WEB开发网
开发学院操作系统windows 2008 加固Windows Server 2003 IIS 服务器 阅读

加固Windows Server 2003 IIS 服务器

 2006-03-29 11:56:37 来源:WEB开发网   
核心提示: 许多恶意代码的变种企图使用内置的管理员账户来破坏一台服务器,在近几年来,加固Windows Server 2003 IIS 服务器(9),进行上述重命名配置的意义已经大大降低了,因为出现了很多新的攻击工具,用 IPSec 过滤器阻断端口Internet 协议安全性 (IPSec) 过滤器可

许多恶意代码的变种企图使用内置的管理员账户来破坏一台服务器。在近几年来,进行上述重命名配置的意义已经大大降低了,因为出现了很多新的攻击工具,这些工具企图通过指定内置 Administrator 账户的安全标识 (SID) 来确定该帐户的真实姓名,从而侵占服务器。SID 是唯一能确定网络中每个用户、组、计算机帐户以及登录会话的值。改变内置帐户的 SID 是不可能的。将本地管理员帐户改变为一个特别的名称,可以方便您的操作人员监视对该帐户的攻击企图。

要保护 IIS 服务器中众所周知帐户的安全,请执行以下步骤:

1. 重命名 Administrator 和 Guest 帐户,并且将每个域和服务器上的密码更改为长而复杂的值。

2. 在每个服务器上使用不同的名称和密码。如果在所有的域和服务器上使用相同的帐户名和密码,攻击者只须获得对一台成员服务器的访问权限,就能够访问所有其它具有相同帐户名和密码的服务器。

3. 更改默认的帐户描述,以防止帐户被轻易识别。

4. 将这些更改记录到一个安全的位置。

注意:可以通过组策略重命名内置的管理员帐户。本指南提供的任何安全性模板中都没有配置该设置,因为您必须为您的环境选择一个唯一的名字。“帐户:重命名管理员帐户”设置可用来重命名本指南所定义的三种环境中的管理员帐户。该设置是组策略的安全选项设置的一部分。

保护服务帐户的安全

除非绝对必须,否则不要让服务运行在域帐户的安全上下文中。如果服务器的物理安全受到破坏,域账户密码可以很容易通过转储本地安全性授权 (LSA) 秘文而获得。

用 IPSec 过滤器阻断端口

Internet 协议安全性 (IPSec) 过滤器可为增强服务器所需要的安全级别提供有效的方法。本指南推荐在指南中定义的高安全性环境中使用该选项,以便进一步减少服务器的受攻击面。

上一页  4 5 6 7 8 9 10  下一页

Tags:加固 Windows Server

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接