欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  科技

网管员安全训练营--- 服务器安全 不容小视

程序员文章站 2022-05-09 20:17:14
网管员安全训练营--- 服务器安全 不容小视...

彻底杜绝ipc$攻击

windows 2000系统默认允许用户通过ipc$连接获得系统内所有账号和共享资源列表,它虽然为局域网用户共享资源提供方便,但也可能被任何一个“心怀叵测”的人所利用,给windows 2000系统带来严重安全隐患。即使通过修改“账户策略”增强系统安全,也是种“治标不治本”方法,还是不能杜绝ipc$入侵。

1. 禁止ipc$空连接

在windows 2000服务器端,点击“开始→运行”,在运行对话框中输入“regedit”命令,回车后,弹出注册表编辑器窗口,依次展开“hkey_local_machine\system
\currentcontrolset\control\lsa”,在右栏中找到“restrictanonymous” 项,将其键值修改为“1”,重新启动系统后就禁止ipc$空连接了。

2. 禁用默认隐藏共享

windows 2000系统默认情况下,磁盘所有盘符的状态都为隐藏共享,即使取消共享,下次重启后所有盘符依然自动共享。这种共享给windows 2000系统带来安全隐患,因此要禁用默认隐藏共享。

在注册表编辑器左栏中,依次展开“hkey_local_machine\system\currentcontrolset\
services\lanmanserver\parameters”,在右栏中找到“autoshareserver(dword)”键,将其键值改为“00000000”。

如果上面autoshareserver键不存在,我们可以进行手工创建,在右栏空白处单击右键,选择“新建→双字节值”,然后修改主键名称为“autoshareserver”,其键值为“00000000”。最后重新启动windows 2000系统,就取消了默认隐藏共享。
慎用guest账号

在windows工作组环境中,一般情况下,用户要使用guest账号访问共享资源。虽然guest账号为用户访问共享资源提供方便,但却给服务器留下严重安全隐患,因此建议禁用guest账号。

在windows 2000系统中,进入“控制面板→管理工具”,运行“计算机管理”工具,然后依次展开“计算机管理(本地)→系统工具→本地用户和组→用户”,找到guest账户。右键单击该账号,在guest属性对话框中,选中“账户已停用”选项,单击“确定”后,就禁用了guest账户,这时该账号出现一个红色的叉号。

此外,还可以通过修改组策略不允许guest账号从网络访问本机,达到禁用的目的。单击“开始→运行”,在运行框中输入“gpedit.msc”,在组策略窗口中依次展开“本地计算机策略→计算机配置→windows设置→安全设置→本地策略→用户权力指派”(如图),在右栏中找到“拒绝从网络访问这台计算机”项,打开后将guest账号添加到列表中,接着打开“从网络访问此计算机”项,在属性窗口中删除guest账号。

网管员安全训练营--- 服务器安全 不容小视
禁用了guest账号后,用户如何访问共享资源呢?对于规模较大的网络,使用域用户账号来控制对共享资源的访问。小规模的网络中,可以采用如下方法实现:在服务器端新建一个用户账号,并指定该账号的访问权限。然后在客户机中新建一个相同用户名和密码的账号,使用此账号登录客户机后,就能安全访问该账号所允许的共享资源,但这种方法要为网络中的每个客户机都要创建一个账号。如果大家感觉麻烦,也可以使用第三方文件共享软件。

我的“fso”你别动

为了实现企业网络化办公,需要启用windows 2000系统的iis服务,它对asp有良好的支持,因此很多企业网的办公系统、论坛、留言板都采用asp编程。但asp中的fso(filesystemobject)对象却有很大的安全隐患,一旦被“不怀好意”者利用,会导致整个系统的瘫痪,最简单的方法就是禁用它。单击“开始→运行”,在对话框中输入“regsvr32 /u scrrun.dll”命令,回车后弹出信息对话框,点击“确定”按钮后就禁用了fso对象。如果想再次使用fso对象也很简单,在运行对话框中输入“regsvr32 scrrun.dll”即可。