计算机网络安全管理课件第3章节WindowsNT网络操作系统的安全管理幻灯片.ppt

11. 隐藏上次登录用户名，修改注册表WinNT HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurreNTVersion\Winlogon中增加DoNTDisplayLastUserName，将其值设为1。Windows2000中该项已经存在，只需将其值改为1。 缺省情况下，上次登录的用户名会出现在登录框中，这就为黑客猜测口令提供了线索，最好的方式就是隐藏上次登录用户名。 12. 关闭IP转发功能 控制面板-网络-协议-TCP/IP协议-属性，使这个选框为空。（NT） 缺省情况下，NT的IP转发功能是禁止的，但注意不要启用，否则它会具有路由作用，被黑客利用来对其他服务器进行攻击。 13. 安装最新的MDAC 下载的站点为： /data/download.htm） §3.5.3 IIS设置 在Windows NT中是IIS4.0，对于IIS的设置对网络管理员提如下建议： 1. 只安装必要服务 IIS中的众多安全隐患是由一些其他的功能引起的，如果仅做一个WWW站点，就需要安装必须的服务，如WWW服务、FTP服务，这样减少入侵者利用这些漏洞攻击的机会。 2. 停止默认站点 停止默认的FTP站点、默认的Web站点、管理Web站点，在新的目录下新建WWW服务与FTP服务，默认的站点与管理Web站点含有大量有安全漏洞的文件，极易给黑客造成攻击机会。具体漏洞见所附安全文档。因此，必须禁止。同时，应该在新的目录下建立服务，这个目录千万不要放在InetPub\wwwroot下，最好放在与它不同的分区下。 3. 删除不必要的IIS扩展名映射 去掉.IDC、.HTR、.STM、.IDA、.HTW应用程序映射，如果.shtml、.shtm等无用，也应去掉。这些应用程序映射，具有大量安全隐患。具体的操作方法是，在相关的Web站点右击鼠标，选择“属性”然后选择“主目录” →“配置” →“应用程序映射”。 4. 安装新的ServicePack后，IIS的应用程序映射应重新设置 安装新的ServicePack后，某些应用程序映射又会出现，导致出现安全漏洞。这是管理员较易忽视的一点。 5. 设置IP拒绝访问列表 对于WWW服务，可以拒绝一些对站点有攻击嫌疑的地址，尤其对于FTP服务，如果只是自己公司上传文件，就可以只允许本公司的IP访问改FTP服务，这样，安全性大为提高。IIS可以设置允许或拒绝从特定IP发来的服务请求，有选择地允许特定节点的用户访问。可以通过设置来阻止指定IP地址外的网络用户访问你的Web服务器。 6. 禁止对FTP服务的匿名访问 如果允许对FTP服务做匿名访问，该匿名帐户就有可能被利用来获取更多的信息，以致对系统造成危害。 7. 建议使用W3C扩充日志文件格式 每天记录客户IP地址，用户名，服务器端口，方法，URI字根，HTTP状态，用户代理，而且每天均要审查日志。（最好不要使用缺省的目录，建议更换一个记日志的路径，同时设置日志的访问权限，只允许管理员和system为FullCoNTrol），作为一个重要措施，既可以发现攻击的迹象，采取预防措施，也可以作为受攻击的一个证据。 8. 慎重设置WEB站点目录的访问权限 一般情况下，不要给予目录以写入和允许目录浏览权限。只给予.ASP文件目录以脚本的权限，而不要给与执行权限。目录访问权限必须慎重设置，否则会被入侵者利用。 9. 解决IIS4以及之前的版本受到D.O.S攻击会停止服务 运行Regedt32.exe 在HKEY_LOCAL_MACHINE\SYSTEM\CurreNTCoNTrolSet\Services\w3svc\parameters 增加一个值： Value Name: MaxClieNTRequestBuffer Data Type: REG_DWORD 设置为十进制 具体数值设置为你想设定的IIS允许接受的URL最大长度。CNNS的设置为256。 10. 端口安全性的实现 对于IIS服务，无论是WWW站点、Fpt站点，还是NNpt、SMpt服务等都有各自侦听和接收浏览器请求的TCP端口号（Post），一般常用的端口号为：WWW是80，Fpt是21，SMpt是25，你可以通过修改端口号来提高IIS服务器的安全性。如果你修改了端口设置，只有知道端口号的用户才可以访问，不过用户在访问时需要指定新端口号。 11. IP转发的安全性 IIS服务可提供IP数据包的转发功能，此时，充当路由器角色的IIS服务器将会把从INTernet接口收到的IP数据包转发到内部网中，禁用这一功能将提高IIS服务的安全性。设置方法如下： 选择“开始”选单→“程序”→“MicrosoftINTernetServer(公用)