2022年个人网络安全防卫手册(4).docx

2022年个人网络安全防卫手册(4)
　　3. 端口
　　端口是计算机和外部网络相连的逻辑接口，也是计算机的第一道屏障，端口配置正确与否干脆影响到主机的平安。一般来说，仅打开你须要运用的端口会比较平安，配置的方法:打开“本地连接属性”对2022年个人网络安全防卫手册(4)
　　3. 端口
　　端口是计算机和外部网络相连的逻辑接口，也是计算机的第一道屏障，端口配置正确与否干脆影响到主机的平安。一般来说，仅打开你须要运用的端口会比较平安，配置的方法:打开“本地连接属性”对话框，依次点击“Internet协议(TCP/IP)→高级→选项→TCP/IP筛选→属性”，在打开的对话框中启用TCP/IP筛选。
　　4. IIS
　　IIS是微软的组件中漏洞最多的一个，所以IIS的配置是我们的重点:
　　(1)将\Inetpub书目彻底删掉，然后在D盘建一个Inetpub书目，在IIS管理器中将主书目指向D:\Inetpub。
　　(2)将IIS安装时默认的Scripts等虚拟书目一概删除，假如你须要什么权限的书目可以自己建(特殊留意写权限和执行程序的权限，没有必要千万不要给)。
　　(3)应用程序配置:在IIS管理器中删除必需之外的任何无用映射。
　　(4)为了保险起见，你可以运用IIS的备份功能，将上面的设定全部备份下来，这样就可以随时复原IIS的平安配置。假如你怕IIS负荷过高导致服务器满负荷死机，也可以在性能中打开CPU限制，例如将IIS的最大CPU运用率限制在70%。
　　5. 账号平安
　　Windows 2000的账号平安是另一个重点，首先，默认安装允许任何用户通过空用户得到系统全部账号/共享列表，这个原来是为了便利局域网用户共享文件的，但是一个远程用户也可以得到你的用户列表并运用暴力法破解用户密码。许多挚友都知道可以通过更改注册表HKEYLOCALMACHINE\System\CurrentControlSet\Control\LSA-RestrictAnonymous=1来禁止139空连接，事实上Windows 2000的本地平安策略就有这样的选项RestrictAnonymous(匿名连接的额外限制)，这个选项有三个值:
　　0:None. Rely on default permissions(无，取决于默认的权限)。这个值是系统默认的，什么限制都没有，远程用户可以知道你机器上全部的账号、组信息、共享书目、网络传输列表等，对服务器来说这样的设置特别危急。
　　1:Do not allow enumeration of SAM accounts and shares(不允许枚举SAM帐号和共享)。这个值是只允许非NULL用户存取SAM账号信息和共享信息。
　　2:No access without explicit anonymous permissions(没有显式匿名权限就不允许访问)。这个值是在Windows 2000中才支持的，须要留意的是，假如你一旦运用了这个值，你的共享估计就全部完蛋，所以我举荐你还是设为1比较好。
　　好了，入侵者现在没有方法拿到我们的用户列表，我们的账户平安了……慢着，至少还有一个账户是可以跑密码的，这就是系统内建的Administrator。怎么办?在“计算机管理→用户账号