第32讲-第17章-打造服务器整体安全性1

第32讲第17章打造服务器整体安全性<一>

本节重点介绍如何利用系统的自身功能配置服务器的安全。

现在有很多人都认为Windows的漏洞太多，系统安全性极差，其实各种系统都有很多漏洞，只不过使用Windows的人最多，不会做各种安全设置，所以才会让很多的人都认为Windows很不安全。其实Windows NT/2000/XP/2003的服务器如果真的做好了各项安全设置之后，其安全性绝对不会比Linux系统差。

◆利用Syskey实现系统双重加密

◆配置服务器不响应Ping命令

◆ Windows 2000/XP/2003账号管理

◆修改IIS、Apache的Banner实现操作系统版本的隐藏

◆指定服务器的开放端口

◆禁用服务器相关程序

◆删除服务器的默认共享

◆提高服务器抗拒绝服务攻击能力

17.1.1 利用Syskey实现系统双重加密

(1) 选择【开始】→【运行】命令，在【打开】下拉文本框中输入“syskey.exe”，然后单击【确定】按钮。

(2) 在【保证Windows NT账户数据库的安全】对话框中提示用户一旦启用加密就不能禁用，选择【启用加密】单选按钮，然后单击【更新】按钮。

(3) 接着系统打开【账户数据库项】对话框，其中有两个选项组：【密码启动】、【系统产生的密码】。【密码启动】是指在系统启动时需要输入一个密码方能启动；【系统产生的密码】是指在软盘上保存启动密码，当系统启动后需要插入该软盘方能启动。由于软盘不易保存，在这里推荐选择【密码启动】单选按钮，并输入一个启动密码。然后单击【确定】按钮。接着系统会弹出

一个【成功】对话框，提示账户数据库的开始密码已更改，单击【确定】按钮退出Syskey程序。

4) 当再次启动计算机时，系统就会弹出【Windows 2000启动密码】对话框，并要求用户在【密码】文本框中输入启动密码。

17.1.2 配置服务器不响应Ping命令

本节重点介绍如何通过配置安全策略来实现服务器不响应Ping命令。

大家可能都知道我们通常用Ping命令是来检查网络是否畅通的一个简单的方法，可是这个Ping也能给Windows系统带来严重的后果，那就是Ping攻击即是ICMP(Internet Control and Message Protocal，网际消息控制协议)攻击，原理是恶意攻击者在一个时段内连续使用Ping 命令向目标服务器发送大量的数据包使得计算机的CPU处理不及而使用资源被占尽，从而造成服务器崩溃，这种攻击手法也被称为拒绝服务攻击，它只是拒绝服务攻击中的一种。

◆攻击原理

◆拒绝Ping响应

◆测试

Ping命令通过发送ICMP报文，回响请求来验证与另一台TCP/IP计算机的 IP 级连接。回

响应答消息的接收情况将和往返过程的次数一起显示出来，也就是说，我们向目标计算机发送一个ICMP报文，目标计算机接到此报文后就会返回一个给我们。攻击者如果使用以下Ping命令格式，就会造成目标服务器拒绝服务：

Ping –t –l 60000 192.168.1.25

(1) 选择【开始】→【设置】→【控制面板】命令，双击【控制面板】窗口中的“管理工具”图标，在打开的“管理工具”窗口中双击【本地安全策略】图标。

(2) 在【本地安全设置】窗口中，右击【IP安全策略，在本地机器】，在弹出的快捷菜单中选择【创建IP安全策略】命令。

(3) 进入欢迎使用【IP安全策略向导】对话框，单击【下一步】按钮继续以下操作。

(4) 接下来系统要求为创建的IP安全策略命名一个【名称】并给出一个简短的【描述】。可以随便输入，该名称将显示在【本地安全设置】窗口中。在这里为此IP安全策略输入的名称是“ping”，然后单击【下一步】按钮继续。

(1) 选择【开始】→【设置】→【控制面板】命令，双击【控制面板】窗口中的“管理工具”图标，在打开的“管理工具”窗口中双击【本地安全策略】图标。

(2) 在【本地安全设置】窗口中，右击【IP安全策略，在本地机器】，在弹出的快捷菜单中选择【创建IP安全策略】命令。

(3) 进入欢迎使用【IP安全策略向导】对话框，单击【下一步】按钮继续以下操作。

(4) 接下来系统要求为创建的IP安全策略命名一个【名称】并给出一个简短的【描述】。可以随便输入，该名称将显示在【本地安全设置】窗口中。在这里为此IP安全策略输入的名称是“ping”，然后单击【下一步】按钮继续。

(5) 进入安全通信请求设置，选中【激活默认响应规则】复选框，然后单击【下一步】按钮继续。

(6) 设置默认响应规则身份验证方式，在这里可以选择此安全规则设置初始身份验证方法为【此字串用来保护密钥交换】，此项设置是用于基于多台计算机之间认证的。在这里为本地计算机创建IP策略，可随便在此文本框中输入几个字符，然后单击【下一步】按钮继续。

(7) 此时系统提示已成功地完成IP安全策略向导，要对刚创建的向导进行编辑，可选中【编辑属性】复选框，然后单击【完成】按钮。

(8) 接着系统会打开一个【ping属性】对话框，单击【添加】按钮

(9) 进入欢迎使用创建IP【安全规则向导】对话框，单击【下一步】按钮继续。

(10) 指定IP安全规则的隧道终结点，选择【此规则不指定隧道】单选按钮，然后单击【下一步】按钮继续。

(11) 选择网络类型。接着系统要求指定所创建的安全规则所针对的网络类型，共有3个选项，分别是【所有网络连接】、【局域网】、【远程访问】。在这里推荐选择【所有网络连接】单选按钮，单击【下一步】按钮继续。

(12) 接着进入【身份验证方法】设置，步骤(6)，选择【此字串用来保护密钥交换】单选按钮，然后在文本框中输入几个字符即可，单击【下一步】按钮继续。

(13) 进入【IP筛选器列表】设置，为创建的安全规则添加一个新的IP筛选器，单击【添加】按钮。

(14) 为要新创建的IP筛选器输入一个【名称】。在这里输入“ping-2”作为它的名称，然后单击【添加】按钮。