【正文】 式就是隱藏上次登錄用戶名。 12. 關(guān)閉 IP轉(zhuǎn)發(fā)功能 控制面板 網(wǎng)絡(luò) 協(xié)議 TCP/IP協(xié)議 屬性，使這個選框為空。（ NT） 缺省情況下， NT的 IP轉(zhuǎn)發(fā)功能是禁止的，但注意不要啟用，否則它會具有路由作用，被黑客利用來對其他服務(wù)器進(jìn)行攻擊。 16. 安裝最新的 MDAC 下載的站點為： 167。 IIS設(shè)置 在 Windows NT中是 ，對于 IIS的設(shè)置對網(wǎng)絡(luò)管理員提如下建議： 1. 只安裝必要服務(wù) IIS中的眾多安全隱患是由一些其他的功能引起的，如果僅做一個 WWW站點，就需要安裝必須的服務(wù)，如 WWW服務(wù)、 FTP服務(wù)，這樣減少入侵者利用這些漏洞攻擊的機(jī)會。 2. 停止默認(rèn)站點 停止默認(rèn)的 FTP站點、默認(rèn)的 Web站點、管理 Web站點，在新的目錄下新建 WWW服務(wù)與 FTP服務(wù)，默認(rèn)的站點與管理 Web站點含有大量有安全漏洞的文件，極易給黑客造成攻擊機(jī)會。具體漏洞見所附安全文檔。因此，必須禁止。同時，應(yīng)該在新的目錄下建立服務(wù)，這個目錄千萬不要放在 IPub\root下，最好放在與它不同的分區(qū)下。 6. 刪除不必要的 IIS擴(kuò)展名映射 去掉 .IDC、 .HTR、 .STM、 .IDA、 .HTW應(yīng)用程序映射，如果 .shtml、.shtm等無用，也應(yīng)去掉。這些應(yīng)用程序映射，具有大量安全隱患。具體的操作方法是，在相關(guān)的 Web站點右擊鼠標(biāo)，選擇“屬性”然后選擇“主目錄” → “配置” → “應(yīng)用程序映射”。 4. 安裝新的 ServicePack后， IIS的應(yīng)用程序映射應(yīng)重新設(shè)置 安裝新的 ServicePack后，某些應(yīng)用程序映射又會出現(xiàn)，導(dǎo)致出現(xiàn)安全漏洞。這是管理員較易忽視的一點。 5. 設(shè)置 IP拒絕訪問列表 對于 WWW服務(wù)，可以拒絕一些對站點有攻擊嫌疑的地址，尤其對于FTP服務(wù)，如果只是自己公司上傳文件，就可以只允許本公司的 IP訪問改 FTP服務(wù)，這樣，安全性大為提高。 IIS可以設(shè)置允許或拒絕從特定 IP發(fā)來的服務(wù)請求，有選擇地允許特定節(jié)點的用戶訪問?？梢酝ㄟ^設(shè)置來阻止指定 IP地址外的網(wǎng)絡(luò)用戶訪問你的 Web服務(wù)器。 6. 禁止對 FTP服務(wù)的匿名訪問 如果允許對 FTP服務(wù)做匿名訪問，該匿名帳戶就有可能被利用來獲取更多的信息，以致對系統(tǒng)造成危害。 7. 建議使用 W6C擴(kuò)充日志文件格式 每天記錄客戶 IP地址，用戶名，服務(wù)器端口，方法， URI字根， HTTP狀態(tài)，用戶代理，而且每天均要審查日志。（最好不要使用缺省的目錄，建議更換一個記日志的路徑，同時設(shè)置日志的訪問權(quán)限，只允許管理員和 system為 FullCoNTrol），作為一個重要措施，既可以發(fā)現(xiàn)攻擊的跡象，采取預(yù)防措施，也可以作為受攻擊的一個證據(jù)。 8. 慎重設(shè)置 WEB站點目錄的訪問權(quán)限 一般情況下，不要給予目錄以寫入和允許目錄瀏覽權(quán)限。只給予 .ASP文件目錄以腳本的權(quán)限，而不要給與執(zhí)行權(quán)限。目錄訪問權(quán)限必須慎重設(shè)置，否則會被入侵者利用。 9. 解決 IIS4以及之前的版本受到 運行 在HKEY_LOCAL_MACHINE\SYSTEM\CurreNTCoNTrolSet\Services\w6svc\parameters 增加一個值： Value Name: MaxClieNTRequestBuffer Data Type: REG_DWORD 設(shè)置為十進(jìn)制 具體數(shù)值設(shè)置為你想設(shè)定的 IIS允許接受的 URL最大長度。 CNNS的設(shè)置為 256。 10. 端口安全性的實現(xiàn) 對于 IIS服務(wù)，無論是 WWW站點、 Fpt站點，還是 NNpt、 SMpt服務(wù)等都有各自偵聽和接收瀏覽器請求的 TCP端口號（ Post），一般常用的端口號為： WWW是 80， Fpt是 21， SMpt是 25，你可以通過修改端口號來提高IIS服務(wù)器的安全性。如果你修改了端口設(shè)置，只有知道端口號的用戶才可以訪問，不過用戶在訪問時需要指定新端口號。 11. IP轉(zhuǎn)發(fā)的安全性 IIS服務(wù)可提供 IP數(shù)據(jù)包的轉(zhuǎn)發(fā)功能，此時，充當(dāng)路由器角色的 IIS服務(wù)器將會把從 INTer接口收到的 IP數(shù)據(jù)包轉(zhuǎn)發(fā)到內(nèi)部網(wǎng)中，禁用這一功能將提高 IIS服務(wù)的安全性。設(shè)置方法如下： 選擇“開始”選單 → “程序” → “ MicrosoftINTerServer(公用)”→“INTer 服務(wù)管理器” → 啟動 MicrosoftINTerServiceManager→ 雙擊“ WWW”啟動 WWW服務(wù)屬性頁 → 選擇“協(xié)議”選項卡 → 在 TCP/IP屬性中去掉“路由選擇”。 12. SSL安全機(jī)制 SSL（加密套接字協(xié)議層）位于 HTpt層和 TCP層之間，建立用戶與服務(wù)器之間的加密通信，確保信息傳遞的安全性。 SSL是工作在公共密鑰和私人密鑰基礎(chǔ)上的。任何用戶都可以獲得公共密鑰來加密數(shù)據(jù)，但解密數(shù)據(jù)必須要通過相應(yīng)的私人密鑰。 167。 安全工具 Netstat實用命令 Netstat命令是一個端口掃描程序，它能掃描目標(biāo)機(jī)或網(wǎng)絡(luò)的端口信息，如果端口掃描程序報告端口 169在目標(biāo)機(jī)或網(wǎng)絡(luò)上是開放的，那么使用NBTSTAT命令，可以查詢網(wǎng)絡(luò)機(jī)器上的 NetBIOS信息的。同時 NBTSTAT在進(jìn)行安全檢查時也經(jīng)常用到。下面我們講一下這個命令。 1. Nbtstat命令格式 Nbtstat[aRemoteName][AIP_address][c][n][R][r][S][s][iNTerval] 167。 view 如果有了空 IPC會話，網(wǎng)絡(luò)入侵者也能獲得網(wǎng)絡(luò)共享列表，否則就無法得到。為此，網(wǎng)絡(luò)入侵者希望了解到在你的機(jī)器上有哪些可用的網(wǎng)絡(luò)共享。為了收集到這些信息，要采用下列這個標(biāo)準(zhǔn)的 view命令： c:\view\\[遠(yuǎn)程主機(jī)的 IP地址 ] 根據(jù)目標(biāo)機(jī)的安全約束規(guī)則，可以拒絕或不拒絕這個列表。 167。 use UsrStat 這個命令行實用程序顯示特定域中各個用戶的用戶名、全名以及最后一次登錄的日期和時間。下面是根據(jù)遠(yuǎn)程網(wǎng)絡(luò)通過一個空 IPC會話采用這個工具進(jìn)行的實際剪切和粘貼： C:\NTRESKITusrstatdomain4 Usersat\\STUDENT4 Administratorlogon:TueNov1708:15:251998 Guestlogon:MonNov1612:54:041998 IUSR_STUDENT4INTerGuestAccouNTlogon:MonNov1615:19:2619 98 IWAM_STUDENT4WebApplicationManageraccouNTlogon:Never laurellogon:Never meganlogon:Never 我們現(xiàn)在說明一下。在真正的攻擊發(fā)生前，把一個映射放到通過PRE/DOM標(biāo)記映射 StudeNT4機(jī)器及其域活動狀態(tài)的 lmhosts文件中（下面詳述）。然后把表目預(yù)加載到 NetBIOS高速緩存器中，同時建立一個空 IPC會話。這個命令是根據(jù)域名發(fā)出的。最后，該工具會向主域控制器查詢這個域。 167。 use UsrStat 這個命令行實用程序顯示特定域中各個用戶的用戶名、全名以及最后一次登錄的日期和時間。下面是根據(jù)遠(yuǎn)程網(wǎng)絡(luò)通過一個空 IPC會話采用這個工具進(jìn)行的實際剪切和粘貼： C:\NTRESKITusrstatdomain4 Usersat\\STUDENT4 Administratorlogon:TueNov1708:15:251998 Guestlogon:MonNov1612:54:041998 IUSR_STUDENT4INTerGuestAccouNTlogon:MonNov1615:19:2619 98 IWAM_STUDENT4WebApplicationManageraccouNTlogon:Never laurellogon:Never meganlogon:Never 我們現(xiàn)在說明一下。在真正的攻擊發(fā)生前，把一個映射放到通過PRE/DOM標(biāo)記映射 StudeNT4機(jī)器及其域活動狀態(tài)的 lmhosts文件中（下面詳述）。然后把表目預(yù)加載到 NetBIOS高速緩存器中，同時建立一個空 IPC會話。這個命令是根據(jù)域名發(fā)出的。最后，該工具會向主域控制器查詢這個域。 第 7章 計算機(jī)病毒 計算機(jī)病毒概述 常見的幾種病毒 計算機(jī)病毒的檢測 計算機(jī)病毒的防治策略 病毒的檢測方法 常見的殺毒軟件 在二十一世紀(jì)計算機(jī)網(wǎng)絡(luò)技術(shù)飛速，人們正在享受這種技術(shù)帶來的種種便利，然而也有人在編造病毒攻擊計算機(jī)。俗話說，道高一尺，魔高一丈，防毒軟件不斷升級，而病毒也在不斷增加和升級。如今病毒的總數(shù)以每月上百個的速度發(fā)展。如蠕蟲病毒、 CIH病毒、 BO黑客程序、宏病毒、求職信病毒以及以電子郵件傳染的郵件病毒，都借助于網(wǎng)絡(luò) ——這個世界性的傳播途徑而具備了更強(qiáng)的攻擊力。技術(shù)的應(yīng)用與發(fā)展為人們帶來了便利，病毒的出現(xiàn)與衍變給計算機(jī)用戶都造成了不同程度的損失。在本章中，將詳細(xì)探討一下計算機(jī)病毒的基本概念、種類、破壞力以及常見病毒的分析與預(yù)防及常用殺毒軟件的使用。 167。 計算機(jī)病毒概述 談“毒”色變并不為過，經(jīng)常使用計算機(jī)的人大部分都受到過病毒的“恩澤”，小到數(shù)據(jù)莫名其妙的丟失，大到整個計算機(jī)系統(tǒng)癱瘓，其破壞能力使人震驚。在本小節(jié)中我們將對計算機(jī)病毒作一下全面概括性的敘述。使用讀者有全面而詳實的理解。 167。 計算機(jī)病毒定義 計算機(jī)系統(tǒng)實質(zhì)上就是一個程序控制裝置，廣義的說病毒就是在計算機(jī)系統(tǒng)運行過程中能把自身準(zhǔn)確復(fù)制或有修改地復(fù)制到其它程序體內(nèi)的程序。而準(zhǔn)確的計算機(jī)病毒定義為：“指編制或者在計算機(jī)程序中插入的破壞計算機(jī)功能或者破壞數(shù)據(jù)，影響計算機(jī)使用并且能夠自我復(fù)制的一組計算機(jī)指令或者程序代碼”。所以計算機(jī)病毒就是人為制造的程序，它的運行是非法入侵。 在 《 中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例 》 中明確指出：計算機(jī)病毒是指編制或者在計算機(jī)程序中插入的破壞計算機(jī)功能或者毀壞數(shù)據(jù)，影響計算機(jī)使用，并能自我復(fù)制的一組計算機(jī)指令或者程序代碼。 167。 病毒的產(chǎn)生 病毒是人為編制的程序，一部分是一些計算機(jī)專業(yè)人員為了證明自身程序設(shè)計方面的天份而編寫的。如：美國康奈爾大學(xué)的計算機(jī)科學(xué)系研究生，23歲的莫里斯（ Morris）將其編寫的蠕蟲程序輸入計算機(jī)網(wǎng)絡(luò)。在幾小時內(nèi)導(dǎo)致因特網(wǎng)堵塞。有的是為了達(dá)到私人目標(biāo)或為了政治目的而特意編制的程序。歸納起來，一般為如下幾種原因。 計算機(jī)專業(yè)人士，為了顯示自己的編程能力，而編寫的特殊的程序。如CIH病毒等。 為了滿足自己的報復(fù)心理，當(dāng)一些編程高手受到不公正待遇時，他可能會編寫破壞性程序，而滿足自已的私念。 用于對軟件的產(chǎn)權(quán)保護(hù)。 用于特殊目的。為了達(dá)到軍事目的或某組織的特殊目的，而編寫的破壞性程序。 167。 計算機(jī)病毒的特征 計算機(jī)病毒的種類很多，但通過病毒代碼的分析比較可知，它們的結(jié)構(gòu)是相似的，都包括三個部分：引導(dǎo)部分、傳染部分和表現(xiàn)部分。 引導(dǎo)部分是將病毒加載到內(nèi)存，作好傳染的準(zhǔn)備；傳染部分將病毒代碼復(fù)制到目標(biāo)；表現(xiàn)部分根據(jù)特定的條件觸發(fā)病毒。概括講計算機(jī)病毒所具有的特征為如下幾點。 傳染性 計算機(jī)病毒有很強(qiáng)的再生機(jī)制，病毒程序一旦加到運行的程序體上，就能感染其它程序，并且迅速擴(kuò)散到整個計算機(jī)系統(tǒng)，當(dāng)與網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)交換時，也將病毒在網(wǎng)上傳播。 寄生性 病毒依附在其它程序體內(nèi)，當(dāng)該程序運行時病毒就進(jìn)行自我復(fù)制。 潛伏性 計算機(jī)病毒入侵系統(tǒng)后，一般不立即發(fā)作，而具有一定的潛伏期。當(dāng)時機(jī)成熟才發(fā)作。 隱蔽性 計算機(jī)病毒的傳播都沒有外部表現(xiàn)，它是隱蔽在正常程序中，另外病毒都是具有很高編程技巧的短小精悍的程序，如不經(jīng)過代碼分析，很難識別正常程序和病毒程序之間的區(qū)別，不到病毒發(fā)作，很難發(fā)現(xiàn)。 破壞性 病毒的破壞能力是不一樣的，有的占用系統(tǒng)資源、有的造成計算機(jī)硬件損壞、有的修改或刪除文件及數(shù)據(jù)等。 167。 病毒的分類 1. 按病毒寄生方式分類 根據(jù)病毒寄生方式分類，病毒可分為網(wǎng)絡(luò)型病毒、可執(zhí)行文件型病毒、引導(dǎo)型病毒以及復(fù)合型病毒。 網(wǎng)絡(luò)型病毒 通過計算機(jī)網(wǎng)絡(luò)傳播、感染網(wǎng)絡(luò)中的可執(zhí)行文件； 可執(zhí)行文件型病毒 可執(zhí)行文件病毒主要是感染可執(zhí)行文件。被感染的可執(zhí)行文件在執(zhí)行的同時，病毒被加載并向他正?？蓤?zhí)行文件傳染。 引導(dǎo)型病毒 引導(dǎo)型病毒主要感染軟盤、硬盤的引導(dǎo)扇區(qū)或主引導(dǎo)扇區(qū)，在用戶對軟盤硬盤進(jìn)行讀寫操作時進(jìn)行感染。 復(fù)合型病毒 混合型病毒不僅傳染可執(zhí)行文件而且還傳染硬盤引導(dǎo)區(qū)，被這種病毒傳染的系統(tǒng)用格式化命令都不能消除此類病毒。 2. 按病毒的破壞后果分類 根據(jù)病毒破壞的能力可劃分為以下幾種： 良性病毒 干擾用戶工作，但對計算機(jī)系統(tǒng)無損。 惡性病毒 這類病毒刪除程序、破壞數(shù)據(jù)、清除系統(tǒng)內(nèi)存區(qū)和操作系統(tǒng)中重要的信息。 3. 按病毒的發(fā)作條