服務器安全配置(只針對WIN系統)
一���、
原則關掉所有不使用的服務,不安裝所有與服務器無關的軟件,打好所有補丁
修改3389
HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/Terminal Server/Wds/Repwd/Tds/Tcp, 看到那個PortNumber沒有?0xd3d,這個是16進制���,就是3389啦,我改XXXX這個值是RDP(遠程桌面協議)的默認值�����,也就是說用來配置以后新建的RDP服務的���,要改已經建立的RDP服務�,我們去下一個鍵值:
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/TerminalServer/WinStations這里應該有一個或多個類似RDP-TCP的子?��。ㄈQ于你建立了多少個RDP服務)��,一樣改掉PortNumber。
修改系統日志保存地址
默認位置為
應用程序日志���、安全日志�����、系統日志、DNS日志默認位置:%systemroot%/system32/config�,默認文件大小512KB,管理員都會改變這個默認大小�。
安全日志文件:%systemroot%/system32/config/SecEvent.EVT
系統日志文件:%systemroot%/system32/config/SysEvent.EVT
應用程序日志文件:%systemroot%/system32/config/AppEvent.EVT
Internet信息服務FTP日志默認位置:%systemroot%/system32/logfiles/msftpsvc1/����,默認每天一個日志
Internet信息服務�WWW日志默認位置:%systemroot%/system32/logfiles/w3svc1/�,默認每天一個日志�
Scheduler(任務計劃)服務日志默認位置:%systemroot%/schedlgu.txt
應用程序日志����,安全日志,系統日志���,DNS服務器日志���,它們這些LOG文件在注冊表中的:
HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/Eventlog
Schedluler(任務計劃)服務日志在注冊表中
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/SchedulingAgent
SQL
刪掉或改名xplog70.dll
[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/lanmanserver/parameters]
"AutoShareServer"=dword:00000000
"AutoShareWks"=dword:00000000
// AutoShareWks 對pro版本
// AutoShareServer 對server版本
// 0 禁止管理共享admin$,c$,d$之類默認共享
[HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/LSA]
"restrictanonymous"=dword:00000001
//0x1 匿名用戶無法列舉本機用戶列表
//0x2 匿名用戶無法連接本機IPC$共享(可能sql server不能夠啟動)
本地安全策略
封TCP端口:21(FTP,換FTP端口)23(TELNET),53(DNS),135,136,137,138,139,443,445,1028,1433,3389
可封TCP端口:1080,3128,6588,8080(以上為代理端口).25(SMTP),161(SNMP),67(引導)
封UDP端口:1434(這個就不用說了吧)
封所有ICMP,即封PING
以上是最常被掃的端口,有別的同樣也封,當然因為80是做WEB用的
審核策略為
審核策略更改:成功,失敗
審核登錄事件:成功,失敗
審核對象訪問:失敗
審核對象追蹤:成功,失敗
審核目錄服務訪問:失敗
審核特權使用:失敗
審核系統事件:成功,失敗
審核賬戶登錄事件:成功,失敗
審核賬戶管理:成功,失敗
密碼策略:啟用“密碼必須符合復雜性要求","密碼長度最小值"為6個字符,"強制密碼歷史"為5次,"密碼最長存留期"為30天.
在賬戶鎖定策略中設置:"復位賬戶鎖定計數器"為30分鐘之后,"賬戶鎖定時間"為30分鐘,"賬戶鎖定值"為30分鐘.
安全選項設置:本地安全策略==本地策略==安全選項==對匿名連接的額外限制,雙擊對其中有效策略進行設置,選擇"不允許枚舉SAM賬號和共享",因為這個值是只允許非NULL用戶存取SAM賬號信息和共享信息,一般選擇此項.
禁止登錄屏幕上顯示上次登錄的用戶名
控制面板==管理工具==本地安全策略==本地策略==安全選項
或改注冊表
HKEY_LOCAL_MACHINE/SOFTTWARE/Microsoft/WindowsNT/CurrentVesion/Winlogn項中的Don't Display Last User Name串����,將其數據修改為1
禁TCP/IP中的禁用TCP/IP上的NetBIOS
修改默認管理用戶名(這就不用說了吧),禁用Guest帳號,除了ADMIN組的用戶可以遠程登陸本機完,別的用戶的遠程登陸都去掉
WEB目錄用戶權限設定...
依次做下面的工作:
選取整個硬盤:
system:完全控制
administrator:完全控制(允許將來自父系的可繼承性權限傳播給對象)
b./program files/common files:
everyone:讀取及運行
列出文件目錄
讀取(允許將來自父系的可繼承性權限傳播給對象)
c./inetpub/wwwroot:�
iusr_machine:讀取及運行
列出文件目錄
讀取 (允許將來自父系的可繼承性權限傳播給對象)
e./winnt/system32:
選擇除inetsrv和centsrv以外的所有目錄,
去除“允許將來自父系的可繼承性權限傳播給對象”選框��,復制���。
f./winnt:
選擇除了downloaded program files、help�、iis temporary compressed files���、
offline web pages�����、system32�、tasks�、temp����、web以外的所有目錄
去除“允許將來自父系的可繼承性權限傳播給對象”選框,復制����。
g./winnt:
everyone:讀取及運行
列出文件目錄
讀取(允許將來自父系的可繼承性權限傳播給對象)
h./winnt/temp:(允許訪問數據庫并顯示在asp頁面上)
everyone:修改 (允許將來自父系的可繼承性權限傳播給對象)
(還是WIN2K3好一點,默認就設好了設限)
刪除默認IIS目錄
刪除IIS中除ASA和ASP的所有解析,除非你要用到別的CGI程序(WIN2K3中去不掉的)
定期查看服務器中的日志logs文件
檢查ASP程序是否有SQL注入漏洞
解決方法:
在ASP程序中加入
dim listname
if not isnumeric(request("id")) then
response.write "參數錯誤"
response.end
end if
//作用是檢查ID是否為INT數字型
如何讓asp腳本以system權限運行?
修改你asp腳本所對應的虛擬目錄�����,把"應用程序保護"修改為"低"....
如何防止asp木馬?
基于FileSystemObject組件的asp木馬
cacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用
regsvr32 scrrun.dll /u /s //刪除
還原:
cacls %systemroot%/system32/scrrun.dll /e /p guests:r
regsvr32 scrrun.dll
基于shell.application組件的asp木馬
cacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用
regsvr32 shell32.dll /u /s //刪除
還原:
cacls %systemroot%/system32/shell32.dll /e /p guests:r
regsvr32 shell32.dll
可以看一下caclsr語法,f是完全控制,c是寫入
把ip2K.jpg另存為,改后綴名為RAR,2K和2K3下的安全策略,借用了REISTLIN的東西,3Q,上面有些東西太簡單了就沒寫全.如果你是用固定IP的話,可以在安全策略中加上允許訪問和你自己的IP
二��、關閉Messenger,Remote Registry Service,Task Scheduler 服務及不需要的服務..
三����、安裝過程
有選擇性地安裝組件
不要按Windows 2000的默認安裝組件��,本著“最少的服務+最小的權限=最大的安全”原則��,只選擇安裝需要的服務即可��。例如:不作為Web服務器或FTP服務器就不安裝IIS。常用Web服務器需要的最小組件是: Internet 服務管理器��、�WWW服務器和與其有關的輔助服務�。�
安裝完畢后加入網絡
在安裝完成Windows 2000操作系統后,不要立即把服務器加入網絡��,因為這時的服務器上的各種程序還沒有打上補丁�����,存在各種漏洞�,非常容易感染病毒和被入侵���。
應該在所有應用程序安裝完之后依次打上各種補丁,因為補丁程序是針對不同應用程序而安裝的,往往要替換或修改某些系統文件���,如果先安裝補丁再安裝應用程序有可能導致補丁不能起到應有的效果����。例如IIS的HotFix要求每次更改IIS的配置時都需要重新安裝��。
還有,如果怕IIS負荷過高導致服務器死機��,也可以在性能中打開CPU限制����,如將IIS的最大CPU使用率限制在70%�����。
正確設置和管理賬戶
1����、停止使用用Guest賬戶,并給Guest 加一個復雜的密碼����。
2�、賬戶要盡可能少�,并且要經常用一些掃描工具查看一下系統賬戶��、賬戶權限及密碼��。刪除停用的賬戶����,常用的掃描軟件有:流光���、HSCAN、X-SCAN��、STAT SCANNER等���。正確配置賬戶的權限,密碼至少應不少于8位���,且要數字��、大小寫字母�����,以及數字的上檔鍵混用,這樣就較難破譯�。
3�����、增加登錄的難度�����,在“賬戶策略→密碼策略”中設定:“密碼復雜性要求啟用”,“密碼長度最小值8位”����,“強制密碼歷史5次”,“最長存留期 30天”���;在“賬戶策略→賬戶鎖定策略”設定:“賬戶鎖定3次錯誤登錄”���,“鎖定時間20分鐘”,“復位鎖定計數20分鐘”等����,增加了登錄的難度對系統的安全大有好處�。
4、把系統Administrator賬號改名��,名稱不要帶有Admin等字樣; 創建一個陷阱帳號��,如創建一個名為“Administrator”的本地帳戶�,把權限設置成最低��,什么事也干不了�,并且加上一個超過10位的超級復雜密碼。這樣可以讓那些 Scripts忙上一段時間了��,并且可以借此發現他們的入侵企圖�����。
5�、不讓系統顯示上次登錄的用戶名����,具體操作如下:
將注冊表中“Hkey/Software/Microsoft/ WindowsNT/ Current Version/Winlogon/Dont Display Last User Name”的鍵值改為1�����。
正確地設置目錄和文件權限
為了控制好服務器上用戶的權限,同時也為了預防以后可能的入侵和溢出���,還必須非常小心地設置目錄和文件的訪問權限���。Windows 2000的訪問權限分為:讀取����、寫入�����、讀取及執行����、修改�����、列目錄、完全控制����。在默認的情況下,大多數的文件夾對所有用戶(Everyone這個組)是完全控制的(Full Control)�����,您需要根據應用的需要重新設置權限���。在進行權限控制時,請記住以下幾個原則:
1�����、權限是累計的����,如果一個用戶同時屬于兩個組�����,那么他就有了這兩個組所允許的所有權限����。
2�����、拒絕的權限要比允許的權限高(拒絕策略會先執行)��。如果一個用戶屬于一個被拒絕訪問某個資源的組��,那么不管其他的權限設置給他開放了多少權限��,他也一定不能訪問這個資源���。
3��、 文件權限比文件夾權限高���。
4�����、 利用用戶組來進行權限控制是一個成熟的系統管理員必須具有的優良習慣�。
5����、 只給用戶真正需要的權限,權限的最小化原則是安全的重要保障�����。
6����、 預防ICMP攻擊。ICMP的風暴攻擊和碎片攻擊是NT主機比較頭疼的攻擊方法�,而Windows 2000應付的方法很簡單。Windows 2000自帶一個Routing & Remote Access工具�,這個工具初具路由器的雛形���。在這個工具中����,我們可以輕易地定義輸入輸出包過濾器。如設定輸入ICMP代碼255丟棄就表示丟棄所有的外來ICMP報文�����。
網絡服務安全管理
1����、關閉不需要的服務
只留必需的服務����,多一些服務可能會給系統帶來更多的安全因素���。如Windows 2000的Terminal Services(終端服務)、IIS(web服務)���、RAS(遠程訪問服務)等,這些都有產生漏洞的可能����。
2、關閉不用的端口
只開放服務需要的端口與協議��。
具體方法為:按順序打開“網上鄰居→屬性→本地連接→屬性→Internet 協議→屬性→高級→選項→TCP/IP篩選→屬性”����,添加需要的TCP、UDP端口以及IP協議即可�。根據服務開設口�����,常用的TCP口有:80口用于Web服務�;21用于FTP服務;25口用于SMTP���;23口用于Telnet服務�;110口用于POP3����。常用的UDP端口有:53口-DNS域名解析服務;161口-snmp簡單的網絡管理協議��。8000�、4000用于OICQ,服務器用8000來接收信息,客戶端用4000發送信息����。
3、禁止建立空連接
默認情況下�,任何用戶可通過空連接連上服務器,枚舉賬號并猜測密碼��?���?者B接用的端口是139,通過空連接���,可以復制文件到遠端服務器��,計劃執行一個任務�,這就是一個漏洞�����?�?梢酝ㄟ^以下兩種方法禁止建立空連接:
(1) 修改注冊表中 Local_Machine/System/
CurrentControlSet/Control/LSA-RestrictAnonymous 的值為1�����。
(2) 修改Windows 2000的本地安全策略。設置“本地安全策略→本地策略→選項”中的RestrictAnonymous(匿名連接的額外限制)為“不容許枚舉SAM賬號和共享”����。
首先����,Windows 2000的默認安裝允許任何用戶通過空連接得到系統所有賬號和共享列表,這本來是為了方便局域網用戶共享資源和文件的�����,但是���,同時任何一個遠程用戶也可以通過同樣的方法得到您的用戶列表�����,并可能使用暴力法破解用戶密碼給整個網絡帶來破壞�。很多人都只知道更改注冊表Local_Machine/System/CurrentControlSet/Control/LSA-RestrictAnonymous = 1來禁止空用戶連接��,實際上Windows 2000的本地安全策略里(如果是域服務器就是在域服務器安全和域安全策略里)就有RestrictAnonymous選項����,其中有三個值:“0”這個值是系統默認的�����,沒有任何限制,遠程用戶可以知道您機器上所有的賬號����、組信息、共享目錄��、網絡傳輸列表(NetServerTransportEnum)等��;“1”這個值是只允許非NULL用戶存取SAM賬號信息和共享信息���;“2”這個值只有Windows 2000才支持,需要注意的是��,如果使用了這個值���,就不能再共享資源了���,所以還是推薦把數值設為“1”比較好�。
網絡服務安全配置
1�����、修改默認端口��。終端服務的默認端口為3389�,可考慮修改為別的端口�����。修改方法為:
服務器端:打開注冊表�����,在“HKLM/SYSTEM/Current ControlSet/Control/Terminal Server/Win Stations”處找到類似RDP-TCP的子鍵���,修改PortNumber值。
客戶端:按正常步驟建一個客戶端連接�����,選中這個連接��,在“文件”菜單中選擇導出,在指定位置會生成一個后綴為.cns的文件��。打開該文件��,修改“Server Port”值為與服務器端的PortNumber對應的值���。然后再導入該文件(方法:菜單→文件→導入),這樣客戶端就修改了端口����。
2����、安全配置Internet 服務管理器��。對IIS服務安全配置如下:
(1)停止默認的Web服務����,建立新的Web服務��,將其主目錄設為其他(非inetpub)目錄��,最好不和主系統點用一個分區。如果使用系統默認的Web服務�����,那么通過較簡單的攻擊�,就可以黑掉服務器。
(2) 刪除原默認安裝的Inetpub目錄(在安裝系統的盤上)���。
(3) 刪除系統盤下的虛擬目錄�,如:_vti_bin��、IISSamples、Scripts��、IIShelp��、IISAdmin���、IIShelp�����、MSADC�����。
3、不要設置Frontpage服務器擴展服務��,如果開設����,那么就可以遠程在Frontpage下打開您的主頁文件進行修改。
4�、刪除不必要的IIS擴展名映射。方法是:右鍵單擊“默認Web站點→屬性→主目錄→配置”����,打開應用程序窗口�,去掉不必要的應用程序映射。如不用到其他映射�,只保留.asp、.asa兩映射即可���。
安全的管理數據文件
1、常備份���,要經常把要數據備份到專用的備份服務器��,備份完畢后��,可將備份服務器與網絡隔離���。
2�、關閉默認共享��。Windows 2000安裝好以后��,系統會創建一些隱藏的共享(如C$���、D$等),在命令態下可用net share命令查看它們,這些共享要刪除����。不過當機器重新啟動后,這些共享又會重新開啟�,需每次啟動后都刪除��。
3�����、正確設置文件的共享權限 ���,設置共享文件時,要注意把共享文件的權限從“everyone”組改成“授權用戶”��,包括打印共享����,這樣即使連接上去看到也無法查閱�。
4、防止文件名欺騙��,用顯示所有文件名和文件夾以及顯示文件類型擴展名來有效地防止文件名欺騙����。如防止以.txt或.exe為擴展名的惡意文件被顯示為.txt文件,大意打開該文件被攻�,雙擊“我的電腦→工具→文件夾選項→查看”,選擇“顯示所有文件和文件夾”屬性設置,去掉“隱藏已知文件類型擴展名”屬性設置����。
5、啟用Terminal Service的安全日志����,系統默認是不啟用的?�?梢酝ㄟ^“Terminal Service Configration→權限→高級”中配置安全審核����,記錄登錄、注銷事件就可以了����。
啟用日志,利用軟件隨時檢測網絡流量
發現有異常隨時查看日志文件�����,是不是有人在攻擊��。
四�、Windows 服務的最佳化說明
Alerter
微軟: 通知選取的使用者及計算機系統管理警示。如果停止這個服務�,使用系統管理警示的程序將不會收到通知。如果停用這個服務����,所有依存于它的服務將無法啟動。
補充: 一般家用計算機根本不需要傳送或接收計算機系統管理來的警示(Administrative Alerts)����,除非你的計算機用在局域網絡上
依存: Workstation
建議: 已停用
Application Layer Gateway Service
微軟: 提供因特網聯機共享和因特網聯機防火墻的第三方通訊協議插件的支持
補充: 如果你不使用因特網聯機共享 (ICS) 提供多臺計算機的因特網存取和因特網聯機防火墻 (ICF) 軟件你可以關掉
依存: Internt Connection Firewall (ICF) / Internet Connection Sharing (ICS)
建議: 已停用
Application Management (應用程序管理)
微軟: 提供指派、發行��、以及移除的軟件安裝服務��。
補充: 如上說的軟件安裝變更的服務
建議: 手動
Automatic Updates
微軟: 啟用重要 Windows 更新的下載及安裝����。如果停用此服務,可以手動的從 Windows Update 網站上更新操作系統�。
補充: 允許 Windows 于背景自動聯機之下,到 Microsoft Servers 自動檢查和下載更新修補程序
建議: 已停用
Background Intelligent Transfer Service
微軟: 使用閑置的網絡頻寬來傳輸數據���。
補充: 經由 Via HTTP1.1 在背景傳輸資料的?#124;西��,例如 Windows Update 就是以此為工作之一
依存: Remote Procedure Call (RPC) 和 Workstation
建議: 已停用
ClipBook (剪貼簿)
微軟: 啟用剪貼簿檢視器以儲存信息并與遠程計算機共享��。如果這個服務被停止��,剪貼簿檢視器將無法與遠程計算機共享信息��。如果這個服務被停用����,任何明確依存于它的服務將無法啟動。
補充: 把剪貼簿內的信息和其它臺計算機分享���,一般家用計算機根本用不到
依存: Network DDE
建議: 已停用
COM+ Event System (COM+ 事件系統)
微軟: 支持「系統事件通知服務 (SENS)」����,它可讓事件自動分散到訂閱的 COM 組件��。如果服務被停止�����,SENS 會關閉����,并無法提供登入及注銷通知。如果此服務被停用����,任何明顯依存它的服務都無法啟動。
補充: 有些程序可能用到 COM+ 組件�����,像 BootVis 的 optimize system 應用�,如事件檢視器內顯示的 DCOM 沒有啟用
依存: Remote Procedure Call (RPC) 和 System Event Notification
建議: 手動
COM+ System Application
微軟: 管理 COM+ 組件的設定及追蹤。如果停止此服務����,大部分的 COM+ 組件將無法適當?#092;作。如果此服務被停用���,任何明確依存它的服務將無法啟動�����。
補充: 如果 COM+ Event System 是一臺車��,那么 COM+ System Application 就是司機�����,如事件檢視器內顯示的 DCOM 沒有啟用
依存: Remote Procedure Call (RPC)
建議: 手動
Computer Browser (計算機瀏覽器)
微軟: 維護網絡上更新的計算機清單���,并將這個清單提供給做為瀏覽器的計算機����。如果停止這個服務����,這個清單將不會被更新或維護。如果停用這個服務���,所有依存于它的服務將無法啟動��。
補充: 一般家庭用計算機不需要�����,除非你的計算機應用在區網之上�,不過在大型的區網上有必要開這個拖慢速度嗎�?
依存: Server 和 Workstation
建議: 已停用
Cryptographic Services
微軟: 提供三個管理服務: 確認 Windows 檔案簽章的 [類別目錄數據庫服務]; 從這個計算機新增及移除受信任根憑證授權憑證的 [受保護的根目錄服務]; 以及協助注冊這個計算機以取得憑證的 [金鑰服務]。如果這個服務被停止�,這些管理服務將無法正確工作。如果這個服務被停用��,任何明確依存于它的服務將無法啟動���。
補充: 簡單的說就是 Windows Hardware Quality Lab (WHQL)微軟的一種認證���,如果你有使用 Automatic Updates ���,那你可能需要這個
依存: Remote Procedure Call (RPC)
建議: 手動
DHCP Client (DHCP 客戶端)
微軟: 透過登錄及更新 IP 地址和 DNS 名稱來管理網絡設定���。
補充: 使用 DSL/Cable ����、ICS 和 IPSEC 的人都需要這個來指定動態 IP
依存: AFD 網絡支持環境����、NetBT、SYMTDI����、TCP/IP Protocol Driver 和 NetBios over TCP/IP
建議: 手動
Distributed Link Tracking Client (分布式連結追蹤客戶端)
微軟: 維護計算機中或網絡網域不同計算機中 NTFS 檔案間的連結。
補充: 維護區網內不同計算機之間的檔案連結
依存: Remote Procedure Call (RPC)
建議: 已停用
Distributed Transaction Coordinator (分布式交易協調器)
微軟: 協調跨越多個資源管理員的交易�����,比如數據庫��、訊息隊列及檔案系統。如果此服務被停止���,這些交易將不會發生�����。如果服務被停用�����,任何明顯依存它的服務將無法啟動��。
補充: 如上所說的��,一般家庭用計算機用不太到���,除非你啟用的 Message Queuing
依存: Remote Procedure Call (RPC) 和 Security Accounts Manager
建議: 已停用
DNS Client (DNS 客戶端)
微軟: 解析并快取這臺計算機的網域名稱系統 (DNS) 名稱。如果停止這個服務��,這臺計算機將無法解析 DNS 名稱并尋找 Active Directory 網域控制站的位置���。如果停用這個服務����,所有依存于它的服務將無法啟動。
補充: 如上所說的�����,另外 IPSEC 需要用到
依存: TCP/IP Protocol Driver
建議: 手動
Error Reporting Service
微軟: 允許對執行于非標準環境中的服務和應用程序的錯誤報告�。
補充: 微軟的應用程序錯誤報告
依存: Remote Procedure Call (RPC)
建議: 已停用
Event Log (事件記錄文件)
微軟: 啟用 Windows 為主的程序和組件所發出的事件訊息可以在事件檢視器中檢視。這個服務不能被停止�。
補充: 允許事件訊息顯示在事件檢視器之上
依存: Windows Management Instrumentation
建議: 自動
Fast User Switching Compatibility
微軟: 在多使用者環境下提供應用程序管理。
補充: 另外像是注銷畫面中的切換使用者功能
依存: Terminal Services
建議: 手動
Help and Support
微軟: 讓說明及支持中心能夠在這臺計算機上執行�����。如果這個服務停止���,將無法使用說明及支持中心。如果這個服務被停用��,它的所有依存服務將無法啟動��。
補充: 如果不使用就關了吧
依存: Remote Procedure Call (RPC)
建議: 已停用
Human Interface Device Access
微軟: 啟用對人性化接口裝置 (HID) 的通用輸入存取�,HID 裝置啟動并維護對這個鍵盤、遠程控制��、以及其它多媒體裝置上事先定義的快捷紐的使用��。如果這個服務被停止,這個服務控制的快捷紐將不再起作用�。如果這個服務被停用,任何明確依存于它的服務將無法啟動�����。
補充: 如上所提到的
依存: Remote Procedure Call (RPC)
建議: 已停用
IMAPI CD-Burning COM Service
微軟: 使用 Image Mastering Applications Programming Interface (IMAPI) 來管理光盤錄制����。如果這個服務被停止,這個計算機將無法錄制光盤�。如果這個服務被停用,任何明確地依賴它的服務將無法啟動�。
補充: XP 整合的 CD-R 和 CD-RW 光驅上拖放的燒錄功能,可惜比不上燒錄軟件����,關掉還可以加快 Nero 的開啟速度
建議: 已停用
Indexing Service (索引服務)
微軟: 本機和遠程計算機的索引內容和檔案屬性; 透過彈性的查詢語言提供快速檔案存取。
補充: 簡單的說可以讓你加快搜查速度���,不過我想應該很少人和遠程計算機作搜尋吧
依存: Remote Procedure Call (RPC)
建議: 已停用
Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)
微軟: 為您的家用網絡或小型辦公室網絡提供網絡地址轉譯�、尋址及名稱解析服務和/或防止干擾的服務���。
補充: 如果你不使用因特網聯機共享(ICS)或是 XP 內含的因特網聯機防火墻(ICF)你可以關掉
依存: Application Layer Gateway Service���、Network Connections��、Network Location Awareness(NLA)����、Remote Access Connection Manager
建議: 已停用
IPSEC Services (IP 安全性服務)
微軟: 管理 IP 安全性原則并啟動 ISAKMP/Oakley (IKE) 及 IP 安全性驅動程序���。
補充: 協助保護經由網絡傳送的數據��。IPSec 為一重要環節���,為虛擬私人網絡 (VPN) 中提供安全性�,而 VPN 允許組織經由因特網安全地傳輸數據。在某些網域上也許需要��,但是一般使用者大部分是不太需要的
依存: IPSEC driver�、Remote Procedure Call (RPC)、TCP/IP Protocol Driver
建議: 手動
Logical Disk Manager (邏輯磁盤管理員)
微軟: 偵測及監視新硬盤磁盤����,以及傳送磁盤區信息到邏輯磁盤管理系統管理服務以供設定。如果這個服務被停止,動態磁盤狀態和設定信息可能會過時�。如果這個服務被停用,任何明確依存于它的服務將無法啟動�。
補充: 磁盤管理員用來動態管理磁盤,如顯示磁盤可用空間等和使用 Microsoft Management Console(MMC)主控臺的功能
依存: Plug and Play���、Remote Procedure Call (RPC)���、Logical Disk Manager Administrative Service
建議: 自動
Logical Disk Manager Administrative Service (邏輯磁盤管理員系統管理服務)
微軟: 設定硬盤磁盤及磁盤區,服務只執行設定程序然后就停止����。
補充: 使用 Microsoft Management Console(MMC)主控臺的功能時才用到
依存: Plug and Play、Remote Procedure Call (RPC)���、Logical Disk Manager
建議: 手動
Messenger (信差)
微軟: 在客戶端及服務器之間傳輸網絡傳送及 [Alerter] 服務訊息����。這個服務與 Windows Messenger 無關��。如果停止這個服務�,Alerter 訊息將不會被傳輸。如果停用這個服務�,所有依存于它的服務將無法啟動�����。
補充: 允許網絡之間互相傳送提示訊息的功能��,如 net send 功能����,如不想被騷擾話可關了
依存: NetBIOS Interface��、Plug and Play��、Remote Procedure Call (RPC)�、Workstation
建議: 已停用
MS Software Shadow Copy Provider
微軟: 管理磁盤區陰影復制服務所取得的以軟件為主的磁盤區陰影復制。如果停止這個服務��,就無法管理以軟件為主的磁盤區陰影復制�����。如果停用這個服務��,任何明確依存于它的服務將無法啟動���。
補充: 如上所說的����,用來備份的?#124;西����,如 MS Backup 程序就需要這個服務
依存: Remote Procedure Call (RPC)
建議: 已停用
Net Logon
微軟: 支持網域上計算機的賬戶登入事件的 pass-through 驗證。
補充: 一般家用計算機不太可能去用到登入網域審查這個服務
依存: Workstation
建議: 已停用
NetMeeting Remote Desktop Sharing (NetMeeting 遠程桌面共享)
微軟: 讓經過授權的使用者可以使用 NetMeeting 透過公司近端內部網絡���,由遠程訪問這部計算機�。如果這項服務停止的話���,遠程桌面共享功能將無法使用�。如果服務停用的話���,任何依賴它的服務將無法啟動�。
補充: 如上說的�,讓使用者可以將計算機的控制權分享予網絡上或因特網上的其它使用者,如果你重視安全性不想多開后門����,就關了吧
建議: 已停用
Network Connections (網絡聯機)
微軟: 管理在網絡和撥號聯機數據夾中的對象,您可以在此數據夾中檢視局域網絡和遠程聯機��。
補充: 控制你的網絡聯機
依存: Remote Procedure Call (RPC)、Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)
建議: 手動
Network DDE (網絡 DDE)
微軟: 為動態數據交換 (DDE) 對在相同或不同計算機上執行的程序提供網絡傳輸和安全性��。如果這個服務被停止�,DDE 傳輸和安全性將無法使用。如果這個服務被停用��,任何明確依存于它的服務將無法啟動��。
補充: 一般人好像用不到
依存: Network DDE DSDM����、ClipBook
建議: 已停用
Network DDE DSDM (網絡 DDE DSDM)
微軟: 訊息動態數據交換 (DDE) 網絡共享。如果這個服務被停止����,DDE 網絡共享將無法使用。如果這個服務被停用�����,任何明確依存于它的服務將無法啟動����。
補充: 一般人好像用不到
依存: Network DDE
建議: 已停用
Network Location Awareness (NLA)
微軟: 收集并存放網絡設定和位置信息��,并且在這個信息變更時通知應用程序。
補充: 如果不使用 ICF 和 ICS 可以關了它
依存: AFD網絡支持環境��、TCP/IP Procotol Driver���、Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)
建議: 已停用
NT LM Security Support Provider (NTLM 安全性支持提供者)
微軟: 為沒有使用命名管道傳輸的遠程過程調用 (RPC) 程序提供安全性��。
補充: 如果不使用 Message Queuing 或是 Telnet Server 那就關了它
依存: Telnet
建議: 已停用
Performance Logs and Alerts (效能記錄文件及警示)
微軟: 基于事先設定的排程參數��,從本機或遠程計算機收集效能數據�,然后將數據寫入記錄或?#124;發警訊。如果這個服務被停止,將不會收集效能信息����。如果這個服務被停用,任何明確依存于它的服務將無法啟動�。
補充: 沒什么價值的服務
建議: 已停用
Plug and Play
微軟: 啟用計算機以使用者沒有或很少的輸入來識別及適應硬件變更����,停止或停用這個服務將導致系統不穩定。
補充: 顧名思義就是 PNP 環境
依存: Logical Disk Manager���、Logical Disk Manager Administrative Service�����、Messenger�����、Smart Card���、Telephony���、Windows Audio
建議: 自動
Portable Media Serial Number
微軟: Retrieves the serial number of any portable music player connected to your computer
補充: 透過聯機計算機重新取得任何音樂撥放序號?沒什么價值的服務
建議: 已停用
Print Spooler (打印多任務緩沖處理器)
微軟: 將檔案加載內存中以待稍后打印�。
補充: 如果沒有打印機,可以關了
依存: Remote Procedure Call (RPC)
建議: 已停用
Protected Storage (受保護的存放裝置)
微軟: 提供受保護的存放區��,來儲存私密金鑰這類敏感數據�,防止未授權的服務、處理��、或使用者進行存取�����。
補充: 用來儲存你計算機上密碼的服務�����,像 Outlook、撥號程序����、其它應用程序���、主從架構等等
依存: Remote Procedure Call (RPC)
建議: 自動
QoS RSVP (QoS 許可控制����,RSVP)
微軟: 提供網絡訊號及區域流量控制安裝功能給可識別 QoS 的程序和控制小程序項���。
補充: 用來保留 20% 頻寬的服務�����,如果你的網絡卡不支持 802.1p 或在你計算機的網域上沒有 ACS server �,那么不用多說��,關了它
依存: AFD網絡支持環境����、TCP/IP Procotol Driver、Remote Procedure Call (RPC)
建議: 已停用
Remote Access Auto Connection Manager (遠程訪問自動聯機管理員)
微軟: 當程序參照到遠程 DNS 或 NetBIOS 名稱或地址時,建立遠程網絡的聯機�����。
補充: 有些 DSL/Cable 提供者��,可能需要用此來處理登入程序
依存: Remote Access Connection Manager����、Telephony
建議: 手動
Remote Access Connection Manager (遠程訪問聯機管理員)
微軟: 建立網絡聯機。
補充: 網絡聯機用
依存: Telephony��、Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)�����、Remote Access Auto Connection Manager
建議: 手動
Remote Desktop Help Session Manager
微軟: 管理并控制遠程協助��。如果此服務停止的話����,遠程協助將無法使用。停止此服務之前����,請先參閱內容對話框中的 [依存性]標簽����。
補充: 如上說的管理和控制遠程協助��,如果不使用可以關了
依存: Remote Procedure Call (RPC)
建議: Disable
Remote Procedure Call (RPC) (遠程過程調用��,RPC)
微軟: 提供結束點對應程序以及其它 RPC 服務��。
補充: 一些裝置都依存它��,別去動它
依存: 太多了�����,自己去看看
建議: 自動
Remote Procedure Call (RPC) Locator (遠程過程調用定位程序)
微軟: 管理 RPC 名稱服務數據庫�。
補充: 如上說的���,一般計算機上很少用到�����,可以嘗試關了
依存: Workstation
建議: Disable
Remote Registry (遠程登錄服務)
微軟: 啟用遠程使用者修改這個計算機上的登錄設定�����。如果這個服務被停止��,登錄只能由這個計算機上的使用者修改��。如果這個服務被停用�����,任何明確依存于它的服務將無法啟動�����。
補充: 基于安全性的理由�����,如果沒有特別的需求��,建議最好關了它�,除非你需要遠程協助修改你的登錄設定
依存: Remote Procedure Call (RPC)
建議: 已停用
Removable Storage (卸除式存放裝置)
微軟: None
補充: 除非你有 Zip 磁盤驅動器或是 USB 之類可攜式的硬件或是 Tape 備份裝置,不然可以嘗試關了
依存: Remote Procedure Call (RPC)
建議: Disable
Routing and Remote Access (路由和遠程訪問)
微軟: 提供連到局域網絡及廣域網絡的公司的路由服務��。
補充: 如上說的����,提供撥號聯機到區網或是 VPN 服務���,一般用戶用不到
依存: Remote Procedure Call (RPC)、NetBIOSGroup
建議: 已停用
Secondary Logon
微軟: 啟用在其它認證下的起始程序����。如果這個服務被停止,這類的登入存取將無法使用�����。如果這個服務被停用��,任何明確依存于它的服務將無法啟動�����。
補充: 允許多個使用者處理程序���,執行分身等
建議: 自動
Security Accounts Manager (安全性賬戶管理員)
微軟: 儲存本機賬戶的安全性信息。
補充: 管理賬號和群組原則(gpedit.msc)應用
依存: Remote Procedure Call (RPC)����、Distributed Transaction Coordinator
建議: 自動
Server (服務器)
微軟: 透過網絡為這臺計算機提供檔案、打印����、及命名管道的共享����。如果停止這個服務���,將無法使用這些功能�。如果停用這個服務��,所有依存于它的服務將無法啟動�����。
補充: 簡單的說就是檔案和打印的分享�����,除非你有和其它計算機分享���,不然就關了
依存: Computer Browser
建議: 已停用
Shell Hardware Detection
微軟: 為自動播放硬件事件提供通知����。
補充: 一般使用在記憶卡或是CD裝置�、DVD裝置上
依存: Remote Procedure Call (RPC)
建議: 自動
Smart Card (智慧卡)
微軟: 管理這個計算機所讀取智能卡的存取��。如果這個服務被停止�����,這個計算機將無法讀取智能卡����。如果這個服務被停用���,任何明確依存于它的服務將無法啟動���。
補充: 如果你不使用 Smart Card ,那就可以關了
依存: Plug and Play
建議: 已停用
Smart Card Helper (智能卡協助程序)
微軟: 啟用對這個計算機使用的舊版非隨插即用智能卡讀取頭的支持���。如果這個服務被停止,這個計算機將不支持舊版讀取頭��。如果這個服務被停用���,任何明確依存于它的服務將無法啟動��。
補充: 如果你不使用 Smart Card �,那就可以關了
建議: 已停用
SSDP Discovery Service
微軟: 在您的家用網絡上啟用通用隨插即用裝置的搜索。
補充: 如上說的����,通用隨插即用服務 (Universal Plug and Play, UPnP) 讓計算機可以找到并使用網絡上的裝置,經由網絡聯機透過 TCP/IP 來搜索裝置���,像網絡上的掃瞄器��、數字相機或是打印機��,亦即使用 UPnP 的功能����,基于安全性沒用到的大可關了
依存: Universal Plug and Play Device Host
建議: 已停用
System Event Notification (系統事件通知)
微軟: 追蹤諸如 Windows 登入����、網絡、和電源事件的系統事件����。通知這些事件的 COM+ 事件系統訂閱者。
補充: 如上所說的
依存: COM+ Event System
建議: 自動
System Restore Service
微軟: 執行系統還原功能��。若要停止服務�����,從我的計算機->內容,[系統還原] 中關閉系統還原
補充: 將計算機回復至先前的狀態���,不使用就關了
依存: Remote Procedure Call (RPC)
建議: 已停用
Task Scheduler (工作排程器)
微軟: 讓使用者能夠在這個計算機上設定和排定自動的工作�����。如果停止這個服務���,這些工作在它們排定的時間時將不會執行。如果停用這個服務���,任何明確依存于它的服務將無法啟動�����。
補充: 設定排定自動的工作����,像一些定時磁盤掃瞄�、病毒定時掃瞄���、更新等等
依存: Remote Procedure Call (RPC)
建議: 自動
TCP/IP NetBIOS Helper (TCP/IP NetBIOS 協助程序)
微軟: 啟用 [NetBIOS over TCP/IP (NetBT)] 服務及 NetBIOS 名稱解析的支持��。
補充: 如果你的網絡不使用 NetBios 或是 WINS ���,你大可關閉
依存: AFD 網絡支持環境�、NetBt
建議: 已停用
Telephony (電話語音)
微軟: 為本機計算機上及經由局域網絡連接到正在執行此服務的服務器上�����,控制電話語音裝置和 IP 為主語音聯機的程序��,提供電話語音 API (TAPI) 支持���。
補充: 一般的撥號調制解調器或是一些 DSL/Cable 可能用到
依存: Plug and Play��、Remote Procedure Call (RPC)�����、Remote Access Connection Manager���、Remote Access Auto Connection Manager
建議: 手動
Telnet
微軟: 啟用一個遠程使用者來登入到這臺計算機和執行應用程序,以及支持各種 TCP/IP Telnet 客戶端,包含以 UNIX 為基本和以 Windows 為基本的計算機��。如果服務停止了�,遠程使用者可能無法存取應用程序。如果服務停用了����,任何明確地依存于這項服務的其它服務將會啟動失敗。
補充: 允許遠程使用者用 Telnet 登入本計算機����,一般人會誤解關了就無法使用BBS,這其實和BBS無關�,基于安全性的理由,如果沒有特別的需求��,建議最好關了
依存: NT LM Security Support Provider�、Remote Procedure Call (RPC)、TCP/IP Protocol Driver
建議: 已停用
Terminal Services (終端機服務)
微軟: 允許多位使用者互動連接到同一部計算機���、桌面的顯示器及到遠程計算機的應用程序����。遠程桌面的加強 (包含系統管理員的 RD)�����、快速切換使用者�、遠程協助和終端機服務器。
補充: 遠程桌面或是遠程協助的功能���,不需要就關了
依存: Remote Procedure Call (RPC)���、Fast User Switching Compatibility、InteractiveLogon
建議: 已停用
Themes
微軟: 提供使用者經驗主題管理����。
補充: 很多人使用布景主題,不過如果沒有使用的人����,那就可以關閉
建議: 自動
Uninterruptible Power Supply (不斷電供電系統)
微軟: 管理連接到這臺計算機的不斷電電源供應 (UPS)。
補充: 不斷電電源供應 (UPS)一般人有用到嗎�?除非你的電源供應器有具備此功能,不然就關了
建議: 已停用
Universal Plug and Play Device Host
微軟: 提供主機通用隨插即用裝置的支持�。
補充: 用來偵測安裝通用隨插即用服務 (Universal Plug and Play, UPnP)裝置,像是數字相機或打印機
依存: SSDP Discovery Service
建議: 已停用
Volume Shadow Copy
微軟: 管理及執行用于備份和其它目的的磁盤區卷影復制�����。如果這個服務被停止,卷影復制將無法用于備份��,備份可能會失敗�����。如果這個服務被停用����,任何明確依存于它的服務將無法啟動。
補充: 如上所說的�,用來備份的?#124;西,如 MS Backup 程序就需要這個服務
依存: Remote Procedure Call (RPC)
建議: 已停用
WebClient
微軟: 啟用 Windows 為主的程序來建立�����、存取���,以及修改因特網為主的檔案����。如果停止這個服務���,這些功能將無法使用���。如果停用這個服務�����,任何明確依存于它的服務將無法啟動。
補充: 使用 WebDAV 將檔案或數據夾上載到所有的 Web 服務�,基于安全性的理由,你可以嘗試關閉
依存: WebDav Client Redirector
Windows Audio
微軟: 管理用于 Windows 為主程序的音訊裝置�。如果這個服務被停止,音訊裝置和效果將無法正常?#092;作�����。如果這個服務被停用�����,任何明確依存于它的服務將無法啟動�。
補充: 如果你沒有聲卡可以關了他
依存: Plug and Play、Remote Procedure Call (RPC)
建議: 自動
Windows Image Acquisition (WIA) (Windows影像取得程序)
微軟: 為掃描儀和數字相機提供影像擷取服務�����。
補充: 如果掃描儀和數字相機內部具有支持WIA功能的話����,那就可以直接看到圖檔�����,不需要其它的驅動程序�����,所以沒有掃描儀和數字相機的使用者大可關了
依存: Remote Procedure Call (RPC)
建議: 已停用
Windows Installer (Windows 安裝程序)
微軟: 根據包含在 .MSI 檔案內的指示來安裝���,修復以及移除軟件。
補充: 是一個系統服務��,協助使用者正確地安裝���、設定����、追蹤�����、升級和移除軟件程序��,可管理應用程序建立和安裝的標準格式,并且追蹤例如檔案群組���、登錄項目及快捷方式等組件
依存: Remote Procedure Call (RPC)
建議: 手動
Windows Management Instrumentation (WMI)
微軟: 提供公用接口及對象模型��,以存取有關操作系統����、裝置��、應用程序及服務的管理信息�。如果這個服務已停止�����,大多數的 Windows 軟件將無法正常?#092;作�����。如果這個服務已停用���,所有依存于它的服務都將無法啟動�。
補充: 如上說的���,是一種提供一個標準的基礎結構來監視和管理系統資源的服務���,由不得你動他
依存: Event Log��、Remote Procedure Call (RPC)
建議: 自動
Windows Management Instrumentation Driver Extensions (Windows Management Instrumentation 驅動程序延伸)
微軟: 提供系統管理信息給予/取自驅動程序��。
補充: Windows Management Instrumentation 的延伸����,提供信息用的
建議: 手動
Windows Time (Windows 時間設定)
微軟: 維護在網絡上所有客戶端及服務器的數據及時間同步處理��。如果這個服務停止�����,將無法進行日期及時間同步處理��。如果這個服務被停用���,所有依存的服務都會停止�。
補充: 網絡對時校準用的����,沒必要就關了
建議: 已停用
Wireless Zero Configuration
微軟: 為 802.11 適配卡提供自動設定
補充: 自動配置無線網絡裝置�����,言下之意就是說�,除非你有在使用無線網絡適配卡裝置���,那么你才有必要使用這個網絡零管理服務
依存: NDIS Usermode I/O Protocol����、Remote Procedure Call (RPC)
建議: 已停用
WMI Performance Adapter
微軟: 提供來自 WMIHiPerf 提供者的效能鏈接庫信息�����。
補充: 如上所提
依存: Remote Procedure Call (RPC)
建議: 已停用l
Workstation (工作站)
微軟: 建立并維護到遠程服務器的客戶端網絡聯機�。如果停止這個服務��,這些聯機將無法使用��。如果停用這個服務�,所有依存于它的服務將無法啟動。
補充: 因特網聯機中所必要的一些功能
依存: Alerter��、Background Intelligent Transfer Service����、Computer Browser�、Messenger�����、Net Logon��、Remote Procedure Call (RPC) Locator
建議: 自動
“Clipbook Server”(文件夾服務器):這個服務允許你們網絡上的其他用戶看到你的文件夾����。在這里我要強烈建議你把它改為手動啟動,然后再使用其他程序在你的網絡上發布信息���。
“Messenger”(消息):在網絡上發送和接收信息��。如果你關閉了Alerter�����,你可以安全地把它改為手動啟動��。
“Printer Spooler”(打印后臺處理程序):如果你沒有配置打印機����,建議改為手動啟動或干脆關閉它。
“Error Reporting Service”(錯誤報告):服務和應用程序在非標準環境下運行時提供錯誤報告���。建議改為手動啟動����。
“Fast User Switching Compatibility”(快速用戶切換兼容性):建議改為手動啟動����。
“Automatic Updates”(自動更新):這個功能前面已經講過了,在這里可以改為手動啟動����。
“Net Logon”(網絡注冊):處理象注冊信息那樣的網絡安全功能。你可以把它設改為手動啟動���。
“Network DDE和Network DDE DSDM”(動態數據交換):除非你準備在網上共享你的Office,否則你應該把它改為手動啟動�。注:這和在通常的商務設定中使用Office不同(如果你需要DDE,你就會知道)����。
“NT LM Security Support”(NT LM安全支持提供商):在網絡應用中提供安全保護。建議你把它改為手動啟動。
“Remote Desktop Help Session Manager”(遠程桌面幫助會話管理器):建議改為手動啟動�。
“Remote Registry”(遠程注冊表):使遠程用戶能修改此計算機上的注冊表設置。建議改為手動啟動���。
“Task Scheduler”(任務調度程序):使用戶能在此計算機上配置和制定自動任務的日程�����,它計劃每星期的碎片整理等����。 除非你實在太懶了�����,連在電腦上開一下都不想���,建議改為手動啟動����。
“Uninterruptible Power Supply”(不間斷電源):它管理你的UPS���。如果你沒有的話����,把它改為手動啟動或干脆關閉它。
“Windows Image Acquisition (WIA)”(Windows 圖像獲取 (WIA)):為掃描儀和照相機提供圖像捕獲����,如果你沒有這些設備,建議改為手動啟動或干脆關閉它����。
五、安裝好一臺服務器后,推薦使用掃描工具先掃描本機有哪些漏洞,然后按照需要開啟或者關閉某些端口, win2000安裝SP4以上補丁,winXP安裝sp2補丁
掃描工具推薦是用X-SCAN
經常 開始--運行--Windows Update 是個良好的習慣
六��、win2000下關閉無用端口
每一項服務都對應相應的端口�,比如眾如周知的�WWW服務的端口是80,smtp是25��,ftp是21����,win2000安裝中默認的都是這些服務開啟的。對于個人用戶來說確實沒有必要�����,關掉端口也就是關閉無用的服務����。�
“控制面板”的“管理工具”中的“服務”中來配置。
1�、關閉7.9等等端口:關閉Simple TCP/IP Service,支持以下 TCP/IP 服務:Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day。
2��、關閉80口:關掉�WWW服務�����。在“服務”中顯示名稱為"World Wide Web Publishing Service"�����,通過 Internet 信息服務的管理單元提供 Web 連接和管理��。
3����、關掉25端口:關閉Simple Mail Transport Protocol (SMTP)服務,它提供的功能是跨網傳送電子郵件�。
4、關掉21端口:關閉FTP Publishing Service,它提供的服務是通過 Internet 信息服務的管理單元提供 FTP 連接和管理�。
5、關掉23端口:關閉Telnet服務��,它允許遠程用戶登錄到系統并且使用命令行運行控制臺程序。
6���、還有一個很重要的就是關閉server服務����,此服務提供 RPC 支持�、文件、打印以及命名管道共享���。關掉它就關掉了win2k的默認共享����,比如ipc$�����、c$����、admin$等等,此服務關閉不影響您的共他操作���。
7���、還有一個就是139端口,139端口是NetBIOS Session端口����,用來文件和打印共享,注意的是運行samba的unix機器也開放了139端口��,功能一樣���。以前流光2000用來判斷對方主機類型不太準確����,估計就是139端口開放既認為是NT機�,現在好了。
關閉139口聽方法是在“網絡和撥號連接”中“本地連接”中選取“Internet協議(TCP/IP)”屬性���,進入“高級TCP/IP設置”“WINS設置”里面有一項“禁用TCP/IP的NETBIOS”��,打勾就關閉了139端口�。
對于個人用戶來說����,可以在各項服務屬性設置中設為“禁用”�����,以免下次重啟服務也重新啟動����,端口也開放了�����。
七��、Win2000 Server的安全配置����,經過精心配置的Win2000服務器可以防御90%以上的入侵和滲透,但是����,就象上一章結束時我所提到的:系統安全是一個連續的過程,隨著新漏洞的出現和服務器應用的變化���,系統的安全狀況也在不斷變化著����;同時由于攻防是矛盾的統一體,道消魔長和魔消道長也在不斷的轉換中����,因此,再高明的系統管理員也不能保證一臺正在提供服務的服務器長時間絕對不被入侵����。
所以����,安全配置服務器并不是安全工作的結束,相反卻是漫長乏味的安全工作的開始��,本文我們將初步探討Win2000服務器入侵檢測的初步技巧���,希望能幫助您長期維護服務器的安全����。
本文中所說的入侵檢測指的是利用Win2000 Server自身的功能及系統管理員自己編寫的軟件/腳本進行的檢測�����,使用防火墻(Firewall)或入侵監測系統(IDS)的技巧并不在本文的討論范圍之內。
現在假定:我們有一臺Win2000 Server的服務器�,并且經過了初步的安全配置(關于安全配置的詳情可以參閱Win2000 Server安全配置入門<一>),在這種情況下�,大部分的入侵者將被拒之門外。(哈哈�,我管理員可以回家睡大覺去了)慢著,我說的是大部分�,不是全部,經過初步安全配置的服務器雖然可以防御絕大多數的Script kid(腳本族-只會用別人寫的程序入侵服務器的人)����,遇到了真正的高手,還是不堪一擊的�����。雖然說真正的高手不會隨便進入別人的服務器���,但是也難保有幾個品行不端的邪派高手看上了你的服務器����。(我真的這么衰么�?)而且,在漏洞的發現與補丁的發布之間往往有一段時間的真空��,任何知道漏洞資料的人都可以乘虛而入,這時�,入侵檢測技術就顯得非常的重要。
入侵的檢測主要還是根據應用來進行����,提供了相應的服務就應該有相應的檢測分析系統來進行保護,對于一般的主機來說���,主要應該注意以下幾個方面:
1��、 基于80端口入侵的檢測
�WWW服務大概是最常見的服務之一了,而且由于這個服務面對廣大用戶�,服務的流量和復雜度都很高,所以針對這個服務的漏洞和入侵技巧也最多�����。對于NT來說��,IIS一直是系統管理員比較頭疼的一部分(恨不得關了80端口)����,不過好在IIS自帶的日志功能從某種程度上可以成為入侵檢測的得力幫手。IIS自帶的日志文件默認存放在System32/LogFiles目錄下�,一般是按24小時滾動的,在IIS管理器中可以對它進行詳細的配置。(具體怎么配我不管你����,不過你要是不詳細記錄,回頭查不到入侵者的IP可不要哭)�
現在我們再假設(怎么老是假設呀����,煩不煩?)別急呀����,我不能為了寫這篇文章真的去黑掉一臺主機,所以只好假設了��,我們假設一臺WEB服務器�,開放了�WWW服務,你是這臺服務器的系統管理員����,已經小心地配置了IIS,使用W3C擴展的日志格式�����,并至少記錄了時間(Time)�、客戶端IP(Client IP)����、方法(Method)�、URI資源(URI Stem)、URI查詢(URI Query)����,協議狀態(Protocol Status),我們用最近比較流行的Unicode漏洞來進行分析:打開IE的窗口�����,在地址欄輸入:127.0.0.1/scripts/..%c1% 1c../winnt/system32/cmd.exe?/c+dir 默認的情況下你可以看到目錄列表(什么��?你已經做過安全配置了���,看不到?恢復默認安裝��,我們要做個實驗)���,讓我們來看看IIS的日志都記錄了些什么���,打開Ex010318.log(Ex代表W3C擴展格式�����,后面的一串數字代表日志的記錄日期):07:42:58 127.0.0.1 GET /scripts/../../winnt/system32/cmd.exe /c+dir 200上面這行日志表示在格林威治時間07:42:58(就是北京時間23:42:58)����,有一個家伙(入侵者)從127.0.0.1的IP在你的機器上利用Unicode漏洞(%c1%1c被解碼為"/"�����,實際的情況會因為Windows語言版本的不同而有略微的差別)運行了cmd.exe��,參數是/c dir�����,運行結果成功(�HTTP 200代表正確返回)�����。(哇����,記錄得可真夠全的,以后不敢隨便亂玩Unicode了)
大多數情況下���,IIS的日志會忠實地記錄它接收到的任何請求(也有特殊的不被IIS記錄的攻擊����,這個我們以后再討論),所以�,一個優秀的系統管理員應該擅長利用這點來發現入侵的企圖,從而保護自己的系統����。但是,IIS的日志動輒數十兆��、流量大的網站甚至數十G�����,人工檢查幾乎沒有可能����,唯一的選擇就是使用日志分析軟件�,用任何語言編寫一個日志分析軟件(其實就是文本過濾器)都非常簡單,不過考慮到一些實際情況(比如管理員不會寫程序����,或者服務器上一時找不到日志分析軟件)����,我可以告訴大家一個簡單的方法���,比方說你想知道有沒有人從80端口上試圖取得你的Global.asa文件�,可以使用以下的CMD命令:find "Global.asa" ex010318.log /i這個命令使用的是NT自帶的find.exe工具(所以不怕緊急情況找不著)�,可以輕松的從文本文件中找到你想過濾的字符串,"Global.asa"是需要查詢的字符串��,ex010318.log是待過濾的文本文件�����,/i代表忽略大小寫��。因為我無意把這篇文章寫成微軟的Help文檔����,所以關于這個命令的其他參數以及它的增強版FindStr.exe的用法請去查看Win2000的幫助文件。
無論是基于日志分析軟件或者是Find命令��,你都可以建立一張敏感字符串列表�����,包含已有的IIS漏洞(比如"+.htr")以及未來將要出現的漏洞可能會調用的資源(比如Global.asa或者cmd.exe),通過過濾這張不斷更新的字符串表����,一定可以盡早了解入侵者的行動。
需要提醒的是����,使用任何日志分析軟件都會占用一定的系統資源,因此����,對于IIS日志分析這樣低優先級的任務,放在夜里空閑時自動執行會比較合適��,如果再寫一段腳本把過濾后的可疑文本發送給系統管理員���,那就更加完美了���。同時,如果敏感字符串表較大����,過濾策略復雜�����,我建議還是用C寫一個專用程序會比較合算。
2�����、 基于安全日志的檢測
通過基于IIS日志的入侵監測���,我們能提前知道窺伺者的行蹤(如果你處理失當�,窺伺者隨時會變成入侵者)���,但是IIS日志不是萬能的���,它在某種情況下甚至不能記錄來自80端口的入侵,根據我對IIS日志系統的分析��,IIS只有在一個請求完成后才會寫入日志��,換言之����,如果一個請求中途失敗,日志文件中是不會有它的蹤影的(這里的中途失敗并不是指發生�HTTP400錯誤這樣的情況,而是從TCP層上沒有完成HTTP請求����,例如在POST大量數據時異常中斷),對于入侵者來說����,就有可能繞過日志系統完成大量的活動。�
而且��,對于非80 Only的主機�,入侵者也可以從其它的服務進入服務器,因此����,建立一套完整的安全監測系統是非常必要的。
Win2000自帶了相當強大的安全日志系統��,從用戶登錄到特權的使用都有非常詳細的記錄���,可惜的是�,默認安裝下安全審核是關閉的���,以至于一些主機被黑后根本沒法追蹤入侵者�����。所以�,我們要做的第一步是在管理工具-本地安全策略-本地策略-審核策略中打開必要的審核��,一般來說����,登錄事件與賬戶管理是我們最關心的事件,同時打開成功和失敗審核非常必要�����,其他的審核也要打開失敗審核����,這樣可以使得入侵者步步維艱,一不小心就會露出馬腳���。僅僅打開安全審核并沒有完全解決問題��,如果沒有很好的配置安全日志的大小及覆蓋方式���,一個老練的入侵者就能夠通過洪水般的偽造入侵請求覆蓋掉他真正的行蹤。通常情況下,將安全日志的大小指定為50MB并且只允許覆蓋7天前的日志可以避免上述情況的出現�。
設置了安全日志卻不去檢查跟沒有設置安全日志幾乎一樣糟糕(唯一的優點是被黑了以后可以追查入侵者),所以��,制定一個安全日志的檢查機制也是非常重要的���,作為安全日志���,推薦的檢查時間是每天上午,這是因為�����,入侵者喜歡夜間行動(速度快呀��,要不你入侵到一半的時候連不上了��,那可是哭都哭不出來)上午上班第一件事正好看看日志有沒有異常��,然后就可以放心去做其他的事了�。如果你喜歡,也可以編寫腳本每天把安全日志作為郵件發送給你(別太相信這個了�����,要是哪個高手上去改了你的腳本,每天發送"平安無事"……)
除了安全日志���,系統日志和應用程序日志也是非常好的輔助監測工具��,一般來說���,入侵者除了在安全日志中留下痕跡(如果他拿到了Admin權限��,那么他一定會去清除痕跡的)��,在系統和應用程序日志中也會留下蛛絲馬跡���,作為系統管理員���,要有不放過任何異常的態度,這樣入侵者就很難隱藏他們的行蹤����。
3、 文件訪問日志與關鍵文件保護
除了系統默認的安全審核外�����,對于關鍵的文件,我們還要加設文件訪問日志�����,記錄對他們的訪問���。
文件訪問有很多的選項:訪問��、修改�����、執行�、新建����、屬性更改......一般來說,關注訪問和修改就能起到很大的監視作用����。
例如,如果我們監視了系統目錄的修改���、創建����,甚至部分重要文件的訪問(例如cmd.exe,net.exe,system32目錄)�����,那么��,入侵者就很難安放后門而不引起我們的注意��,要注意的是��,監視的關鍵文件和項目不能太多����,否則不僅增加系統負擔���,還會擾亂日常的日志監測工作
(哪個系統管理員有耐心每天看四��、五千條垃圾日志�����?)
關鍵文件不僅僅指的是系統文件�,還包括有可能對系統管理員/其他用戶構成危害的任何文件,例如系統管理員的配置����、桌面文件等等,這些都是有可能用來竊取系統管理員資料/密碼的��。
4��、 進程監控
進程監控技術是追蹤木馬后門的另一個有力武器�,90%以上的木馬和后門是以進程的形式存在的(也有以其他形式存在的木馬,參見《揭開木馬的神秘面紗三》)�����,作為系統管理員��,了解服務器上運行的每個進程是職責之一(否則不要說安全���,連系統優化都沒有辦法做)�����,做一份每臺服務器運行進程的列表非常必要��,能幫助管理員一眼就發現入侵進程����,異常的用戶進程或者異常的資源占用都有可能是非法進程。除了進程外�,DLL也是危險的東西,例如把原本是exe類型的木馬改寫為dll后�����,使用rundll32運行就比較具有迷惑性���。
5����、 注冊表校驗
一般來說�����,木馬或者后門都會利用注冊表來再次運行自己�,所以��,校驗注冊表來發現入侵也是常用的手法之一����。一般來說���,如果一個入侵者只懂得使用流行的木馬,那么由于普通木馬只能寫入特定的幾個鍵值(比如Run�、Runonce等等),查找起來是相對容易的����,但是對于可以自己編寫/改寫木馬的人來說,注冊表的任何地方都可以藏身��,靠手工查找就沒有可能了�。(注冊表藏身千變萬化,例如需要特別提出來的FakeGina技術�,這種利用WINNT外嵌登錄DLL(Ginadll)來獲得用戶密碼的方法最近比較流行,一旦中招�����,登錄用戶的密碼就會被記錄無遺����,具體的預防方法我這里就不介紹了。)應對的方法是監控注冊表的任何改動��,這樣改寫注冊表的木馬就沒有辦法遁形了。監控注冊表的軟件非常多��,很多追查木馬的軟件都帶有這樣的功能����,一個監控軟件加上定期對注冊表進行備份,萬一注冊表被非授權修改�����,系統管理員也能在最短的時間內恢復���。
6����、端口監控
雖然說不使用端口的木馬已經出現��,但是大部分的后門和木馬還是使用TCP連接的�����,監控端口的狀況對于由于種種原因不能封鎖端口的主機來說就是非常重要的了�����,我們這里不談使用NDIS網卡高級編程的IDS系統�,對于系統管理員來說,了解自己服務器上開放的端口甚至比對進程的監控更加重要�����,常常使用netstat查看服務器的端口狀況是一個良好的習慣����,但是并不能24小時這樣做,而且NT的安全日志有一個壞習慣����,喜歡記錄機器名而不是IP(不知道比爾蓋子怎么想的),如果你既沒有防火墻又沒有入侵檢測軟件��,倒是可以用腳本來進行IP日志記錄的��,看著這個命令:
netstat -n -p tcp 10>>Netstat.log,這個命令每10秒鐘自動查看一次TCP的連接狀況���,基于這個命令我們做一個Netlog.bat文件:
time /t>>Netstat.log
Netstat -n -p tcp 10>>Netstat.log
這個腳本將會自動記錄時間和TCP連接狀態�����,需要注意的是:如果網站訪問量比較大����,這樣的操作是需要消耗一定的CPU時間的,而且日志文件將越來越大��,所以請慎之又慎����。(要是做個腳本就完美無缺,誰去買防火墻����?:)
一旦發現異常的端口,可以使用特殊的程序來關聯端口����、可執行文件和進程(如inzider就有這樣的功能,它可以發現服務器監聽的端口并找出與該端口關聯的文件��,inzider可以從�http://www.nttoolbox.com下載到)���,這樣無論是使用TCP還是UDP的木馬都無處藏身�。�
7��、終端服務的日志監控
單獨將終端服務(Terminal Service)的日志監控分列出來是有原因的�����,微軟Win2000服務器版中自帶的終端服務Terminal Service是一個基于遠程桌面協議(RDP)的工具�,它的速度非常快��,也很穩定�,可以成為一個很好的遠程管理軟件,但是因為這個軟件功能強大而且只受到密碼的保護����,所以也非常的危險,一旦入侵者擁有了管理員密碼�����,就能夠象本機一樣操作遠程服務器(不需要高深的NT命令行技巧���,不需要編寫特殊的腳本和程序��,只要會用鼠標就能進行一切系統管理操作�,實在是太方便�����、也實在是太可怕了)。雖然很多人都在使用終端服務來進行遠程管理����,但是,并不是人人都知道如何對終端服務進行審核���,大多數的終端服務器上并沒有打開終端登錄的日志�,其實打開日志審核是很容易的����,在管理工具中打開遠程控制服務配置(Terminal Service Configration),點擊"連接"���,右擊你想配置的RDP服務(比如 RDP-TCP(Microsoft RDP 5.0)��,選中書簽"權限"���,點擊左下角的"高級",看見上面那個"審核"了么�����?我們來加入一個Everyone組���,這代表所有的用戶��,然后審核他的"連接"��、"斷開"����、"注銷"的成功和"登錄"的成功和失敗就足夠了��,審核太多了反而不好����,這個審核是記錄在安全日志中的,可以從"管理工具"->"日志查看器"中查看?��,F在什么人什么時候登錄我都一清二楚了��,可是美中不足的是:這個破爛玩藝居然不記錄客戶端的IP(只能查看在線用戶的IP)��,而是華而不實的記錄什么機器名���,倒!要是別人起個PIG的機器名你只好受他的嘲弄了���,不知道微軟是怎么想的����,看來還是不能完全依賴微軟呀,我們自己來吧�?寫個程序,一切搞定�����,你會C么��?不會��?VB呢����?也不會��?Delphi�?……什么?你什么編程語言都不會?我倒��,畢竟系統管理員不是程序員呀��,別急別急�����,我給你想辦法����,我們來建立一個bat文件�����,叫做TSLog.bat����,這個文件用來記錄登錄者的IP,內容如下:
time /t >>TSLog.log
netstat -n -p tcp | find ":3389">>TSLog.log
start Explorer
我來解釋一下這個文件的含義:
第一行是記錄用戶登錄的時間,time /t的意思是直接返回系統時間(如果不加/t�,系統會等待你輸入新的時間)�����,然后我們用追加符號">>"把這個時間記入TSLog.log作為日志的時間字段����;
第二行是記錄用戶的IP地址,netstat是用來顯示當前網絡連接狀況的命令��,-n表示顯示IP和端口而不是域名、協議�����,-ptcp是只顯示tcp協議����,然后我們用管道符號"|"把這個命令的結果輸出給find命令,從輸出結果中查找包含":3389"的行(這就是我們要的客戶的IP所在的行,如果你更改了終端服務的端口��,這個數值也要作相應的更改)��,最后我們同樣把這個結果重定向到日志文件TSLog.log中去�,于是在SLog.log文件中,記錄格式如下:
22:40
TCP 192.168.12.28:3389 192.168.10.123:4903 ESTABLISHED
22:54
TCP 192.168.12.28:3389 192.168.12.29:1039 ESTABLISHED
也就是說只要這個TSLog.bat文件一運行��,所有連在3389端口上的IP都會被記錄,那么如何讓這個批處理文件自動運行呢?我們知道,終端服務允許我們為用戶自定義起始的程序����,在終端服務配置中,我們覆蓋用戶的登錄腳本設置并指定TSLog.bat為用戶登錄時需要打開的腳本��,這樣每個用戶登錄后都必須執行這個腳本,因為默認的腳本(相當于shell環境)是Explorer(資源管理器)�����,所以我在TSLog.bat的最后一行加上了啟動Explorer的命令startExplorer��,如果不加這一行命令,用戶是沒有辦法進入桌面的����!當然�,如果你只需要給用戶特定的Shell:
例如cmd.exe或者word.exe你也可以把start Explorer替換成任意的shell。這個腳本也可以有其他的寫法�����,作為系統管理員,你完全可以自由發揮你的想象力、自由利用自己的資源����,例如寫一個腳本把每個登錄用戶的IP發送到自己的信箱對于重要的服務器也是一個很好的方法�����。正常情況下一般的用戶沒有查看終端服務設置的權限�,所以他不會知道你對登錄進行了IP審核����,只要把TSLog.bat文件和TSLog.log文件放在比較隱蔽的目錄里就足夠了����,不過需要注意的是這只是一個簡單的終端服務日志策略�����,并沒有太多的安全保障措施和權限機制,如果服務器有更高的安全要求�����,那還是需要通過編程或購買入侵監測軟件來完成的。
8�����、陷阱技術
早期的陷阱技術只是一個偽裝的端口服務用來監測掃描,隨著矛和盾的不斷升級�,現在的陷阱服務或者陷阱主機已經越來越完善���,越來越象真正的服務����,不僅能截獲半開式掃描�����,還能偽裝服務的回應并記錄入侵者的行為,從而幫助判斷入侵者的身份�。
我本人對于陷阱技術并不是非常感興趣,一來從技術人員角度來說���,低調行事更符合安全的原則�����;二來陷阱主機反而成為入侵者跳板的情況并不僅僅出現在小說中,在現實生活中也屢見不鮮��,如果架設了陷阱反而被用來入侵��,那真是偷雞不成了��。
記得CoolFire說過一句話,可以用來作為對陷阱技術介紹的一個結束:在不了解情況時,不要隨便進入別人的系統�,因為你永遠不能事先知道系統管理員是真的白癡或者偽裝成白癡的天才......
入侵監測的初步介紹就到這里��,在實際運用中��,系統管理員對基礎知識掌握的情況直接關系到他的安全敏感度,只有身經百戰而又知識豐富����、仔細小心的系統管理員才能從一點點的蛛絲馬跡中發現入侵者的影子��,未雨綢繆��,扼殺入侵的行動
