配置 TCP/IP过滤

CurrentcontrolsetContronilesystem中将NsDisable&dot3NameCreston的值设为“1”(3)关闭NTFS的83格式文件识U别，这要在HKEY_LOCALMACHINESTSTEM

“系统启动栏”中列表显示默认值“30”改为“0”、(4)系统启动的等待时间设置为0秒，进行“控制面版一系统一启动/关闭”操作，然

(5)将Web服务器设置为独立的服务器，也能提高不少安全级别。

(6)从NT服务器上移走其他系统如OS2，Linux…“'以免他人从别的系统上修改你

的NT系统(7)除服务器的网络共享，可以使用这样的命令netshare/d，那些为了管理而设置的

ControlsetlcontroServiceslServerParameters的AutoshareServer改为0。共享就必须通过修改注册表的方法来实现了，HKEYLOCALMACHINESYSTEMCURTENT-

(8)严格审核success/FailedLogon/ogof日志，通过“域用户管理器一规则一审核”

进行(9)隐藏上次登录用户名，修改注册表HKEYLOCAL_MACHINEMicrosof

WindowsntCurrentVersionWinlogon中的Dontdisplaylastusername改为0

(10)在你的logon对话框中把“shutdown”按钮移走，修改注册表HKEY_LOCAL

MACHINESOFTWAREMMICROSOFWindowsntcurrentVersionWinlogonAShutdown.

WithoutLogon改为0(1)设定用户的口令长度，一般可以设到九位，密码位数到了这个数字再被猜出来的

可能性很小了:关闭guestI账号，将Administrator账号改名，并为管理员设置一个不易破

译的口令

(12)WindowsNT有一个特征:允许未认证的用户进入网络列举域内用户。如果想要

禁止这个功能，修改HKEYLOCALMACHINESYSTEMCurrentcontrolsetcontrollsa中

的Restrictanonymous，将它的值改为1(13)禁止P转发，通过“控制面版一网络一协议一TCPP协议一属性”，使这个框

为空

(14)配置TCP/IP过滤，可以减少许多不必要的麻烦。具体配置方法是:“控制面版

一网络一协议ーTCPP协议一属性一高级→启用安全机制一配置”，可以这样配置TCPPort

80和443(SSL的端口):不允许UDP端口；IP协议6。这是一个典型的安全配置，推

荐使用。

6.2.7IIS4.0的安全漏洞

随着OptionPack的发布，越来越多的人用IS40来做Web服务器，这样一来，ASP就

成了不少网管的宠爱。虽然ASP的开发和维护都比较简单，功能也比较强大，但在IS30的

都有数据库的结构，用户的访问口令等关键数据，所以这就成了ASP一个相当大的BUG时候，发现在ASP程序后面加Sdata就可以看到ASP的源程序。由于ASP的源程序里面一般

虽然修改目录的执行权限可以防止这个BUG在IS40里面，也出现了一个类似的漏洞，就

是在ASP后面加上81%或者是82%也可以看到ASP的源程序，这次修改目录权限就没有用

用河览器显示ASP文件的源码在加made/Samples/Selector目录下，后面跟上这样一句话了，推一的办法就是安装SP5，不仅如此，在IS40里面有个叫showcode，aspI的程序，允许

source-=/path/filename，就可以看到想看的源文件。H用http://domainname/msadc/samples/selector