5、有规则地检查你的管理员组和服务

如果发现在管理员组里多了一个用户,这意味着这时某个人已经成功地进入了你的系统,他或她可能冷不丁地将炸弹扔到你的系统里,这将会突然摧毁你的整个系统,或者占用大量的带宽以便黑客使用。

黑客同样趋向于留下一个帮助服务,一旦这种情况发生了,采取任何措施可能都太晚了,你只能重新格式化你的磁盘,从备份服务器恢复你每天备份的文件。因此,检查IIS服务器上的服务列表并保持尽量少的服务必须成为你每天的任务。你应该记住哪个服务应该存在,哪个服务不应该存在。

Windows 2000 Resource Kit带给我们一个有用的程序,叫作tlist.exe,它能列出每种情况运行在svchost之下的服务。运行这个程序可以寻找到一些你想要知道的隐藏服务。提示:任何含有daemon几个字的服务可能不是Windows本身包含的服务,都不应该存在于IIS服务器上。

6、严格控制服务器的写访问权限

这个好像听起来很容易,然而,一个Web服务器实际上是有很多的“作者”。服务器上的文件夹可能出现极其危险的访问权限。将这些信息共享或是传播出去的一个途径是安装第2个服务器以捉供专门的共享和存储目的,然后配置你的Web服务器来指向共享服务器。这个步骤能让网络管理员将Web服务器本身的改写权限仅仅限制给管理员组别的用户。

7、设置复杂的密码

如果有用户使用弱密码例如“Password”或是“changeme”或者任何字典单词),那么黑客能快速并简单的入侵这些用户的账号。

8、减少/排除Web服务器上的共享

如果网络管理员是唯一拥有Web服务器写权限的人,就没有理由让任何共享存存。共享是对黑客最大的诱惑。此外,通过运行一个简单的循环批处理文件,黑客能够察看一个IP地址列表,利用\\命令寻找Everyone/完全控制权限的共享。

9、禁用TCP/IP协议中的NetBI0S

这是残忍的。很多用户希望通过UNC路径名访问Web服务器。随着NETBI0S被禁用,他们便不能这么做了。另一方面,随着NETBI0S被禁用,黑客就不能看到你局域网上的资源了。这是一把双刃剑,如果网络管理员部署了这个工具,下一步便是如何教育Web用户如何在NETBI0S失效的情况下发布信息。

10、使用TCP端口阻塞

这是另一个残忍的工具。如果你熟悉每个通过合法原因访问你服务器的TCP端口,那么你可以进入你网络接口卡的属性选项卡,选择绑定的TCP/IP协议,阻塞所有你不需要的端口。你必须小心的使用这一工具,因为你并不希望将自己锁在Web服务器之外,特别是在当你需要远程登陆服务器的情况下。


共3页: 上一页123下一页

相关内容