為Windows 2003安全—層層設防

2024-07-26 00:28:24

字體：大中小

來源：轉載

供稿：網友

　　Windows Server 2003作為Microsoft 最新推出的服務器操作系統，相比Windows 2000/XP系統來說，各方面的功能確實得到了增強，尤其在安全方面，總體感覺做的還算不錯。但“金無足赤”任何事物也沒有十全十美的，微軟Windows 2003也是如此，照樣存在著系統漏洞、存在著不少安全隱患！無論你用計算機欣賞音樂、上網沖浪、運行游戲，還是編寫文檔都要不可避免地遭受新病毒泛濫時的威脅，如何讓Windows Server 2003更加安全，成為廣大用戶十分關注的問題。

　　一、取消IE安全提示對話框

　　面對黑客組織惡意程序的攻擊，微軟公司一直都在努力致力于降低產品的安全隱患，這是有目共睹的。微軟新一代的Windows Server 2003操作系統在安全性能方面就得到了加強。比如在使用

　　Windows Server 2003自帶的IE瀏覽器瀏覽網頁時，每次都會彈出一個安全提示框，“不厭其煩”地提示我們，是否需要將當前訪問的網站添加到自己信任的站點中去；如果表示不信任的話，只能單擊“關閉”按鈕；而要是想瀏覽該站點的話，就必須單擊“添加”按鈕，將該網頁添加到信任網站的列表中去。不過每次訪問網頁，都要經過這樣的步驟，實在是太煩瑣了。其實我們可以通過下面的方法來讓IE取消對網站安全性的檢查：

　　1.一旦系統打開安全提示頁面時，你可以用鼠標將其中的“當網站的內容被堵塞時繼續提示”復選項選中；

　　2.在瀏覽界面中，用鼠標單擊“工具”菜單項，從打開的下拉菜單中執行“Internet選項”命令；

　　3.在彈出的選項設置界面中，你可以將系統默認狀態下的最高安全級別設置為中等級別；

　　4.設置時，只要在“安全”標簽頁面中，拖動其中的安全滑塊到“中”位置處就可以了；

　　5.完成設置后，單擊“確定”按鈕，就可以將瀏覽器的安全自動提示頁面取消了。

　　經過修改IE的默認安全級別的設置，再上網的時候，IE就不會自動去檢查網站的安全性了，麻煩解決了吧！

　　二、重新支持asp腳本

　　提起ASP(ActiveServerPage)大家都會聯想到Windows，它以其強大的功能，簡單易學的特點而受到廣大WEB開發人員的喜歡。但為了將系統安全隱患降到最低限度，Windows Server 2003操作系統在默認狀態下，是不支持ASP腳本運行的——系統將不會再對網站中的ASP代碼進行任何的操作；但現在許多網頁的服務功能多是通過ASP腳本來實現的，怎么辦？其實我們完全可以在系統安全得到保障的前提下，讓系統重新支持ASP腳本。具體實現的方法為：

　　1.在系統的開始菜單中，依次單擊“管理工具”/“Internet信息服務管理器”命令（如圖1）。

　　2.在隨后出現的Internet信息服務屬性設置窗口中，用鼠標選中左側區域中的“Web服務器擴展”選項；

　　3.接著在對應該選項右側的區域中，用鼠標雙擊“Actives server pages”選項，然后將“任務欄”設置項處的“允許”按鈕單擊一下，系統中的IIS6就可以重新支持ASP腳本了（如圖2）。

　　用戶最關心的問題大概就是原有的ASP組件是否還可以繼續使用？我可以告訴大家，經這番修改設置，系統中的IIS6重新支持ASP腳本了，一切的操作是不是很簡單?。?
　　三、清除默認共享隱患

　　使用Windows Server 2003的用戶都會碰到一個問題，就是系統在默認安裝時，都會產生默認的共享文件夾。雖然用戶并沒有設置共享，但每個盤符都被Windows自動設置了共享，其共享名為盤符

　　后面加一個符號＄（共享名稱分別為c$、d$、ipc$以及admin$）。也就是說，只要攻擊者知道了該系統的管理員密碼，就有可能通過“//工作站名/共享名稱”的方法，來打開系統的指定文件夾，如此一來，用戶精心設置的安全防范豈不成了擺設？還有安全嘛！為此，我們很有必要將Windows Server 2003系統默認的共享隱患，立即從系統中清除掉。

　　1、刪除Windows Server 2003默認共享

　　首先編寫如下內容的批處理文件：

　　@echo off

　　net share C$ /del

　　net share D$ /del

　　net share E$ /del

　　net share F$ /del

　　net share admin$ /del

　　以上文件的內容用戶可以根據自己需要進行修改。保存為delshare.bat，存放到系統所在文件夾下的system32/GroupPolicy/User/Scripts/Logon目錄下。然后在開始菜單→運行中輸入gpedit.msc，

　　回車即可打開組策略編輯器。點擊用戶配置→Windows設置→腳本(登錄/注銷)→登錄（如圖3），

　　在出現的“登錄屬性”窗口中單擊“添加”，會出現“添加腳本”對話框，在該窗口的“腳本名”欄中輸入delshare.bat，然后單擊“確定”按鈕即可（如圖4）。

　　重新啟動計算機系統，就可以自動將系統所有的隱藏共享文件夾全部取消了，這樣就能將系統安全隱患降低到最低限度。

　　2、禁用IPC連接

　　IPC$(Internet PRocess Connection)是共享“命名管道”的資源，它是為了讓進程間通信而開放的命名管道，通過提供可信任的用戶名和口令，連接雙方計算機即可以建立安全的通道并以此通道進行加密數據的交換，從而實現對遠程計算機的訪問。它是Windows NT/2000/XP/2003特有的功能，但它有一個特點，即在同一時間內，兩個IP之間只允許建立一個連接。NT/2000/XP/2003在提供了ipc$功能的同時，在初次安裝系統時還打開了默認共享，即所有的邏輯共享(c$,d$,e$……)和系統目錄winnt或windows(admin$)共享。所有的這些，微軟的初衷都是為了方便管理員的管理，但也為簡稱為IPC入侵者有意或無意的提供了方便條件，導致了系統安全性能的降低。在建立IPC的連接中不需要任何黑客工具，在命令行里鍵入相應的命令就可以了，不過有個前提條件，那就是你需要知道遠程主機的用戶名和密碼。打開CMD后輸入如下命令即可進行連接：net use//ip/ipc$ "passWord" /user:"usernqme"。我們可以通過修改注冊表來禁用IPC連接。打開注冊表編輯器。找到如下組建HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Lsa中的restrictanonymous子鍵，將其值改為1即可禁用IPC連接（如圖5）。

　　四、清空遠程可訪問的注冊表路徑

　　大家都知道，Windows 2003操作系統提供了注冊表的遠程訪問功能，只有將遠程可訪問的注冊表路徑設置為空，這樣才能有效的防止黑客利用掃描器通過遠程注冊表讀取計算機的系統信息及其它信息（如圖6）。

　　打開組策略編輯器，依次展開“計算機配置→Windows 設置→安全設置→本地策略→安全選項”，在右側窗口中找到“網絡訪問：可遠程訪問的注冊表路徑”，然后在打開的窗口中，將可遠程訪問的注冊表路徑和子路徑內容全部設置為空即可（如圖7）。

　　五、關閉不必要的端口

　對于個人用戶來說安裝中默認的有些端口確實是沒有什么必要的，關掉端口也就是關閉無用的服務。139端口是NetBIOS協議所使用的端口，在安裝了TCP/IP 協議的同時，NetBIOS 也會被作為默認設置安裝到系統中。139端口的開放意味著硬盤可能會在網絡中共享；網上黑客也可通過NetBIOS知道你的電腦中的一切！在以前的Windows版本中，只要不安裝Microsoft網絡的文件和打印共享協議，就可關閉139端口。但在Windows Server 2003中，只這樣做是不行的。如果想徹底關閉139端口，具體步驟如下：

　　鼠標右鍵單擊“網絡鄰居”，選擇“屬性”，進入“網絡和撥號連接”，再用鼠標右鍵單擊“本地連接”，選擇“屬性”，打開“本地連接屬性”頁（如圖8），

　　然后去掉“Microsoft網絡的文件和打印共享”前面的“√”（如圖9），

　　

　　接下來選中“Internet協議(TCP/IP)”，單擊“屬性”→“高級”→“WINS”，把“禁用TCP/IP上的NetBIOS”選中，即任務完成(如圖10)！

　　

　　對于個人用戶來說，可以在各項服務屬性設置中設為“禁用”，以免下次重啟服務也重新啟動，端口也開放了。

　　假如你的電腦中還裝了IIS，你最好重新設置一下端口過濾。步驟如下：選擇網卡屬性，然后雙擊“Internet協議(TCP/IP)”，在出現的窗口中單擊“高級”按鈕，會進入“高級TCP/IP設置”窗口，接下來選擇“選項”標簽下的“TCP/IP 篩選”項，點“屬性”按鈕，會來到“TCP/IP 篩選”的窗口，在該窗口的“啟用TCP/IP篩選(所有適配器)”前面打上“√”，然后根據需要配置就可以了。如果你只打算瀏覽網頁，則只開放TCP端口80即可，所以可以在“TCP端口”上方選擇“只允許”，然后單擊“添加”按鈕，輸入80再單擊“確定”即可（如圖11）

　　