9,513
社区成员
发帖
与我相关
我的任务
分享win2000server版的web服务器,寻求安全方案
我的web服务器,安装的是win2000的server版,经常受到黑客和病毒的袭击,安装杀毒软件对系统性能影响很大,请问那款杀毒软件性能较好,还有没有其他办法防止黑客和病毒的袭击
...全文
请发表友善的回复…
发表回复
cutezww 2003-07-03
- 打赏
- 举报
先安装微软发布的mbsasetup检查系统漏洞;
安装防火墙;
设置强口令
安装防火墙;
设置强口令
zhllwarez 2003-07-03
- 打赏
- 举报
我的设置:
防黑用(blackice)黑冰软件防火墙,杀毒用kv2003网络版.
公网接口安装天网II硬件防火墙。
入侵检测用snort。
防黑用(blackice)黑冰软件防火墙,杀毒用kv2003网络版.
公网接口安装天网II硬件防火墙。
入侵检测用snort。
二进制空间安全 2003-07-03
- 打赏
- 举报
除了选取好的杀毒软件外,2000自身设置也很重要!!!
推荐2000的设置如下:
1.系统开放的帐号要尽可能的少。并且严格控制所有帐户权限,轻易不要给帐号特殊权限。
2.重命名Administrator帐户,改为一个不易被猜到的用户名,以绝暴力破解的后患。
3.设置傀儡帐户,如新建立一个名为Administrator用户,属于普通user组,不要忘了在描述栏里写上“管理计算机(域)的内置帐户”,并且配置一个尽量复杂的口令,越复杂越好,来诱惑攻击者,拖住进攻者的脚步,同时,为这个帐户设置重型的审核和报警,例如可以设置登录脚本,等有人企图登录时,发出报警。
4.除原Administrator外,再增加一个属于Administrator组的帐号,这样做的好处有两方面:一方面,如果你自己忘了一个帐号的密码,还可以用另一个来登录,避免自己被锁在系统外面的尴尬,另一方面,万一黑客得到了一个帐户并更改口令,你也可以利用备用帐号来登录,夺回控制权。
5.将Guest帐号禁用,并且重命名为一个复杂的名字,设置一个复杂的口令,并将它从Guest组删除,这样做主要是为了对付有些攻击者,利用一些工具,将Guest帐号从一般用户提升到管理员组。
6.给所有用户帐号设置复杂的口令。windows中用户口令最多可以达到128位,但是,在NT4中,最多只可以到14位,所以为了保证向后兼容性,一般密码长度应该在8位以上14位以下,且必须同时包含字母,数字,特殊字符。不要使用一些常用的如iloveyou等单词,词组,当然,也没有必要设置一个如:djkd%^344??>sdf33*这么复杂的口令,你自己记忆起来也很有困难,可能你就会想办法把它记到纸上或其他地方,又造成了一定的隐患,所以,应该在Security和Easy之间寻找最佳的平衡点。
7.必须定期更改口令,这一点很重要。
8.设置帐号锁定和复位,这样,可以防止攻击者对帐号的暴力攻击!~
9.对于运行IIS的服务器,建议不要使用帐户锁定策略,因为黑客可以通过对帐号的反复登录尝试使其锁定,其后果就是任何人都无法访问IIS服务器,目前还没有解决的办法。
10.在“本地策略”的“安全选项”里,把“Lan Manager 身份验证级别”改为“仅发送NTLM响应”,这样即使入侵者借助Sniffer得到口令的hash也很难破解;还可以避免直接传递值的进攻方法-尽管这是一种比较高级的技巧,但是已经有人写出了可以利用的程序。把“对匿名连接的对外限制”设置为“没有显示匿名权限就无法访问”;启用“在关机时清理虚拟内存交换页面”;启用“登录屏幕上不要显示上次登录的用户名”。
11,打上系统所有的补丁,包括IIS!
最少的服务+最小的权限=最大的安全
推荐2000的设置如下:
1.系统开放的帐号要尽可能的少。并且严格控制所有帐户权限,轻易不要给帐号特殊权限。
2.重命名Administrator帐户,改为一个不易被猜到的用户名,以绝暴力破解的后患。
3.设置傀儡帐户,如新建立一个名为Administrator用户,属于普通user组,不要忘了在描述栏里写上“管理计算机(域)的内置帐户”,并且配置一个尽量复杂的口令,越复杂越好,来诱惑攻击者,拖住进攻者的脚步,同时,为这个帐户设置重型的审核和报警,例如可以设置登录脚本,等有人企图登录时,发出报警。
4.除原Administrator外,再增加一个属于Administrator组的帐号,这样做的好处有两方面:一方面,如果你自己忘了一个帐号的密码,还可以用另一个来登录,避免自己被锁在系统外面的尴尬,另一方面,万一黑客得到了一个帐户并更改口令,你也可以利用备用帐号来登录,夺回控制权。
5.将Guest帐号禁用,并且重命名为一个复杂的名字,设置一个复杂的口令,并将它从Guest组删除,这样做主要是为了对付有些攻击者,利用一些工具,将Guest帐号从一般用户提升到管理员组。
6.给所有用户帐号设置复杂的口令。windows中用户口令最多可以达到128位,但是,在NT4中,最多只可以到14位,所以为了保证向后兼容性,一般密码长度应该在8位以上14位以下,且必须同时包含字母,数字,特殊字符。不要使用一些常用的如iloveyou等单词,词组,当然,也没有必要设置一个如:djkd%^344??>sdf33*这么复杂的口令,你自己记忆起来也很有困难,可能你就会想办法把它记到纸上或其他地方,又造成了一定的隐患,所以,应该在Security和Easy之间寻找最佳的平衡点。
7.必须定期更改口令,这一点很重要。
8.设置帐号锁定和复位,这样,可以防止攻击者对帐号的暴力攻击!~
9.对于运行IIS的服务器,建议不要使用帐户锁定策略,因为黑客可以通过对帐号的反复登录尝试使其锁定,其后果就是任何人都无法访问IIS服务器,目前还没有解决的办法。
10.在“本地策略”的“安全选项”里,把“Lan Manager 身份验证级别”改为“仅发送NTLM响应”,这样即使入侵者借助Sniffer得到口令的hash也很难破解;还可以避免直接传递值的进攻方法-尽管这是一种比较高级的技巧,但是已经有人写出了可以利用的程序。把“对匿名连接的对外限制”设置为“没有显示匿名权限就无法访问”;启用“在关机时清理虚拟内存交换页面”;启用“登录屏幕上不要显示上次登录的用户名”。
11,打上系统所有的补丁,包括IIS!
最少的服务+最小的权限=最大的安全
yangminhua 2003-07-03
- 打赏
- 举报
我认为ericsun说得很对!最小的服务+最小的权限就是最大的安全!而且他说的这些思想也是很对的!在实际的应用中,我基本上是按照这种做法来管理我的web服务器!
ericsun 2003-07-03
- 打赏
- 举报
安全不是意见一劳永逸的事情,平时在服务器的维护过程中要经常注意:看日志中是否有可以的访问路径,网络上有许多配置安全服务器的文章,可以找来读一读。
此外,防火墙软件最好不要用,万一软件本身就有漏洞岂不是引狼入室。而且安装防火墙会严重影响访问速度。
最好的安全就是 最少的服务+最小的权限。 绝对的安全是不存在的。安全是一种意识,而不是一种行为。
如果是安装的 win2000 server 最好学习一下IIS的知识,现在发现的大部分漏洞都与他有关。经常去Microsoft的网站上看看,是不是又发现了什么新的漏洞,出了什么新的补丁。
此外,防火墙软件最好不要用,万一软件本身就有漏洞岂不是引狼入室。而且安装防火墙会严重影响访问速度。
最好的安全就是 最少的服务+最小的权限。 绝对的安全是不存在的。安全是一种意识,而不是一种行为。
如果是安装的 win2000 server 最好学习一下IIS的知识,现在发现的大部分漏洞都与他有关。经常去Microsoft的网站上看看,是不是又发现了什么新的漏洞,出了什么新的补丁。
xypok 2003-07-03
- 打赏
- 举报
up!
