win2000安全入门.htm

图像处理学习的一些心得

                  Found出错页面通过URL重定向到一个定制HTM文件，可以让目前绝大多数CGI漏洞扫描器失灵。其实原因很简单，大多数CGI扫描器在编写时为了方便，都是通过查看返回页面的HTTP代码来判断漏洞是否存在的，例如，著名的IDQ漏洞一般都是通过取1.idq来检验，如果返回HTTP200，就认为是有这个漏洞，反之如果返回HTTP404就认为没有，如果你通过URL将HTTP404出错信息重定向到HTTP404.htm文件，那么所有的扫描无论存不存在漏洞都会返回HTTP200，90%的CGI扫描器会认为你什么漏洞都有，结果反而掩盖了你真正的漏洞，让入侵者茫然无处下手（武侠小说中常说全身漏洞反而无懈可击，难道说的就是这个境界？）不过从个人角度来说，我还是认为扎扎实实做好安全设置比这样的小技巧重要的多。<BR>最后，为了保险起见，你可以使用IIS的备份功能，将刚刚的设定全部备份下来，这样就可以随时恢复IIS的安全配置。还有，如果你怕IIS负荷过高导致服务器满负荷死机，也可以在性能中打开CPU限制，例如将IIS的最大CPU使用率限制在70%。<BR>&nbsp;3．账号安全：<BR>&nbsp;&nbsp;&nbsp; 
                  Win2000的账号安全是另一个重点，首先，Win2000的默认安装允许任何用户通过空用户得到系统所有账号/共享列表，这个本来是为了方便局域网用户共享文件的，但是一个远程用户也可以得到你的用户列表并使用暴力法破解用户密码。很多朋友都知道可以通过更改注册表</P>
                  <P>&nbsp;&nbsp;&nbsp; 
                  Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 
                  = 
                  1来禁止139空连接，实际上win2000的本地安全策略（如果是域服务器就是在域服务器安全和域安全策略中）就有这样的选项RestrictAnonymous（匿名连接的额外限制），这个选项有三个值：<BR>&nbsp;&nbsp;&nbsp; 
                  0：None. Rely on default 
                  permissions（无，取决于默认的权限）<BR>&nbsp;&nbsp;&nbsp; 1：Do not allow 
                  enumeration of SAM accounts and 
                  shares（不允许枚举SAM帐号和共享）<BR>&nbsp;&nbsp;&nbsp; 2：No access 
                  without explicit anonymous 
                  permissions（没有显式匿名权限就不允许访问）<BR>&nbsp;&nbsp;&nbsp; 
                  0这个值是系统默认的，什么限制都没有，远程用户可以知道你机器上所有的账号、组信息、共享目录、网络传输列表(NetServerTransportEnum等等，对服务器来说这样的设置非常危险。<BR>1这个值是只允许非NULL用户存取SAM账号信息和共享信息。<BR>2这个值是在win2000中才支持的，需要注意的是，如果你一旦使用了这个值，你的共享估计就全部完蛋了，所以我推荐你还是设为1比较好。 
                  </P>
                  <P>&nbsp;好了，入侵者现在没有办法拿到我们的用户列表，我们的账户安全了……慢着，至少还有一个账户是可以跑密码的，这就是系统内建的administrator，怎么办？我改改改，在计算机管理-&gt;用户账号中右击administrator然后改名，改成什么随便你，只要能记得就行了。<BR>&nbsp;&nbsp;&nbsp; 
                  不对不对，我都已经改了用户名了，怎么还是有人跑我管理员的密码？幸好我的密码够长，但是这也不是办法呀？嗯，那肯定是在本地或者Terminal 
                  Service的登录界面看到的，好吧，我们再来把HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\winlogon项中的Don’t 
                  Display Last User 
                  Name串数据改成1，这样系统不会自动显示上次的登录用户名。<BR>&nbsp;&nbsp;&nbsp; 
                  将服务器注册表HKEY_LOCAL_ MACHINE\SOFTWARE\Microsoft\ 
                  WindowsNT\CurrentVersion\Winlogon项中的Don't Display Last User 
                  Name串数据修改为1，隐藏上次登陆控制台的用户名。（哇，世界清静了）<BR>&nbsp;&nbsp;&nbsp; 
                  5．安全日志：我遇到过这样的情况，一台主机被别人入侵了，系统管理员请我去追查凶手，我登录进去一看：安全日志是空的，倒，请记住：Win2000的默认安装是不开任何安全审核的！那么请你到本地安全策略-&gt;审核策略中打开相应的审核，推荐的审核是：<BR>账户管理 
                  成功 失败<BR>登录事件 成功 失败<BR>对象访问 失败<BR>策略更改 成功 失败<BR>特权使用 
                  失败<BR>系统事件 成功 失败<BR>目录服务访问 失败<BR>账户登录事件 成功 
                  失败<BR>&nbsp;&nbsp;&nbsp; 
                  审核项目少的缺点是万一你想看发现没有记录那就一点都没辙；审核项目太多不仅会占用系统资源而且会导致你根本没空去看，这样就失去了审核的意义。<BR>与之相关的是：<BR>在账户策略-&gt;密码策略中设定：<BR>密码复杂性要求 
                  启用<BR>密码长度最小值 6位<BR>强制密码历史 5次<BR>最长存留期 
                  30天<BR>在账户策略-&gt;账户锁定策略中设定：<BR>账户锁定 3次错误登录<BR>锁定时间 
                  20分钟<BR>复位锁定计数 20分钟</P>
                  <P>&nbsp;&nbsp;&nbsp; 同样，Terminal 
                  Service的安全日志默认也是不开的，我们可以在Terminal Service 
                  Configration（远程服务配置）-权限-高级中配置安全审核，一般来说只要记录登录、注销事件就可以了。 </P>
                  <P>7.目录和文件权限：<BR>&nbsp;&nbsp;&nbsp; 
                  为了控制好服务器上用户的权限，同时也为了预防以后可能的入侵和溢出，我们还必须非常小心地设置目录和文件的访问权限，NT的访问权限分为：读取、写入、读取及执行、修改、列目录、完全控制。在默认的情况下，大多数的文件夹对所有用户（Everyone这个组）是完全敞开的（Full 
                  Control），你需要根据应用的需要进行权限重设。<BR>&nbsp;&nbsp;&nbsp; 
                  在进行权限控制时，请记住以下几个原则：<BR>1&gt;限是累计的：如果一个用户同时属于两个组，那么他就有了这两个组所允许的所有权限；<BR>2&gt;拒绝的权限要比允许的权限高（拒绝策略会先执行）如果一个用户属于一个被拒绝访问某个资源的组，那么不管其他的权限设置给他开放了多少权限，他也一定不能访问这个资源。所以请非常小心地使用拒绝，任何一个不当的拒绝都有可能造成系统无法正常运行；<BR>3&gt;文件权限比文件夹权限高（这个不用解释了吧？）<BR>4&gt;利用用户组来进行权限控制是一个成熟的系统管理员必须具有的优良习惯之一；<BR>5&gt;仅给用户真正需要的权限，权限的最小化原则是安全的重要保障；</P>
                  <P>8.预防DoS：<BR>在注册表HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters中更改以下值可以帮助你防御一定强度的DoS攻击<BR>SynAttackProtect 
                  REG_DWORD 2<BR>EnablePMTUDiscovery REG_DWORD 
                  0<BR>NoNameReleaseOnDemand REG_DWORD 1<BR>EnableDeadGWDetect 
                  REG_DWORD 0<BR>KeepAliveTime REG_DWORD 
                  300,000<BR>PerformRouterDiscovery REG_DWORD 
                  0<BR>EnableICMPRedirects REG_DWORD 0</P>
                  <P>&nbsp;&nbsp;&nbsp; 
                  ICMP攻击：ICMP的风暴攻击和碎片攻击也是NT主机比较头疼的攻击方法，其实应付的方法也很简单，win2000自带一个Routing 
                  &amp; Remote 
                  Access工具，这个工具初具路由器的雏形（微软真是的，什么都要做？听说最近又要做防火墙了）在这个工具中，我们可以轻易的定义输入输出包过滤器，例如，设定输入ICMP代码255丢弃就表示丢弃所有的外来ICMP报文（让你炸？我丢、丢、丢）</P>
                  <P>四、 
                  需要注意的一些事：<BR>实际上，安全和应用在很多时候是矛盾的，因此，你需要在其中找到平衡点，毕竟服务器是给用户用而不是做OPEN 
                  HACK的，如果安全原则妨碍了系统应用，那么这个安全原则也不是一个好的原则。<BR>网络安全是一项系统工程，它不仅有空间的跨度，还有时间的跨度。很多朋友（包括部分系统管理员）认为进行了安全配置的主机就是安全的，其实这其中有个误区：我们只能说一台主机在一定的情况一定的时间上是安全的，随着网络结构的变化、新的漏洞的发现，管理员/用户的操作，主机的安全状况是随时随地变化着的，只有让安全意识和安全制度贯穿整个过程才能做到真正的安全。<BR>本文在撰写过程中参阅了大量Win2000安全的文章，在此向这些作者表示感谢。 
                  </P>
                  <P>提高IIS 5.0网站伺服器的执行效率的八种方法<BR>　以下是提高IIS 
                  5.0网站伺服器的执行效率的八种方法：<BR>　1. 启用HTTP的持续作用可以改善15~20%的执行效率。</P>
                  <P>　2. 不启用记录可以改善5~8%的执行效率。</P>
                  <P>　3. 使用 [独立] 的处理程序会损失20%的执行效率。</P>
                  <P>　4. 增加快取记忆体的保存档案数量，可提高Active Server Pages之效能。</P>
                  <P>　5. 勿使用CGI程式。</P>
                  <P>　6. 增加IIS 5.0电脑CPU数量。</P>
                  <P>　7. 勿启用ASP侦错功能。</P>
                  <P>　8. 静态网页采用HTTP 压缩，大约可以减少20%的传输量。</P>
                  <P>　简单介绍如下。</P>
                  <P>　1、启用HTTP的持续作用</P>
                  <P>　启用HTTP的持续作用（Keep-Alive）时，IIS与浏览器的连线不会断线，可以改善执行效率，直到浏览器关闭时连线才会断线。因为维持「Keep-Alive」状态时，於每次用户端请求时都不须重新建立一个新的连接，所以将改善伺服器的效率。<BR>　此功能为HTTP 
                  1.1预设的功能，HTTP 1.0加上Keep-Alive 
                  header也可以提供HTTP的持续作用功能。<BR>　2、启用HTTP的持续作用可以改善15~20%的执行效率。<BR>　如何启用HTTP的持续作用呢？步骤如下：<BR>　在 
                  [Internet服务管理员] 中，选取整个IIS电脑、或Web站台，於 [内容] 之 [主目录] 页，勾选 
                  [HTTP的持续作用] 选项。<BR>　3、不启用记录</P>
                  <P>　不启用记录可以改善5~8%的执行效率。</P>
                  <P>　如何设定不启用记录呢？步骤如下：</P>
                  <P>　在 [Internet服务管理员] 中，选取整个IIS电脑、或Web站台，於 [内容] 之 [主目录] 页，不勾选 
                  [启用记录] 选项。</P>
                  <P>　设定非独立的处理程序</P>
                  <P>　使用 [独立] 的处理程序会损失20%的执行效率，此处所谓「独立」系指将 [主目录]、[虚拟目录] 
                  页之应用程式保护选项设定为 [高（独立的）] 时。因此 [应用程式保护] 设定为 [低 (IIS处理程序)] 
                  时执行效率较高，设定画面如下：</P>
                  <P>　如何设定非「独立」的处理程序呢？步骤如下：</P>
                  <P>　在 [Internet服务管理员] 中，选取整个IIS电脑、Web站台、或应用程式的起始目录。於 [内容] 之 
                  [主目录]、[虚拟目录] 页，设定应用程式保护选项为 [低 (IIS处理程序)] 。</P>
                  <P>　4、调整快取（Cache）记忆体</P>
                  <P>　IIS 5.0将静态的网页资料暂存於快取（Cache）记忆体当中；IIS 
                  4.0则将静态的网页资料暂存於档案当中。调整快取（Cache）记忆体的保存档案数量可以改善执行效率。</P>
                  <P>　ASP指令档案执行过後，会在暂存於快取（Cache）记忆体中以提高执行效能。增加快取记忆体的保存档案数量，可提高Active 
                  Server Pages之效能。</P>
                  <P>　可以设定所有在整个IIS电脑、「独立」Web站台、或「独立」应用程式上执行之应用程式的快取记忆体档案数量。</P>
                  <P>　如何设定快取（Cache）功能呢？步骤如下：</P>
                  <P>　在 [Internet服务管理员] 中，选取整个IIS电脑、「独立」Web站台、或「独立」应用程式的起始目录。於 
                  [内容] 之 [主目录]、[虚拟目录] 页，按下 [设定] 按钮时，即可由 [处理程序选项] 页设定 [指令档快取记忆体] 
                  。</P>
                  <P>　如何设定快取（Cache）记忆体档案数量呢？步骤如下：</P>
                  <P>　在 [Internet服务管理员] 中，选取整个IIS电脑、或Web站台的起始目录。於 [内容] 之 
                  [伺服器扩充程式] 页，按下 [设定] 按钮。</P>
                  <P>　即可设定快取（Cache）记忆体档案数量。</P>
                  <P>　5、勿使用CGI程式</P>
                  <P>　使用CGI程式时，因为处理程序（Process）须不断地产生与摧毁，造成执行效率不佳。</P>
                  <P>　一般而言，执行效率比较如下：</P>
                  <P>　 　 静态网页（Static）：100</P>
                  <P>　 　 ISAPI：50</P>
                  <P>　 　 ASP：10</P>
                  <P>　 　 CGI：1</P>
                  <P>　换句话说，ASP比CGI可能快10倍，因此勿使用CGI程式可以改善IIS的执行效率。</P>
                  <P>　以弹性（Flexibility）而言：ASP &gt; CGI &gt; ISAPI &gt; 
                  静态网页（Static）。</P>
                  <P>　以安全（Security）而言：ASP（独立） = ISAPI（独立）= CGI &gt; ASP（非独立） = 
                  ISAPI（非独立）= 静态网页（Static）。</P>
                  <P>　6、增加IIS 5.0电脑CPU数量</P>
                  <P>　根据微软的测试报告，增加IIS 4.0电脑CPU数量，执行效率并不会改善多少；但是增加IIS 
                  5.0电脑CPU数量，执行效率会几乎成正比地提供，换句话说，两颗CPU的IIS 
                  5.0电脑执行效率几乎是一颗CPU电脑的两倍，四颗CPU的IIS 5.0电脑执行效率几乎是一颗CPU电脑的四倍。</P>
                  <P>　IIS 5.0将静态的网页资料暂存於快取（Cache）记忆体当中；IIS 
                  4.0则将静态的网页资料暂存於档案当中。调整快取（Cache）记忆体的保存档案数量可以改善执行效率。</P>
                  <P>　7、启用ASP侦错功能</P>
                  <P>　勿启用ASP侦错功能可以改善执行效率。</P>
                  <P>　如何勿启用ASP侦错功能呢？步骤如下：</P>
                  <P>　於 [Internet服务管理员] 中，选取Web站台、或应用程式的起始目录，按右键选择 [内容]，按 
                  [主目录]、[虚拟目录] 或 [目录] 页，按下 [设定] 按钮，选择 [应用程式侦错] 页，不勾选 
                  [启用ASP伺服器端指令侦错]、[启用ASP用户端指令侦错] 选项。</P>
                  <P>　8、静态网页采用HTTP 压缩</P>
                  <P>　静态网页采用HTTP 压缩，大约可以减少20%的传输量。</P>
                  <P>　HTTP压缩功能启用或关闭，系针对整台IIS伺服器来设定。</P>
                  <P>　用户端使用IE 5.0浏览器连线到已经启用HTTP压缩IIS 5.0之Web伺服器，才有HTTP压缩功能。</P>
                  <P>　如何启用HTTP压缩功能呢？步骤如下：</P>
                  <P>　若要启用HTTP压缩功能，方法为在 [Internet服务管理员] 中，选取电脑之 [内容]，於 [主要内容] 
                  之下选取 [WWW服务]。然後按一下 [编辑] 按钮，於 [服务] 页上，选取 [压缩静态档案] 可以压缩静态档案，不选取 
                  [压缩应用程式档案] 。</P>
                  <P>　动态产生的内容档案（压缩应用程式档案）也可以压缩，但是须耗费额外CPU处理时间，若% Processor 
                  Time已经百分之八十或更多时，建议不要压缩<BR>&nbsp;<BR>&nbsp;</P></TD></TR></TBODY></TABLE></TD></TR>
        <TR>
          <TD colSpan=2>
            <TABLE 
            style="BORDER-TOP: #6687ba 1px solid; BORDER-BOTTOM: #6687ba 1px solid" 
            height=50 cellSpacing=5 cellPadding=0 width="100%" border=0>
              <TBODY>
              <TR>
                <TD>
                  <LI>上一篇文章： <A 
                  title="文章标题：从四个方面谈Windows&nbsp;2000的安全设置&#13;&#10;作    者：佚名&#13;&#10;更新时间：2004-1-2 3:18:24&#13;&#10;点击次数：1628" 
                  href="http://www.szgm.com.cn/landiy/Article_Show.asp?ArticleID=700">从四个方面谈Windows&nbsp;2000的安全设置</A>