• 您的位置：創(chuàng)新互聯(lián) >> 網(wǎng)站建設(shè) >> 服務(wù)器主機 >> WIN2003 Server的安全設(shè)置及優(yōu)化技巧

WIN2003 Server服務(wù)器安全設(shè)置防止ipc$入侵攻擊

• 作者：曾小姐 文章來源：成都服務(wù)器租用 點擊數(shù)：467 更新時間：2009-9-10
• 上一篇文章介紹了網(wǎng)站服務(wù)器的一些基本設(shè)置，這篇介紹服務(wù)器安全設(shè)置如何防ipc$入侵攻擊。
  防止ipc$入侵攻擊具體有4步如下：
  1、禁止空連接進行枚舉(此操作并不能阻止空連接的建立)
  　　首先運行regedit，找到如下組建[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
  　　把RestrictAnonymous = DWORD的鍵值改為：00000001。 restrictanonymous REG_DWORD
  　　0x0 缺省
  　　0x1 匿名用戶無法列舉本機用戶列表
  　　0x2 匿名用戶無法連接本機IPC$共享
  　　說明:不建議使用2，否則可能會造成你的一些服務(wù)無法啟動，如SQL Server
  2、禁止默認(rèn)共享
  　　1）察看本地共享資源
  　　運行-cmd-輸入net share
  　　2）刪除共享(每次輸入一個）
  　　net share ipc$ /delete
  　　net share admin$ /delete
  　　net share c$ /delete
  　　net share d$ /delete（如果有e,f,……可以繼續(xù)刪除）
  　　3）修改注冊表刪除共享
  　　運行-regedit 找到如下主鍵
  　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]
  　　把AutoShareServer（DWORD）的鍵值改為0000000。如果上面所說的主鍵不存在，就新建(右擊-新建-雙字節(jié)值）一個主健再改鍵值。
  3、停止server服務(wù)
  　　1）暫時停止server服務(wù)
  　　net stop server /y （重新啟動后server服務(wù)會重新開啟）
  　　2）永久關(guān)閉ipc$和默認(rèn)共享依賴的服務(wù):lanmanserver即server服務(wù)
  　　控制面板-管理工具-服務(wù)-找到server服務(wù)（右擊）-屬性-常規(guī)-啟動類型-已禁用
  4、安裝防火墻(選中相關(guān)設(shè)置)，或者端口過濾(濾掉139,445等)
  　　1).解開文件和打印機共享綁定
  　　鼠標(biāo)右擊桌面上[網(wǎng)絡(luò)鄰居]→[屬性]→[本地連接]→[屬性]，去掉“Microsoft網(wǎng)絡(luò)的文件和打印機共享”前面的勾，解開文件和打印機共享綁定。這樣就會禁止所有從139和445端口來的請求，別人也就看不到本機的共享了。
  　　2).利用TCP/IP篩選
  　　鼠標(biāo)右擊桌面上[網(wǎng)絡(luò)鄰居]→[屬性]→[本地連接]→[屬性]，打開“本地連接屬性”對話框。選擇[Internet協(xié)議(TCP/IP)]→[屬性]→[高級]→[選項]，在列表中單擊選中“TCP/IP篩選”選項。單擊[屬性]按鈕，選擇“只允許”，再單擊[添加]按鈕(如圖2)，填入除了139和445之外要用到的端口。這樣別人使用掃描器對139和445兩個端口進行掃描時，將不會有任何回應(yīng)。
  　　3).使用IPSec安全策略阻止對端口139和445的訪問
  　　選擇[我的電腦]→[控制面板]→[管理工具]→[本地安全策略]→[IP安全策略，在本地機器]，在這里定義一條阻止任何IP地址從TCP139和TCP445端口訪問IP地址的IPSec安全策略規(guī)則，這樣別人使用掃描器掃描時，本機的139和445兩個端口也不會給予任何回應(yīng)。
  　　4).使用防火墻防范攻擊
  　　在防火墻中也可以設(shè)置阻止其他機器使用本機共享。如在“天網(wǎng)個人防火墻”中，選擇一條空規(guī)則，設(shè)置數(shù)據(jù)包方向為“接收”，對方IP地址選“任何地址”，協(xié)議設(shè)定為“TCP”，本地端口設(shè)置為“139到139”，對方端口設(shè)置為“0到0”，設(shè)置標(biāo)志位為“SYN”，動作設(shè)置為“攔截”，最后單擊[確定]按鈕，并在“自定義IP規(guī)則”列表中勾選此規(guī)則即可啟動攔截139端口攻擊了。
  最后，小編補充：
  　　維護電腦的安全應(yīng)從平時的基本習(xí)慣做起，養(yǎng)成給自己電腦進行安全設(shè)置的良好習(xí)慣。保證電腦的基本安全，關(guān)鍵在于防范意識的提高。就目前的市場來說，使用windows 2003server當(dāng)做服務(wù)器的公司，還是有一定的數(shù)量的，所以，為保障企業(yè)內(nèi)部網(wǎng)絡(luò)的安全、以及企業(yè)自身的利益，是非常有必要對服務(wù)器的本身做好最佳的防范的。當(dāng)然，外界的軟件、硬件的防護也是不可避免的。總之，防范從個人開始，防范從小事開始。
• 上一篇文章：WIN2003 Server服務(wù)器的安全設(shè)置及優(yōu)化技巧
  下一篇文章：開啟和關(guān)閉FSO的方法