网络服务器的组建、配置与安全管理 第17章 打造服务器整体安全性.pptVIP

第17章 打造服务器整体安全性 17.1 巩固服务器的安全 17.1.1 利用Syskey实现系统双重加密 17.1.2 配置服务器不响应Ping命令 17.1.3 Windows 2000/XP/2003账号管理 17.1.4 修改IIS、Apache的Banner实现操作系统版本的隐藏 17.1.5 指定服务器的开放端口 17.1.6 禁用服务器相关程序 17.1.7 删除服务器的默认共享 17.1.8 提高服务器抗拒绝服务攻击能力 17.2 服务器与防火墙 (3) 找到Microsoft-IIS/5.1字段后，只要把此字段修改为想让IIS的Web服务器显示的Banner即可。我们将其修改为“ server/0.0”，然后选择【WinHex】程序菜单栏中的【文件】→【保存】命令，对所修改的w3svc.dll进行保存。 (4) 由于Windows 2000/XP/2003系统后台的文件具有保护机制，当系统发现重要的文件被修改后会恢复备份文件，如果无法恢复时将会弹出【Windows文件保护】对话框，提示Windows所需的文件已被替换成无法识别的版本，插入安装盘恢复该文件。在这里我们不用理会此提示，单击【取消】按钮，接着系统会再次提示用户决定不还原文件的原始版本，确实要保留这些不可识别的文件版本吗？此时单击【是】按钮即可。 (5) Banner修改已完成，接下来启动IIS服务。在【命令提示符】程序窗口中的命令提示符下输入“iisreset /start”命令启动IIS服务。 (6) 此时，同样在【命令提示符】程序下输入“telnet 2 80”命令，然后连续按两下回车键，就会在第二行发现Web服务器的版本信息已被修改为 server/0.0。这样可以迷惑入侵者，从而减小了服务器被攻击的几率。 除以上介绍的通过手工来修改Banner外，还可以利用第三方软件进行修改，如IIS/PWS Banner Edit、Apache-Win32 Banner Edit等就是修改系统Banner的小工具，而且操作简单。我们只需在它的New banner文本框中输入要修改的内容，然后单击Save to file按钮即可实现对Banner的修改，在这里不做介绍了。 (1) 右击桌面上的【网上邻居】图标，在弹出的快捷菜单中选择【属性】命令。 (2) 在打开的【网络和拨号连接】窗口中，右击【本地连接】图标，在弹出的快捷菜单中选择【属性】命令。 (3) 双击【本地连接属性】对话框中的【Internet协议(TCP/IP)】选项。 (4) 在弹出的【Internet协议(TCP/IP)属性】对话框中，单击【高级】按钮。 (5) 在【高级TCP/IP设置】对话框中，双击【TCP/IP筛选】选项。 (6) 这一步最为关键，在打开的【TCP/IP筛选】对话框中，可以看到在默认情况下服务器允许任何端口及IP协议开放。在此通过在相应的端口及IP协议上选择【只允许】单选按钮即可对TCP端口、UDP端口及IP协议进行封锁、过滤。例如，需要开放TCP的80端口进行Web服务，则在TCP端口上选择【只允许】单选按钮，然后单击【添加】按钮，在打开的【添加筛选器】对话框中的【TCP端口】文本框中输入“80”，然后单击“确定”按钮。 (7) TCP/IP筛选完成后，需要重新启动计算机方才能生效。 (1) 在系统的安装目录%systemroot%\system32文件夹下找到CMD.exe程序。 (2) 右击【CMD.exe】程序，在弹出的快捷菜单中选择【属性】命令，然后在【cmd.exe属性】对话框中选择【安全】选项卡(要使用NTFS分区才会用此选项卡)。 (3) 接下来对CMD进行权限分配的设置。这让我们又回想起了臭名昭著的UNICODE漏洞，它让一个稍懂计算机的人都可以通过IE程序来