近期精彩文章导读
| 新手入门之服务器操作系统Unix篇 | 新手入门之认识服务器热插拔技术 |
| 轻松玩转远程桌面(另类远程管理) | 轻松玩转远程桌面(突破系统的缺陷) |
| 轻松玩转远程桌面(使用技巧揭密) | 轻松玩转远程桌面(基本使用方法) |
| 网管经验谈:服务器成功维护经历纪实 | 保护服务器就要多种方式打补丁(图) |
| 手把手教你玩转NAS之实战篇(图) | 手把手教你玩转NAS之新手入门(图) |
【IT168 专稿】我们最常见的WWW服务是使用微软公司的IIS进行发布,而确保IIS服务的安全,一个重要的前提就是让他有一个坚固的地基——安全的操作系统。今天笔者就为大家介绍如何打造WWW服务的坚固地基。相信你按照笔者所说的几步操作就可以最大限度的提高WWW服务器的安全了。
一、破土动工——楼盘的选择
在建造WWW大厦之前我们需要选择好的土地,选择好的楼盘是致关重要的。WWW服务总是依存于操作系统的,操作系统就是我们要选择好的土地,如果土地没有选择好就算楼盘建得再好,后期也会出现一些无法弥补的漏洞的。
目前操作系统种类很多,如Windows,Linux,Unix和Solaris,不过就笔者经验来说权衡利弊,综合流行性,稳定性,安全性和是否容易上手方面还是Windows系列的操作系统比较适合大众,并且在所有Windows系统中建议使用Windows2000server和Windows2003server这类面向服务器的版本,而不要选择XP,WIN98等面向家庭用户的系统。
二、奠定基础——坚实的地基
操作系统选定后,拥有坚实的地基也是很重要的,通常情况下硬盘分区都会被格式化成FAT32格式,为了提高安全性,可以把FAT32格式转换成NTFS格式,以便全面细微地控制每一个文件和文件夹的权限。转换的方法如下:
第一步:通过任务栏的“开始->运行->输入CMD”进入命令行模式。
第二步:如果你要转换分区C为NTFS格式的话,就应该在命令行模式中输入"convert c:/fs:ntfs"(不含引号),回车后开始转换。
小提示:有的时候系统会提示该卷正在被另一个过程使用,转换不能运行,询问是否强制卸下该卷时我们选择YES即可。(如图1)这种情况一般发生在我们对主分区C盘进行转换时,选择YES后转换工作会在下次启动前进行。
&picid=n77823.jpg) |
| 图1 点击看大图 |
在转换完文件系统格式后还需要陪粉文件和文件夹的使用权限,在NTFS格式下可以针对某个文件或文件夹给不同用户分配不同的权限,具体方法如下:
第一步:在某个需要分配权限的文件夹上点鼠标右键,选择“属性”。
第二步:在弹出的文件夹属性窗口选择“安全”标签。(如图2)
&picid=n77825.jpg) |
| 图2 点击看大图 |
第三步:默认文件夹属性是所有用户都具有完全权限的,为了保证系统的安全需要对用户权限进行严格分配,我们可以删除默认的EVERYONE权限并通过添加按钮为不同用户分配不用权限。(如图3)
&picid=n77827.jpg) |
| 图3 点击看大图 |
小提示:其实如果对某个文件或文件夹需要特别的保护我们还可以使用加密的方法来完成,在NTFS分区格式下使用系统自带的加密文件系统EFS对文件夹或文件进行加密,不过有一点要特别注意那就是ESF加密钥匙要保存好,一旦丢失所加密的文件无法破解。
三、稳扎稳打——施工队的选择
大家都知道操作系统中每个服务每个程序都由相应的帐号控制负责。帐号信息就好比一座大厦的施工队一样,任何工作都由他们去负责,去实施。所以确保大厦的安全就要加强系统帐号和帐号密码的管理。
系统中建立的帐号越少越好,因为每增一个帐号就是为系统增加一个安全隐患和不安定因素,而且有几项工作必须实施,具体步骤如下:
第一步:禁用Guest,helpassistant和support_388945a0等默认帐户。即通过任务栏的“开始->设置->控制面板”,选择管理工具中的计算机管理。找到本地用户和组->用户,在右边窗口中在上面提到的几个帐户名称上点鼠标右键选择属性,然后在“停用该帐户”前打对勾即可。(如图4)
&picid=n77830.jpg) |
| 图4 点击看大图 |
第二步:更改administrator帐户的默认设置,一般情况下系统的administrator具有系统的生杀大权,大部分黑客病毒都是用这个默认帐户信息进行攻击的,我们需要更改其名称并创建一个新的拥有全部权限的帐户。(如图5)
&picid=n77832.jpg) |
| 图5 点击看大图 |
第三步:将所有帐户密码设置得复杂些,并定期检查帐户使用情况,定期变换帐户密码。
四、真材实料——保证质量
修改注册表的多个默认值也可以有效的增强系统的安全性,使得WWW服务更稳定。我们通过任务栏的“开始->运行->输入regedit”进入注册表编辑器。
(1)隐藏上次登录的用户名
进入注册表编辑器找到hkey_local_machine\software\microsoft\windows\
currentversion\policies\system,将其下的dontdisplaylastusername名称的数值设置为1。
(2)禁止按SHIFT自动登录
进入注册表编辑器找到hkey_local_machine\software\microsoft\windowsNT\
currentversion\winlogon,将其下的disablechangepassword名称的数值设置为1。
小提示:如果没有这个disablechangepassword名称的键值可以自己新建一个。
(3)禁止用户更改密码
进入注册表编辑器找到hkey_current_user\software\microsoft\windows\
currentversion\policies\system,新建一个disablechangepassword的键值,设置为1即可。
(4)禁止用户使用注册表编辑器
进入注册表编辑器找到hkey_current_user\software\microsoft\windows\
currentversion\policies\system,新建一个名称为disableregistrytools的键值,将其值设置为1。
小提示:设置完毕后用户就不能随便使用注册表编辑器了,要想解除限制需要我们建立一个REG文件,将该键值设置为0并保存。以后要想解除时直接运行这个REG注册表文件即可。
(5)禁止空连接
进入注册表编辑器找到hkey_local_machine\system\currentcontrolset\control\lsa,找到restrictanonymous将其值设为1。
五、定期检测——防患未燃
还有很多地方需要我们进行安全设置,例如关闭不必要的服务(messenger,Remote Registry等),禁止使用远程协助和远程桌面功能(如图6),启动自动更新功能(如图7)。定期使用安全扫描工具,如X-SCAN等软件对系统进行全方位整体扫描,既是弥补漏洞和问题。由于此类文章比较多这里由于篇幅的原因就不再详细介绍了,有兴趣的读者可以参阅IT168以前的文章。
&picid=n77848.jpg) |
| 图6 点击看大图 |
&picid=n77852.jpg) |
| 图7 点击看大图 |
总结:
本期我们主要讲解了打造坚固WWW大厦的坚实地基——操作系统的安全,实际上安全和应用往往是相互矛盾的,对于网络的管理者和使用者来说,保证网络安全以及网络的高效运行是义不容辞的责任,但根据自身网络的不同需求找到一个平衡点才是更高更远的追求。下期我们将定位到WWW服务本身,为大家介绍WWW服务自身的安全防护,为大家打造一个安全的IIS。(未完待续)
