tcpip协议范文1
华为交换机在windows2000的系统下,可以采用以下方法禁止445端口:
打开开始菜单,选中“设置”项下面的“网络和拨号连接”图标,打开快捷菜单,单击“浏览”命令;选中“Internet协议”,然后再单击一下“属性”按钮,打开Internet协议属性设置页面;点击“高级”按钮,打开高级TCP或IP设置窗口,选中“选项”标签,在该标签页面的“可选的设置”项中,选中“TCPIP筛选”,打开“属性”;打开“TCP端口”的设置,选中“只允许”,点击“添加”,在“添加筛选器”窗口中,把445端口排除出去即可。
(来源:文章屋网 )
tcpip协议范文2
1 基本原理及工作环境
基于PXE的Ghost网络多播克隆原理如下:学生端通过PXE网络启动得到由DHCP服务器分配的IP地址接入网络,然后获得来自服务器端通过TFTP服务软件发送的启动映像文件,自动进入到服务器端开启的GHOST软件的多播任务中,当所有学生端连接到任务中后,在服务器端开始多播克隆任务。学生端机克隆完毕,重启,然后使用批处理文件逐一修改用户名和IP地址等信息,完成整个克隆任务。
1.1 PXE概述
PXE是由Intel公司开发的技术,工作于Client/Server的网络模式。其启动过程中,终端以广播形式发出一个请求FIND帧,服务器收到请求, 就会送回 DHCP 回应, 内容包括用户端的 IP 地址等信息,终端收到回应信息后,再用TFTP或MTFTP协议下载一个启动映像文件到本机内存中并执行,由这个映像文件完成基本软件设置,从而引导预先安装在服务器中的终端操作系统。[1]PXE可以引导多种操作系统,具有安装方便,适用范围广泛,安全、可维护性更强等优点。
1.2 工作环境
首先应遵循568A或568B标准架设好相应的局域网络环境。服务器应选用千兆网卡,安装WINDOWS 2000/2003 Server操作系统,安装DHCP以便于服务器能将IP地址动态地分配给学生机。服务器还需要安装TFTP服务软件,TFTP服务用来在客户机与服务器之间进行简单文件传输。最后,服务器还需要安装GhostCast Server多播服务软件,用于将备份系统的映像克隆到学生机。
学生机端要求在网卡上加装PXE启动芯片(PXE Boot ROM),并在BIOS中开启这项服务。
2 准备工作
要顺利实现网络多播克隆,必须做好以下准备工作。
2.1制作PXE 启动文件
制作 PXE 的启动文件,我们使用 3Com 的 DABS软件。DABS 提供了功能强大的 PXE 启动服务、管理功能。
安装DABS后,运行 3Com Boot Image Editor。选择“创建TCP/IP或PXE映像文件”,出现对话窗口。为即将建立的映像文件命名,例如:Ghost.img,选择需要保存文件的文件夹,其他采用默认选项,选择[OK],创建PXE启动映像 Ghost.img文件。
在 3Com Boot Image Editor 的主菜单中,选择“创建PXE菜单启动文件”,在出现的窗口中选择[添加(Add)],加入我们刚刚创建的启动映像文件Ghost.img,在“选项(Options)”标签中可以设置菜单标题和等待时间。选择[保存(Save)],给保存的PXE菜单启动文件命名为Menu.pxe。[2]
在C盘中建立文件夹“TFTPBOOT”,将文件Ghost.img,Menu.pxe,以及学生机镜像GHOST文件复制到该文件夹下。
2.2 服务器及学生机的设置
首先要进行DHCP服务的安装,安装完毕后,新建一个作用域。在“DHCP管理器”窗口中,右键点击DHCP服务器选项,在弹出的快捷菜单中选择“新建作用域”选项,在“作用域名”对话框中指定该作用域的名称,如“GHOST”和描述信息,然后为该作用域设定IP地址范围,如把IP地址范围限制在“192.168.78.101~192.168.78.200”的地址段内。接下来,将租约期限值修改为“无限制”,以便固定动态IP。然后在DHCP服务器的作用域选项中配置选项“067:启动文件名”,字串值为PXE菜单启动文件名Menu.pxe。
3Com的DABS包含了一个TFTP服务组件,启动它后,打开菜单项“Options”中的“File transfer”,在“Reverie files”和“Transmit files”中添加PXE映像文件和启动文件的路径。
在服务器上如有多块网卡,应只保持提供DHCP和TFTP服务的网卡开启,其他网卡需暂时停用,等克隆完成后再启用。
学生机端需要在BIOS中开启PXE网络启动。以DELL品牌机为例,在机器启动时按F2键进入BIOS设置,选择Integrated Devices项,修改Network Interface Controller项的值为“On w/PXE”,重启机器。
2.3 编写网络配置批处理文件
由于网络多播克隆使用的是同一个母本,在克隆完成后,我们需要逐一修改电脑的主机名、IP地址等信息,为方便修改这些信息,需要编写网络配置批处理文件,以便在克隆完毕后运行。批处理文件范例如下:
echo off
set eth="本地连接"
set ip=192.168.78.152
set gw=192.168.78.254
set netmasks=255.255.255.0
echo 正在将本机IP更改到: %ip%
rem
if %gw%==none netsh interface ip set address %eth% static %ip% %netmasks% %gw% > nul
if not %gw%==none netsh interface ip set address %eth% static %ip% %netmasks% %gw% 1 > nul
echo.........................
set /p name=请输您的计算机名:
reg add "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\ComputerName\ActiveComputerName" /v ComputerName /t reg_sz /d %name% /f
reg add "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters" /v "NV Hostname" /t reg_sz /d %name% /f
reg add "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters" /v Hostname /t reg_sz /d %name% /f
echo 检查当前本机IP:
ipconfig/all
echo.........................
echo 成功将本机IP更改为%ip%!
pause
close[3][4]
3 实施过程
在网络多播克隆的实施阶段,首先运行Symantec Ghostcast Server程序,在Session Name项中给克隆项目填写一个名字,比如ghost,然后在lmage File一栏中填入准备好的克隆映像文件路径,单击Accept Clients按钮,接受客户端机的克隆申请。
学生机端开机后,按F12进入Boot menu,在启动类型选择第五项“Integrated Nil”,即选择了PXE网络启动。启动后自动连接到多播服务器端,当所有客户端都连接进来后,在多播服务器端点击“Send”,即可开始网络多播克隆,直至多播克隆完成。需注意的是,在多播进程中千万不要强制重启工作站,否则会对工作站的硬盘产生物理损伤。[5]
网络多播克隆完成后,重启工作站,运行准备好的批处理文件更改工作站的设置。
在具体的操作使用中,安装60台学生机,克隆文件2.4G,整个过程耗时约1小时。因此说PXE网络硬盘克隆技术可以快捷、安全地恢复系统,使得繁琐的系统维护工作简单化。
参考文献
[1] 吴水清. 网络克隆技术在机房管理中的应用[J].渝西学院学报(自然科学版),2005,4(1):49.
[2] 马传宝.基于PXE技术的无盘WIN98局域网的建立[J].广东广播电视大学学报,2001,10(37):18.
[3] 刘晓辉.Windows9x/me/2000/XP/2003 DOS命令实用技术详解[M].北京:人民邮电出版社,2005.
tcpip协议范文3
构造一个安全系统
要创建一个安全可靠的Web服务器,必须要实现Windows 2000和IIS的双重安全,因为IIS的用户同时也是Windows 2000的用户,并且IIS目录的权限依赖Windows的NTFS文件系统的权限控制,所以保护IIS安全的第一步就是确保Windows 2000操作系统的安全:
1. 使用NTFS文件系统,以便对文件和目录进行管理。
2. 关闭默认共享
打开注册表编辑器,展开“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters”项,添加键值AutoShareServer,类型为REG_DWORD,值为0。 这样就可以彻底关闭“默认共享”。
3. 修改共享权限
建立新的共享后立即修改Everyone的缺省权限,不让Web服务器访问者得到不必要的权限。
4. 为系统管理员账号更名,避免非法用户攻击。
鼠标右击[我的电脑][管理]启动“计算机管理”程序,在“本地用户和组”中,鼠标右击“管理员账号(Administrator)”选择“重命名”,将管理员账号修改为一个很普通的用户名。
5. 禁用TCP/IP 上的NetBIOS
鼠标右击桌面上[网络邻居] [属性] [本地连接] [属性],打开“本地连接属性”对话框。选择[Internet协议(TCP/IP)][属性][高级][WINS],选中下侧的“禁用TCP/IP上的NetBIOS”一项即可解除TCP/IP上的NetBIOS。
6. TCP/IP上对进站连接进行控制
鼠标右击桌面上[网络邻居] [属性] [本地连接] [属性],打开“本地连接属性”对话框。选择[Internet协议(TCP/IP)][属性][高级][选项], 在列表中单击选中“TCP/IP筛选”选项。单击[属性]按钮,选择“只允许”,再单击[添加]按钮,只填入80端口。
7. 修改注册表,减小拒绝服务攻击的风险。
打开注册表:将HKLM\System\CurrentControlSet\Services\Tcpip\Parameters下的SynAttackProtect的值修改为2,使连接对超时的响应更快。
保证IIS自身的安全性
IIS安全安装
要构建一个安全的IIS服务器,必须从安装时就充分考虑安全问题。
1. 不要将IIS安装在系统分区上。
2. 修改IIS的安装默认路径。
3. 打上Windows和IIS的最新补丁。
IIS的安全配置
1. 删除不必要的虚拟目录
IIS安装完成后在wwwroot下默认生成了一些目录,包括IISHelp、IISAdmin、IISSamples、MSADC等,这些目录都没有什么实际的作用,可直接删除。
2. 删除危险的IIS组件
默认安装后的有些IIS组件可能会造成安全威胁,例如 Internet服务管理器(HTML)、SMTP Service和NNTP Service、样本页面和脚本,大家可以根据自己的需要决定是否删除。
3. 为IIS中的文件分类设置权限
除了在操作系统里为IIS的文件设置必要的权限外,还要在IIS管理器中为它们设置权限。一个好的设置策略是:为Web 站点上不同类型的文件都建立目录,然后给它们分配适当权限。例如:静态文件文件夹允许读、拒绝写,ASP脚本文件夹允许执行、拒绝写和读取,EXE等可执行程序允许执行、拒绝读写。
4. 删除不必要的应用程序映射
ISS中默认存在很多种应用程序映射,除了ASP的这个程序映射,其他的文件在网站上都很少用到。
在“Internet服务管理器”中,右击网站目录,选择“属性”,在网站目录属性对话框的“主目录”页面中,点击[配置]按钮,弹出“应用程序配置”对话框,在“应用程序映射”页面,删除无用的程序映射。如果需要这一类文件时,必须安装最新的系统修补补丁,并且选中相应的程序映射,再点击[编辑]按钮,在“添加/编辑应用程序扩展名映射”对话框中勾选“检查文件是否存在”选项。这样当客户请求这类文件时,IIS会先检查文件是否存在,文件存在后才会去调用程序映射中定义的动态链接库来解析。
5. 保护日志安全
日志是系统安全策略的一个重要环节,确保日志的安全能有效提高系统整体安全性。
修改IIS日志的存放路径
默认情况下,IIS的日志存放在%WinDir%\System32\LogFiles,黑客当然非常清楚,所以最好修改一下其存放路径。在“Internet服务管理器”中,右击网站目录,选择“属性”,在网站目录属性对话框的“Web站点”页面中,在选中“启用日志记录”的情况下,点击旁边的[属性]按钮,在“常规属性”页面,点击[浏览]按钮或者直接在输入框中输入日志存放路径即可。
tcpip协议范文4
关键字 黑客攻击;防范方法
随着信息时代的到来,信息已成为社会发展的重要战略资源,社会的信息化已成为当今世界发展的潮流核心,而信息安全在信息社会中将扮演极为重要的角色,它直接关系到国家安全、企业经营和人们的日常生活。我们的计算机有时会受到计算机病毒、黑客的攻击,造成个人和企业的经济损失和信息资料的泄露,甚至危及国家安全。为了更有效地防范黑客的攻击,现将一些常用的方法,写出来与大家分享:
如果你想知道你的计算机有没有被黑客控制,你可以通过查看当前你的电脑中有哪些程序在运行,打开了哪些端口,而这些端口又与哪个网站或电脑相连,对方的ip地址、使用哪个端口等信息,具体方法是用:dos命令netstat或软件currports来查。如果发现你的电脑存在你并没想打开的程序和端口,说明你的电脑已经被黑客控制。这时你需要采取以下措施, 进行消除:
l、杀毒,用杀毒软件进行杀毒,设置防火墙。如果这样还不行,有些黑客已经设计出穿透防火墙的病毒或软件,或者是新的病毒。那你可能需要重装机器了。
2、在重装机器之前,请你先把网线断开,因为你的ip地址如果是固定的,很可能在重装机子之后,还没设置好防护措施之前,黑客又提前进入。所以等装完机子以后,防护措施完成之后,再上网。
3、首先你要进行ip欺骗,让黑客找不到你的ip,这样你的电脑就比较安全了,最简单的方法就是使用服务器,比如软件hide ip platinum 软件,就能很好地隐藏你的ip地址,找不到你家的门,他怎么去偷?
4、进行网络管理员欺骗。你可以先将原来的管理员:administrator改名为其他的名字,比如你的名字汉语拼音,然后再建一个新的管理员:administrator,让他在user用户组,赋给他一定的权限,而真正的管理员是你,当然要给真j下的管理员一个非常强壮的密码,建议有数字、有拼音和符号组成,不要把和自己的相关信息当戍密码。这样就好像给家门上了·道非常不容易打开的锁。
5、关闭不需要的·些端口。比如:木马doly 、trojan、invisible ftp容易进入的2l端口,(如果不架设ftp,建议关掉它)。23端门、25端口、135端口(防止冲击波)。137端口,139端口。3389端口,4899端口、8080端口等,为了防止黑客,还不影响我们上网,只开放80端口就行了,如果还需要上pop再开放l09、1l0。具体做法:找到桌面下而的任务栏上的本地连接(两个计算机的那个)右键状态属性tcp/ip协议属性高级选项tcp/ip筛选属性启用tcp/ip筛选打勾,在tcp端口只允许80端口和110端口就可以了,然后确定。
6、取消共享。具体方法:要想彻底删除共享,就要修改注册表:(1)禁止c盘、d盘共享:运行输入regedit打开注册表编辑器:展开[hkey_local_machineksystem\currentcontrolset\services\tcpip\paramers]分支新建一个名为enablelcmpredirects的键值项将其设置为0,(0是不响应)。(2)禁止admini共享:运行一输入regedit一打开注册表编辑器[hkeyt_local_machlne\system\currentcontrolset\services\lanmanserver\parameters]分支,新建名为autosharewks的键值,将其设置为0的键值项,将其设置为0。(3)禁止lpc$共享:运行输入regedit打开注册表编辑器展开[hkey local_machlne\system\currentcontrolset\control\lsa1分支,新建名为restrictanonymous的键值将其设置为0或者l或者设置2(设置0为缺省;l为匿名无法列举本机用户列表;2为匿名用户无法连接。我们可以设置为“l”,这样就能禁止空用户连接)。(4)修改windows 2000的本地安全策略。设置“本地安全策略”“本地策略”“选项”中的restrictanonymous(匿名连接的额外限制)为“不容许枚举sam账号和共享”。
7、如果黑客不从大门进,我们还要把其他容易进入的地方堵住,首先要装杀毒软件,开防火墙,让自己“家”的围墙高些,这样黑客就不容易爬进来。还要堵漏洞,给系统打补丁,设置补丁自动升级:我的电脑:属性自动更新自动就可以了.
结束语
随着信息时代的发展,信息安全越来越显得重要,信息的丢失和泄密,给自己和单位的财产造成经济损失的案例,屡见不鲜,人们越来越重视网络安全。因此,要养成良好的上网习惯,比如晚:不要随便打开某些网站,不要长时间上网,密码不要设置与自己有关的信启 ,防止自己的信息、被黑客盗取,以防造成不可挽回的后果。
参考文献
tcpip协议范文5
物联网,首先要解决的是“连接、区别、识别、沟通、操作”这五大问题,只有这些问题解决了,才有机会谈论安全性、易用性、低成本等问题。
发挥物体网络的智慧
物联网是物体的社会,就是人类企图组建一个智慧的物体网络,来替人类服务,要发挥物体网络的智慧,其实物联网跟人类社会网络有很多共同点。人与人之间,也存在连接、区别、识别、沟通、互动(也就是物联网说的互操作)这些问题。人和人之间,首先要通过见面、电话、信函等方式建立连接,才有机会交流吧。不同的人,必须能够区别开来,世界上没有完全一样的两张脸,就提供了区别的基础;有了区别后,必须能沟通,得有相同的语言,配翻译也行。以上条件都具备了,才有互动(物联网中的互操作)的可能。以上过程,由于人具有高级智慧而变得简单,例如语言不通的人之间,还可以通过场景、手势、画画、眼神等来交流;对于只有非常有限的智慧的电子产品来说,会变得复杂和困难。
物联网的连接问题
物联网中,连接问题是最简单最基本的问题,也是当今操作系统支持最为充分的,业内很多人都在谈论的所谓协议,多数指的是通信协议。能用技术解决的问题,都不是问题。连接就是一个能用技术解决的问题,物联网面临的问题,大多数都不是技术能解决的问题,设计操作系统,要充分认识物联网面临的问题的基础上,把现阶段能解决的问题做到极致,尚不具备条件的,逐步地提出解决方案,或者为解决这些问题提供一些必要的支持。而对于物联网的接入协议来说,接入公网的技术已经成型,就是TCPIP,它是个公共协议,大家都能用;而局域无线网络,分两大类,一类是像智能家居一样,需要接入不同厂家的设备的,这种网络,必须使用统一的网络协议,一致性高的网络协议;另一类是不需要接入不同厂家设备的无线局域网。
连接也包含组网、维持网络连接、设备发现的问题,维持连接在物联网中是一个很重要的问题,为什么呢?因为物联网中有许多低功耗设备,这些设备绝大部分时间是休眠的,又要省电,又要不丢失连接,需要有点智慧。维持连接一般是用心跳的方式,对低功耗设备,合理的心跳间隔、快速唤醒、快速连接,连接完后快速返回休眠状态,就非常重要。
最基本的识别问题
谈到设备区别,就开始出现问题了,网络中的两个设备,你必须能够区别出他们是不同的个体,就像人的身份证号一样,每个设备也必须有一个身份证号,或者在你所在的区域网中有一个唯一的号码也行。
说到设备识别,就目前而言,并没有任何一个物联网方案能完美解决设备识别的问题。一个最简单的智能交通系统,要实现这样的功能,哪个方向有车来,就开哪个方向的绿灯,都有车来,就根据流量智能调整红绿灯周期。问题就来了,你如何判断路上过来的是一辆车,还是一条狗!东西向有车来,南北向跑来一只狗,绿灯给谁放行?
识别车和狗,还是最基本的识别问题,只是识别物种,再进一步就是识别个体。识别有两个层次,一是人和物之间的互相识别,当然主要是人识别物,另一个是物和物之间的识别。由于人的智慧,人会根据许多的参考条件来进行模糊识别,人工智能也可以这样做,但人工智能毕竟无法跟人比,只能在有限条件下,做简单的辅助识别。当然,对于具体应用而言,它不需要识别全地球的智能设备,能够识别跟具体应用相关的设备就行了,可以自己定义识别规则,这纯粹是应用自己的事,操作系统只能做些辅助线的工作,例如把物体的身份证号和自描述语句传递给应用程序,仅此而已。
解决设备识别和设备间“沟通”问题
最大的问题是沟通,沟通也分为人和物沟通与物和物之间沟通,就是互相明白对方在说什么。让“物体”说同样的话,互相听懂,这是最困难也最缺乏标准,同时也是不可能有标准的。如果是物与人之间沟通,就好办多了。
如果能解决设备识别和设备间“沟通”问题,那么智能设备间的互操作就水到渠成了,由于在“识别”和“沟通”方面,无法形成一个开放的、广泛适用的标准,许多物联网系统就另辟蹊径,尽可能绕过标准问题。同时提供智能硬件开发平台以及通用操作系统的中间件,或者开发一个跨界系统,使物联网中不同设备上使用相同的开发工具。人与物之间的操作问题,可以通过远程终端的方案,完美地解决。传统的非智能设备,人和物直接的操作,是通过文字、图形、按键、触屏这些介质来完成的,在物联网世界里,无非是操作介质和执行操作的智能硬件之间,隔了个空间距离而已。手持的操作界面,就是一个显示和操作终端而已,所有操作,对于设备来说,就像在设备上直接操作一样,这样才能规避没有标准的事实。
先谈谈不靠谱的方案,现在有些智能硬件厂家,开发专门的APP让用户操作智能硬件,这是不合适的。两种靠谱的方案,是HTML和远程桌面。使用远程桌面后,你的手机只需要安装一个智能设备APP,点开该APP后,你家里的所有智能设备都会被罗列在里面。远程桌面的缺点是,动画显示很困难,尤其是大面积的动画,有些消费品是有这个需求的,这种时候,就要使用HTML了。除了动画外,远程界面的优势还是很明显的。首先是兼容性问题,浏览器的标准化程度其实不高。其次是一致性问题,有许多智能硬件,本机是有显示界面的,比如冰箱,在家里,你可能习惯于直接在冰箱上操作,用冰箱本身的界面操控设备,在外面,你就用手机操作,界面跟冰箱上的界面完全一样,就像站在冰箱前操作一样,无须学习两套界面。如果冰箱上和手机上的界面不一样的话,你会抓狂的,远程桌面天生就是完全一样的。而使用HTML的话,则要自己维护两份界面的一致性,不要小看维护这个一致性问题,搞过硬件的人就知道,维护原理图和bom表的一致性,是一个致命的工作;维护过两个以上并行软件版本的人也应该清楚,确保两个版本应该相同的部分是一致的,是非常困难的。
操作系统为物联网解决了什么问题
连接:操作系统通过集成常见的网络协议栈,例如TCP/IP、ZigBee、蓝牙、WiFi驱动等,算是为解决连接问题作出了贡献。
tcpip协议范文6
关键词:Intranet;安全策略;组策略
WEB服务器是企业网Intranet网站的核心,其中的数据资料非常重要,一旦遭到破坏将会给企业造成不可弥补的损失,管理好、使用好、保护好WEB服务器中的资源,是一项至关重要的工作。本文主要介绍WEB服务器安全策略方面的相关知识。
1系统安装、系统安全策略配置
使用NTFS格式分区、设置不同的用户访问服务器的不同权限是搭建一台安全WEB服务器的最低要求。
Windows2003安装策略:
①系统安装在单独的逻辑驱动器并自定义安装目录;以“最小的权限+最少的服务=最大的安全”为基本理念,只安装所必需的服务和协议,如DNS、DHCP,不需要的服务和协议一律不安装;只保留TCP/IP一项并禁用NETBOIS;安装Windows2003最新补丁和防病毒软件。
②关闭windows2003不必要的服务。
关闭ComputerBrowser、Taskscheduler、RoutingandRemoteAccess、Removablestorage、RemoteRegistryService、PrintSpooler、IPSECPolicyAgent、DistributedLinkTrackingClient、Com+EventSystem、Alerter、ErrorReportingService、Messenger、Telnet服务。
③设置磁盘访问权限。
系统磁盘只赋予administrators和system权限,系统所在目录(默认时为Windows)要加上users的默认权限,以保障ASP和ASPX等应用程序正常运行。其他磁盘可以此为参照,当某些第三方应用程序以服务形式启动时,需加system用户权限,否则启动不成功。
④注册表HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/LSA,将DWORD值RestrictAnonymous的键值改为1,禁止Windows系统进行空连接。
⑤关闭不需要的端口、更改远程连接端口。
本地连接属性Internet协议(TCP/IP)高级选项TCP/IP筛选属性把勾打上,添加需要的端口(如:21、80)。
更改远程连接端口:开始>运行>输入regedit查找3389:将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\Wds\rdpwd\Tds\tcp和HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp下的PortNumber=3389改为自宝义的端口号并重新启动服务器。
⑥编写批处理文件delshare.bat并在组策略中应用,以关闭默认共享的空连接。(以服务器有4个逻辑驱动器为例)
netshareC$/delete
netshareD$/delete
netshareE$/delete
netshareF$/delete
netshareadmin$/delete
将以上内容写入delshare.bat并保存到系统所在文件夹下的system32\GroupPolicy\User\Scripts\Logon目录下。运行gpedit.msc组策略编辑器,用户配置Windows设置脚本(登录/注销)登录“登录属性”“添加”“添加脚本”对话框的“脚本名”栏中输入delshare.bat“确定”按钮重新启动服务器,即可自动关闭系统的默认隐藏共享,将系统安全隐患降至最低。
⑦限制匿名访问本机用户。“开始”“程序”“管理工具”“本地安全策略”“本地策略”“安全选项”双击“对匿名连接的额外限制”在下拉菜单中选择“不允许枚举SAM帐号和共享”“确定”。
⑧限制远程用户对光驱或软驱的访问。“开始”“程序”“管理工具”“本地安全策略”“本地策略”“安全选项”双击“只有本地登录用户才能访问软盘”在单选按钮中选择“已启用(E)”“确定”。
⑨限制远程用户对NetMeeting的共享,禁用NetMeeting远程桌面共享功能。运行“gpedit.msc”“计算机配置”“管理模板”“Windows组件”“NetMeeting”“禁用远程桌面共享”右键在单选按钮中选择“启用(E)”“确定”。
⑩限制用户执行Windows安装程序,防止用户在系统上安装软件。方法同(9)。
11删除C:\WINDOWS\WEB\printers目录,避免溢出攻击(此目录的存在会造成IIS里加入一个.printers的扩展名,可溢出攻击)。
12删除C:\WINDOWS\system32\inetsrv\iisadmpwd,此目录在管理IIS密码时使用(如因密码不同步造成500错误时使用OWA或Iisadmpwd修改同步密码),当把账户策略>密码策略>密码最短使用期限设为0天[即密码不过期时,可避免IIS密码不同步问题。这里就可删掉此目录。
13修改注册表防止小规模DDOS攻击。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters新建"DWORD值"名为"SynAttackProtect"数值为"1"
14本地策略安全选项:
将清除虚拟内存页面文件、不显示上次的用户名、不需要按CTRL+ALT+DEL、不允许SAM账户的匿名枚举、不允许SAM账户和共享的匿名枚举、均更改为"已启用";重命名来宾账户更改成一个复杂的账户名;重命名系统管理员账号,更改一个自己用的账号,同时建立一个无用户组的Administrat账户。
2IIS安全策略应用
①不使用默认的WEB站点,将IIS目录与系统磁盘分开。
将网站内容移动到非系统驱动器,不使用默认的\Inetpub\Wwwroot目录,以减轻目录遍历攻击(这种攻击试图浏览WEB服务器的目录结构)带来的危险(一定要验证所有的虚拟目录是否均指向目标驱动器)。
②删除IIS默认创建的Inetpub目录(在系统磁盘上)并配置网站访问权限。为WEB服务器配置站点、目录和文件的访问权限。
③删除系统盘下的虚拟目录:vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。
④删除不必要的IIS扩展名映射。
右键单击“默认WEB站点属性主目录配置”,打开应用程序窗口,去掉不必要的应用程序映射,主要为shtml、shtm、stm。
⑤更改IIS日志的路径。
右键单击“默认WEB站点属性网站在启用日志记录下点击属性更改设置。
⑥只选择网站和WEB应用程序正确运行所必需的服务和子组件。开始控制面板添加或删除程序添加/删除Windows组件应用程序服务器详细信息Internet信息服务(IIS)详细信息然后通过选择或清除相应组件或服务的复选框,来选择或取消相应的IIS组件和服务。IIS子组件和服务的推荐设置:禁用:后台智能传输服务(BITS)服务器扩展、FTP服务、FrontPage2002ServerExtensions、Internet打印、NNTP服务。启用:公用文件、Internet信息服务管理器、万维网服务。
⑦删除未使用的帐户,设置强密码,使用以最低特权的帐户。避免攻击者通过使用以高级特权运行的帐户来获取未经授权的资源访问权。限制对服务器的匿名连接,确保禁用来宾帐户;重命名管理员帐户并分配一个强密码以增强安全性。重命名IUSR帐户。
在IIS元数据库中更改IUSR帐户的值:“管理工具”“Internet信息服务(IIS)管理器”右键单击“本地计算机”“属性”选中“允许直接编辑配置数据库”复选框“确定”浏览至MetaBase.xml文件的位置,默认情况下为C:\Windows\system32\inetsrv右键单击MetaBase.xml文件“编辑”搜索“AnonymousUserName”属性,键入IUSR帐户的新名称在“文件”菜单上单击“退出”单击“是”。
⑧使用应用程序池来隔离应用程序,提高WEB服务器的可靠性和安全性。
创建应用程序池:“管理工具”“Internet信息服务(IIS)管理器”本地计算机右键单击“应用程序池”“新建”“应用程序池”在“应用程序池ID”框中,为应用程序池键入一个新ID“应用程序池设置”“Usedefaultsettingsforthenewapplicationpool”(使用新应用程序池的默认设置)“确定”。
将网站或应用程序分配到应用程序池:“管理工具”“Internet信息服务(IIS)管理器”右键单击您想要分配到应用程序池的网站或应用程序“属性”“主目录”、“虚拟目录”或“目录”选项卡,如果将目录或虚拟目录分配到应用程序池,则验证“应用程序名”框是否包含正确的网站或应用程序名称,(如果在“应用程序名”框中没有名称,则单击“创建”,然后键入网站或应用程序的名称)“应用程序池”列表框单击您想要分配网站或应用程序的应用程序池的名称“确定”。
经过以上设置,IIS安全性有了很大的提升,但一些不法攻击者会不断寻找新漏洞来攻击WEB服务系统,所以我们一定要养成及时修补系统漏洞的习惯,并不断提高管理人员的网络技术水平,确保企业WEB服务器有一个安全、稳定、高效的运行环境。
参考文献:
[1]王淑江,刘晓辉,张奎亭.WindowsServer2003系统安全管理[M].北京:电子工业出版社,2009.
[2]托洛斯.iis6管理指南[M].北京:清华大学出版社,2005.
[3]李新,李成友.基于Windows系统的Web服务器安全研究与实践[J].教育信息化,2006,(4).
[4]马琰.如何提高个人Web服务器的安全性[J].职业圈,2007,(9).
