Windows系统安全-精选课件.ppt

1、目录操作系统安全定义操作系统安全定义WINDOWSWINDOWS系统的安全架构系统的安全架构WINDOWSWINDOWS系统的安全组件系统的安全组件一次针对一次针对Windows 2000 Server Windows 2000 Server 的入侵的入侵入侵过程的分析入侵过程的分析我们该做些什么我们该做些什么WindowsWindows系统安装注意事项系统安装注意事项WindowsWindows系统安全检查与加固系统安全检查与加固WindowsWindows系统维护系统维护WindowsWindows系统异常监控与检查系统异常监控与检查操作系统安全定义 信息安全的五类服务，作为安全的操作系统

2、时必须提供的信息安全的五类服务，作为安全的操作系统时必须提供的 有些操作系统所提供的服务是不健全的、默认关闭的有些操作系统所提供的服务是不健全的、默认关闭的Windows系统的安全架构 Windows NT系统内置支持用户认证、访问控制、管理、审核。Windows系统的安全组件访问控制的判断访问控制的判断（Discretion access control）允许对象所有者可以控制谁被允许访问该对象以及访问的方式。对象重用对象重用（Object reuse）当资源（内存、磁盘等）被某应用访问时，Windows 禁止所有的系统应用访问该资源，这也就是为什么无法恢复已经被删除的文件的原因。强制登陆强

3、制登陆（Mandatory log on）要求所有的用户必须登陆，通过认证后才可以访问资源审核审核（Auditing）在控制用户访问资源的同时，也可以对这些访问作了相应的记录。对象的访问控制对象的访问控制（Control of access to object）不允许直接访问系统的某些资源。必须是该资源允许被访问，然后是用户或应用通过第一次认证后再访问。常见安全问题DOS/DDOS漏洞-溢出蠕虫木马、后门病毒口令窃取一般入侵步骤针对Windows 的入侵(1)探测选择攻击对象，了解部分简单的对象信息；针对具体的攻击目标，随便选择了一组IP地址，进行测试，选择处于活动状态的主机，进行攻击尝试针对

4、探测的安全建议对于网络：安装防火墙，禁止这种探测行为对于主机：安装个人防火墙软件，禁止外部主机的ping包，使对方无法获知主机当前正确的活动状态针对Windows 的入侵(2)扫描使用的扫描软件NAT、流光、Xscan、SSS扫描远程主机 开放端口扫描 操作系统识别 主机漏洞分析扫描结果：端口扫描扫描结果：操作系统识别扫描结果：漏洞扫描针对Windows 的入侵(3)查看目标主机的信息针对Windows的入侵(4)IIS攻击尝试利用IIS中知名的Unicode和“Translate:f”漏洞进行攻击，没有成功。目标主机可能已修复相应漏洞，或没有打开远程访问权限Administrator口令强行

5、破解这里我们使用NAT（NetBIOS Auditing Tool）进行强行破解：构造一个可能的用户帐户表，以及简单的密码字典，然后用NAT进行破解Administrator口令破解情况针对Windows 的入侵(5)巩固权力现在我们得到了Administrator的帐户，接下去我们需要巩固权力装载后门一般的主机为防范病毒，均会安装反病毒软件，如Norton Anti-Virus、金山毒霸等，并且大部分人也能及时更新病毒库，而多数木马程序在这类软件的病毒库中均被视为Trojan木马病毒。所以，这为我们增加了难度。除非一些很新的程序或自己编写的程序才能够很好地隐藏起来我们使用NetCat作为后门

6、程序进行演示安装后门程序(1)利用刚刚获取的Administrator口令，通过Net use映射对方驱动器安装后门程序(2)将netcat主程序nc.exe复制到目标主机的系统目录下，可将程序名称改为容易迷惑对方的名字利用at命令远程启动NetCat安装后门程序(3)针对Windows 的入侵(6)清除痕迹我们留下了痕迹了吗del*.evt echo xxx *.evt看看它的日志文件无安全日志记录本次入侵，我们都做了什么？踩点踩点扫描扫描渗透渗透口令破解口令破解安装后门安装后门清除脚印清除脚印 端口扫描 操作系统探测 漏洞扫描通过入侵来看Windows的防范安装防火墙软件，对安全规则库定期

7、进行更新 及时更新操作系统厂商发布的SP补丁程序 停止主机上不必要的服务，各种服务打开的端口往往成为黑客攻击的入口 使用安全的密码如果没有文件和打印机共享要求，最好禁止135、139和445端口上的空会话 经常利用net session、netstat查看本机连接情况Windows系统安装使用正版可靠安装盘将系统安装在NTFS分区上系统和数据要分开存放在不同的磁盘最小化安装组件安全补丁合集和相关的Hotfix装其它的服务和应用程序补丁防止病毒、正常安装补丁等防止病毒、正常安装补丁等进行文件系统安全设置进行文件系统安全设置最少建立两个分区，一个系统最少建立两个分区，一个系统分区，一个应用程序分区

8、，因分区，一个应用程序分区，因为微软的为微软的IIS经常会有泄漏源码经常会有泄漏源码/溢出的漏洞，如果把系统和溢出的漏洞，如果把系统和IIS放在同一个驱动器会导致系放在同一个驱动器会导致系统文件的泄漏甚至入侵者远程统文件的泄漏甚至入侵者远程获取获取ADMIN。NT安装安装SP6a和相关的和相关的HotfixWIN2K安装安装SP4和相关的和相关的HotfixWINXP安装安装SP2和相关的和相关的HotfixWIN2019安装相关的安装相关的Hotfix系统安全检查系统信息补丁安装情况帐号和口令网络与服务文件系统日志审核安全性增强系统信息检查服务器是否安装多系统，多系统无法保障文件系统的安全

9、从从“operating systems”字段可字段可以查到允许启动的系统列表以查到允许启动的系统列表 系统信息查看主机路由信息 命令命令补丁安装情况检查当前主机所安装的Service Pack以及HotfixSP版本版本IE版本，请确认在版本，请确认在Hotfix中中是否存在是否存在IE SP1补丁信息补丁信息Hotfix信息信息补丁安装情况Mbsa (Microsoft Baseline Security Analyzer）帐号和口令是否有密码过期策略 密码过期策略包括密码最长存留期和最短存留期，最长存留期是指密码在多久后过期，最短存留期是指在多久后才可以修改密码#密码最长存留期，以天为单

10、位，MAXDAYS天后密码过期，缺省为42天（建议不超过42天）#密码最短存留期，以天为单位，MINDAYS天后才可以修改密码，缺省为0（建议17天）实施密码复杂性要求实施密码复杂性要求帐号和口令帐户锁定策略检查锁定策略包括帐户锁定计数器、帐户锁定时间、帐户锁定阀值。开始|程序|管理工具|本地安全设置|安全设置|帐户策略：帐户锁定计数器：（建议为30分钟）帐户锁定时间：（建议为30分钟）帐户锁定阀值：（建议5次）确定帐户锁定策略，作为内部网主机，建议使用推荐值；作为互联网服务器建议不要设置该值，因为设置该值可能导致一些服务的拒绝服务。账户锁定账户锁定帐号和口令检查Guest帐号 Guest帐号

11、是一个容易忽视的帐号，黑客可能修改该帐号权限，并利用该帐号登陆系统 没有激活禁用闲置账户禁用闲置账户帐号和口令系统是否使用默认管理员帐号 默认管理员帐号可能被攻击者用来进行密码暴力猜测，建议修改默认管理员用户名。(系统刚装完)Administrator用户名已被修改命令帐号和口令是否存在可疑帐号查看系统是否存在攻击者留下的可疑帐号，或检查主机操作人员遗留下的尚未删除的帐号。可禁用不需要帐号：命令命令帐号和口令帐号和口令检查系统中是否存在脆弱口令 系统存在脆弱口令帐号可能导致攻击者轻易猜出帐号密码。强壮口令要求：8位或以上口令长度、大小写字母、数字、特殊符号工具：常用扫描工具X-SCAN、流光等

12、。口令破解工具：LC、smbcrack、NAT网络与服务查看网络开放端口 查看监听端口查看监听端口网络与服务得到网络流量信息 命令命令网络与服务检查主机端口、进程对应信息 Fport -sometips/soft/fport.exe 网络与服务查看系统已经启动的服务列表 网络与服务查看主机是否开放了共享或管理共享未关闭。默认的共享 文件系统查看主机磁盘分区类型 服务器应使用具有安全特性的NTFS格式，而不应该使用FAT或FAT32分区。开始|管理工具|计算机管理|磁盘管理 NTFS分区分区 文件系统检查特定文件的文件权限 对于一些敏感文件权限需要进行修改，避免文件被恶意用户执行。仅适用于仅适用

13、于NTFS分区分区 文件系统检查特定目录的权限 在检查中一般检查各个磁盘根目录权限、Temp目录权限 日志审核检查主机的审核情况 开始|运行|gpedit.msc|计算机配置|Windows设置|本地策略|审核策略 日志审核检查系统日志大小、覆盖天数 开始|运行|eventvwr|右键“系统”可设置更大的可设置更大的空间存储日志空间存储日志如果空间足够，建议手如果空间足够，建议手动清除日志动清除日志安全性增强安全选项对匿名连接的额外限制 默认情况下，Windows系统允许匿名用户枚举主机帐号列表，获得一些敏感信息。开始|运行|gpedit.msc|计算机配置|Windows设置|本地策略|安全

14、选项 建议设置为“不允许枚举 SAM 帐号和共享”安全性增强安全选项安全性增强安全选项安全性增强安全选项对匿名连接的额外限制 默认情况下，Windows系统允许匿名用户枚举主机帐号列表，获得一些敏感信息。开始|运行|gpedit.msc|计算机配置|Windows设置|本地策略|安全选项 LAN Manager 身份验证级别身份验证级别 建议设置为“仅发送NTLMV2响应”安全性增强安全选项安全性增强安全选项如果有如果有Windows 9x的机器要连接到本机器，则不能做此操作。的机器要连接到本机器，则不能做此操作。Win2K支持的认证方法支持的认证方法安全性增强安全选项检查是否登陆时间用完后自

15、动注销用户 开始|运行|gpedit.msc|计算机配置|Windows设置|本地策略|安全选项 设置项安全性增强安全选项是否显示上次成功登陆的用户名 开始|运行|gpedit.msc|计算机配置|Windows设置|本地策略|安全选项 设置项安全性增强安全选项是否允许未登陆系统执行关机命令 开始|运行|gpedit.msc|计算机配置|Windows设置|本地策略|安全选项 设置项安全性增强安全选项仅登陆用户允许使用光盘 开始|运行|gpedit.msc|计算机配置|Windows设置|本地策略|安全选项 设置项安全性增强用户权利指派在“控制面板/管理工具/本地安全策略”中，在左边的选项树中

16、选择“安全设置/本地策略/安全选项”，查看并记录以下参数的设置：从网络访问此计算机：在本地登录：从远端系统强制关机：关闭系统：取得文件或其它对象的所有权：安全性增强用户权利指派从网络访问此计算机安全性增强用户权利指派在本地登录安全性增强用户权利指派从远端系统强制关机安全性增强用户权利指派关闭系统安全性增强用户权利指派取得文件或其它对象的所有权系统安全配置补丁安装帐号、口令策略修改网络与服务安全性增强文件系统安全性增强日志审核增强安全性增强补丁安装使用Windows update安装最新补丁 手工安装补丁：v4.windowsupdate.microsoft/zhcn/default.asp?c

17、orporate=trueSUS补丁自动分发系统SUS简介SUS服务的英文全名叫SOFTWARE UPDATE SERVICES，就是软件更新服务，它是STPP（Strategic Technology Protection Program）的一个有效组成部分。它是建立在Microsoft Windows Update技术上的针对企业用户的一项定制服务。它提供了企业管理和发布重要更新、安全更新的解决方案。通过SUS，用户可以不必再经常查看安全更新并手工下载人工安装。SUS可以提供动态的部署、发布安全更新的功能。帐号、口令策略修改推荐修改为：设置帐号策略后可能导致不符合帐号策略的帐号无法登陆，需

18、修改帐号密码（注：管理员不受帐号策略限制，但管理员密码应复杂）密码长度最小值8字符密码最长存留期90天密码最短存留期30天帐号锁定计数器5次帐户锁定时间5分钟帐户锁定阀值1分钟网络与服务安全性增强卸载不需要的服务 开始|设置|控制面板|添加/删除程序|Windows组件，卸载不需要的服务 避免未知漏洞给主机带来的风险 网络与服务安全性增强将暂时不需要开放的服务停止 开始|运行|services.msc|将上述服务的启动类型设置为手动并停止上述服务 避免未知漏洞给主机带来的风险 Windows的系统服务 单击“开始”，指向“设置”，然后单击“控制面板”。双击“管理工具”，然后双击“服务”。在列表

19、框中显示的是系统可以使用的服务。Windows 2k/XP下可以在命令行中输入services.msc打开服务列表。Windows的系统服务服务包括三种启动类型：自动，手动，已禁用。自动-Windows 2k/xp启动的时候自动加载服务 手动-Windows 2k/xp启动的时候不自动加载服务，在需要的时候手动开启 已禁用-Windows 2k/xp启动的时候不自动加载服务，在需要的时候选择手动或者自动方式开启服务，并重新启动电脑完成服务的配置双击需要进行配置的服务，出现下图所示的属性对话框：推荐关闭的服务列表-1DHCP ClientFax ServiceClipBookIndexing S

20、erviceInternet Connect SharingMessengerNet Logon推荐关闭的服务列表-2NetMeeting Remote Desktop Network DDENetwork DDE DSDMRemote Registry ServiceRouting and Remote AccessRunAs ServiceTask ScheduleTelnet禁用禁用139端口端口在本地连接的属性窗口中，打开在本地连接的属性窗口中，打开Internet Protocol(TCP/IP)的的属性，然后选择属性，然后选择Advanced|WINS标签，有一个选项称为标签，有一

21、个选项称为Disable NetBIOS over TCP/IP，如图所示，如图所示禁用禁用SNMP删除删除SNMP代理代理配置为只对特定的配置为只对特定的IP地址作响应地址作响应配置为只对特定的配置为只对特定的IP地址作响应地址作响应在使用惟一的一台管理工作站轮询所有设备的在使用惟一的一台管理工作站轮询所有设备的SNMP数据数据的环境中，这是一种典型的配置的环境中，这是一种典型的配置打开打开Services MMC|SNMP Service Properties对话框对话框|Security标签，选择标签，选择Accept SNMP packets from these hosts单选按钮，

22、并指定你的单选按钮，并指定你的SNMP管理工作站的管理工作站的IP地址，如图所示地址，如图所示文件系统安全性增强限制特定执行文件的权限（系统常用的命令文件）未对敏感执行文件设置合适的权限 建议禁止Guest组用户访问资源：xcopy.exe wscript.exe cscript.exe net.exe arp.exe edlin.exe ping.exe route.exe posix.exe Rsh.exe atsvc.exe Copy.execacls.exe ipconfig.exe rcp.exe cmd.exedebug.exe regedt32.exe regedit.exe e

23、dit telnet.exeFinger.exeNslookup.exeRexec.exeftp.exeat.exerunonce.exe nbtstat.exe Tracert.exenetstat.exe 日志审核增强建议安全策略文件修改下述值：对系统事件进行审核，在日后出现故障时用于排查故障。审核策略更改成功审核登录事件无审核审核对象访问成功,失败审核过程追踪无审核审核目录服务访问无审核审核特权使用无审核审核系统事件成功,失败审核帐户登录事件成功,失败审核帐户管理成功,失败日志审核增强调整事件日志的大小、覆盖策略增大日志大小，避免由于日志文件容量过小导致日志记录不全大小覆盖方式应用日志1

24、6382K覆盖早于30天的事件安全日志16384K覆盖早于30天的事件系统日志16384K覆盖早于30天的事件安全性增强禁止匿名用户连接 HKLMSYSTEMCurrentControlSetControlLsa“restrictanonymous”的值为0，将该值修改为“1”可以禁止匿名用户列举主机上所有用户、组、共享资源 删除主机管理共享 HKLMSYSTEMCurrentControlSetServiceslanmanserverparameters，增加“Autoshareserver”项，并设置该值为“0”安全性增强HKLMSoftwareMicrosoftDrWatson Crea

25、teCrashDump说明：该键值控制应用软件崩溃时Dr.Watson是否产生当时的内存映像。内存映像中可能包含敏感信息。该键值应设定为0，禁止产生内存映像文件。HKLM Software MicrosoftWindows NTCurrentVersionAEDebugAuto说明：该键值控制应用软件出错时是否自动执行系统调试工具。应设为0，禁止自动执行系统调试工具。安全性增强HKLM Software Microsoft Windows CurrentVersion PoliciesExplorer NoDriveTypeAutoRun说明：该键值控制是否从磁盘（如CDROM）上自动执行程序

26、。该键值应设为0，禁止自动执行程序。HKLMSoftwareMicrosoftWindowsNT CurrentVersionWinlogonAutoAdminLogon说明：该键值应设为0，关闭管理员自动登录功能。安全性增强HKLMSystem CurrentControlSetControlCrashControlAutoReboot说明：应将该值设为0，禁止在系统崩溃（蓝屏）后自动重起。某些特洛伊木马程序或攻击程序需要系统重起才能起作用。使系统崩溃后自动重起是最方便的方法。禁止自动重起功能能帮助系统管理员及时发现异常行为。HKLMSystemCurrentControlSet Servi

27、cesTcpip Parameters DisableIPSourceRouting说明：该键值应设为2，以防御源路由欺骗攻击。安全性增强HKLMSYSTEMCurrentControlSetServices TcpipParameters EnableICMPRedirect说明：该键值应设为0，以ICMP重定向。HKLMSystemCurrentControlSet Services Tcpip Parameters SynAttackProtect说明：该键值应设为2，防御SYN FLOOD攻击。长期的系统维护时刻注意安全漏洞和补丁发布（更新的方式）定期分析日志系统，发现潜在攻击注意账号

28、和口令的安全问题注意观察系统异常管理员，才是关键!Windows的 Log系统Windows有三种类型的事件日志：系统日志 跟踪各种各样的系统事件，比如跟踪系统启动过程中的事件或者硬件和控制器的故障。应用程序日志 跟踪应用程序关联的事件，比如应用程序产生的象装载DLL（动态链接库）失败的信息将出现在日志中。安全日志 跟踪事件如登录上网、下网、改变访问权限以及系统启动和关闭。注意：安全日志的默认状态是关闭的。Windows的log系统定期进行日志备份Windows的 Log系统日志在系统的位置是：%SYSTEMROOT%system32configSysEvent.Evt%SYSTEMROOT%

29、system32configSecEvent.Evt%SYSTEMROOT%system32configAppEvent.EvtLOG文件在注册表的位置是：HKEY_LOCAL_MACHINESystemCurrent Control SetServicesEventlog Windows的应用系统日志Internet信息服务FTP日志默认位置：%systemroot%system32logfilesmsftpsvc1，默认每天一个日志 Internet信息服务WWW日志默认位置：%systemroot%system32logfilesw3svc1，默认每天一个日志 FTP日志和WWW日志文件

30、名通常为ex（年份）（月份）（日期），例如ex001023，就是2000年10月23日产生的日志，用记事本就可直接打开Scheduler服务日志默认位置：%systemroot%schedlgu.txt FTP日志分析FTP日志分析，如下例：#Software:Microsoft Internet Information Services 5.0（微软IIS5.0）#Version:1.0（版本1.0）#Date:20001023 03:11:55（服务启动时间日期）03:11:55 127.0.0.1 1USER administator 331（IP地址为127.0.0.1用户名为admi

31、nistator试图登录）03:11:58 127.0.0.1 1PASS 530（登录失败）03:12:04 127.0.0.1 1USER nt 331（IP地址为127.0.0.1用户名为nt的用户试图登录）03:12:06 127.0.0.1 1PASS 530（登录失败）03:12:32 127.0.0.1 1USER administrator 331（IP地址为127.0.0.1用户名为administrator试图登录）03:12:34 127.0.0.1 1PASS 230（登录成功）03:12:41 127.0.0.1 1MKD nt 550（新建目录失败）03:12:45

32、 127.0.0.1 1QUIT 550（退出FTP程序）从日志里就能看出IP地址为127.0.0.1的用户一直试图登录系统，换了3次用户名和密码才成功，管理员立即就可以得知管理员的入侵时间IP地址以及探测的用户名。HTTP的日志分析HTTP日志分析，如下例：#Software:Microsoft Internet Information Services 5.0#Version:1.0#Date:20001023 03:09:31#Fields:date time cip csusername sip sport csmethod csuristem csuriquery scstatus

33、cs(UserAgent)20001023 03:09:31 192.168.1.26 192.168.1.37 80 GET/iisstart.asp 200 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt)20001023 03:09:34 192.168.1.26 192.168.1.37 80 GET/pagerror.gif 200 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt)通过分析第六行，可以看出2000年10月23日，IP地址为192.168.1.26的用

34、户通过访问IP地址为192.168.1.37机器的80端口，查看了一个页面iisstart.asp,这位用户的浏览器为compatible;+MSIE+5.0;+Windows+98+DigExt，有经验的管理员就可通过安全日志、FTP日志和WWW日志来确定入侵者的IP地址以及入侵时间 系统异常监控与检查检查端口与网络连接检查进程（系统资源占用）查看启动的服务检查用户检查注册表的关键项检查系统文件的变化日志的检查检查端口与网络连接Netstat anFport木马端口列表木马端口列表 tlsecurity/main.htm commodon/threat/threat-ports.htm ch

35、ebucto.ns.ca/rakerman/port-table.html查找恶意进程查找恶意进程pulistsclist注意：恶意代码可以改名注意：恶意代码可以改名进程列表Windows的系统进程基本的系统进程smss.exe Session Manager 会话管理csrss.exe 子系统服务器进程 winlogon.exe 管理用户登录 services.exe 包含很多系统服务 lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley(IKE)和 IP 安全驱动程序。(系统服务)svchost.exe 包含很多系统服务 spoolsv.exe 将文件加载到内存中以

36、便迟后打印。(系统服务)explorer.exe 资源管理器 internat.exe 输入法 查看启动的服务检查用户命令命令检查注册表的关键项检测注册表，查找病毒可能存在的迹象运行注册表编辑 Regedit.exe，检测下列注册表项1.HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun：RunOnce：RunServices：RunServicesOnce2.HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinLogon 2022-10-13远程控制与后

37、门101检查注册表的关键项2022-10-13远程控制与后门102检查在这个注检查在这个注册表项下面有册表项下面有没有异常的条没有异常的条目目检查文件系统的变化检查文件系统的变化 检查System 与System32 下的可执行文件，检查他们 的属性，若无版本说明，多为可疑文件；改变这些文件的属性。维护一份文件和目录的完整列表，定期地进行更新和对比，这可能会加重过度操劳的管理员的负担，但是，如果系统的状态不是经常变动的话，这是发现很多恶意行为踪迹最有效的方法Windows 2000提供了Windows文件保护(Windows File Protection，WFP)功能，它能够保护由安装程序所

38、安装的系统文件不会被覆盖日志的检查日志的检查经常地检查日志的内容经常地检查日志的内容定期地对日志进行存档，以避免丢失重要的证据定期地对日志进行存档，以避免丢失重要的证据注意观察可疑的账户修改：使用第三方工具来辅助完成注意观察可疑的账户修改：使用第三方工具来辅助完成这方面的工作。例如，这方面的工作。例如，Somarsoft的的DumpSec(原来原来的的DumpACL)、DumpReg和和DumpEvt通过简单的通过简单的命令语法就可以很出色地捕获命令语法就可以很出色地捕获Windows 2000系统的系统的所有相关信息所有相关信息IIS服务安全配置禁用或删除所有的示例应用程序禁用或删除所有的示

39、例应用程序 示例只是示例；在默认情况下，并不安装它们，且从不在生产服务器上安装。请注意一些示例安装，它们只可从 localhost 或 127.0.0.1 访问；但是，它们仍应被删除。下面 列出一些示例的默认位置。示例示例 虚拟目录虚拟目录 位置位置IIS 示例 IISSamples c:inetpubiissamplesIIS 文档 IISHelp c:winnthelpiishelp数据访问 MSADC c:program filescommon filessystemmsadcIIS服务安全配置启用或删除不需要的启用或删除不需要的 COM 组件组件 某些 COM 组件不是多数应用程序所必

40、需的，应加以删除。特别是，应考虑禁用文件系统对象组件，但要注意这将也会删除 Dictionary 对象。切记某些程序可能需要您禁用的组件。如Site Server 3.0 使用 File System Object。以下命令将禁用 File System Object：regsvr32 scrrun.dll/u 删除删除 IISADMPWD 虚拟目录虚拟目录 该目录可用于重置 Windows NT 和 Windows 2000 密码。它主要用于 Intranet 情况下，并不作为 IIS 5 的一部分安装，但是 IIS 4 服务器升级到 IIS 5 时，它并不删除。如果您不使用 Intrane

41、t 或如果将服务器连接到 Web 上，则应将其删除。IIS服务安全配置删除无用的脚本映射删除无用的脚本映射 IIS 被预先配置为支持常用的文件名扩展如.asp 和.shtm 文件。IIS 接收到这些类型的文件请求时，该调用由 DLL 处理。如果您不使用其中的某些扩展或功能，则应删除该映射，步骤如下：打开 Internet 服务管理器。右键单击 Web 服务器，然后从上下文菜单中选择“属性”。主目录|配置|删除无用的.htr.ida.idq.printer.idc.stm.shtml等IIS服务安全配置禁用父路径禁用父路径 “父路径”选项允许在对诸如 MapPath 函数调用中使用“.”。禁用该

42、选项的步骤如下：右键单击该 Web 站点的根，然后从上下文菜单中选择“属性”。单击“主目录”选项卡。单击“配置”。单击“应用程序选项”选项卡。取消选择“启用父路径”复选框。禁用禁用-内容位置中的内容位置中的 IP IP 地址地址 IIS4里的“内容-位置”标头可暴露通常在网络地址转换(NAT)防火墙或代理服务器后面隐藏或屏蔽的内部 IP 地址。IIS服务安全配置设置适当的设置适当的 IIS 日志文件日志文件 ACL 确保 IIS 日志文件(%systemroot%system32LogFiles)上的 ACL 是 Administrators（完全控制）System（完全控制）Everyone

43、(RWC)这有助于防止恶意用户为隐藏他们的踪迹而删除文件。设置适当的设置适当的 虚拟目录的权限虚拟目录的权限 确保 IIS 虚拟目录如scripts等权限设置是否最小化，删除不需要目录。将将IIS目录重新定向目录重新定向 更改系统默认路径，自定义WEB主目录路径并作相应的权限设置。使用专门的安全工具使用专门的安全工具 微软的IIS安全设置工具：IIS Lock Tool；是针对IIS的漏洞设计的，可以有效设置IIS安全属性。Netbios的安全设置Win2000 取消绑定文件和共享绑定打开 控制面板网络高级高级设置选择网卡并将Microsoft 网络的文件和打印共享的复选框取消，禁止了139端

44、口。注册表修改HKEY_LOCAL_MACHINESystemControlsetServicesNetBTParametersName:SMBDeviceEnabled Type:REG_DWORDValue:0禁止445端口。Netbios的安全设置禁止匿名连接列举帐户名需要对注册表做以下修改。注：不正确地修改注册表会导致严重的系统错误，请慎重行事！1运行注册表编辑器（Regedt32.exe）。2定位在注册表中的下列键上：HKEY_LOCAL_MACHINESystemtCurrentControlLSA 3在编辑菜单栏中选取加一个键值：Value Name:RestrictAnonym

45、ous Data Type:REG_DWORD Value:1（Windows2000下为2）4退出注册表编辑器并重启计算机，使改动生效。Netbios的安全设置Win2000的本地安全策略（或域安全策略中）中有RestrictAnonymous（匿名连接的额外限制）选项，提供三个值可选 0：None.Rely on default permissions（无，取决于默认的权限）1：Do not allow enumeration of SAM accounts and shares（不允许枚举SAM帐号和共享）2：No access without explicit anonymous permissions（没有显式匿名权限就不允许访问）