【正文】 程序并從 IIS中運行。（這個可能會導(dǎo)致程序開發(fā)人員和站點編輯的苦惱） 分區(qū)和邏輯盤的分配 安裝殺毒軟件 殺毒軟件不僅能殺掉一些著名的病毒，還能 查殺大量木馬和后門程序，因此一定要運行殺毒 程序并把它設(shè)為開機自動運行，并注意經(jīng)常升級 病毒庫。 ——殺毒升級及時 安裝防火墻 —— 有關(guān)防火墻請參見介紹： ——設(shè)阻斷點 ?基本概念 2個條件：策略執(zhí)行 、 自身免疫 2個默認安全策略 3個術(shù)語 ? 防火墻的分類 分組 （ 包 ） 過濾 、 應(yīng)用代理 、 狀態(tài)檢測 ? 四種防火墻體系結(jié)構(gòu)模型 包過濾 、 屏蔽主機 、 雙 /多宿主 、 屏蔽子網(wǎng) ? 防火墻系統(tǒng)的實現(xiàn) 策略 、 步驟 、 實現(xiàn) 、 工具 安裝系統(tǒng)補丁 到微軟網(wǎng)站下載最新的補丁程序： 經(jīng) 常訪問微軟和一些安全站點 ， 下載最新的 Service Pack和漏洞補丁 ， 是保障服務(wù)器 長久安全的唯一方法 。 ——系統(tǒng)補漏 安裝順序的選擇 首先 ， 何時接入網(wǎng)絡(luò)： Win2022在安裝時的 ADMIN$的共享的漏洞； 同時 ， 只要安裝一完成 ， 各種服務(wù)就會自動運行 ， 而這時的服務(wù)器是滿身漏洞 ， 非常容易進入的 ， 因此 ， 在完全安裝并配置好 Win2022 SERVER之 前 ， 一定不要把主機接入網(wǎng)絡(luò) 。 ——順序合理 其次 ， 補丁的安裝：補丁的安裝應(yīng)該 在所有應(yīng)用程序安裝完之后 。 因為補丁程序往往要替換 /修改某些系統(tǒng)文件 ，如果先安裝補丁再安裝應(yīng)用程序有可能導(dǎo)致補丁不能起到應(yīng)有的效果 ， 例如：IIS的 HotFix就要求每次更改 IIS的配置都需要安裝 。 注冊表的構(gòu)造 系統(tǒng)對注冊表預(yù)定了 六個主管鍵字 ： HKEY_CLASSES_ROOT：文件擴展名與應(yīng)用的關(guān)聯(lián)及 OLE信息 HKEY_USERS：用戶根據(jù)個人愛好設(shè)置的信息。 HKEY_CURRENT_USER：當前登錄用戶控制面板選項和桌面等的設(shè)置，以及映射的網(wǎng)絡(luò)驅(qū)動器 HKEY_LOCAL_MACHINE：計算機硬件與應(yīng)用程序信息 HKEY_DYN_DATA：即插即用和系統(tǒng)性能的動態(tài)信息 HKEY_CURRENT_CONFIG：計算機硬件配置信息 注冊表的雙重入口問題 ? 在注冊表中經(jīng)常出現(xiàn)雙重入口（分支），例如，有一些在HKEY_CLASSES_ROOT中的鍵同樣會在 HKEY_LOCAL_MACHINE中出現(xiàn)。 ? 如果這些相同的分支出現(xiàn)在兩個不同的根鍵中，那么，哪個根鍵有效呢 ? 注冊表的子鍵都有嚴格的組織。某些相同的信息會出現(xiàn)在超過一個的子鍵中，如果您只修改了一個子鍵，那么該修改是否作用于系統(tǒng)依賴于該子鍵的 等級 。一般來說， 系統(tǒng)信息優(yōu)先于用戶等級 。例如，一個設(shè)置項同時出現(xiàn)在HKEY_LOCAL_MACHINE和 HKEY_USER子鍵中，通常由HKEY_LOCAL_MACHINE中的數(shù)據(jù)起作用。要注意的是，這種情況只發(fā)生在您直接編輯注冊表時。如果您 從“控制面板”中更改系統(tǒng)配置 ，則所有出現(xiàn)該設(shè)置項的地方均會發(fā)生相應(yīng)的改變。 注冊表的修改 ? 備份注冊表 不少安裝程序 (或你自己直接處理 )都可能搞亂你系統(tǒng)的注冊表，從而引發(fā)不測，所以我們應(yīng)該 定期地備份 和 文件 。 但目前的資源管理器 (或者是 DOS)都不能直接復(fù)制這兩個文件 . 注冊表安全實例 ? 讓用戶只使用指定的程序 為防止用戶非法運行或者修改程序，導(dǎo)致整個計算機系統(tǒng)處于混亂狀態(tài)，我們可以通過修改注冊表來達到讓用戶只能使用指定的程序的目的，從而保證系統(tǒng)的安全。設(shè)置時，可以在注冊表編輯器窗口中依次打開HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer鍵值，然后在右邊的窗口中新建一個 DWORD串值，名字取為“ RestrictRun”，把它的值設(shè)為“ 1”。然后在 RestrictRun的主鍵下分別添加名為“ 1”、“ 2”、“ 3”等字符串值，然后將“ 1”，“ 2”、“ 3”等字符串的值設(shè)置為我們允許用戶使用的程序名。例如將“ 1”、“ 2”、“ 3”分別設(shè)置為 、 、 ，則用戶只能使用 word、記事本、寫字板了，這樣我們的系統(tǒng)將會做到最大的保障，也可以限制用戶運行不必要的軟件了。 注冊表安全實例 ? 預(yù)防 WinNuke的破壞 現(xiàn)在有一個叫 WinNuke的程序，能對計算機中的Windows系統(tǒng)有破壞作用，為防止該程序破壞 Windows操作系統(tǒng)，導(dǎo)致整個計算機系統(tǒng)癱瘓，所以我們有必要預(yù)防WinNuke的破壞性。我們可以在注冊表中對其進行設(shè)置，以保證系統(tǒng)的安全。設(shè)置時，在編輯器操作窗口中用鼠標依次單擊鍵值HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\MSTCP，然后在右邊的窗口中新建或修改字符串“ BSDUrgent”，并把其值設(shè)置為 0，這樣就可以預(yù)防WinNuke對系統(tǒng)的破壞了。 注冊表安全實例 ? 隱藏一個服務(wù)器 打開注冊表編輯器，并在編輯器對話框中用鼠標依次單擊如下分支： HKEY_LOCAL_ MACHINE \ SYSTEM \ CurrentControlSet \Services \ LanmanServer \ Parameters鍵值。 用鼠標單擊該鍵值下面的 Hidden數(shù)值名稱，如果未發(fā)現(xiàn)此名稱，那么添加一個，其數(shù)據(jù)類型為 REG_DWORD。 接著用鼠標雙擊此項，在彈出的“ DWORD編輯器”對話框中輸入 1即可。 最后單擊“確定”按鈕，并退出注冊表編輯窗口，重新啟動計算機就可以在局域網(wǎng)中隱藏一個服務(wù)器了。 注冊表安全實例 ? 不允許用戶撥號訪問 如果用戶的計算機上面有重要的信息，有可能不允許其他人隨便訪問。那么如何禁止其他人撥入訪問你的計算機，減少安全隱患呢，具體步驟為： 打開注冊表編輯器，并在編輯器中依次展開以下鍵值： [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Network]； 在編輯器右邊的列表中用鼠標選擇“ NoDialIn”鍵值，如果沒有該鍵值，必須新建一個 DWORD值，名稱設(shè)置為“ NoDialIn”； 接著用鼠標雙擊“ NoDialIn”鍵值，編輯器就會彈出一個名為“字符串編輯器”的對話框，在該對話框的文本欄中輸入數(shù)值“ 1”，其中 0代表禁止撥入訪問功能， 1代表允許撥入訪問功能； 退出后重新登錄網(wǎng)絡(luò)，上述設(shè)置就會起作用。 注冊表安全實例 ? 限制使用系統(tǒng)的某些特性 運行注冊表編輯器，進入HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System鍵值； 如果不存在該鍵值，就新建一個； 然后將該鍵值下方的 DisableTaskManager的值設(shè)為 1，表示將阻止用戶運行任務(wù)管理器。 接著將 NoDispAppearancePage設(shè)為 1，表示將不允許用戶在控制面板中改變顯示模式； 下面再將 NoDispBackgroundPage設(shè)為 1，表示將不允許用戶改變桌面背景和墻紙。 F ? Windows 系列操作系統(tǒng)的安全性 – 系統(tǒng)的安裝 – 系統(tǒng)常見安全漏洞及其解決方案 – 系統(tǒng)注冊表安全配置實例 ? Windows 2022 系統(tǒng)安全配置 – 操作系統(tǒng)基本安全配置檢查項（ 12項） – 操作系統(tǒng)安全配置小結(jié) ? Windows 2022 系統(tǒng)安全配置工具 ? DDOS的防御 ? IIS 安全配置 物理安全 ? 服務(wù)器應(yīng)該安放在安裝了監(jiān)視器的 隔離 房間內(nèi)，并且 監(jiān)視 器要保留 15天以上的攝像記錄。 ? 另外，機箱，鍵盤，電腦桌抽屜要 上鎖 ，以確保旁人即使進入房間也無法使用電腦，鑰匙要放在安全的地方。 停止 Guest帳號 ? 在計算機管理的用戶里面 把 Guest帳號停用 ，任何時候都不允許 Guest帳號登陸系統(tǒng)。 ? 為了保險起見，最好給 Guest 加一個復(fù)雜的密碼，可以打開記事本，在里面輸入一串包含特殊字符 ,數(shù)字，字母的長字符串。 ? 用它作為 Guest帳號的密碼。并且 修改 Guest帳號的屬性，設(shè)置拒絕遠程訪問 ，如圖所示。 3 限制用戶數(shù)量 ? 去掉所有的測試帳戶、共享帳號和普通部門帳號等等。用戶組策略設(shè)置相應(yīng)權(quán)限，并且經(jīng)常檢查系統(tǒng)的帳戶，刪除已經(jīng)不使用的帳戶。 ? 帳戶很多是黑客們?nèi)肭窒到y(tǒng)的突破口，系統(tǒng)的帳戶越多，黑客們得到合法用戶的權(quán)限可能性一般也就越大。 ? 對于國內(nèi)的 Windows NT/2022主機，如果系統(tǒng)帳戶超過 10個，一般能找出一兩個弱口令帳戶，所以帳戶數(shù)量不要大于 10個。 我曾經(jīng)發(fā)現(xiàn)一臺主機 197個帳戶中竟然有 180個帳號都是弱口令帳戶。 4 多個管理員帳號 ? 雖然這點看上去和上面有些矛盾，但事實上是服從上面規(guī)則的。創(chuàng)建一個一般用戶權(quán)限帳號用來處理電子郵件以及處理一些日常事物，另一個擁有 Administrator權(quán)限的帳戶只在需要的時候使用。 ? 因為只要登錄系統(tǒng)以后，密碼就存儲再 WinLogon進程中，當有其他用戶入侵計算機的時候就可以得到登錄用戶的密碼， 盡量減少 Administrator登錄的次數(shù)和時間 。 可以讓管理員使用 “ RunAS” 命令來執(zhí)行一些需要特權(quán)才能作的一些工作，以方便管理。 5 管理員帳號改名 ? Windows 2022中的 Administrator帳號是不能被停用的，這意味著別人可以一遍又一邊的嘗試這個帳戶的密碼。把 Administrator帳戶改名可以有效的防止這一點。 ? 不要使用 Admin之類的名字，改了等于沒改，盡量把它偽裝成普通用戶，比如改成： guestone。具體操作的時候只要選中帳戶名改名就可以了，如圖所示。 6 陷阱帳號 ? 所謂的陷阱帳號是創(chuàng)建一個名為“ Administrator”的本地帳戶，把它的權(quán)限設(shè)置成最低，什么事也干不了的那種，并且加上一個超過 10位的超級復(fù)雜密碼。 ? 這樣可以讓那些 Scripts 忙上一段時間了，并且可以借此發(fā)現(xiàn)它們的入侵企圖。或者在它的 login scripts上面做點手腳。 可以將該用戶隸屬的組修改成 Guests組，如圖所示。 7 更改默認權(quán)限 ? 共享文件的權(quán)限從“ Everyone”組改成“授權(quán)用戶”?！?Everyone”在Windows 2022中意味著任何有權(quán)進入你的網(wǎng)絡(luò)的用戶都能夠獲得這些共享資料。 ? 任何時候不要把共享文件的用戶設(shè)置成“ Everyone”組。包括打印共享，默認的屬性就是“ Everyone”組的，一定不要忘了改。設(shè)置某文件夾共享默認設(shè)置如圖所示。 8安全密碼 ? 好的密碼對于一個網(wǎng)絡(luò)是非常重要的，但是也是最容易被忽略的。 ? 一些網(wǎng)絡(luò)管理員創(chuàng)建帳號的時候往往用公司名，計算機名，或者一些別的一猜就到的字符做用戶名，然后又把這些帳戶的密碼設(shè)置得比較簡單，比如：“ wele”、“ iloveyou”、“ letmein”或者和用戶名相同的密碼等。這樣的帳戶應(yīng)該要求用戶首此登陸的時候更改成復(fù)雜的密碼，還要注意經(jīng)常更改密碼。 ? 這里給好密碼下了個定義：安全期內(nèi)無法破解出來的密碼就是好密碼，也就是說，如果得到了密碼文檔，必須花 43天或者更長的時間才能破解出來，密碼策略是 42天必須改密碼。 9 設(shè)置屏幕保護密碼 ? 設(shè)置屏幕保護密碼是防止內(nèi)部人員破壞服務(wù)器的一個屏障。注意不要使用 OpenGL和一些復(fù)雜的屏幕保護程序，浪費系統(tǒng)資源，黑屏就可以了。 ? 還有一點，所有系統(tǒng)用戶所使用的機器也最好加上屏幕保護密碼。 ? 將屏幕保護的選項“密碼保護”選中就可以了，并將等待時間設(shè)置為最短時間“ 1分鐘”，如圖所示。 10 使用 NTFS 分區(qū) ? 把服務(wù)器的所有分區(qū)都改成 NTFS格式。NTFS文件系統(tǒng)要比 FAT、 FAT32的文件系統(tǒng)安全得多。 11 運行防毒軟件 ? Windows 2022/NT服務(wù)器一般都沒有安裝防毒軟件的，一些好的殺毒軟件不僅能殺掉一些著名的病毒，還能查殺大量木馬和后門程序。 ? 設(shè)置了放毒軟件，“黑客”們使用的那些有名的木馬就毫無用武之地了，并且要經(jīng)常升級病毒庫。 12 保障備份盤的安全 ? 一旦系統(tǒng)資料被黑客破壞，備份盤將是恢復(fù)資料的唯一途徑。備份完資料后，把備份盤防在安全的地方。 ? 不能把資料備份在同一臺服務(wù)器上，這樣的話還不如不要備份。 F