讓你的win 2003更安全的幾大措施(2)

　　第四步：關(guān)閉不需要的端口

　　大家都知道，139端口是Netbios使用的端口，在以前的Windows版本中，只要不安裝Microsoft網(wǎng)絡(luò)的文件和打印共享協(xié)議，就可關(guān)閉139端口。在Windows Server 2003中，只這樣做是不行的。如果想徹底關(guān)閉139端口，方法如下：鼠標(biāo)右鍵單擊“網(wǎng)絡(luò)鄰居”，選擇“屬性”，進(jìn)入“網(wǎng)絡(luò)和撥號連接”，再用鼠標(biāo)右鍵單擊“本地連接”，選擇“屬性”，打開“本地連接屬性”頁，然后去掉“Microsoft網(wǎng)絡(luò)的文件和打印共享”前面的“√”，接下來選中“Internet協(xié)議(TCP/IP)”，單擊“屬性”→“高級”→“WINS”，把“禁用TCP/IP上的NetBIOS”選中，即大功告成!這樣做還可有效防止SMBCrack之類工具破解和利用網(wǎng)頁得到我們的NT散列。

　　如果你的機(jī)子還裝了IIS，你最好設(shè)置一下端口過濾。方法如下：選擇網(wǎng)卡屬性，然后雙擊 “Internet協(xié)議(TCP/IP)”，在出現(xiàn)的窗口中單擊“高級”按鈕，會進(jìn)入“高級TCP/IP設(shè)置”窗口，接下來選擇“選項(xiàng)”標(biāo)簽下的 “TCP/IP 篩選”項(xiàng)，點(diǎn)“屬性”按鈕，會來到“TCP/IP 篩選”的窗口，在該窗口的“啟用TCP/IP篩選(所有適配器)”前面打上“√”，然后根據(jù)需要配置就可以了。

　　比方說如果你只打算瀏覽網(wǎng)頁，則只開放TCP端口80即可，所以可以在“TCP端口”上方選擇“只允許”，然后單擊“添加”按鈕，輸入80再單擊“確定”即可。如果有其他需要可如法炮制。

　　以上就是初步的安全設(shè)置下面在說說其他方面的安全：

　　(一)重新支持ASP腳本

　　為了將系統(tǒng)安全隱患降到最低限度，Windows Server 2003操作系統(tǒng)在默認(rèn)狀態(tài)下，是不支持ASP腳本運(yùn)行的;不過現(xiàn)在許多網(wǎng)頁的服務(wù)功能多是通過ASP腳本來實(shí)現(xiàn)的，為此，我們很有必要在安全有保障的前提下，讓系統(tǒng)重新支持ASP腳本。具體實(shí)現(xiàn)的方法為：

　　1.在系統(tǒng)的開始菜單中，依次單擊“管理工具”/“Internet信息服務(wù)管理器”命令;

　　2.在隨后出現(xiàn)的Internet信息服務(wù)屬性設(shè)置窗口中，用鼠標(biāo)選中左側(cè)區(qū)域中的“Web服務(wù)器設(shè)置”

　　3.接著在對應(yīng)該選項(xiàng)右側(cè)的區(qū)域中，用鼠標(biāo)雙擊“Actives server pages”選項(xiàng)，然后將“任務(wù)欄”設(shè)置項(xiàng)處的“允許”按鈕單擊一下，系統(tǒng)中的II6就可以重新支持ASP腳本了。

　　(二)添加站點(diǎn)到“信任區(qū)域”

　　Windows Server 2003操作系統(tǒng)使用了一個安全插件，為用戶提供了增強(qiáng)的安全服務(wù)功能，利用該功能你可以自定義網(wǎng)站訪問的安全性。在缺省狀態(tài)下，Windows Server 2003操作系統(tǒng)會自動啟用增強(qiáng)的安全服務(wù)功能，并將所有被訪問的Internet站點(diǎn)的安全級別設(shè)置為“高”。對于頻繁訪問的網(wǎng)站，你可以將其添加到受信任的站點(diǎn)區(qū)域中，日后再次訪問它時，系統(tǒng)就不會彈出安全提示框了。

　　添加站點(diǎn)到“信任區(qū)域”的具體做法為：

　　1.在瀏覽器的地址框中，輸入需要訪問的站點(diǎn)地址，單擊回車鍵，就會自動打開一個安全提示警告窗口;

　　2.要是不想瀏覽該站點(diǎn)時，直接可以單擊“關(guān)閉”按鈕;要是想瀏覽的話，可以單擊“添加”按鈕;

　　3.在隨后打開的“可信任站點(diǎn)”設(shè)置窗口中，你會發(fā)現(xiàn)當(dāng)前被訪問的站點(diǎn)地址已經(jīng)出現(xiàn)在信任區(qū)域文本框中;

　　4.繼續(xù)單擊“添加”按鈕，就能將該站點(diǎn)添加到網(wǎng)站受信任區(qū)域中了;下次重新訪問該站點(diǎn)時，瀏覽器就會跳過安全檢查，直接打開該站點(diǎn)的網(wǎng)頁頁面了。

　　(三)根據(jù)需要對系統(tǒng)服務(wù)進(jìn)行控制

　　服務(wù)是一種在系統(tǒng)后臺運(yùn)行的應(yīng)用程序類型，它與UNIX后臺程序類似。服務(wù)提供了核心操作系統(tǒng)功能，如Web 服務(wù)、事件日志記錄、文件服務(wù)、幫助和支持、打印、加密和錯誤報(bào)告。通過服務(wù)管理單元，可管理本地或遠(yuǎn)程計(jì)算機(jī)上的服務(wù)。所以并不是所有默認(rèn)服務(wù)都是我們需要的。我們不需要的可以停用、禁用，來釋放系統(tǒng)資源。如果你想更加了解系統(tǒng)的服務(wù)，可以到“我的電腦”→“控制面板”→“服務(wù)”中查看，每個服務(wù)都有完整的描述，或使用windows 2003的幫助與支持，查閱相關(guān)資料。

　　特別注意：服務(wù)賬號

　　Windows Server 2003在某種程度上最小化服務(wù)賬號的需求。即便如此，一些第三方的應(yīng)用程序仍然堅(jiān)持傳統(tǒng)的服務(wù)賬號。如果可能的話，盡量使用本地賬號而不是域賬號作為服務(wù)賬號，因?yàn)槿绻�某人物理上獲得了服務(wù)器的訪問權(quán)限，他可能會轉(zhuǎn)儲服務(wù)器的LSA機(jī)密，并泄露密碼。如果你使用域密碼，森林中的任何計(jì)算機(jī)都可以通過此密碼獲得域訪問權(quán)限。而如果使用本地賬戶，密碼只能在本地計(jì)算機(jī)上使用，不會給域帶來任何威脅。

　　系統(tǒng)服務(wù)

　　一個基本原則告訴我們，在系統(tǒng)上運(yùn)行的代碼越多，包含漏洞的可能性就越大。你需要關(guān)注的一個重要安全策略是減少運(yùn)行在你服務(wù)器上的代碼。這么做能在減少安全隱患的同時增強(qiáng)服務(wù)器的性能。

　　在Windows 2000中，缺省運(yùn)行的服務(wù)有很多，但是有很大一部分服務(wù)在大多數(shù)環(huán)境中并派不上用場。事實(shí)上，windows 2000的缺省安裝甚至包含了完全操作的IIS服務(wù)器。而在Windows Server 2003中，微軟關(guān)閉了大多。

　　以上操作完成以后是否就“最小的權(quán)限+最少的服務(wù)=最大的安全”呢?其實(shí)不然，任何事物都是相對的依我個人而見，以上架設(shè)Windows Server 2003的安全堡壘,也只是最基本的一些東西而已，如有遺漏，稍后補(bǔ)上!