,把管理公共字改掉。
2)打补丁。
确定你打上了Win2k SP2;
3)IIS配置。
1,在IIS管理器中,去处所有不必要的扩展关联(基本上除了ASP/ASA等几个必要的和CGI之类的外,其他都可以去掉) 有可能的话,可以安装一个SecureIIS,还是有一定效果的。
2,校验ftp权限,差不多就自己看着办吧,不要被人家tag就可以了~_*
4)MSSQL。
首先,记得一定要加一个难记得密码,不然就什么都完了。
然后记得升级SQL 7.0 SP2和SQL 2k SP1.
5)Terminal Server。
打了SP2基本就没太大问题,只要你的系统不是没密码..........
高级部分:
1)类防火墙限制。
这需要我们打开MS的IPSEC服务,然后选择 网络设置=>网络界面 属性=> TCP/IP =>高级 =>选项
简单一点的话,就用TCP/IP筛选,确定指开放那些端口,比如80,1433等等(可惜开放ftp服务的话,经常会乱开端口的,难以确定);
要求高级的话,自己定义一个IPSEC策略,可以精确的过滤例如某种ICMP类型等等...可以做到水泄不通哦,不要到时候你自己也进不去了就好~_*
2)NetBIOS设置。
历史以来,netbios是仅次于IIS的winnt安全问题最多的服务,简直就是后门打开。
至少做这样一条设置:注册表编辑
Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous = 1
可以禁止IPC$空用户连接,防止信息泄漏和其他更严重的安全问题。
3)Terminal Server加强。
注册表编辑:HKEY_LOCAL_ MACHINESOFTWAREMicrosoft\ WindowsNT\CurrentVersion\Winlogon\Don‘t Display Last User Name=1
可以让别人在ts中看不到你上次登录的用户名,有安全了一点点(记住,别人获取你的信息越少,你就越安全)
4)系统文件目录权限检查。
基本的策略,可以在文件属性中修改,避免有everyone完全控制的目录,大部分文件最好禁止everyone写,甚至读。
对于系统的重要文件和目录,例如system32等等,可以用Win2k Resouece Kit中的一个工具xacls详细的加强访问控制。
5)预防信息监测和DOS
必要的话,打开RSAS或者自己添加一个IPSEC安全策略,过滤掉ICMP Echo和Redrict类型,这样别人ping你就不会有反映,而如果ping不通的话,可能别人就此罢手了~_* 而且缺省配置下,很多的漏洞扫描器ping不通就不扫了,西西。(当然啦,如果你有更强的防火墙,哪就更好)
一定程度的DoS预防:
在注册表HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters中更改以下值可以帮助你防御一定强度的DoS攻击
SynAttackProtect REG_DWORD 2
EnablePMTUDiscovery REG_DWORD 0
NoNameReleaseOnDemand REG_DWORD 1
EnableDeadGWDetect REG_DWORD 0
KeepAliveTime REG_DWORD 300,000
PerformRouterDiscovery REG_DWORD 0
EnableICMPRedirects REG_DWORD 0
(本文作者:Tracy 文章来源:http://www.blue-online.net)
网友评论