防黑15招 保障企业Web服务器安全(2)

    5、有规则地检查你的管理员组和服务

    如果发现在管理员组里多了一个用户，这意味着这时某个人已经成功地进入了你的系统，他或她可能冷不丁地将炸弹扔到你的系统里，这将会突然摧毁你的整个系统，或者占用大量的带宽以便黑客使用。

    黑客同样趋向于留下一个帮助服务，一旦这种情况发生了，采取任何措施可能都太晚了，你只能重新格式化你的磁盘，从备份服务器恢复你每天备份的文件。因此，检查IIS服务器上的服务列表并保持尽量少的服务必须成为你每天的任务。你应该记住哪个服务应该存在，哪个服务不应该存在。

    Windows 2000 Resource Kit带给我们一个有用的程序，叫作tlist．exe，它能列出每种情况运行在svchost之下的服务。运行这个程序可以寻找到一些你想要知道的隐藏服务。提示：任何含有daemon几个字的服务可能不是Windows本身包含的服务，都不应该存在于IIS服务器上。

    6、严格控制服务器的写访问权限

    这个好像听起来很容易，然而，一个Web服务器实际上是有很多的“作者”。服务器上的文件夹可能出现极其危险的访问权限。将这些信息共享或是传播出去的一个途径是安装第2个服务器以捉供专门的共享和存储目的，然后配置你的Web服务器来指向共享服务器。这个步骤能让网络管理员将Web服务器本身的改写权限仅仅限制给管理员组别的用户。

    7、设置复杂的密码

    如果有用户使用弱密码（例如“Password”或是“changeme”或者任何字典单词），那么黑客能快速并简单的入侵这些用户的账号。

    8、减少/排除Web服务器上的共享

    如果网络管理员是唯一拥有Web服务器写权限的人，就没有理由让任何共享存存。共享是对黑客最大的诱惑。此外，通过运行一个简单的循环批处理文件，黑客能够察看一个IP地址列表，利用\\命令寻找Everyone/完全控制权限的共享。

    9、禁用TCP/IP协议中的NetBI0S

    这是残忍的。很多用户希望通过UNC路径名访问Web服务器。随着NETBI0S被禁用，他们便不能这么做了。另一方面，随着NETBI0S被禁用，黑客就不能看到你局域网上的资源了。这是一把双刃剑，如果网络管理员部署了这个工具，下一步便是如何教育Web用户如何在NETBI0S失效的情况下发布信息。

    10、使用TCP端口阻塞

    这是另一个残忍的工具。如果你熟悉每个通过合法原因访问你服务器的TCP端口，那么你可以进入你网络接口卡的属性选项卡，选择绑定的TCP/IP协议，阻塞所有你不需要的端口。你必须小心的使用这一工具，因为你并不希望将自己锁在Web服务器之外，特别是在当你需要远程登陆服务器的情况下。

• 第1页：升级加防范
• 第2页：控制访问，禁用危险入口

• 第3页：加强检查和审计

（编辑：ASP站长网）