WinNT/2KWeb站點安全解決方案(2)

5.系統(tǒng)啟動的等待時間設置為0秒，控制面板->系統(tǒng)->啟動/關閉，然后將列表顯示的默認值“30”改為“0”。(或者在boot.ini里將TimeOut 的值改為0)
    6.只開放必要的端口，關閉其余端口。
    說明：缺省情況下，所有的端口對外開放，黑客就會利用掃描工具掃描那些端口可以利用，這對安全是一個嚴重威脅。
    現(xiàn)將一些常用端口列表如下：
    端口 協(xié)議 應用程序
    21 TCP FTP
    25 TCP SMTP
    53 TCP DNS
    80 TCP HTTP SERVER
    1433 TCP SQL SERVER
    5631 TCP PCANYWHERE
    5632 UDP PCANYWHERE
    6(非端口) IP協(xié)議
    8(非端口) IP協(xié)議
    7.加強日志審核;
    說明：日志任何包括事件查看器中的應用、系統(tǒng)、安全日志，IIS中的WWW、SMTP、FTP日志、SQL SERVER日志等，從中可以看出某些攻擊跡象，因此每天查看日志是保證系統(tǒng)安全的必不可少的環(huán)節(jié)。安全日志缺省是不記錄，帳號審核可以從域用戶管理器——規(guī)則——審核中選擇指標;NTFS中對文件的審核從資源管理器中選取。要注意的一點是，只需選取你真正關心的指標就可以了，如果全選，則記錄數(shù)目太大，反而不利于分析;另外太多對系統(tǒng)資源也是一種浪費。
    8.加強數(shù)據(jù)備份;
    說明：這一點非常重要，站點的核心是數(shù)據(jù)，數(shù)據(jù)一旦遭到破壞后果不堪設想，而這往往是黑客們真正關心的東西;遺憾的是，不少網(wǎng)管在這一點上作的并不好，不是備份不完全，就是備份不及時。數(shù)據(jù)備份需要仔細計劃，制定出一個策略并作了測試以后才實施，而且隨著網(wǎng)站 的更新，備份計劃也需要不斷地調(diào)整。
    9.只保留TCP/IP協(xié)議，刪除NETBEUI、IPX/SPX協(xié)議;
    說明：網(wǎng)站需要的通訊協(xié)議只有TCP/IP，而NETBEUI是一個只能用于局域網(wǎng)的協(xié)議，IPX/SPX是面臨淘汰的協(xié)議，放在網(wǎng)站上沒有任何用處，反而會被某些黑客工具利用。
    10.停掉沒有用的服務，只保留與網(wǎng)站有關的服務和服務器某些必須的服務。
    說明：有些服務比如RAS服務、Spooler服務等會給黑客帶來可乘之機，如果確實沒有用處建議禁止掉，同時也能節(jié)約一些系統(tǒng)資源。但要注意有些服務是操作系統(tǒng)必須的服務，建議在停掉前查閱幫助文檔并首先在測試 服務器上作一下測試。
    11.隱藏上次登錄用戶名,修改注冊表Winnt4.0：
    HKEY_LOCAL_MacHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon 中增加DontDisplayLastUserName，將其值設為1。Windows2000中該項已經(jīng)存在，只需將其值改為1。
    說明：缺省情況下，上次登錄的用戶名會出現(xiàn)在登錄框中，這就為黑客猜測口令提供了線索，的方式就是隱藏上次登錄用戶名。
    12.不要起用IP轉(zhuǎn)發(fā)功能，控制面板->網(wǎng)絡->協(xié)議->TCP/IP協(xié)議->屬性，使這個選框為空。(NT)
    說明：缺省情況下，NT的IP轉(zhuǎn)發(fā)功能是禁止的，但注意不要啟用，否則它會具有路由作用，被黑客利用來對其他服務器進行攻擊。
    13.安裝最新的MDAC
    說明：MDAC為數(shù)據(jù)訪問部件，通常程序?qū)?shù)據(jù)庫的訪問都通過它，但它也是黑客攻擊的目標，為防止以前版本的漏洞可能會被帶入升級后的版本，建議卸載后安裝最新的版本。注意：在安裝最新版本前先做一下測試，因為有的數(shù)據(jù)訪問方式或許在新版本中不再被支持，這種情況下可以通過修改注冊表來檔漏洞，祥見漏洞測試文檔。