【正文】 定隧道——下一步——所有網(wǎng)絡(luò)連接——下一步——在IP篩選器列表中選擇新建的Web篩選器——下一步——在篩選器操作中選擇許可——下一步——完成——在IP篩選器列表中選擇新建的阻止篩選器——下一步——在篩選器操作中選擇阻止——下一步——完成——確定 在IP安全策略的右邊窗口中右擊新建的數(shù)據(jù)包篩選器，點擊指派，不需要重啟，IPSec就可生效. 十七、如何配置一臺堅固安全的win2003服務(wù)器1)確定你要用它來干什么，需要開什么服務(wù)，什么是不必要的，沒用地就別裝(像Index什么的)，不必要的服務(wù)全都可以關(guān)掉。 在控制面版=管理=工具中，自己看著辦，如下服務(wù)是一定要禁止的： Remote Registry Service RunAs Service Task Scheduler Telnet Windows Time 其他不必要的服務(wù)可以設(shè)為手動方式。 SNMP Service和SNMP Trap Service最好也關(guān)掉，要用的話，把管理公共字改掉。 2)打補丁。 確定你打上了Win2k SP2。 3)IIS配置。 1，在IIS管理器中，去處所有不必要的擴展關(guān)聯(lián)(基本上除了ASP/ASA等幾個必要的和CGI之類的外，其他都可以去掉) 有可能的話，可以安裝一個SecureIIS，還是有一定效果的。 2，校驗ftp權(quán)限，差不多就自己看著辦吧，不要被人家tag就可以了~_* 4)MSSQL。 首先，記得一定要加一個難記得密碼，不然就什么都完了。 然后記得升級SQL SP2和SQL 2k SP1. 5)Terminal Server。 打了SP2基本就沒太大問題，只要你的系統(tǒng)不是沒密碼.......... 高級部分： 1)類防火墻限制。 這需要我們打開MS的IPSEC服務(wù)，然后選擇 網(wǎng)絡(luò)設(shè)置=網(wǎng)絡(luò)界面 屬性= TCP/IP =高級 =選項 簡單一點的話，就用TCP/IP篩選，確定指開放那些端口，比如80，1433等等(可惜開放ftp服務(wù)的話，經(jīng)常會亂開端口的，難以確定)； 要求高級的話，自己定義一個IPSEC策略，可以精確的過濾例如某種ICMP類型等等...可以做到水泄不通哦，不要到時候你自己也進不去了就好~_* 2)NetBIOS設(shè)置。 歷史以來，netbios是僅次于IIS的winnt安全問題最多的服務(wù)，簡直就是后門打開。 至少做這樣一條設(shè)置：注冊表編輯 Local_Machine＼System＼CurrentControlSet＼Control＼LSARestrictAnonymous = 1 可以禁止IPC$空用戶連接，防止信息泄漏和其他更嚴重的安全問題。 3)Terminal Server加強。 注冊表編輯：HKEY_LOCAL_ MACHINESOFTWAREMicrosoft＼ WindowsNT＼CurrentVersion＼Winlogon＼Don‘t Display Last User Name=1 可以讓別人在ts中看不到你上次登錄的用戶名，有安全了一點點(記住，別人獲取你的信息越少，你就越安全) 4)系統(tǒng)文件目錄權(quán)限檢查。 基本的策略，可以在文件屬性中修改，避免有everyone完全控制的目錄，大部分文件最好禁止everyone寫，甚至讀。 對于系統(tǒng)的重要文件和目錄，例如system32等等，可以用Win2k Resouece Kit中的一個工具xacls詳細的加強訪問控制。 5)預(yù)防信息監(jiān)測和DOS 攻擊必要的話，打開RSAS或者自己添加一個IPSEC安全策略，過濾掉ICMP Echo和Redrict類型，這樣別人ping你就不會有反映，而如果ping不通的話，可能別人就此罷手了~_* 而且缺省配置下，很多的漏洞掃描器ping不通就不掃了，西西。(當然啦，如果你有更強的防火墻，哪就更好) 一定程度的DoS預(yù)防： 在注冊表HKLM＼SYSTEM＼CurrentControlSet＼Services＼Tcpip＼Parameters中更改以下值可以幫助你防御一定強度的DoS攻擊 SynAttackProtect REG_DWORD 2 EnablePMTUDiscovery REG_DWORD 0 NoNameReleaseOnDemand REG_DWORD 1 EnableDeadGWDetect REG_DWORD 0 KeepAliveTime REG_DWORD 300,000 PerformRouterDiscovery REG_DWORD 0 EnableICMPRedirects REG_DWORD 0 十八、Win 2003中提高FSO的安全性ASP提供了強大的文件系統(tǒng)訪問能力，可以對服務(wù)器硬盤上的任何文件進行操作，這給學校網(wǎng)站的安全帶來巨大的威脅　　ASP提供了強大的文件系統(tǒng)訪問能力，可以對服務(wù)器硬盤上的任何文件進行讀、寫、復(fù)制、刪除、改名等操作，這給學校網(wǎng)站的安全帶來巨大的威脅?，F(xiàn)在很多校園主機都遭受過FSO木馬的侵擾。但是禁用FSO組件后，引起的后果就是所有利用這個組件的ASP程序?qū)o法運行，無法滿足客戶的需求。如何既允許FileSystemObject組件，又不影響服務(wù)器的安全性呢（即：不同虛擬主機用戶之間不能使用該組件讀寫別人的文件）？以下是筆者多年來摸索出來的經(jīng)驗： 　　第一步是有別于Windows 2000設(shè)置的關(guān)鍵：右擊C盤，點擊“共享與安全”，在出現(xiàn)在對話框中選擇“安全”選項卡，將Everyone、Users組刪除，刪除后如果你的網(wǎng)站連ASP程序都不能運行，請?zhí)砑覫IS_WPG組（圖1），并重啟計算機。 　　經(jīng)過這樣設(shè)計后，F(xiàn)SO木馬就已經(jīng)不能運行了。如果你要進行更安全級別的設(shè)置，請分別對各個磁盤分區(qū)進行如上設(shè)置，并為各個站點設(shè)置不同匿名訪問用戶。下面以實例來介紹（）： 　　1. 打開“計算機管理→本地用戶和組→用戶”，創(chuàng)建Abc用戶，并設(shè)置密碼，并將“用戶下次登錄時須更改密碼”前的對號去掉，選中“用戶不能更改密碼”和“密碼永不過期”，并把用戶設(shè)置為隸屬于Guests組。 　　2. 右擊E:\Abc，選擇“屬性→安全”選項卡，此時可以看到該文件夾的默認安全設(shè)置是“Everyone”完全控制（視不同情況顯示的內(nèi)容不完全一樣），刪除Everyone的完全控制（如果不能刪除，請點擊[高級]按鈕，將“允許父項的繼承權(quán)限傳播”前面的對號去掉，并刪除所有），添加Administrators及Abc用戶對本網(wǎng)站目錄的所有安全權(quán)限。 3. 打開IIS管理器，在彈出的菜單中選擇“屬性→目錄安全性”選項卡，點擊身份驗證和訪問控制的[編輯]，彈出圖2所示對話框，匿名訪問用戶默認的就是“IUSR_機器名”，點擊[瀏覽]，在“選擇用戶”對話框中找到前面創(chuàng)建的Abc賬戶，確定后重復(fù)輸入密碼。 十九、建議 如果你按本方案去操作，建議每做一項更改就測試一下服務(wù)器，如果有問題可以馬上撤消更改。而如果更改的項數(shù)多，才發(fā)現(xiàn)出問題，那就很難判斷問題是出在哪一步上了。 二十、運行服務(wù)器記錄當前的程序和開放的端口 將當前服務(wù)器的進程抓圖或記錄下來，將其保存，方便以后對照查看是否有不明的程序。 將當前開放的端口抓圖或記錄下來，保存，方便以后對照查看是否開放了不明的端口。當然如果你能分辨每一個進程，和端口這一步可以省略。 第 14 頁