Windows 2000服务器系统IIS安全设置 和构建指南(4)
发布时间:2009-12-20 19:20:00
禁止空连接获取共享资源:修改的键值及取值是
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\RestrictNullSessAccess,REG_DWORD,1
当这个值设置为1时,空连接用户将不能访问任何共享;如果设置为0,那么空连接用户就可以连接到所有对Everyone组共享的程序或打印机上。
注意:修改这个键值可能会影响空连接对Named Pipes(名字管道)的访问。Named Pipes就是一个系统上的程序与另一个不同系统上的程序通讯的功能。在Win2K中设置了许多named pipes,例如Winreg以IPC机制允许在一个客户机器上运行Regedit并访问远程服务器的注册表文件,Netlogon通过一个named pipe使用RPC连接来进行登录认证,SMB (Server Message Blocks)使用named pipes进行网络上服务器之间的通讯。注册表中有关于空连接可以使用的named pipes列表,键值如下:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\NullSessionPipes
我们可以根据需要对以上列表中的字符串进行去除,但同样请注意:如果发现有些服务工作不正常,请再修改回来。
7、去除对其他操作系统的支持
Win2K可以很好地支持其他操作系统,允许例如OS/2和POSIX的应用程序向服务器发送请求以执行代码。这种功能通常叫做Win2K的子系统。Win2K的子系统一般情况下不会用到,但却是一个很大的安全漏洞,应该采取措施堵住它。关闭这个漏洞的最简单方法是去掉这个子系统,使它们无法使用。放心,这不会给Win2K服务器或IIS带来任何问题,因为它们是在Win32子系统中运行的。
禁止OS/2和POSIX要通过删除相关文件和改写相关注册表键值来完成,步骤如下:
删除“\%systemroot%\system32\os2”文件夹及其中所有内容。
删除“\HKLM\Software\Microsoft\OS/2 Subsystem for NT”下面所有的子键。
删除“\HKLM\System\CurrentControlSet\Control\Session Manager\Environment”中的值Os2LibPath。
清除“\HKLM\System\CurrentControlSet\Control\Session Manager\Subsystems”中Optional的内容,但是保留值Optional的名字。
删除“\HKLM\System\CurrentControlSet\Control\Session Manager\SubSystems ”中的值Os/2 和Posix。
重新启动。
8、合理调整页面文件的设置
需要处理的另一个问题是页面文件(page file)在系统上的存放位置。当应用程序或系统程序需要访问物理RAM时,Win2K使用页面文件作为应用程序代码的临时保存区。因此,硬盘驱动器上必须有足够的空间供页面文件使用,否则就会导致系统崩溃。避免出现这种情况的方法有:
在系统上尽可能多安装RAM。可用的物理RAM越多,系统运行的效率越高。
将所有的操作系统文件放置在自己的分区。这个分区中应该只包含操作系统文件和一个至少相当于物理RAM大小的页面文件。当系统遭遇一个STOP错误时,这个页面文件允许系统创建一个crashdump文件。
至少在另外一个分区上创建一个页面文件,其大小大约为物理RAM + 11 MB。如果可能的话,将这个页面文件放置在一个单独的物理驱动器上,这样系统执行I/O操作就更加有效。
配置系统服务和生成日志文件及扩展数据的应用程序,使它们写入的文件不在操作系统所在的驱动器上。
四、结 语
以上详细论述了使用Win2K和IIS5构建安全Internet网站的Win2K操作系统安全配置指南部分,如果是严格按照这些步骤装扮了Win2K,就可以说基本上做到了从“地面部分”全力堵截入侵者的攻击。要做到从“空中部分”拦截入侵,请看“Win2K Internet服务器安全构建指南(IIS篇)”。
0
投稿猜你喜欢
在Windows7面世之后,其华丽的界面、任务栏预览、快速跳转等一系列新特性令人爱不释手。而酷我音乐盒作为最优秀的网络音乐播放器,已经率先实- 国内知名的网站内容管理系统帝国CMS6.6测试版开源发布。在6.6版本中系统等各方面都进行了完善,新增更多实用功能,优化了更多细节。6.6版
- 我们认为,无论是经验非常丰富的发布商还是刚刚加入的发布商,都非常有必要了解他们在 Google 的广告网络“生态系统&a
- 今天看到几条这样的新闻:百度公司: 07年中国之最在线广告平台百度超新浪;百度在07年超越新浪成为中国最大在线广告平台;我认为这样的新闻传播
- 在入门篇,我们学会了SQL注入的判断方法,但真正要拿到网站的保密内容,是远远不够的。接下来,我们就继续学习如何从数据库中获取想要获得的内容,
- 国内知名的通用建站软件开发商phpwind今天再次推送新产品应用淘链接,据官方介绍,通过淘链接这一APP应用,把淘宝商品链接转换为佣金结算的
- 一个无厘头“水帖”成网民狂欢时刻24小时点击超700万,回帖超30万,成就网络匪夷所思“奇迹”7月16日早上10点59分,是一个见证“奇迹”
- 做了几个英文站其中有成功的也有失败的今天做了个总结英文站的确比中文站更加赚钱首先十分明显的就是有更多的广告联盟只接受英文站,也有不少广告联盟
- 做本地站比起其他的技术站或专题站都要难!第一:线下推广做地方站首先应该认识到的一点是:一定要花大力气做线下推广这与做一般意义上的普通站是不同
- 一在google和baidu查询您网站的主题,看看排名第一页的网站的反向链接。查询一个网站的反向链接查询方式:link:网站网址。然后联系这
- 我做互联网这个行业有5年了,一直做网站建设和推广销售。真正拥有自己的网站是去年。那时我是自己出来单干了,还有一个代理商赠送的一个代理平台,严
- 【搜狐IT消息】(文/雷风)6月25日,原微软中国总裁、盛大网络总裁唐骏在接受搜狐IT采访时对比尔·盖茨进行了评价,并回顾了与盖茨交往中难忘
- 十二月份,百度算法调整,结合地域查询功能,自动过滤信息,提示用户所在省市,将同城(同省)商品搜索结果放在最前端。比如搜索长沙家教,长沙的家教
- 1、必须把网站向google提交,可以加快收录速度。接口位于http://www.google.com/intl/zh-CN/add_url
- 如此成功的个人站长在中国站长中只能占据少数,像hao123的前主人,和广捷居的现主人,都是相对比较成功的,他们各自抓住了机遇,实现了大多数站
- 有句古话说得好:创业容易守业难,互联网创业亦如此。简单网站只要网上买了域名和空间,用成熟开源的cms系统,24小时之内网站就能上线,接下来就
- 由于Apache具有相当高的可移植性,它支持超过30种操作系统,包括Unix、Windows 及Darwin等系统,所以目前在网络上已注册的
- 网站优化设计是从网站的基本方向入手,着重网站的设计重点,达到完美设计网站的特点,综述这就叫网站优化设计,侯庆龙就总结了以下需要注意的地方,希
- “网站黑客”、“奥运黑客”,似乎最近成为了互联网安全方面的一个热话题,从Google上搜索“奥运黑客”一词,竟达646,000多项,可见所受
- 经常见到某些网站提供个人主页,显得很神气,其实你也可以开放你机器上的空间给别人,这很简单就能实现。只要你按照下面的提示对你的WWW服务器配置
