Windows Server 2003作為Microsoft 最新推出的服務(wù)器操作系統(tǒng),相比Windows 2000/XP系統(tǒng)來說,各方面的功能確實得到了增強,尤其在安全方面,總體感覺做的還算不錯。但“金無足赤”任何事物也沒有十全十美的,微軟Windows 2003也是如此,照樣存在著系統(tǒng)漏洞、存在著不少安全隱患!無論你用計算機欣賞音樂、上網(wǎng)沖浪、運行游戲,還是編寫文檔都要不可避免地遭受新病毒泛濫時的威脅,如何讓W(xué)indows Server 2003更加安全,成為廣大用戶十分關(guān)注的問題。
一、 取消IE安全提示對話框
面對黑客組織惡意程序的攻擊,微軟公司一直都在努力致力于降低產(chǎn)品的安全隱患,這是有目共睹的。微軟新一代的Windows Server 2003操作系統(tǒng)在安全性能方面就得到了加強。比如在使用Windows Server 2003自帶的IE瀏覽器瀏覽網(wǎng)頁時,每次都會彈出一個安全提示框,“不厭其煩”地提示我們,是否需要將當(dāng)前訪問的網(wǎng)站添加到自己信任的站點中去;如果表示不信任的話,只能單擊“關(guān)閉”按鈕;而要是想瀏覽該站點的話,就必須單擊“添加”按鈕,將該網(wǎng)頁添加到信任網(wǎng)站的列表中去。不過每次訪問網(wǎng)頁,都要經(jīng)過這樣的步驟,實在是太煩瑣了。其實我們可以通過下面的方法來讓IE取消對網(wǎng)站安全性的檢查:
1.一旦系統(tǒng)打開安全提示頁面時,你可以用鼠標(biāo)將其中的“當(dāng)網(wǎng)站的內(nèi)容被堵塞時繼續(xù)提示”復(fù)選項選中;
2.在瀏覽界面中,用鼠標(biāo)單擊“工具”菜單項,從打開的下拉菜單中執(zhí)行“Internet選項”命令;
3.在彈出的選項設(shè)置界面中,你可以將系統(tǒng)默認(rèn)狀態(tài)下的最高安全級別設(shè)置為中等級別;
4.設(shè)置時,只要在“安全”標(biāo)簽頁面中,拖動其中的安全滑塊到“中”位置處就可以了;
5.完成設(shè)置后,單擊“確定”按鈕,就可以將瀏覽器的安全自動提示頁面取消了。
經(jīng)過修改IE的默認(rèn)安全級別的設(shè)置,再上網(wǎng)的時候,IE就不會自動去檢查網(wǎng)站的安全性了,麻煩解決了吧!
二、重新支持ASP腳本
提起ASP(ActiveServerPage)大家都會聯(lián)想到Windows,它以其強大的功能,簡單易學(xué)的特點而受到廣大WEB開發(fā)人員的喜歡。但為了將系統(tǒng)安全隱患降到最低限度,Windows Server 2003操作系統(tǒng)在默認(rèn)狀態(tài)下,是不支持ASP腳本運行的——系統(tǒng)將不會再對網(wǎng)站中的ASP代碼進行任何的操作;但現(xiàn)在許多網(wǎng)頁的服務(wù)功能多是通過ASP腳本來實現(xiàn)的,怎么辦?其實我們完全可以在系統(tǒng)安全得到保障的前提下,讓系統(tǒng)重新支持ASP腳本。具體實現(xiàn)的方法為:
1.在系統(tǒng)的開始菜單中,依次單擊“管理工具”/“Internet信息服務(wù)管理器”命令(如圖1)。
圖1
2.在隨后出現(xiàn)的Internet信息服務(wù)屬性設(shè)置窗口中,用鼠標(biāo)選中左側(cè)區(qū)域中的“Web服務(wù)器擴展”選項;
3.接著在對應(yīng)該選項右側(cè)的區(qū)域中,用鼠標(biāo)雙擊“Actives server pages”選項,然后將“任務(wù)欄”設(shè)置項處的“允許”按鈕單擊一下,系統(tǒng)中的IIS6就可以重新支持ASP腳本了(如圖2)。
圖2
用戶最關(guān)心的問題大概就是原有的ASP組件是否還可以繼續(xù)使用?我可以告訴大家,經(jīng)這番修改設(shè)置,系統(tǒng)中的IIS6重新支持ASP腳本了,一切的操作是不是很簡單啊!
三、清除默認(rèn)共享隱患
使用Windows Server 2003的用戶都會碰到一個問題,就是系統(tǒng)在默認(rèn)安裝時,都會產(chǎn)生默認(rèn)的共享文件夾。雖然用戶并沒有設(shè)置共享,但每個盤符都被Windows自動設(shè)置了共享,其共享名為盤符
后面加一個符號$(共享名稱分別為c$、d$、ipc$以及admin$)。也就是說,只要攻擊者知道了該系統(tǒng)的管理員密碼,就有可能通過“\\工作站名\共享名稱”的方法,來打開系統(tǒng)的指定文件夾,如此一來,用戶精心設(shè)置的安全防范豈不成了擺設(shè)?還有安全嘛!為此,我們很有必要將Windows Server 2003系統(tǒng)默認(rèn)的共享隱患,立即從系統(tǒng)中清除掉。
1、刪除Windows Server 2003默認(rèn)共享
首先編寫如下內(nèi)容的批處理文件:
@echo off
net share C$ /del
net share D$ /del
net share E$ /del
net share F$ /del
net share admin$ /del
以上文件的內(nèi)容用戶可以根據(jù)自己需要進行修改。保存為delshare.bat,存放到系統(tǒng)所在文件夾下的system32\GroupPolicy\User\Scripts\Logon目錄下。然后在開始菜單→運行中輸入gpedit.msc,
回車即可打開組策略編輯器。點擊用戶配置→Windows設(shè)置→腳本(登錄/注銷)→登錄(如圖3)。
圖3
在出現(xiàn)的“登錄 屬性”窗口中單擊“添加”,會出現(xiàn)“添加腳本”對話框,在該窗口的“腳本名”欄中輸入delshare.bat,然后單擊“確定”按鈕即可(如圖4)。
圖4
重新啟動計算機系統(tǒng),就可以自動將系統(tǒng)所有的隱藏共享文件夾全部取消了,這樣就能將系統(tǒng)安全隱患降低到最低限度。
2、禁用IPC連接
IPC$(Internet Process Connection)是共享“命名管道”的資源,它是為了讓進程間通信而開放的命名管道,通過提供可信任的用戶名和口令,連接雙方計算機即可以建立安全的通道并以此通道進行加密數(shù)據(jù)的交換,從而實現(xiàn)對遠(yuǎn)程計算機的訪問。它是Windows NT/2000/XP/2003特有的功能,但它有一個特點,即在同一時間內(nèi),兩個IP之間只允許建立一個連接。NT/2000/XP/2003在提供了ipc$功能的同時,在初次安裝系統(tǒng)時還打開了默認(rèn)共享,即所有的邏輯共享(c$,d$,e$……)和系統(tǒng)目錄winnt或windows(admin$)共享。所有的這些,微軟的初衷都是為了方便管理員的管理,但也為簡稱為IPC入侵者有意或無意的提供了方便條件,導(dǎo)致了系統(tǒng)安全性能的降低。在建立IPC的連接中不需要任何黑客工具,在命令行里鍵入相應(yīng)的命令就可以了,不過有個前提條件,那就是你需要知道遠(yuǎn)程主機的用戶名和密碼。打開CMD后輸入如下命令即可進行連接:net use\\ip\ipc$ "password" /user:"usernqme"。我們可以通過修改注冊表來禁用IPC連接。打開注冊表編輯器。找到如下組建HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa中的restrictanonymous子鍵,將其值改為1即可禁用IPC連接(如圖5)。
圖5
四、清空遠(yuǎn)程可訪問的注冊表路徑
大家都知道,Windows 2003操作系統(tǒng)提供了注冊表的遠(yuǎn)程訪問功能,只有將遠(yuǎn)程可訪問的注冊表路徑設(shè)置為空,這樣才能有效的防止黑客利用掃描器通過遠(yuǎn)程注冊表讀取計算機的系統(tǒng)信息及其它信息(如圖6)。
圖6
打開組策略編輯器,依次展開“計算機配置→Windows 設(shè)置→安全設(shè)置→本地策略→安全選項”,在右側(cè)窗口中找到“網(wǎng)絡(luò)訪問:可遠(yuǎn)程訪問的注冊表路徑”,然后在打開的窗口中,將可遠(yuǎn)程訪問的注冊表路徑和子路徑內(nèi)容全部設(shè)置為空即可(如圖7)。
圖7
五、關(guān)閉不必要的端口
對于個人用戶來說安裝中默認(rèn)的有些端口確實是沒有什么必要的,關(guān)掉端口也就是關(guān)閉無用的服務(wù)。139端口是NetBIOS協(xié)議所使用的端口,在安裝了TCP/IP 協(xié)議的同時,NetBIOS 也會被作為默認(rèn)設(shè)置安裝到系統(tǒng)中。139端口的開放意味著硬盤可能會在網(wǎng)絡(luò)中共享;網(wǎng)上黑客也可通過NetBIOS知道你的電腦中的一切!在以前的Windows版本中,只要不安裝Microsoft網(wǎng)絡(luò)的文件和打印共享協(xié)議,就可關(guān)閉139端口。但在Windows Server 2003中,只這樣做是不行的。如果想徹底關(guān)閉139端口,具體步驟如下:
鼠標(biāo)右鍵單擊“網(wǎng)絡(luò)鄰居”,選擇“屬性”,進入“網(wǎng)絡(luò)和撥號連接”,再用鼠標(biāo)右鍵單擊“本地連接”,選擇“屬性”,打開“本地連接 屬性”頁(如圖8),
圖8
然后去掉“Microsoft網(wǎng)絡(luò)的文件和打印共享”前面的“√”(如圖9),
圖9
圖10
對于個人用戶來說,可以在各項服務(wù)屬性設(shè)置中設(shè)為“禁用”,以免下次重啟服務(wù)也重新啟動,端口也開放了。
假如你的電腦中還裝了IIS,你最好重新設(shè)置一下端口過濾。步驟如下:選擇網(wǎng)卡屬性,然后雙擊“Internet協(xié)議(TCP/IP)”,在出現(xiàn)的窗口中單擊“高級”按鈕,會進入“高級TCP/IP設(shè)置”窗口,接下來選擇“選項”標(biāo)簽下的“TCP/IP 篩選”項,點“屬性”按鈕,會來到“TCP/IP 篩選”的窗口,在該窗口的“啟用TCP/IP篩選(所有適配器)”前面打上“√”,然后根據(jù)需要配置就可以了。如果你只打算瀏覽網(wǎng)頁,則只開放TCP端口80即可,所以可以在“TCP端口”上方選擇“只允許”,然后單擊“添加”按鈕,輸入80再單擊“確定”即可(如圖11)
圖11
六、杜絕非法訪問應(yīng)用程序
Windows Server 2003是一種服務(wù)器操作系統(tǒng),為了防止登陸到其中的用戶,隨意啟動服務(wù)器中的應(yīng)用程序,給服務(wù)器的正常運行帶來不必要的麻煩,我們很有必要根據(jù)不同用戶的訪問權(quán)限,來限制。
他們?nèi)フ{(diào)用應(yīng)用程序。實際上我們只要使用組策略編輯器作進一步的設(shè)置,即可實現(xiàn)這一目的,具體步驟如下:
打開“組策略編輯器”的方法為:依次點擊“開始→運行”,在“運行”對話框中鍵入“gpedit.msc”命令并回車,即可打開“組策略編輯器”窗口。然后依次打開“組策略控制臺→用戶配置→管理模
圖12
然后點擊下面的“允許的應(yīng)用程序列表”邊的“顯示”按鈕,彈出一個“顯示內(nèi)容”對話框,在此單擊“添加”按鈕來添加允許運行的應(yīng)用程序即可(如圖13)。
圖13
