如何保護文件伺服器

㈠ 如何保障Web伺服器安全

不但企業的門戶網站被篡改、資料被竊取，而且還成為了病毒與木馬的傳播者。有些Web管理員採取了一些措施，雖然可以保證門戶網站的主頁不被篡改，但是卻很難避免自己的網站被當作肉雞，來傳播病毒、惡意插件、木馬等等。筆者認為，這很大一部分原因是管理員在Web安全防護上太被動。他們只是被動的防禦。為了徹底提高Web伺服器的安全，筆者認為，Web安全要主動出擊。具體的來說，需要做到如下幾點。 一、在代碼編寫時就要進行漏洞測試 現在的企業網站做的越來越復雜、功能越來越強。不過這些都不是憑空而來的，是通過代碼堆積起來的。如果這個代碼只供企業內部使用，那麼不會帶來多大的安全隱患。但是如果放在互聯網上使用的話，則這些為實現特定功能的代碼就有可能成為攻擊者的目標。筆者舉一個簡單的例子。在網頁中可以嵌入SQL代碼。而攻擊者就可以利用這些SQL代碼來發動攻擊，來獲取管理員的密碼等等破壞性的動作。有時候訪問某些網站還需要有某些特定的控制項。用戶在安裝這些控制項時，其實就有可能在安裝一個木馬(這可能訪問者與被訪問者都沒有意識到)。 為此在為網站某個特定功能編寫代碼時，就要主動出擊。從編碼的設計到編寫、到測試，都需要認識到是否存在著安全的漏洞。筆者在日常過程中，在這方面對於員工提出了很高的要求。各個員工必須對自己所開發的功能負責。至少現在已知的病毒、木馬不能夠在你所開發的插件中有機可乘。通過這層層把關，就可以提高代碼編寫的安全性。 二、對Web伺服器進行持續的監控 冰凍三尺、非一日之寒。這就好像人生病一樣，都有一個過程。病毒、木馬等等在攻擊Web伺服器時，也需要一個過程。或者說，在攻擊取得成功之前，他們會有一些試探性的動作。如對於一個採取了一定安全措施的Web伺服器，從攻擊開始到取得成果，至少要有半天的時間。如果Web管理員對伺服器進行了全天候的監控。在發現有異常行為時，及早的採取措施，將病毒與木馬阻擋在門戶之外。這種主動出擊的方式，就可以大大的提高Web伺服器的安全性。 筆者現在維護的Web伺服器有好幾十個。現在專門有一個小組，來全天候的監控伺服器的訪問。平均每分鍾都可以監測到一些試探性的攻擊行為。其中99%以上的攻擊行為，由於伺服器已經採取了對應的安全措施，都無功而返。不過每天仍然會遇到一些攻擊行為。這些攻擊行為可能是針對新的漏洞，或者採取了新的攻擊方式。在伺服器上原先沒有採取對應的安全措施。如果沒有及時的發現這種行為，那麼他們就很有可能最終實現他們的非法目的。相反，現在及早的發現了他們的攻擊手段，那麼我們就可以在他們採取進一步行動之前，就在伺服器上關掉這扇門，補上這個漏洞。 筆者在這里也建議，企業用戶在選擇互聯網Web伺服器提供商的時候，除了考慮性能等因素之外，還要評估服務提供商能否提供全天候的監控機制。在Web安全上主動出擊，及時發現攻擊者的攻擊行為。在他們採取進一步攻擊措施之前，就他們消除在萌芽狀態。 三、設置蜜罐，將攻擊者引向錯誤的方向 在軍隊中，有時候會給軍人一些偽裝，讓敵人分不清真偽。其實在跟病毒、木馬打交道時，本身就是一場無硝煙的戰爭。為此對於Web伺服器採取一些偽裝，也能夠將攻擊者引向錯誤的方向。等到供給者發現自己的目標錯誤時，管理員已經鎖定了攻擊者，從而可以及早的採取相應的措施。筆者有時候將這種主動出擊的行為叫做蜜罐效應。簡單的說，就是設置兩個伺服器。其中一個是真正的伺服器，另外一個是蜜罐。現在需要做的是，如何將真正的伺服器偽裝起來，而將蜜罐推向公眾。讓攻擊者認為蜜罐伺服器才是真正的伺服器。要做到這一點的話，可能需要從如下幾個方面出發。 一是有真有假，難以區分。如果要瞞過攻擊者的眼睛，那麼蜜罐伺服器就不能夠做的太假。筆者在做蜜罐伺服器的時候，80%以上的內容都是跟真的伺服器相同的。只有一些比較機密的信息沒有防治在蜜罐伺服器上。而且蜜罐伺服器所採取的安全措施跟真的伺服器事完全相同的。這不但可以提高蜜罐伺服器的真實性，而且也可以用來評估真實伺服器的安全性。一舉兩得。 二是需要有意無意的將攻擊者引向蜜罐伺服器。攻擊者在判斷一個Web伺服器是否值得攻擊時，會進行評估。如評估這個網站的流量是否比較高。如果網站的流量不高，那麼即使被攻破了，也沒有多大的實用價值。攻擊者如果沒有有利可圖的話，不會花這么大的精力在這個網站伺服器上面。如果要將攻擊者引向這個蜜罐伺服器的話，那麼就需要提高這個蜜罐伺服器的訪問量。其實要做到這一點也非常的容易。現在有很多用來交互流量的團隊。只要花一點比較小的投資就可以做到這一點。 三是可以故意開一些後門讓攻擊者來鑽。作為Web伺服器的管理者，不僅關心自己的伺服器是否安全，還要知道自己的伺服器有沒有被人家盯上。或者說，有沒有被攻擊的價值。此時管理者就需要知道，自己的伺服器一天被攻擊了多少次。如果攻擊的頻率比較高，管理者就高興、又憂慮。高興的是自己的伺服器價值還蠻大的，被這么多人惦記著。憂慮的是自己的伺服器成為了眾人攻擊的目標。就應該抽取更多的力量來關注伺服器的安全。 四、專人對Web伺服器的安全性進行測試 俗話說，靠人不如靠自己。在Web伺服器的攻防戰上，這一個原則也適用。筆者建議，如果企業對於Web服務的安全比較高，如網站伺服器上有電子商務交易平台，此時最好設置一個專業的團隊。他們充當攻擊者的角色，對伺服器進行安全性的測試。這個專業團隊主要執行如下幾個任務。 一是測試Web管理團隊對攻擊行為的反應速度。如可以採用一些現在比較流行的攻擊手段，對自己的Web伺服器發動攻擊。當然這個時間是隨機的。預先Web管理團隊並不知道。現在要評估的是，Web管理團隊在多少時間之內能夠發現這種攻擊的行為。這也是考驗管理團隊全天候跟蹤的能力。一般來說，這個時間越短越好。應該將這個時間控制在可控的范圍之內。即使攻擊最後沒有成功，Web管理團隊也應該及早的發現攻擊的行為。畢竟有沒有發現、與最終有沒有取得成功，是兩個不同的概念。 二是要測試伺服器的漏洞是否有補上。畢竟大部分的攻擊行為，都是針對伺服器現有的漏洞所產生的。現在這個專業團隊要做的就是，這些已發現的漏洞是否都已經打上了安全補丁或者採取了對應的安全措施。有時候我們都沒有發現的漏洞是無能為力，但是對於這些已經存在的漏洞不能夠放過。否則的話，也太便宜那些攻擊者了。

㈡ 如何保障區域網內共享文件安全性

在企業的網路中，最常用的功能莫過於「共享文件」了。財務部門需要當月員工的考勤信息，人事部門可能不會親自拿過去，而是在網路上共享；生產部門的生產報表也不會用書面的資料分發，而是放在網路的共享文件夾下，誰需要的話，就自己去查看就可以了，等等。類似的需求還有很多。
可見，共享文件的功能，提高了企業辦公的效率，使企業區域網應用中的一個不可缺的功能。但是，由於共享文件夾管理不當，往往也給企業帶來了一些安全上的風險。如某些共享文件莫名其妙的被刪除或者修改；有些對於企業來說數據保密的內容在網路上被共享，所有員工都可以訪問；共享文件成為病毒、木馬等傳播的最好載體，等等。
一、實時查看誰在訪問我的共享文件
第二步：依次選擇「系統工具」、共享文件夾、打開文件，此時，在窗口中就會顯示本機上的一些共享資源，被哪些電腦在訪問。同時，在這個窗口中還會顯示一些有用的信息，如其打開了哪一個共享文件；是什麼時候開始訪問的；已經閑置了多少時間。也就是所，只要其打開了某個共享文件夾，即使其沒有打開共享文件，也會在這里顯示。
另外，我們有時候可能出於某些目的，如員工可能認為不能讓這個人訪問這個文件。此時，我們就可以直接右鍵點擊這個會話，然後從快捷菜單中選擇關閉會話，我們就可以阻止這個用戶訪問這個共享文件，而不會影響其他用戶的正常訪問。
二、設置共享文件夾時，最好把文件與文件夾設置為只讀
在大部分時候，用戶都只需要查看或者復制這個共享文件即可，而往往不會在共享文件夾上進行直接修改。但是，有些員工為了貪圖方便，就直接以可讀寫的方式共享某個文件夾以及文件。這是非常危險的。
一方面，這些不受限制的共享文件家與共享文件成為了病毒傳播的載體。筆者在工作中發現，有些用戶在共享文件的時候，沒有許可權限制。一段時間後，再去看這個共享文件，發現有些共享文件或者共享文件夾中有病毒或者木馬的蹤影。原來由於這個共享文件夾有寫的許可權，所以，其他用戶如何打開這個文件，恰巧這台電腦中有病毒或者木馬的話，就會傳染給這個共享文件夾。從而讓其他訪問這個共享文件夾的電腦也中招。可見，沒有保護措施的共享文件夾以及裡面的共享文件，已經成為了病毒傳播的一個很好的載體。
另一方面，當數據非法更改時，很難發現是誰在惡作劇。雖然可以通過相關的日誌信息可以查詢到有哪些人訪問過這個共享文件，以及是否進行了更改的動作。但是，光憑這些信息的話，是不能夠知道這個用戶對這個共享文件夾作了哪些更改。有時候，我們打開一個共享文件，會不小心的按了一個空格鍵或者一個字元鍵，不小心的把某個字覆蓋了，等等。這些情況在實際工作中經常會遇到。有時候，即使找到了責任人，他也不知道到底修改了哪些內容。所以，當把共享文件設置為可寫的話，則很難防止員工有意或者無意的更改。
第三，若以可寫的方式共享文件的話，可能無法保證數據的統一。如人事部門以可讀寫的方式共享了一個考勤文件。此時，若財務部門修改了這個文件，而人事部門並不知道。因為財務人員可能忘記告訴了人事部門，此時，就會導致兩個部門之間的數據不一致，從而可能會造成一些不必要的麻煩。而且，由於沒有相關的證據，到時候誰對誰錯，大家都說不清楚。
為了解決這些問題，筆者建議企業用戶，在共享文件夾的時候，最好把文件夾的許可權設置為只讀。若這個共享文件夾有時候其他用戶需要往這個文件夾中存文件，不能設置為只讀。那我們也可以把共享文件夾中的文件設置為只讀。如此的話，由於文件夾為只讀的，則病毒、木馬也就不能夠感染這些文件夾，從而避免成為散播病毒的污染源；而且，也可以防止用戶未經授權的更改，從而導致數據的不統一等等。
三、建立文件共享伺服器，統一管理共享文件的訪問許可權
另外，若把企業的共享文件分散在各個用戶終端管理的話，有一個問題，就是用戶對於共享操作的熟悉程度不同或者安全觀念有差異，所以，很難從部署一個統一的文件共享安全策略。如分散在用戶主機的共享文件，員工一般不會定期對其進行備份，以防止因為意外損害而進行及時恢復；一般也不會設置具體的訪問許可權，如只允許一些特定的員工訪問等等。因為這些操作的話，一方面可能需要一些專業知識，另一方面，設置企業也比較繁瑣。所以，即使我們出了相關的制度，但是，員工一般很難遵守。
所以，筆者建議，在一些有條件的企業，部署一個文件共享伺服器，來統一管理共享文件。採取這種策略的話，有如下好處。
一是可以定時的對共享文件進行備份，從而減少因為意外修改或者刪除而導致的損失。若能夠把共享文件夾都放在文件伺服器上，則我們就可以定時的對文件伺服器上的文件進行備份。如此的話，即使因為許可權設置不合理，導致文件被意外修改或者刪除；有時會，員工自己也會在不經意中刪除不該刪的文件，遇到這種情況的時候，則我們可以通過文件恢復作業，把原有的文件恢復過來，從而減少這些不必要的損失。
二是可以統一制定文件訪問許可權策略。在共享文件伺服器上，我們可以根據各個員工的需求，在文件服務中預先設置一些文件夾，並設置好具體的許可權。如此的話，放到共享文件伺服器中的文件就自動繼承了文件伺服器文件夾的訪問許可權，從而實現統一管理文件訪問許可權的目的。如對於一些全公司都可以訪問的行政通知類文件，我們可以為此設立一個通知類文件夾，這個文件夾只有行政人員具有讀寫許可權，而其他職工都只有隻讀許可權。如此的話，其他員工就不能夠對這些通知進行更改或者刪除。所以，對共享文件夾進行統一的管理，可以省去用戶每次設置許可權的麻煩，從而提高共享文件的安全性。
三是可以統一進行防毒管理。對於共享文件來說，我們除了要關心其數據是否為泄露或者非法訪問外，另外一個問題就是共享文件是否會被病毒感染。病毒或者木馬是危害企業網路安全的第一把殺手，而共享文件又是其很好的載體。若能夠有效的解決共享文件的病毒木馬感染問題，必定可以有效的抑制病毒或者木馬在企業網路中為非作歹。而我們若能夠在企業中統一部署文件伺服器，則我們就可以利用下班的空閑時間，對文件伺服器上的共享文件統一進行殺毒，以保證共享文件伺服器上的文件都是干凈的，沒有被木馬或者病毒所感染，從而避免其成為病毒或者木馬的有效載體。
綜上所述，共享文件夾以及共享文件的安全性問題，是企業網路安全管理中的一個比較薄弱的環節，但是，又是一個十分重要的環節。筆者相信，做好這件工作，必定可以提高企業網路的利用價值，減少網路安全事故。

㈢ 如何保證文件傳輸伺服器FTP的安全

，系統的安全性是非常重要的，這是建立
FTP伺服器
者所考慮的
第一個問題
。其安全性主要包括以下幾個方面：一、
未經授權的用戶禁止在伺服器上進行FTP操作。
二、
FTP用戶不能讀取未經系統所有者允許的文件或目錄。
三、
未經允許，FTP用戶不能在伺服器上建立文件或目錄。
四、
FTP用戶不能刪除伺服器上的文件或目錄。
只有在伺服器的／etc/passwd文件中存在名為"FTP"的用戶時，伺服器才可以接受
匿名FTP
連接，匿名FTP用戶可以使用"
anonymous
"或"FTP"作為用戶名，自己的Internet
電子郵件地址
作為保密字。為了解決上述安全性的另外三個問題，應該對FTP主目錄下的
文件屬性
進行管理，建議對每個目錄及其文件採取以下一些措施：FTP主目錄：將這個目錄的所有者設為"FTP"，並且將屬性設為所有的用戶都不可寫，防止不懷好意的用戶刪改文件。
FTP/bin目錄：該目錄主要放置一些
系統文件
，應將這個目錄的所有者設為"root"（即
超級用戶
），並且將屬性設為所有的用戶都不可寫。為保證合法用戶可顯示文件，應將目錄中的ls文件屬性設為可執行。
FTP/etc目錄：將這個目錄的所有者設為"root"，並且將屬性設為所有的用戶都不可寫。將目錄下的group文件和passwd文件的屬性設為所有用戶只讀屬性，並用編輯器將passwd文件中用戶加過密的口令刪掉。
###NextPage###FTP/pub目錄：將這個目錄的所有者置為"FTP"，並且將它的屬性設為所有用戶均可讀、寫、執行。
這樣經過設置，既保證了系統文件不被刪改，又保證了FTP合法用戶的正常訪問。
作為Internet上的FTP伺服器，系統的安全性是非常重要的，這是建立FTP伺服器者所考慮的第一個問題。其安全性主要包括以下幾個方面：一、
未經授權的用戶禁止在伺服器上進行FTP操作。
二、
FTP用戶不能讀取未經系統所有者允許的文件或目錄。
三、
未經允許，FTP用戶不能在伺服器上建立文件或目錄。
四、
FTP用戶不能刪除伺服器上的文件或目錄。
只有在伺服器的／etc/passwd文件中存在名為"FTP"的用戶時，伺服器才可以接受匿名FTP連接，匿名FTP用戶可以使用"anonymous"或"FTP"作為用戶名，自己的Internet電子郵件地址作為保密字。為了解決上述安全性的另外三個問題，應該對FTP主目錄下的文件屬性進行管理，建議對每個目錄及其文件採取以下一些措施：FTP主目錄：將這個目錄的所有者設為"FTP"，並且將屬性設為所有的用戶都不可寫，防止不懷好意的用戶刪改文件。
FTP/bin目錄：該目錄主要放置一些系統文件，應將這個目錄的所有者設為"root"（即超級用戶），並且將屬性設為所有的用戶都不可寫。為保證合法用戶可顯示文件，應將目錄中的ls文件屬性設為可執行。
FTP/etc目錄：將這個目錄的所有者設為"root"，並且將屬性設為所有的用戶都不可寫。將目錄下的group文件和passwd文件的屬性設為所有用戶只讀屬性，並用編輯器將passwd文件中用戶加過密的口令刪掉。
FTP/pub目錄：將這個目錄的所有者置為"FTP"，並且將它的屬性設為所有用戶均可讀、寫、執行。
這樣經過設置，既保證了系統文件不被刪改，又保證了FTP合法用戶的正常訪問。

㈣ 如何保證文件傳輸伺服器FTP的安全求解答

其安全性主要包括以下幾個方面:
一、 未經授權的用戶禁止在伺服器上進行FTP操作。 二、 FTP用戶不能讀取未經系統所有者允許的文件或目錄。 三、 未經允許，FTP用戶不能在伺服器上建立文件或目錄。 四、 FTP用戶不能刪除伺服器上的文件或目錄。 FTP伺服器採取了一些驗明用戶身份的辦法來解決上述第一個問題，主要包括以下幾個措施: FTP用戶所使用的用戶帳號必須在/etc/passwd文件中有所記載(匿名FTP用戶除外)，並且他的口令不能為空。在沒有正確輸入用戶帳號和口令的情況下，伺服器拒絕訪問。 FTP守護進程FTPd還使用一個/etc/FTPusers文件，凡在這個文件中出現的用戶都將被伺服器拒絕提供FTP服務。伺服器管理可以建立"不受歡迎"的用戶目錄，拒絕這些用戶訪問。 只有在伺服器的/etc/passwd文件中存在名為"FTP"的用戶時，伺服器才可以接受匿名FTP連接，匿名FTP用戶可以使用"anonymous"或"FTP"作為用戶名，自己的Internet電子郵件地址作為保密字。為了解決上述安全性的另外三個問題，應該對FTP主目錄下的文件屬性進行管理，建議對每個目錄及其文件採取以下一些措施: FTP主目錄:將這個目錄的所有者設為"FTP"，並且將屬性設為所有的用戶都不可寫，防止不懷好意的用戶刪改文件。 FTP/bin目錄:該目錄主要放置一些系統文件，應將這個目錄的所有者設為"root"(即超級用戶)，並且將屬性設為所有的用戶都不可寫。為保證合法用戶可顯示文件，應將目錄中的ls文件屬性設為可執行。 FTP/etc目錄:將這個目錄的所有者設為"root"，並且將屬性設為所有的用戶都不可寫。將目錄下的group文件和passwd文件的屬性設為所有用戶只讀屬性，並用編輯器將passwd文件中用戶加過密的口令刪掉。 請作者聯系本站，及時附註您的姓名。

㈤ 如何對FTP、IIS伺服器安全防護

1、系統盤許可權設置

C:分區部分：

c:\

administrators 全部(該文件夾，子文件夾及文件)

CREATOR OWNER 全部(只有子文件來及文件)

system 全部(該文件夾，子文件夾及文件)

IIS_WPG 創建文件/寫入數據(只有該文件夾)

IIS_WPG(該文件夾，子文件夾及文件)

遍歷文件夾/運行文件

列出文件夾/讀取數據

讀取屬性

創建文件夾/附加數據

讀取許可權

c:\Documents and Settings

administrators 全部(該文件夾，子文件夾及文件)

Power Users (該文件夾，子文件夾及文件)

讀取和運行

列出文件夾目錄

讀取

SYSTEM全部(該文件夾，子文件夾及文件)

C:\Program Files

administrators 全部(該文件夾，子文件夾及文件)

CREATOR OWNER全部(只有子文件來及文件)

IIS_WPG (該文件夾，子文件夾及文件)

讀取和運行

列出文件夾目錄

讀取

Power Users(該文件夾，子文件夾及文件)

修改許可權

SYSTEM全部(該文件夾，子文件夾及文件)

TERMINAL SERVER USER (該文件夾，子文件夾及文件)

修改許可權

2、網站及虛擬機許可權設置(比如網站在E盤)

說明：我們假設網站全部在E盤wwwsite目錄下，並且為每一個虛擬機創建了一個guest用戶，用戶名為vhost1...vhostn並且創建了一個webuser組，把所有的vhost用戶全部加入這個webuser組裡面方便管理

E:\

Administrators全部(該文件夾，子文件夾及文件)

E:\wwwsite

Administrators全部(該文件夾，子文件夾及文件)

system全部(該文件夾，子文件夾及文件)

service全部(該文件夾，子文件夾及文件)

E:\wwwsite\vhost1

Administrators全部(該文件夾，子文件夾及文件)

system全部(該文件夾，子文件夾及文件)

vhost1全部(該文件夾，子文件夾及文件)

3、數據備份盤

數據備份盤最好只指定一個特定的用戶對它有完全操作的許可權

比如F盤為數據備份盤，我們只指定一個管理員對它有完全操作的許可權

4、其它地方的許可權設置

請找到c盤的這些文件，把安全性設置只有特定的管理員有完全操作許可權

下列這些文件只允許administrators訪問

net.exe

net1.exet

cmd.exe

tftp.exe

netstat.exe

regedit.exe

at.exe

attrib.exe

cacls.exe

format.com

5.刪除c:\inetpub目錄，刪除iis不必要的映射，建立陷阱帳號，更改描述

第三招：禁用不必要的服務，提高安全性和系統效率

Computer Browser 維護網路上計算機的最新列表以及提供這個列表

Task scheler 允許程序在指定時間運行

Routing and Remote Access 在區域網以及廣域網環境中為企業提供路由服務

Removable storage 管理可移動媒體、驅動程序和庫

Remote Registry Service 允許遠程注冊表操作

Print Spooler 將文件載入到內存中以便以後列印。要用列印機的朋友不能禁用這項

IPSEC Policy Agent 管理IP安全策略以及啟動ISAKMP/OakleyIKE)和IP安全驅動程序

Distributed Link Tracking Client 當文件在網路域的NTFS卷中移動時發送通知

Com+ Event System 提供事件的自動發布到訂閱COM組件

Alerter 通知選定的用戶和計算機管理警報

Error Reporting Service 收集、存儲和向 Microsoft 報告異常應用程序

Messenger 傳輸客戶端和伺服器之間的 NET SEND 和 警報器服務消息

Telnet 允許遠程用戶登錄到此計算機並運行程序

第四招:修改注冊表，讓系統更強壯

1、隱藏重要文件/目錄可以修改注冊表實現完全隱藏：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL」，滑鼠右擊 「CheckedValue」，選擇修改，把數值由1改為0

2、啟動系統自帶的Internet連接_blank">防火牆，在設置服務選項中勾選Web伺服器。

3、防止SYN洪水攻擊

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

新建DWORD值，名為SynAttackProtect，值為2

EnablePMTUDiscovery REG_DWORD 0

NoNameReleaseOnDemand REG_DWORD 1

EnableDeadGWDetect REG_DWORD 0

KeepAliveTime REG_DWORD 300,000

PerformRouterDiscovery REG_DWORD 0

EnableICMPRedirects REG_DWORD 0

4. 禁止響應ICMP路由通告報文

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface

新建DWORD值，名為PerformRouterDiscovery 值為0

5. 防止ICMP重定向報文的攻擊

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

將EnableICMPRedirects 值設為0

6. 不支持IGMP協議

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

新建DWORD值，名為IGMPLevel 值為0

7.修改終端服務埠

運行regedit，找到[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ Wds \ rdpwd \ Tds \ tcp]，看到右邊的PortNumber了嗎？在十進制狀態下改成你想要的埠號吧，比如7126之類的，只要不與其它沖突即可。

2、第二處HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp，方法同上，記得改的埠號和上面改的一樣就行了。

8、禁止IPC空連接：

cracker可以利用net use命令建立空連接，進而入侵，還有net view，nbtstat這些都是基於空連接的，禁止空連接就好了。打開注冊表，找到Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 把這個值改成」1」即可。

9、更改TTL值

cracker可以根據ping回的TTL值來大致判斷你的操作系統，如：

TTL=107(WINNT);

TTL=108(win2000);

TTL=127或128(win9x);

TTL=240或241(linux);

TTL=252(solaris);

TTL=240(Irix);

實際上你可以自己更改的：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters：DefaultTTL REG_DWORD 0-0xff(0-255 十進制,默認值128)改成一個莫名其妙的數字如258，起碼讓那些小菜鳥暈上半天，就此放棄入侵你也不一定哦

10. 刪除默認共享
有人問過我一開機就共享所有盤，改回來以後，重啟又變成了共享是怎麼回事，這是2K為管理而設置的默認共享，必須通過修改注冊表的方式取消它：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters：AutoShareServer類型是REG_DWORD把值改為0即可

11. 禁止建立空連接

默認情況下，任何用戶通過通過空連接連上伺服器，進而枚舉出帳號，猜測密碼。我們可以通過修改注冊表來禁止建立空連接：

Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成」1」即可。

第五招:其它安全手段

1.禁用TCP/IP上的NetBIOS
網上鄰居-屬性-本地連接-屬性-Internet協議（TCP/IP）屬性-高級-WINS面板-NetBIOS設置-禁用TCP/IP上的NetBIOS。這樣cracker就無法用nbtstat命令來讀取你的NetBIOS信息和網卡MAC地址了。

2. 賬戶安全
首先禁止一切賬戶，除了你自己，呵呵。然後把Administrator改名。我呢就順手又建了個Administrator賬戶，不過是什麼許可權都沒有的那種，然後打開記事本，一陣亂敲，復制，粘貼到「密碼」里去，呵呵，來破密碼吧~！破完了才發現是個低級賬戶，看你崩潰不？

創建2個管理員用帳號

雖然這點看上去和上面這點有些矛盾，但事實上是服從上面的規則的。 創建一個一般許可權帳號用來收信以及處理一些*常事物，另一個擁有Administrators 許可權的帳戶只在需要的時候使用。可以讓管理員使用 「 RunAS」 命令來執行一些需要特權才能作的一些工作，以方便管理

3.更改C:\WINDOWS\Help\iisHelp\common\404b.htm內容改為<META HTTP-EQUIV=REFRESH CONTENT="0;URL=/;">這樣，出錯了自動轉到首頁

4. 安全日誌

我遇到過這樣的情況，一台主機被別人入侵了，系統管理員請我去追查兇手，我登錄進去一看：安全日誌是空的，倒，請記住：Win2000的默認安裝是不開任何安全審核的！那麼請你到本地安全策略->審核策略中打開相應的審核，推薦的審核是：

賬戶管理 成功 失敗

登錄事件 成功 失敗

對象訪問 失敗

策略更改 成功 失敗

特權使用 失敗

系統事件 成功 失敗

目錄服務訪問 失敗

賬戶登錄事件 成功 失敗

審核項目少的缺點是萬一你想看發現沒有記錄那就一點都沒轍；審核項目太多不僅會佔用系統資源而且會導致你根本沒空去看，這樣就失去了審核的意義

5. 運行防毒軟體

我見過的Win2000/Nt伺服器從來沒有見到有安裝了防毒軟體的，其實這一點非常重要。一些好的殺毒軟體不僅能殺掉一些著名的病毒，還能查殺大量木馬和後門程序。這樣的話，「黑客」們使用的那些有名的木馬就毫無用武之地了。不要忘了經常升級病毒庫,我們推薦mcafree殺毒軟體+blackice_blank">防火牆

6.sqlserver資料庫伺服器安全和serv-u ftp伺服器安全配置，更改默認埠，和管理密碼

7.設置ip篩選、用blackice禁止木馬常用埠

一般禁用以下埠

135 138 139 443 445 4000 4899 7626

8.本地安全策略和組策略的設置,如果你在設置本地安全策略時設置錯了，可以這樣恢復成它的默認值.

打開 %SystemRoot%\Security文件夾,創建一個 "OldSecurity"子目錄,將%SystemRoot%\Security下所有的.log文件移到這個新建的子文件夾中.

在%SystemRoot%\Security\database\下找到"Secedit.sdb"安全資料庫並將其改名,如改為"Secedit.old".

啟動"安全配置和分析"MMC管理單元:"開始"->"運行"->"MMC",啟動管理控制台,"添加/刪除管理單元",將"安全配置和分析"管理單元添加上.

右擊"安全配置和分析"->"打開資料庫",瀏覽"C:\WINNT\security\Database"文件夾,輸入文件名"secedit.sdb",單擊"打開".
當系統提示輸入一個模板時,選擇"Setup Security.inf",單擊"打開".

如果系統提示"拒絕訪問資料庫",不管他.

你會發現在"C:\WINNT\security\Database"子文件夾中重新生成了新的安全資料庫,在"C:\WINNT\security"子文件夾下重新生成了log文件.安全資料庫重建成功.

㈥ 文件伺服器（FTP）怎麼給用戶設置許可權

1、對准開始鍵右擊-選擇第一個程序和功能-選擇（左邊小菜單）啟用或關閉Windows功能。在InternetInformationServices可承載的Web核心和InternetInformationServices子菜單把FTP打鉤。

㈦ 如何防止文件伺服器和OA伺服器泄密天銳綠盾能做些什麼

1.客戶已經架設准入系統
採用服務白名單的方式數據來保護數據伺服器和業務伺服器，實現用戶上傳數據至伺服器自動解密，從伺服器下載文件至終端自動加密。
2.客戶未架設准入系統
這種情況，需要架設天銳綠盾網關與伺服器白名單相結合進行管理。內網用戶通過伺服器白名單方式來保護伺服器上數據，外網需架設網關來防護，即接入用戶須安裝天銳綠盾終端或指定終端方可訪問，對未安裝天銳綠盾終端或非指定終端禁止接入。

㈧ 保護 IIS web 伺服器的15個技巧

通常地，大多數Web站點的設計目標都是:以最易接受的方式，為訪問者提供即時的信息訪問。在過去的幾年中，越來越多的黑客、病毒和蠕蟲帶來的安全問題嚴重影響了網站的可訪問性，盡管Apache伺服器也常常是攻擊者的目標，然而微軟的Internet信息服務(IIS)
Web伺服器才是真正意義上的眾矢之的。
高級教育機構往往無法在構建充滿活力、界面友好的網站還是構建高安全性的網站之間找到平衡點。另外，它們現在必須致力於提高網站安全性以面對縮減中的技術預算
(其實許多它們的私有部門也面臨著相似的局面)。
正因為如此，我在這里將為預算而頭疼的大學IT經理們提供一些技巧，以幫助他們保護他們的IIS伺服器。雖然主要是面對大學里的IT專業人員的，但是這些技巧也基本上適用於希望通過少量的財政預算來提高安全性的IIS管理人員。實際上，這裡面的一些技巧對擁有強大預算的IIS管理人員也是非常有用的。
首先，開發一套安全策略
保護Web伺服器的第一步是確保網路管理員清楚安全策略中的每一項制度。如果公司高層沒有把伺服器的安全看作是必須被保護的資產，那麼保護工作是完全沒有意義的。這項工作需要長期的努力。如果預算不支持或者它不是長期IT戰略的一部分，那麼花費大量時間保護伺服器安全的管理員將得不到管理層方面的重要支持。
網路管理員為各方面資源建立安全性的直接結果是什麼呢?一些特別喜歡冒險的用戶將會被關在門外。那些用戶隨後會抱怨公司的管理層，管理層人員又會去質問網路管理員究竟發生了什麼。那麼，網路管理員沒辦法建立支持他們安全工作的文檔，因此，沖突發生了。
通過標注Web伺服器安全級別以及可用性的安全策略，網路管理員將能夠從容地在不同的操作系統上部署各種軟體工具。
IIS安全技巧
微軟的產品一向是眾矢之的，因此IIS伺服器特別容易成為攻擊者的靶子。搞清楚了這一點後，網路管理員必須准備執行大量的安全措施。我將要為你們提供的是一個清單，伺服器操作員也許會發現這是非常有用的。
1.
保持Windows升級:
你必須在第一時間及時地更新所有的升級，並為系統打好一切補丁。考慮將所有的更新下載到你網路上的一個專用的伺服器上，並在該機器上以Web的形式將文件發布出來。通過這些工作，你可以防止你的Web伺服器接受直接的Internet訪問。
2.
使用IIS防範工具:
這個工具有許多實用的優點，然而，請慎重的使用這個工具。如果你的Web伺服器和其他伺服器相互作用，請首先測試一下防範工具，以確定它已經被正確的配置，保證其不會影響Web伺服器與其他伺服器之間的通訊。
3.
移除預設的Web站點:
很多攻擊者瞄準inetpub這個文件夾，並在裡面放置一些偷襲工具，從而造成伺服器的癱瘓。防止這種攻擊最簡單的方法就是在IIS里將預設的站點禁用。然後，因為網蟲們都是通過IP地址訪問你的網站的
(他們一天可能要訪問成千上萬個IP地址)，他們的請求可能遇到麻煩。將你真實的Web站點指向一個背部分區的文件夾，且必須包含安全的NTFS許可權。
4.
如果你並不需要FTP和SMTP服務，請卸載它們:
進入計算機的最簡單途徑就是通過FTP訪問。FTP本身就是被設計滿足簡單讀/寫訪問的，如果你執行身份認證，你會發現你的用戶名和密碼都是通過明文的形式在網路上傳播的。SMTP是另一種允許到文件夾的寫許可權的服務。通過禁用這兩項服務，你能避免更多的黑客攻擊。
5.
有規則地檢查你的管理員組和服務:
有一天我進入我們的教室，發現在管理員組里多了一個用戶。這意味著這時某個人已經成功地進入了你的系統，他或她可能冷不丁地將炸彈扔到你的系統里，這將會突然摧毀你的整個系統，或者佔用大量的帶寬以便黑客使用。黑客同樣趨向於留下一個幫助服務，一旦這發生了，採取任何措施可能都太晚了，你只能重新格式化你的磁碟，從備份伺服器恢復你每天備份的文件。因此，檢查IIS伺服器上的服務列表並保持盡量少的服務必須成為你每天的任務。你應該記住哪個服務應該存在，哪個服務不應該存在。Windows
2000
Resource
Kit帶給我們一個有用的程序，叫作tlist.exe，它能列出每種情況運行在svchost
之下的服務。運行這個程序可以尋找到一些你想要知道的隱藏服務。給你一個提示:任何含有daemon幾個字的服務可能不是Windows本身包含的服務，都不應該存在於IIS伺服器上。
6.
嚴格控制伺服器的寫訪問許可權:
這聽起來很容易，然而，在大學校園里，一個Web伺服器實際上是有很多"作者"的。教職人員都希望讓他們的課堂信息能被遠程學生訪問。職員們則希望與其他的職員共享他們的工作信息。伺服器上的文件夾可能出現極其危險的訪問許可權。將這些信息共享或是傳播出去的一個途徑是安裝第2個伺服器以提供專門的共享和存儲目的，然後配置你的Web伺服器來指向共享伺服器。這個步驟能讓網路管理員將Web伺服器本身的寫許可權僅僅限制給管理員組。

7.
設置復雜的密碼:
我最近進入到教室，從事件察看器里發現了很多可能的黑客。他或她進入了實驗室的域結構足夠深，以至於能夠對任何用戶運行密碼破解工具。如果有用戶使用弱密碼
(例如"password"或是
changeme"或者任何字典單詞)，那麼黑客能快速並簡單的入侵這些用戶的賬號。
8.
減少/排除Web伺服器上的共享:
如果網路管理員是唯一擁有Web伺服器寫許可權的人，就沒有理由讓任何共享存在。共享是對黑客最大的誘惑。此外，通過運行一個簡單的循環批處理文件，黑客能夠察看一個IP地址列表，利用\\命令尋找Everyone/完全控制許可權的共享。
9.
禁用TCP/IP協議中的NetBIOS:
這是殘忍的。很多用戶希望通過UNC路徑名訪問Web伺服器。隨著NETBIOS被禁用，他們便不能這么做了。另一方面，隨著NETBIOS被禁用，黑客就不能看到你區域網上的資源了。這是一把雙刃劍，如果網路管理員部署了這個工具，下一步便是如何教育Web用戶如何在NETBIOS失效的情況下發布信息。
10.
使用TCP埠阻塞:
這是另一個殘忍的工具。如果你熟悉每個通過合法原因訪問你伺服器的TCP埠，那麼你可以進入你網路介面卡的屬性選項卡，選擇綁定的TCP/IP協議，阻塞所有你不需要的埠。你必須小心的使用這一工具，因為你並不希望將自己鎖在Web伺服器之外，特別是在當你需要遠程登陸伺服器的情況下。
11.
仔細檢查*.bat和*.exe
文件:
每周搜索一次*.bat
和*.exe文件，檢查伺服器上是否存在黑客最喜歡，而對你來說將是一場惡夢的可執行文件。在這些破壞性的文件中，也許有一些是*.reg文件。如果你右擊並選擇編輯，你可以發現黑客已經製造並能讓他們能進入你系統的注冊表文件。你可以刪除這些沒任何意義但卻會給入侵者帶來便利的主鍵。
12.
管理IIS目錄安全:
IIS目錄安全允許你拒絕特定的IP地址、子網甚至是域名。作為選擇，我選擇了一個被稱作WhosOn的軟體，它讓我能夠了解哪些IP地址正在試圖訪問伺服器上的特定文件。WhosOn列出了一系列的異常。如果你發現一個傢伙正在試圖訪問你的cmd.exe，你可以選擇拒絕這個用戶訪問Web伺服器。當然，在一個繁忙的Web站點，這可能需要一個全職的員工!然而，在內部網，這真的是一個非常有用的工具。你可以對所有區域網內部用戶提供資源，也可以對特定的用戶提供。
13.
使用NTFS安全:
預設地，你的NTFS驅動器使用的是EVERYONE/完全控制許可權，除非你手工關掉它們。關鍵是不要把自己鎖定在外，不同的人需要不同的許可權，管理員需要完全控制，後台管理賬戶也需要完全控制，系統和服務各自需要一種級別的訪問許可權，取決於不同的文件。最重要的文件夾是System32，這個文件夾的訪問許可權越小越好。在Web伺服器上使用NTFS許可權能幫助你保護重要的文件和應用程序。
14.管理用戶賬戶:
如果你已經安裝IIS，你可能產生了一個TSInternetUser賬戶。除非你真正需要這個賬戶，否則你應該禁用它。這個用戶很容易被滲透，是黑客們的顯著目標。為了幫助管理用戶賬戶，確定你的本地安全策略沒有問題。IUSR用戶的許可權也應該盡可能的小。
15.
審計你的Web伺服器:
審計對你計算機的性能有著較大的影響，因此如果你不經常察看的話，還是不要做審計了。如果你真的能用到它，請審計系統事件並在你需要的時候加入審計工具。如果你正在使用前面提到的WhosOn工具，審計就不那麼重要了。預設地，IIS總是紀錄訪問，
WhosOn
會將這些紀錄放置在一個非常容易易讀的資料庫中，你可以通過Access或是
Excel打開它。如果你經常察看異常資料庫，你能在任何時候找到伺服器的脆弱點。
總結
上述所有IIS技巧和工具(除了WhosOn以外)都是Windows自帶的。不要忘記在測試你網站可達性之前一個一個的使用這些技巧和工具。如果它們一起被部署，結果可能讓你損失慘重，你可能需要重啟，從而遺失訪問。
最後的技巧:
登陸你的Web伺服器並在命令行下運行netstat
-an。觀察有多少IP地址正嘗試和你的埠建立連接，然後你將有一大堆的調查和研究要做了。

㈨ 如何防止數據伺服器（如文件伺服器）和業務伺服器（如OA伺服器）泄密

1。對於已經架設准入系統
通過天銳綠盾數據防泄密系統的服務白名單方式數據來保護伺服器和業務伺服器，可實現用戶上傳數據至伺服器自動解密，從伺服器下載文件至終端自動加密。
2。對於未架設准入系統
這種情況，需要架設天銳綠盾應用伺服器安全接入系統與伺服器白名單相結合進行管理。即接入用戶須安裝天銳綠盾客戶端方可訪問，對未安裝天銳綠盾客戶端的用戶禁止接入，而後伺服器白名單方式來保護伺服器上的數據安全。

㈩ 如何加固文件伺服器

它是企業環境中進行文件共享、軟體分發、個人存儲等文件交互需求的一個很好的解決方案。但由於它的公用性、共享性，因此安全性備受網路管理員的關注。 常見案例： 1、文件伺服器上的共享文件被誤刪或者惡意竄改、刪除。 2、文件伺服器的存儲空間被濫用，成了員工存儲軟體的倉庫，存儲空間頻頻告急。 3、文件伺服器上的文件被隨意復制，機密檔案不再安全，泄密事件時有發生。 ...... 諸如此類的種種案例是網路管理員經常遇到並且非常頭痛的問題。由於文件伺服器是面向整個區域網用戶開放，若不對用戶的使用許可權，使用空間等方面進行限制的話，有可能一部分用戶就會在伺服器上隨意存放歌曲、電影等文件，佔用大量可用磁碟空間。甚至一些存有惡意的員工會更改或者修改某些共享文件，對企業造成不利影響。那如何來加固文件伺服器呢?下面筆者根據自己的實踐提供如下安全策略，供大家參考。 一、基本安全計劃 1、採用NTFS分區格式 NTFS格式的安全性可以為我們在以後對共享文件的訪問許可權和加密中，提供更多設置選項，建議伺服器磁碟採用NTFS分區格式。(圖1) 2、帳戶密碼安全 在伺服器初始化完成之後，就應重命名Administrator和Guest賬戶，然後將其密碼更改為長而復雜的值。還要在每個伺服器上使用不同的名稱和密碼，這將有效提高公司在文件訪問方面的限制功能。 二、擴展安全計劃 1、部署活動目錄(AD) 對於客戶端超過100個的企業，如果沒有統一的目錄服務，尋找任何網路資源都成為問題，更別說後續的文件許可權劃分和調整了，需要盡快升級到活動目錄控制下的網路運行方式。 2、SCW增強安全性 Windows Server 2003通過提供安全配置向導(Security Configuration Wizard，簡稱SCW)之類的新安全工具增強了安全基礎結構，有助於確保伺服器基於角色來設置安全性，建議進行配置。(圖2) 三、存儲空間限制計劃 1、NTFS磁碟配額 文件伺服器如果沒有限制用戶的存儲容量，必將導致文件伺服器空間被大量佔用。這主要是因為沒有配置適當的保證措施和服務。以Windows Server 2003操作系統為例，可以使用磁碟配額跟蹤和控制NTFS卷上的磁碟空間使用情況。磁碟配額可防止用戶由於在超過指定的磁碟空間限制值時記錄事件而超出設定的磁碟空間。(圖3) 2、FSRM磁碟配額 或者我們可以使用Windows Server 2003提供的文件伺服器資源管理器(File Server Resource Manager，以下簡稱為FSRM)，也可以實現磁碟配額功能。(圖4) FSRM與NTFS的磁碟配額功能一樣，採用了用戶存儲空間的限制功能，可以提供了包含管理、限制、監控三種功能共計六個模板。根據公司日常文件存儲的特性以及伺服器實際的磁碟空間，我們可以自行創建配額模板(可以復制某一個模板信息)，FSRM在配置配額的「空間限制」選項中指定了存儲空間的大小。 四、存儲格式限制計劃 為了保證只和工作有關的文件優先存儲，就需要控制文件存儲的格式，FSRM中的「文件篩選器」功能可以有效地提高存儲格式方面的管理。 「文件篩選器」中已經包含了一些模板，我們可以在這些模板中添加或修改其屬性。在「篩選類型」中，選擇要應用的篩選類型，比如針對視頻和音頻文件等。文件類型中還包括可執行文件、系統文件等，如果將這些文件也過濾掉，能夠減少一些病毒對伺服器的威脅。(圖5) 五、文件版權保護計劃 1、EFS加密 數據加密方面的軟體很多，在Windows操作系統上直接提供的是EFS加密。EFS是一種基於公共密鑰的加密機制，能夠實時、透明地對磁碟上的數據進行加密，那些沒有正確密鑰的攻擊者是無法訪問這些數據的。在正常使用時，用戶根本感覺不到它的存在。但是當其他非受權用戶試圖訪問加密過的數據時，就會收到「訪問拒絕」的錯誤提示，從而進一步保護了文件的訪問許可權。(圖6) 2、RMS許可權設置 由於移動存儲設備隨處可見，企業的重要文檔可能隨時都被復制，造成信息的泄密。建議採用數字版權管理服務技術(Rights Management Services，簡稱RMS)，減少泄露文檔信息的機會。在RMS中，許可權伴隨文檔，規定信息使用的許可權和條件，並且許可權信息加密，強制實施文檔許可權，未經授權，該文檔就不能修改、復制，不能列印、分發，即使拷貝出去，也不能打開。文件伺服器搭配RMS就可以防止企業文件被惡意泄露。(圖7) 總結：文件伺服器是企業文件交互的一條重要通道，可謂企業信息重地。它能否穩定、安全地運行，其重要性對於企業不言而喻。