|
論壇說明 |
歡迎您來到『史萊姆論壇』 ^___^ 您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的! 請點擊這裡:『註冊成為我們的一份子!』 |
|
主題工具 | 顯示模式 |
2004-08-06, 04:27 PM | #1 |
長老會員
|
打造安全的windows2000server
windows2000server如果設置正常,應該是安全的,下面,我對windows2000server的安全設置做個基本的講解(可能會很長,分步驟送出)
一、基本的安全設定(1)檔案系統的設定 windows2000server 支持多種檔案系統,最安全的要數NTFS檔案系統,如果你的windows2000server要用作伺服器,最好將所有的分區都格式化為NTFS檔案系統,fat32是不能用的 (2)補丁(pack) 目前windows2000已經到sp4了,這個大補丁一定要裝的,安裝sp4後再到網絡上升級,將微軟提供的各種重要系統安全更新全部都升級,不要怕麻煩,這是防病毒和黑客攻擊的非常重要安全設置步驟。 (3)帳號安全 帳號是windows2000server的重要的安全保證,要注意區分一些工作組的權限: administrators是系統管理員組,administrator是系統預設的管理帳號,administrator最好設置一個複雜的密碼,複雜到什麼程度呢?簡單的說,自己都要記不住這個密碼,這個密碼可以是字符、數字、符號、大小寫的組合(如:AGgF!452KhtUN),密碼不要讓別人猜得到,不要用自己得電話號碼啦之類的東西,最好在筆記本上將密碼設定好後再設置,設好密碼後妥善保管記錄密碼的筆記本,每隔一段時間更改自己的密碼 guest帳號最好禁止使用,如果沒有必要,不要添加其他的系統管理員帳號 (4)關閉不必要的服務 在服務中將一些不常用的服務關閉(比如列印、遠端註冊表操作,信息發送等不必要的服務) (5)網絡協議 如果沒有其他的用途,windows2000server只需要安裝tcp/ip協議,其他不必要的協議統統刪除 (6)如果沒必要,IIS一定不要安裝(如果需要安裝iis,那麼看後面的設置) IIS是windows2000server中最不安全的組件,不裝IIS,windows2000將是很安全的 (7)預設共享的刪除 windows2000server預設的共享有以下幾種 c$ d$ e$ ..... IPC$ ADMIN$ 這些預設共享一定要關,否者hk利用簡單的Net use命令就可以將你的伺服器黑掉 下面提供簡單的關閉這些共享的方法 A、建立一個批處理文件,如a.bat B、在該批處理文件中添加下面的語句 net share c$ /del (這是取消c盤的預設共享,同理 net share d$ /del 是取消d盤的共享,你有多少個盤符,就編多少個以上的語句) net share ipc$ /del (刪除ipc預設共享) net share admin$ /del (刪除 admin預設共享) C 、將以上的語句添加完後,將該文件放入開始選單中程序中啟動文件夾中,讓windows2000server每次啟動都將預設的共享刪除 (8)CMD的設置 cmd.exe是windows2000中非常重要的文件,很多漏洞都是要*調用該個文件,該文件在windows2000server所在目錄的system32中,我們需要對其進行設定 A、將該文件從system32中拷貝出來放在其他地方,將原來的文件刪除 B、將拷貝出來的文件進行權限設定,只允許administrator訪問,不允許其他任何的工作組或用戶訪問該文件 (9)windows2000server終端服務(預設3389端口) windows2000server提供了遠程終端服務,此服務方便了網絡管理員對伺服器的遠程管理,但是,該服務也為黑客提供了非常危險的攻擊,網絡黑客口中的所謂跳板(肉雞)絕大部分都是利用該功能進行自我隱蔽的攻擊。一旦系統管理員的密碼被破解,而該伺服器又提供終端服務,黑客就可以完全控制了該伺服器,不但伺服器的各種資料會完全暴露,而且黑客還會利用這台伺服器去攻擊其他的伺服器,因此該服務除非你覺得自己的伺服器足夠安全,否則最好不要打開,特別是暴露在互連網絡中的伺服器,打開該功能一定要小心謹慎。 A、如何知道自己的終端服務是否打開? 終端服務需要安裝,我們可以通過控制面板中的添加/刪除程序中的添加/刪除windows組件來安裝,在windows組件嚮導列表中最下面有兩個組件,一個是「終端服務」,一個是「終端服務授權」,我們只需要安裝「終端服務」這個組件就可以將該功能啟用,一旦啟用了該功能,預設的情況下,我們的tcp3389端口就會打開。所以,我們看看這個地方,如果你的組件「終端服務」前面打了勾,就表明你已經打開了該服務。 有些黑客手段很高明,一旦控制了你的計算機後,可以遠程打開該服務,這種情況下,我們最好檢查windows2000server啟用了哪些服務,如何檢查呢?打開windows2000server的服務管理(開始選單——程序——管理工具——服務)。在服務列表中檢查Terminal Services這項服務的狀態,看看如果該服務處於「 禁用」狀態,說明該服務沒打開,如果該服務處於「已啟動」狀態,說明該服務已經打開。 B、如何關閉該服務! 第一步,通過控制面板中的添加/刪除程序中的添加/刪除windows組件來將該服務組件刪除 第二步,在服務中將Terminal Services服務禁用 注意:需要經常檢查該服務是否被非法啟動,如果你在你沒有啟動該服務的情況下你發現它已打開,非常不幸,你的伺服器已經被黑,成為了別人的跳板(肉雞)最好的解決方法是重作伺服器系統,不要以為關閉該服務就行了。 (10)telnet服務(預設23端口) 相對於3389來講,telnet服務更不容易引起管理員的注意,該服務以前是UNIX和LINUX類系統提供的遠程管理終端服務,windows2000server也提供了,它也是一個終端服務,只不過telnet服務是字符界面,而3389服務是圖形界面,二者都能完全遠程控制伺服器的所有功能。我以前在利用肉雞的時候,一般都不用3389,為什麼呢?該服務速度慢,我一般都是打開肉雞的telnet服務,速度非常快,功能也很全面,又不容易被發覺 A、如何知道自己的telnet服務是否打開? 在windows2000server控制面板——管理工具中有一項「Telnet 伺服器管理」(對應的文件是system32中的tlntadmn.exe),這就是該服務的開關,我們可以利用該程序配置我們的telnet服務。 打開開始選單——程序——管理工具——服務,在服務列表中有該服務對應的一項「Telnet」,預設的情況下,該服務狀態是「手動」,如果,該服務是「已啟動」狀態,說明該服務已經啟動了,你可以用以下命令連接 在windows(98/2000/xp/2003)字符模式下輸入: telnet 伺服器的IP地址 如果出現了登陸界面,非常不幸,你的telnet服務真的已開,如果不是你開的,非常不幸,你被黑了,你可能成為了肉雞。 B、如何關閉該服務! 打開開始選單——程序——管理工具——服務,在服務中將telnet服務禁用 建議:最好將system32中的tlntadmn.exe拷貝出來放到其他文件夾中並改名,並將該文件從system32中刪除。 隨時檢查telnet服務的狀態,如果該服務是「已啟動」狀態,而又不是你啟動的,最好重新安裝伺服器系統。 最好隨時掃瞄你的伺服器所開的端口,如果23端口已開或有一些不知名的端口已開(因為黑客很可能會將提供該服務的端口改為其他的端口來逃避檢查),用 telnet命令測試一下,看看能不能連接。 附:telnet命令格式 telnet ip地址 端口 如:telnet 192.168.1.1 (連接伺服器192.168.1.1的預設23端口) 如:telnet 192.168.1.1 555 (連接伺服器192.168.1.1的555端口) 警告:你的帳號一定要安全,特別是系統管理員的密碼,一旦密碼被破解,上面兩個服務很容易被打開的。 以上的內容可能有點專業,如果你不太明白,去找點終端服務的材料看看,我花這麼大的篇幅來講這兩個問題,主要是因為這兩個問題太嚴重了,前兩年轟轟烈烈的各種黑客事件,很多都是利用這兩個問題,一方面黑其他人,一方面掩飾自己的行蹤,我甚至懷疑我們現在用的各種MU伺服器版本,都是利用talnet偷來的(利用系統漏洞,可能是遠程緩衝區溢出漏洞,再利用telnet登陸)。 |
__________________ 給自己看也給所有需要這些話鼓勵的人看! 認真不一定會得到美好的結果,但是不認真就一定沒有 想要有什麼結果,就秉持你的雙手 放手去做 總比什麼都沒付出最後失敗了才嘆氣來的好吧 沒努力的人.沒有資格說放棄 努力過的人.更要有勇氣繼續努力下去
|
|
送花文章: 1,
|