Windows 2000服务器系统IIS安全设置 和构建指南(4)
发布时间:2009-12-20 19:20:00
禁止空连接获取共享资源:修改的键值及取值是
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\RestrictNullSessAccess,REG_DWORD,1
当这个值设置为1时,空连接用户将不能访问任何共享;如果设置为0,那么空连接用户就可以连接到所有对Everyone组共享的程序或打印机上。
注意:修改这个键值可能会影响空连接对Named Pipes(名字管道)的访问。Named Pipes就是一个系统上的程序与另一个不同系统上的程序通讯的功能。在Win2K中设置了许多named pipes,例如Winreg以IPC机制允许在一个客户机器上运行Regedit并访问远程服务器的注册表文件,Netlogon通过一个named pipe使用RPC连接来进行登录认证,SMB (Server Message Blocks)使用named pipes进行网络上服务器之间的通讯。注册表中有关于空连接可以使用的named pipes列表,键值如下:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\NullSessionPipes
我们可以根据需要对以上列表中的字符串进行去除,但同样请注意:如果发现有些服务工作不正常,请再修改回来。
7、去除对其他操作系统的支持
Win2K可以很好地支持其他操作系统,允许例如OS/2和POSIX的应用程序向服务器发送请求以执行代码。这种功能通常叫做Win2K的子系统。Win2K的子系统一般情况下不会用到,但却是一个很大的安全漏洞,应该采取措施堵住它。关闭这个漏洞的最简单方法是去掉这个子系统,使它们无法使用。放心,这不会给Win2K服务器或IIS带来任何问题,因为它们是在Win32子系统中运行的。
禁止OS/2和POSIX要通过删除相关文件和改写相关注册表键值来完成,步骤如下:
删除“\%systemroot%\system32\os2”文件夹及其中所有内容。
删除“\HKLM\Software\Microsoft\OS/2 Subsystem for NT”下面所有的子键。
删除“\HKLM\System\CurrentControlSet\Control\Session Manager\Environment”中的值Os2LibPath。
清除“\HKLM\System\CurrentControlSet\Control\Session Manager\Subsystems”中Optional的内容,但是保留值Optional的名字。
删除“\HKLM\System\CurrentControlSet\Control\Session Manager\SubSystems ”中的值Os/2 和Posix。
重新启动。
8、合理调整页面文件的设置
需要处理的另一个问题是页面文件(page file)在系统上的存放位置。当应用程序或系统程序需要访问物理RAM时,Win2K使用页面文件作为应用程序代码的临时保存区。因此,硬盘驱动器上必须有足够的空间供页面文件使用,否则就会导致系统崩溃。避免出现这种情况的方法有:
在系统上尽可能多安装RAM。可用的物理RAM越多,系统运行的效率越高。
将所有的操作系统文件放置在自己的分区。这个分区中应该只包含操作系统文件和一个至少相当于物理RAM大小的页面文件。当系统遭遇一个STOP错误时,这个页面文件允许系统创建一个crashdump文件。
至少在另外一个分区上创建一个页面文件,其大小大约为物理RAM + 11 MB。如果可能的话,将这个页面文件放置在一个单独的物理驱动器上,这样系统执行I/O操作就更加有效。
配置系统服务和生成日志文件及扩展数据的应用程序,使它们写入的文件不在操作系统所在的驱动器上。
四、结 语
以上详细论述了使用Win2K和IIS5构建安全Internet网站的Win2K操作系统安全配置指南部分,如果是严格按照这些步骤装扮了Win2K,就可以说基本上做到了从“地面部分”全力堵截入侵者的攻击。要做到从“空中部分”拦截入侵,请看“Win2K Internet服务器安全构建指南(IIS篇)”。
0
投稿猜你喜欢
- 从真正接触网络到做个人站长,也就几年的事情,得出一个结论,做站长很辛苦。也许一个站长少了很多与别人谈笑的时间,却多了许多面对电脑独自思考的理
- 建立博客有助于打造卓越企业的核心要件。企业的核心需求如下所示:妙点子好产品能见度训练有素的团队,为企业的成功而努力不懈提升业务的创意,改善公
- 虚拟系统"的意思是"假的系统",亦即当一个使用者使用的是"虚拟系统"时,他所看到的系统档案
常说:“看书看皮,看报看题。”虽然此说不全面,但是从一个角度看出了标题的重要性,刚才在百度博客注册了- 环境:系统 WindowsApache 2.2加载Rewrite模块:在conf目录下httpd.conf中找到LoadModule rew
- 对于初创网站来说,最好从小的目标开始做起,即使资源、资金、人力等方面非常丰富,刚开始也最好从小处开始做起。确定网站定位的第一原则:小即是美。
- 网络的迅速发展使宽带走入寻常百姓家,广大网络爱好者也勇于尝试,在自己的机器上建设自己的网站,那么选择什么系统呢?Win 2000漏洞百出,W
- 有时候,我们需要在WINDOWS服务器中安装多个不同版本的PHP环境,或采用不同的PHP.ini配置,例如在使用中国E商务网的IONCUBE
- 如果要设置新建网站默认.NET版本,就在这里修改在确保你已经安装两个以上的.NET版本后如果看到ASP.NET选项卡的ASP.NET版本为灰
- 安装前准备通过rpm命令检查centos上是否已经安装mysql,然后卸载已经存在的mysql版本[root@localhost src]#
- 虽然说亡羊补牢可以将木马后门造成的损失降至最低,但最好的方法显然是防患于未然。1、后门防范基本功首先要关闭本机不用的端口或只允许指定的端口访
- 傻瓜才花钱买没有价值的流量从最初的饱受质疑到如今逐渐走上正轨,谷歌中国打破了跨国公司在华总是失败的魔咒。日前,谷歌大中华区总裁李开复在广州对
- VPN(Virtual Private Network,虚拟专用网络)是专用网络的延伸,它可以通过共享Internet或公共网络连接模拟点对
- 1.安装JDK1.1 检查当前虚拟机环境有没有JDK rpm -qa|grep java1.2 卸载 r
- 随着网络的发展和各种信息媒体的诞生,人们进行信息交流的方式和途径也越来越多,但是,由于现今的各种通信费用一直居高不下,且人们的生活节奏日趋加
- WordPress是一种使用PHP语言开发的博客平台,用户可以在支持PHP和MySQL 数据库的服务器上架设自己的博客。也可以把 WordP
- site语法格式:site : 网址 关键词 或者 关键词 site : 网址注意事项:1、site:后边跟的冒号必须是英文的“:”,中文的
- default encode为UTF-8,显示中文会变成乱码解决方案:Windows- >Pereferences- >Genr
- 12月2日消息,淘宝网昨天与华数数字电视传媒集团签署战略合作协议,双方将在在电视淘宝购物、数字产品、手机淘宝、口碑网便民服务等业务领域开展全
- 影响版本:BBSGood 5.0/5.0.2漏洞描述:BBSGOOD是国内首创使用缓存技术的论坛,BBSGOOD的帖子和列表首页是可以生成静
