构建windows服务器的安全防护林

1、1 / 9构建Windows 2000服务器的安全防护林中小学校的校园网普遍应用Windows 2000作为服务器的操 作系统，但有些学校刚开始运行就遭到网络黑客的攻击，造成网络 崩溃。那么，安全问题如何解决？事实上不需要任何的软硬件的介 入，仅靠系统本身我们就能构建一个安全防护林。设置禁用，构建第一道防线在安装完Windows 2000后，首先要装上最新的系统补丁。但即使装上了，在因特网上的任何一台机器上只要输入“你的IP地址c$”，然后输入用户名Guest，密码空，就能进入你的C盘， 你依旧完全暴 露了。解决的方 法是禁用Guest账号， 为Administrator设置一个安全的密码，将

2、各驱动器的共享设为不共 享。同时你还要关闭不需要的服务。你能够在治理工具的服务中将 它们设置为禁用，但要提醒的是一定要慎重， 有的服务是不能禁用 的。 一般能够禁用的服务有Telnet、Task Scheduler（同意程序在指 定时刻运行）、Remote Registry Service（同意远程注册表操作）等。 这是你构建的服务器的第一道防线。设置IIS，构建第二道防线作为校园网的服务器， 专门多学校将该服务器同时作为网站服 务器， 而IIS2 / 9的漏洞也是一个棘手的问题。实际上，你能够通过简 单的设置，完全能够将网站的漏洞补上。你能够将IIS默认的服务 都停止（如图1, FTP服务你

3、是不需要的，要的话推举用Serv-U; “治 理Web站点”和“默认Web站点”都会给你带来苦恼；SMTP-般也不用），然后再新建一个Web站点。图1设置好常规内容后，在“属性-主目录”的配置中对应用程序 映射进行设置， 删除不需要的映射（如图2），这些映射是IIS受到攻 击的直接缘故。假如你需要CGI和PHP的话，可参阅一些资料进行 设置。3 / 9图2如此，配合常规设置，你的IIS就能够安全运行了，你的服务 器就有了第二道防线。运用扫描程序，堵住安全漏洞要做到全面解决安全问题，你需要扫描程序的关心。推举使用X-Sean（如图3），它能够关心你检测服务器的安全问题。图3扫描完成后，你要看一下

4、，是否存在口令漏洞，若有，则立即 要修改口令设置；再看一下是否存在IIS漏洞，若有，请检查IIS的设置。其他漏洞一般专门少存在，要提醒大伙儿的是注意开放的 端口，你能够将扫描到的端口记录下来，以方便进行下一步设置。4 / 9封锁端口，全面构建防线 黑客大多通过端口进行入侵，因此你的服务器只能开放你需要 的端口，那么你需要哪些端口呢？以下是常用端口，你可依照需要 取舍：80为Web网站服务；21为FTP服务；25为E-mail SMTP服务;110为Email POP3服务。其他还有SQL Server的端口1433等，你可到网上查找相关资5 / 9料。那些不用的端口一定要关闭！关闭这些端口，我

5、们能够通过Windows 2000的安全策略进行。 借助它的安全策略，完全能够阻止入侵者的攻击。你能够通过“治理工具f本地安全策略”进入， 右击“IP安全策略”，选择“创 建IP安全策略”，点下一步。输入安全策略的名称，点下一步, 一直到完成，你就创建了一个安全策略（如图4）：图4接着你要做的是右击“IP安全策略”， 进入治理IP筛选器和筛 选器操作，在治理IP筛选器列表中，你能够添加要封锁的端口，那 个地点以关闭ICMP和139端口为例讲明。关闭了ICMP黑客软件假如没有强制扫描功能就不能扫描到你 的机器，6 / 9也Ping不到你的机器。关闭ICMP的具体操作如下：点添 加，然后在名称中输

6、入“关闭ICMP，点右边的添加，再点下 一步。在源地址中选“任何IP地址”，点下一步。在目标地址 中选择“我的IP地址”，点下一步。在协议中选择“ICMP，点下一步。回到关闭ICMP属性窗口，即关闭了ICMP.下面我们再设置关闭139，同样在治理IP筛选器列表中点“添 加”，名称设置为“关闭139”，点右边的“添加”，点下一步。 在源地址中选择“任何IP地址”，点下一步。在目标地址中选择 “我的IP地址”，点下一步。在协议中选择“TCP，点下一步。 在设置IP协议端口中选择从任意端口到此端口，在此端口中输入139，点下一步。即完成关闭139端口，其他的端口也同样设置，结 果如图5。特不指出的是

7、关闭UDP4000能够禁止校园网中的机器使用QQ7 / 9图5然后进入设置治理筛选器操作，点“添加”，点下一步，在名 称中输入“拒绝”，点下一步。选择“阻止”，点下一步。 如图6。图6结果8 / 9然后关闭该属性页，右击新建的IP安全策略“安全”，打开属性页。在规则中选择“添加”，点下一步。选择“此规则不指定 隧道”，点下一步。在选择网络类型中选择“所有网络连接”，点 下一步。在IP筛选器列表中选择“关闭ICMP，点下一步。在筛 选器操作中选择“拒绝”，点下一步。如此你就将“关闭ICMP的筛选器加入到名为“安全”的IP安全策略中。同样的方法，你能够 将“关闭139”等其他筛选器加入进来。添加后的结果如图7。最后要做的