Ashes to ashes, Dust to dust

KV300是我购买的第一个正版软件。此前,我先是用几块钱,买了盗版的KV100。然后KV搞活动,加了点钱,在联邦软件专卖店,用盗版换购了正版的KV300(介质还是3.5寸的软盘)。此后,每周去联邦软件专卖店升级KV300的病毒定义库,成了必不可少的功课。拿回家杀毒,若能查出几个病毒来,那种喜悦现在已然难以体会。当然,也因为经常升级的缘故,软盘经常损坏,换一次就60大洋。

不管怎么说,王江民,自然而然,也成为了我儿时的偶像。如今59岁英年早逝,天地齐咽。愿你在天堂迎得一片真正的“净土”,彻底实现你“杀毒”的宿愿。

王江民

王江民

23 and me

其实现在这类服务已经有蛮多的了。不过还是先说说23 and me是啥吧。

How it works

How it works

如上图所示的步骤,先花399刀,购买一个如下图所示的工具包(附相应服务)

Multi-kit

Multi-kit

然后“呸”完口水之后寄回去,过段时间登录23 and me,就可以享受与自己的基因相关的各项服务。这些服务包括:

1. Health and Traits

看看基因如何影响自己的健康。你哪些基因有缺陷,又带来怎样好的或坏的后果;你可能患哪些遗传性疾病。随着研究的进展,每个月还会有新的更新。

2. Ancestry

从基因上看看你是从哪里起源的人种,以及你祖先的迁移历史。

3. 23 and WE research

通过社区的形式,你可以找到在基因上与自己很match的人,相互结交朋友。

除此之外,通过参加23 and me的调查,你可以提供你自己的隐私信息给23 and me,使得他们可以在这些变量与基因之间建立联系,促进研究。

4. Secure and permanent web access

感觉有点网络墓地的感觉,把你的基因信息永世存续下去。

23 and me做的事情,不仅为用户提供了很有价值的信息,而且促进了基因的研究,本来是件很好的事情。

这里最大的问题就是,不管你如何强调隐私条款,将自己的基因交给第三方保管,依然是件让人很不爽的事情。

在克隆技术还没发展到实际应用的当前,单个普通人的基因信息虽然价值不大,而且也很容易被有针对性的取得;但是当上了一定规模之后,如果这些数据被非法利用于制造基因武器,进行种族灭绝,情况就发生了很大的变化。

其实,这种安全风险处处存在。你封闭的操作系统有后门么?好吧,你用开源软件的二进制发布。那你能保证那个二进制发布是用相同的源码编译的么?好吧,你直接从源码编译安装软件。那么那个编译器能保证安全么?好吧,你自己从源码编译编译器自身。那么那个编译编译器的编译器又能保证安全么?

在被纠结于鸡生蛋,蛋生鸡的问题之前,你必须在某个level上,trust something/somebody,以终止这个循环。

当然,你信任的这个东西或者人本身就可能欺骗你,或者他们自己本身已然受到了欺骗。

烦…

任务稿:IIS6+SSL Based On 2k3

IIS提供了SSL安全加密传输功能,如下配置:

1、证书请求文件生成:

进入“控制面板→管理工具→Internet 信息服务(IIS)管理器”,在IIS管理器窗口中展开“网站”目录,右键点击要使用SSL安全加密机制功能的网站,在弹出菜单中选择“属性”,然后切换到“目录安全性”标签页,接着点击“服务器证书”按钮。在“IIS证书向导”窗口中选择“新建证书”选项,点击“下一步”,选中“现在准备证书请求,但稍后发送”,接着在“名称”栏中为该证书起个名字,在“位长”下拉列表中选择“密钥的位长”,这里要注意,位长不能设置的过大,否则会影响通信质量;接着设置证书的单位、部门、和地理信息,在站点“公用名称栏”中输入该网站的域名,然后指定证书请求文件的保存位置,这里笔者将该证书请求文本文件保存在 “certreq.txt”。这样就完成了证书请求文件的生成。

2、安装证书服务:

在“控制面板”中运行“添加或删除程序”,切换到“添加/删除Windows组件”页,在“Windows组件向导”对话框中,选中“证书服务”选项,接下来选择CA类型,这里笔者选择“独立根CA”,然后为该CA服务器起个名字,设置证书的有效期限,建议使用默认值“5年”即可,最后指定证书数据库和证书数据库日志的位置后,就完成了证书服务的安装。

3、使用证书请求文件申请证书:

运行Internet Explorer浏览器,在地址栏中输入“http://localhost/CertSrv/default.asp”。接着在“Microsoft 证书服务”欢迎窗口中点击“申请一个证书”链接,然后在证书申请类型中点击“高级证书申请”链接,在高级证书申请窗口中点击“使用BASE64编码的 CMC或PKCS#10文件提交…”链接,接着将证书请求文件的内容复制到“保存的申请”输入框中,这里笔者的证书请求文件内容保存在 “certreq.txt”,最后点击“提交”按钮。虽然完成了IIS网站证书的申请后,但这时它还处于挂起状态,需要颁发后才能生效。

4、颁发证书:

在“控制面板->管理工具”中,运行“证书颁发机构”程序。在“证书颁发机构”左侧窗口中展开目录,选中“挂起的申请”目录,在右侧窗口找到刚才申请的证书,鼠标右键点击该证书,选择“所有任务→颁发”。

5、备份证书:

打开刚刚颁发成功的证书,在 “证书”对话框中切换到“详细信息”标签页。点击“复制到文件”按钮,弹出证书导出对话框,一路下一步,在“要导出的文件”栏中指定文件名,这里笔者保存证书路径为“backup.cer”,最后点击“完成”。

6、使用证书:

进入“控制面板->管理工具->Internet 信息服务(IIS)管理器”,在IIS管理器窗口中展开“网站”目录,右键点击要使用SSL安全加密机制功能的网站,在弹出菜单中选择“属性”,然后切换到“目录安全性”标签页,接着点击“服务器证书”按钮。使用“IIS证书向导”窗口配置SSL,注意端口的选择,默认443。

Linux安全清单

1.物理安全

确保每次本机登录服务器后的SignOut过程;设置BIOS密码且修改引导次序禁止从软盘启动系统;

2.使用安全密码

包括对密码长度和密码复杂度的相应要求;

3.限制不必要的用户数量

注意经常检查系统的账号,删除已经不再使用的账号,并注意检查相应账号的权限设置;

4. 口令文件

使用chattr命令给下面的文件加上不可更改属性,防止非授权用户获得权限:

# chattr +i /etc/passwd
# chattr +i /etc/shadow
# chattr +i /etc/group
# chattr +i /etc/gshadow

5. 禁止Ctrl+Alt+Delete重新启动机器命令

修改/etc/inittab文件,将”ca::ctrlaltdel:/sbin/shutdown -t3 -r now”一行注释掉,然后重新设置/etc/rc.d/init.d/目录下所有文件的许可权限:

# chmod -R 700 /etc/rc.d/init.d/*

6. 限制su命令

编辑/etc/pam.d/su文件,增加如下两行:

auth sufficient /lib/security/pam_rootok.so debug
auth required /lib/security/pam_wheel.so group=isd

这时,仅isd组的用户可以用su作为root;

7. 删减登录信息

编辑/etc/rc.d/rc.local将输出系统信息的如下行通通注释掉:

# This will overwrite /etc/issue at every boot. So, make any changes you
# want to make to /etc/issue here or you will lose them when you reboot
# echo "" > /etc/issue
# echo "$R" >> /etc/issue
# echo "Kernel $(uname -r) on $a $(uname -m)" >> /etc/issue
# cp -f /etc/issue /etc/issue.net
# echo >> /etc/issue

然后,进行如下操作:

# rm -f /etc/issue
# rm -f /etc/issue.net
# touch /etc/issue
# touch /etc/issue.net

8.限制NFS访问 

应该确保你的/etc/exports具有最严格的访问权限设置,也就是意味着不要使用任何通配符、不允许root写权限并且只能安装为只读文件系统,编辑文件/etc/exports并加入如下两行。

/dir/to/export host1.mydomain.com(ro,root_squash)
/dir/to/export host2.mydomain.com(ro,root_squash)

/dir/to/export 是你想输出的目录,host.mydomain.com是登录这个目录的机器名,ro意味着mount成只读系统,root_squash禁止root写入该目录;

为了使改动生效,运行如下命令:

# /usr/sbin/exportfs –a

9.Inetd设置

首先要确认/etc/inetd.conf的所有者是root,且文件权限设置为600。设置完成后,可以使用”stat”命令进行检查;

# chmod 600 /etc/inetd.conf

然后,编辑/etc/inetd.conf禁止以下服务;

ftp telnet shell login exec talk ntalk imap pop-2 pop-3 finger auth

如果你安装了ssh/scp,也可以禁止掉Telnet/FTP;

为了使改变生效,运行如下命令:

#killall -HUP inetd

请使用TCP_WRAPPERS增强系统安全性,可以修改/etc/hosts.deny和/etc/hosts.allow来增加访问限制;

例如,将/etc/hosts.deny设为”ALL: ALL”可以默认拒绝所有访问;然后在/etc/hosts.allow文件中添加允许的访问;例如,”sshd: 192.168.1.10/255.255.255.0 gate.openarch.com”表示允许IP地址192.168.1.10和主机名gate.openarch.com允许通过SSH连接;

配置完成后,可以用tcpdchk检查:

# tcpdchk
(tcpchk是TCP_Wrapper配置检查工具,它检查你的tcp wrapper配置并报告所有发现的潜在/存在的问题);

10.登录终端设置

/etc/securetty文件指定了允许root登录的tty设备,由/bin/login程序读取,
其格式是一个被允许的名字列表,你可以编辑/etc/securetty且注释掉如下的行;

# tty1
# tty2
# tty3
# tty4
# tty5
# tty6

这时,root仅可在tty1终端登录;

11.避免显示系统和版本信息

可以如下改变/etc/inetd.conf文件:

telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd -h

加-h表示telnet不显示系统信息,而仅仅显示”login:”;

12.阻止ping

在/etc/rc.d/rc.local文件中增加如下一行:

echo 1 >/proc/sys/net/ipv4/
icmp_echo_ignore_all

13.防止IP欺骗

编辑host.conf文件并增加如下几行:

order bind,hosts
multi off
nospoof on

14.防止DoS攻击

对系统所有的用户设置资源限制可以防止DoS类型攻击,如最大进程数和内存使用数量等;例如,可以在/etc/security/limits.conf中添加如下几行:

* hard core 0
* hard rss 5000
* hard nproc 20

然后必须编辑/etc/pam.d/login文件检查下面一行是否存在。

session required /lib/security/pam_limits.so

上面的命令禁止调试文件,限制进程数为50并且限制内存使用为5MB。

15.安装补丁

经常访问相应系统网站和一些安全站点,下载最新的漏洞补丁;

具体网址:

REDHAT
ftp://updates.redhat.com/

DEBIAN
http://www.debian.org/security/
或者使用apt-get update/upgrade 进行相应的升级工作;

source.list如下:
deb http://security.debian.org/ slink updates
或 deb http://security.debian.org/ potato/updates main contrib non-free

IIS 5安全清单

IIS的安全性首先要基于Windows系统的安全性,详细部分请见相关文档。对IIS的安全控制可从以下四个方面进行:

* IP地址的域名安全限制(目录/文件安全性):视需求而定,可暂时阻止DOS;
* IIS身份验证安全限制(目录/文件安全性):
匿名访问:帐号IUSR_HOSTNAME,不过期,不能更改口令,Guest组成员;
基本身份验证:服务器上的真实用户名/密码,明文传输;
Digest身份验证:哈希散列值传输;(只使用Windows2k的域)
集成Windows验证:需要用相同用户名和密码登录;
* IIS权限
* NTFS权限

一、 为虚拟目录设置适当的 ACL

虽然一般情况下,虚拟目录的ACL取决于应用程序的需要,但一些通常的规则依然适用;

1、脚本和动态内容
可读
可执行脚本
2、静态内容
可读
3、可执行程序
可读
可执行
4、类数据库内容
可读
可写

推荐为每一种文件类型创建新的目录,在这些目录上仔细设置 ACL,并允许 ACL 继承到文件。至少建站第一步就应该在ACL中删除虚拟目录和Web页面的Everyone组。

例如,目录结构可能如下所示:
* myserverstatic (.html)
* myserverinclude (.inc)
* myserverscript (.asp)
* myserverexecutable (.dll)
* myserverimages (.gif, .jpeg)

此外,有两个目录需要特别注意:
* ftproot (FTP server)
* mailroot (SMTP server)

这两个目录上的 ACL 都是“Everyone(完全控制)”,应当根据您的功能设置更加严格的ACL,若不使用则不要安装。

对于仅开启IIS的主机,可以参考下列ACL设置(下面ACL采用的是极其严格的ACL,可能会对管理及SQL等的使用造成不便,应在此基础上逐项添加权限,才能做到权限最小化):

1.对于所有硬盘分区:
System 完全控制
Administrator 完全控制
允许继承
2.Program FilesCommon Files
Everyone 读取及运行 列出文件目录 读取
允许继承
3.webroot
IUSR_HOSTNAME 读取及运行 列出文件目录 读取
允许继承
4.Winntsystem32下除Inetsrv,Centsrv以外的所有目录
不允许继承
5.Winnt下除Downloaded Program Files、Help、IIS Temporary Compressed Files、Offline Web Pages、system32、Tasks、Temp、Web以外的所有目录
不允许继承
6.Winnt
Everyone 读取及运行 列出文件和目录 读取
允许继承
7.WinntTemp
Everyone 修改
允许继承

除上面提到的权限外,删除所有用户、组的权限。

二、 设置适当的 IIS 日志文件 ACL

请确保 IIS 生成的日志文件 (%systemroot%system32LogFiles) 上的 ACL 是:
Administrators(完全控制)
System(完全控制)
Everyone (RWC)

三、 启用日志记录

通过下列步骤使用 W3C 扩展日志记录格式:

1. 站点|属性|网站|启用日志
2. 活动日志格式|W3C 扩展日志文件格式|属性|扩展属性:
客户端 IP 地址
用户名
方法
URI 资源
Win32 状态
用户代理
服务器 IP 地址(如果多网卡)
服务器端口

当您检查日志时,请注意错误5,即被拒绝的访问。

[小知识]
如何察看错误代码所代表的意义?net helpmsg

四、 验证可执行内容的可信度

用 DumpBin 工具来查看可执行内容是否调用了某些 API。许多 Win32 开发工具都含有 DumpBin(tdump,dumpbin…)。

五、 在 IIS 服务器上更新根目录的 CA 证书

该过程包括两个步骤:

第一步:添加所有信任的新根目录证书颁发机构 (CA) 证书;
第二步:删除所有不信任的根目录 CA 证书;

请注意如果您不知道发布根目录证书的公司名称,那么就不应当信任他们!

注意: 不要删除 Microsoft 或 VeriSign 根目录。操作系统会大量使用它们。

六、 禁用或删除所有示例应用程序

例如Internet Information Server 5 中的示例文件:

IIS 示例 IISSamples c:inetpubiissamples
IIS 文档 IISHelp c:winnthelpiishelp
数据访问 MSADC c:program filescommon filessystemmsadc

七、 禁用或删除不需要的COM 组件

考虑禁用“文件系统对象”组件(FSO),但需要注意的是这样也会删除 Dictionary 对象。通常禁用COM组件的发式是直接卸载其链接文件(撤消注册),具体步骤是:regsvr32 *** /u;

例如:
下列命令将禁用“文件系统对象”:regsvr32 scrrun.dll /u

八、 删除 IISADMPWD 虚拟目录

该目录允许您重新设置 Windows NT 和 Windows 2000 密码。这主要是为 Intranet 方案设计的,并且不作为 IIS 5 的一部分来安装,但是在 IIS 4 服务器升级到 IIS 5 时将不会被删除。如果您不使用 Intranet 或者您将服务器连接到网站上,则应当将其删除。

有关此功能的详细信息,请参考Microsoft Knowledge Base文章Q184619。

九、 删除不使用的脚本映射

当 IIS 接收到针对其中某一类型文件的请求时,该调用由 DLL 进行处理。如果您不会用到其中某些扩展名或功能,请进行删除,方法如下:网站|属性|主目录|配置,然后删除下列引用:

* 基于网站的密码重置 .htr
* Internet 数据库连接器(所有 IIS 5 网站应当使用 ADO 或相似技术) .idc
* 采用SSI技术的服务器端包含程序 .stm, .shtm 和 .shtml
* Internet 打印 .printer
* 索引服务器 .htw, .ida , .idq

注意: 关于“Internet 打印”可以通过组策略和 Internet 服务管理器来配置。如果组策略设置和 Internet 管理器设置有冲突,那么组策略设置优先。默认组策略既不启用也不禁用“Internet 打印”。请选择“计算机配置”|“管理模板”|“打印”|“基于 Web 的打印”来禁用它。

十、 禁用父路径

父路径允许您在调用诸如 MapPath 等功能时使用“..”。默认状态下,该选项是启用的,您应当禁用它:网站|属性|主目录|配置|选项|启用父路径;

十一、 在“Content-Location”中禁用 IP 地址

“Content-Location”首部会暴露通常隐藏在网络地址转换 (NAT) 防火墙或代理服务器后的内部 IP 地址。如下设置后可以使服务器返回URL而不是IP地址:

将UseHostName添加到Metabase中的W3SVC键上;

例如: Set IISSchemaObject = GetObject(“IIS://Axqd/Schema/w3svc”)…

更简单的方法是使用IIS5.0提供的默认情况下安装在InetpubAdminscripts下面的ADSUTIL程序
(IIS 4.0在winntsystem32inetsrvadminsamples):

Adsutil set w3svc/UseHostName True

然后必须重启Web服务器。

有关禁用该选项的详细信息,请参阅知识库文章Q218180。IIS6.0目前没有提供这个问题的解决方案;

最后,关于针对DOS攻击的压力测试可以采用Microsoft Web Application Stress Tool;

关于IIS安全方面的工具,特别推荐IISLockDown以及URLSCAN(可从IISLockDown中分离出来);

Windows 2000安全清单

1.物理安全
确保每次本机登录服务器后的SignOut过程;设置BIOS密码且修改引导次序禁止从软盘或光盘引导系统;

2.停掉Guest 账号
把guest账号停用掉,最好给guest 账号加一个极其复杂的密码;

3.限制不必要的用户数量
经常检查系统的账号,删除已经不再使用的账号,并注意检查相应账号的权限设置;
应注意检查各个账号的实际权限,而不只是系统用户账号界面或者cmd命令显示出来的权限,严防账号克隆;

4.创建2个管理员所使用的账号
创建一个一般权限账号用来检查日志等一些日常事物,另一个拥有Administrators 权限的账号只在需要的时候使用;届时可让管理员使用 “ RunAS ” 命令来执行一些需要特权才能进行的一些工作,以方便管理;

5.把系统administrator账号改名
把Administrator账号改名,不要使用Admin之类的名字,尽量把它伪装成普通用户,例如:guestone ;

6.创建一个陷阱账号
创建一个名为” Administrator ”的本地账号,把它的权限设置成最低,并且加上一个极其复杂的密码,更进一步的可以在其的login scripts上面做点手脚,达到HoneyPot的效果;

7.把共享文件的权限从“ everyone ”组改成“ 授权用户 ”
任何时候都不要把共享文件的存取权限设置成“ everyone ”组,包括打印共享;
如果没有必要,请关闭默认共享(见附录);
机器重新启动后,这些共享又会重新开启的,如果想要自动关闭,请使用WSH脚本或者BAT脚本;
也可以直接更改注册表,如下:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters]
"AutoShareServer"=dword:00000000
"AutoSharewks"=dword:00000000

REM 禁止建立空连接(限制对公用的本地安全权限 (LSA) 信息的访问)
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA]
"RestrictAnonymous"=dword:1

8.使用安全密码
包括对密码长度和密码复杂度的相应要求;

9.设置屏幕保护密码
不要使用OpenGL和一些复杂的屏幕保护程序,浪费系统资源,黑屏就可以了;

10. 使用NTFS格式分区
把服务器的所有分区都改成NTFS格式;
首先,性能上有较大提升;(簇小于4K条件不同:FAT <256M FAT32 <32G NTFS NIL)
其次,2000以前身份验证协议只有NTLM(NT Lan Manager),NTFS为2000用户提供了更多样的选择—Kerberos v5协议以及附加身份验证工具Crypto API、Secure Sockets Layer(SSL)、公共密钥加密;

NTFS基本安全性数据结构:
(1)SID(安全标识符):唯一的标识用户和组;使用一次,即使删除也不会分发给其他用户;
(2)ACE(访问控制项目):定义了SID怎样才能与安全对象交互,允许或拒绝;可帮忙传递其他参数;
(3)ACL(访问控制列表):数组,包含0-多个ACE;
(4)DACL(自选访问控制列表):权限;
(5)SACL(系统访问控制列表):审核;
(6)SECURITY_DESCRIPTOR(安全描述):如与对象相关的DACL,SACL等等;

多条ACE冲突原则:
(1)组之间的许可可累加;
(2)文件许可优先于目录许可;
(3)拒绝优先于许可;

账户权力:详见本地安全设置->用户权利指派

由于NTFS与FAT相比,支持更多的数据流,所以请注意时常检查数据流信息,防止木马伪装;(可采用stream.exe或者lads.exe工具)

11.运行防毒软件
经常升级病毒库;
微软关于防治病毒的建议请参见:
http://www.microsoft.com/windowsxp/downloads/updates/sp2/antivirus/default.mspx

12.保障备份盘的安全
备份完资料后,把备份盘放在安全的地方;不要把资料备份在同一台服务器上,至少不要备份在同一个驱动器下;
Windows的密码文件(SAM)也有备份,不要忽略备份文件的安全性;

13.利用win2000的安全配置工具来配置策略
请参见控制台(MMC)和组策略(GPEDIT.MSC)的帮助文档

14.关闭不必要的服务
留意服务器上面开启的所有服务,定期检查他们以及他们的默认启动方式;下面是C2级别安装的默认服务,仅供参考:

* Computer Browser service TCP/IP NetBIOS Helper
* Microsoft DNS server Spooler
* NTLM SSP Server
* RPC Locator WINS
* RPC service Workstation
* Netlogon Event log

对于仅运行IIS主机而言,情况如下:
必要服务:
* DNS Client
* Event Log
* License Logging Services
* Windows NTLM Security Support Provider
* Remote Procedure Call(RPC) Services
* Windows NT Server or Windows NT Workstation
* IIS Admin Service
* MSDTC
* World Wide Web Publishing Service
* Protected Storage
* COM+ Event System
* Network Connections
* Windows Management Instrumentation Driver Extensions
* Windows Management Instrumentation

一般需禁用服务:
* Remote Registry Service
* Server
* Schedule
* FTP Publishing Service
* Telnet
* Terminal Service
* Telephony
* Alerter
* ClipBook Server
* Computer Browser
* DHCP Client
* Directory Replicator
* License Logging Service
* Messenger
* Netlogon
* Network DDE
* Network DDE DSDM
* Network Monitor
* Remote Access Server
* Remote Procedure Call(RPC) locator
* Spooler
* TCP/IP Netbios Helper
* Telephone Service

还有一些服务,如:SNMP Service,UPS等,应根据具体情况,如果不能确定可以选择手动,这样系统在需要的时候会自己启动这些服务;

此外,应该时常注意进程列表,特别注意名称与正常进程相近或者有迷惑性名称的进程;

15.关闭不必要的端口
用端口扫描器扫描系统所开放的端口,确定开放了哪些端口;%system%driversetcservices 文件中有知名端口和服务的对照表可供参考;

关闭某端口具体方法为:
网上邻居->属性->本地连接->属性->internet 协议(tcp/ip)->属性->高级->选项->tcp/ip筛选->属性 打开tcp/ip筛选,添加需要的tcp,udp协议即可;

可以利用fport等第三方工具列出端口与进程的对应表,然后直接杀掉进程;对于不能关掉的进程则采用防火墙屏蔽相应端口;

16.打开审核策略
策略 设置
审核系统登陆事件 成功,失败
审核账号管理 成功,失败
审核登陆事件 成功,失败
审核对象访问 成功
审核策略更改 成功,失败
审核特权使用 成功,失败
审核系统事件 成功,失败

17.开启密码密码策略
策略 设置
密码复杂性要求 启用
密码长度最小值 6位
强制密码历史 5 次
强制密码历史 42 天

18.开启账号策略
策略 设置
复位账号锁定计数器 20分钟
账号锁定时间 20分钟
账号锁定阈值 3次

对于IIS主机,请不要开启此策略,否则可能锁定IUSR_HOSTNAME帐号,导致IIS不能访问,目前微软还没有提供解决方案;

注:
关于策略的统一设置,可以使用统一的安全模板。
模板配置下载地址:http://download.microsoft.com/download/win2000srv/SCM/1.0/NT5/EN-US/hisecweb.exe

值得注意的是对于Windows终端服务的审核未包含连接的IP地址的记录,故可采用登录脚本进行记录(例如:netstat –n –p tcp | find “:3389”;记住登录脚本的最后要start Explorer,因为默认的登录脚本就是Explorer)

19.设定安全记录的访问权限
应该设置成只有Administrator和必要的系统账号才有权访问;

20.把敏感文件存放在另外的文件服务器中
考虑是否有必要把一些重要的用户数据(文件,数据表,项目文件等)存放在另外一个安全的服务器中,并且经常备份它们;

21.不让系统显示上次登陆的用户名
具体做法是:
HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogonDontDisplayLastUserName
把 REG_SZ 的键值改成 1;
或者使用本地安全设置->安全选项;

22.到微软网站下载最新的补丁程序
经常访问微软和一些安全站点,下载最新的service pack和漏洞补丁;
另注:除非确保有安全的SUS Server否则请不要使用Windows Update进行更新,而采用手工方式;
具体网址:http://support.microsoft.com/support/contact/default.asp
最简单的方式是订阅Microsoft 安全通知服务:
http://www.microsoft.com/technet/security/bulletin/notify.mspx

23.关闭 DirectDraw
此为C2级安全标准对视频卡和内存的要求;
具体做法:
HKLMSYSTEMCurrentControlSetControlGraphicsDriversDCI
将Timeout(REG_DWORD)设置为 0 即可;

24.禁止dump file的产生
打开 控制面板>系统属性>高级>启动和故障恢复 把 写入调试信息 改成无;要用的时候,可以再重新打开它;
另外,还需关闭华生医生(DrWaston—drwtsn32)产生的日志文件(故障转储文件);

25.使用文件加密系统EFS
注意要给文件夹也使用EFS, 而不仅仅是针对单个文件; 有关EFS的具体信息可以查看
http://www.microsoft.com/windows2000/techinfo/howitworks/security/encrypt.asp
请一定保管好证书,若遗失,恢复过程会极其繁琐(安装证书颁发机构然后创建附加数据恢复代理),而且还不一定能够修复(例如:WIN2K PRO)

26.关注temp、%windir%repair文件夹
注意随时关注temp文件夹,在进行危险操作后记得删除temp文件夹相应内容;
%windir%repair下面的备份文件存在很大危险;

27.锁住注册表
详细信息请参考:
http://support.microsoft.com/support/kb/articles/Q153/1/83.asp

28.关机时清除掉页面文件
编辑注册表
HKLMSYSTEMCurrentControlSetControlSession ManagerMemory Management
把ClearPageFileAtShutdown的键值设置成1;

29.考虑使用IPSec
有关IPSec的详细信息可以参考:
http://www.microsoft.com/china/technet/security/ipsecloc.asp
IPSec简化版为TCP/IP筛;

30、迁移以下程序
迁移下列程序到一个单独的目录,限定该目录ACL为Admin(完全控制)
xcopy.exe wscript.exe cscript.exe net.exe ipconfig.exe ftp.exe arp.exe edlin.exe rcp.exe ping.exe route.exe at.exe posix.exe rsh.exe cmd.exe qbasic.exe syskey.exe secfixup.exe nslookup.exe runonce.exe tracert.exe nbtstat.exe regedt32.exe regedit.exe finger.exe telnet.exe netstat.exe rexec.exe atsvc.exe cacls.exe edit.com debug.exe command.com cmd.exe

31、关闭子系统
Windows2000内核支持五个子系统:OS/2、POSIX、Win32、MS-DOS VDM、Win16 VDM,大多数用户不需要OS/2和POSIX子系统,删除如下子键:
[HKEY_LOCAL_MACHINESoftwareMicrosoftOS/2 Subsystem for NT]
[HKEY_LOCAL_MACHINESystemCurrentControlSetControlSession ManagerEnvironmentOs2LibPath]
[HKEY_LOCAL_MACHINESystemCurrentControlSetContrlSession ManagerSubSystemsOptional]
[HKEY_LOCAL_MACHINESystemCurrentControlSetContrlSession ManagerSubSystemsPosix]
[HKEY_LOCAL_MACHINESystemCurrentControlSetContrlSession ManagerSubSystemsOs2]

再删除目录%SystemRoot%System32OS2

32、经常察看日志
* 安全日志文件 %systemroot%system32configSecEvent.EVT
* 系统日志文件 %systemroot%system32configSysEvent.EVT
* 应用程序日志文件 %systemroot%system32configAppEvent.EVT

定位、设置日志文件:
[HKEY_LOCAL_MACHINESystemCurrentControlSetServicesEventlog]
注意修改maxsize子键,如果超出大小,会报错并且不会再记录,默认大小512K。

下面给出脚本设置日志最大25MB,并且允许日志自行覆盖15天前的日志:
strComputer = “.”
Set objWMIService = GetObject(“winmgmts:” & “{impersonationLevel=impersonate,(Security)}!” & strComputer & “rootcimv2”) ‘获得VMI对象
Set colLogFiles = objWMIService.ExecQuery(“Select * from Win32_NTEventLogFile”) ‘获得LogFiles
‘-------------------------
For each objLogfile in colLogFiles
strLogFileName = objLogfile.Name
Set wmiSWbemObject = GetObject(“winmgmts:{impersonationLevel=Impersonate}!.rootcimv2:” & “Win32_NTEventlogFile.Name=’” & strLogFileName & “’”)
wmiSWbemObject.MaxFileSize = 2500000000
wmiSWbemObject.OverwriteOutdated = 15 ‘未找到
wmiSWbemObject.Put
Next
‘----------------------------

最简单的察看日志的方式是使用事件察看器;

最后有三点需要注意:
1、安全方面“管理永远大于技术,态度永远大于能力”;
2、安全与易用性永远是一对矛盾,需要在其间权衡利弊;
3、安全界有一个著名的理论,即所谓的“木桶原理”,请杜绝麻痹大意,不拘小节。

对于安全配置的检测,推举使用:
Microsoft 基准安全分析器 (MBSA)
并将 MBSA 添加到每周维护计划中,并按照计划中的任何安全建议操作。

附录:
默认共享目录路径和功能:

[C$ D$ E$]
每个分区的根目录;Win2000 Pro版中,只有Administrator和Backup Operators组成员才可连接,Win2000 Server版本Server Operatros组也可以连接到这些共享目录;

[ADMIN$ %SYSTEMROOT%]
远程管理用的共享目录;它的路径永远都指向Win2000的安装路径,比如 c:winnt;

[FAX$]
在Win2000 Server中,FAX$在fax客户端发传真的时候会到;

[IPC$ 空连接]
IPC$共享提供了登录到系统的能力;

[NetLogon]
这个共享在Windows 2000 服务器的Net Login 服务在处理登陆域请求时用到;

[PRINT$ %SYSTEMROOT%SYSTEM32SPOOLDRIVERS]
用户远程管理打印机;