所以,必需减少进入分区(NTFS)和目录。对FAT分区来说...没有办法。但是,有时您需要使用FAT分区,因为有些软件在NTFS上不工作。最后,不要用庞大的IIS,特别是ftp服务器。实际上,不要安装他。现如今,许多的ISP真是疯了,他们还敢用这些东西,我们仅仅告诫使用Apache替代他,但是...我们不会在IIS上浪费太多的时间,在这个主题下有很多的文化。
事实上,这里有一个办法使得筛子变成过滤器(就是漏洞小一点!)。问题是那需要费很多的口舌就是整个杂志也说不完。让我们只提示其中的要点。这些观点和免费软件没有关联:我们谈论的是微软世界!第一个建议是使用MSCE(微软安全配置编辑器),他在SP4中提供并且带有MMC(微软管理控制台)。但是,您要格外地小心!假如您犯了一个错误,您就赢了。当然,必需是英语版本。在微软的世界里,假如您使用非英文的版本,您得到的果子不会很好吃。无论如何,我可警告过您了。接下来,在这些需求中,您必需”安全化”管理员帐号,或不要激活他。看一下从SP3中就有的passprop。您能够使用passfiltdll加固密码而且是要通过注册(我认为发明他的人真是得了LSD流感...)。干掉那个著名的客户帐号。他也不是很有用(上面说了),但这只是使得情况不至于太糟而已。但是,您能够通过注册限制log文档的进入。在"HKEY_LOCAL_MACHINE"中,创建关键字 SystemCurrentControlSetServicesEventLogApplication。安全和系统(这两个会取代应用程式的)。他们的名子是 "RestrictGuestAccess",其中有REG_SZ 并且他的值是1。您能够使用syskey加密密码。小心哦,这可是不可逆转的操作!最后,有一些好消息:您能够限制客户访问。再一次,我们使用注册,还是在 "HKEY_LOCAL_MACHINE"。这次的健称做 SystemCurrentControlSetControlLsa。名子是 "RestrictAnonymous",类型是"REG_DWORD" 并且他的值是1。但是,对微软世界来说是个讽刺:您会被提醒:这些变更会影响一些网络服务... 这些事情的要点就是限制访问某些端口,在配置面板中开启网络应用。在TCP/IP属性中,选择”高级”和选中”激活安全”框(我认为有这个名子,但是在我家没有这个东西让我试试)。在”安全”窗口,选中”Allow only” 并且选择您想激活的端口。这里,可要小心。您要知道您干的是什么,否则一些服务会不工作的。 有很多的东西要干,但是这些是根本。您想知道更多,能够参观:sans.org。有成吨的文档。
事情的不可忍受
好,您已做了任何这一切。您运行nessus扫描整个网络但是您仍然存在安全漏洞。我们不会说他们来自什么地方...我们已知道!
试图迷惑这些系统替代品。他不去除通过NetBIOS”提供”的漏洞,而是他将限制破坏。 建立子域。作为管理人员不要登录。
打补丁。最后,在被用作网关的Unix机器上掩藏任何这一切。遗憾地,安全的相对论仅仅不来自由Redmond制造的产品。网络是活的:
总有某样东西在运行。一个好的管理人员是“paranoid”因此经常检查“固定装置的总量”。写脚本使检查自动化。有规律地检查SUID和SGID,关键的文档,log文档的习惯...为了得到一些更多朋友,锁住用户软驱和CDROM的设备。不要接受未经同意的用户下载软件尤其是当这种软件在微软世界总是是可执行的。使用邮件过滤系统以防止您的用户打开Word或Excel格式的附加文档。是,我知道这么做就像法西斯相同,但是您能对着宏病毒做什么呢?不要使用诸如outlook的产品。再一次,您必须了解您想要什么!我知道,我所说的是无价值的,但是您能对这种产品谈论安全?著名的“我爱您”病毒不能说明任何问题。有关Unix,下载也必须被控制。 校验偶然尚未被提供。 您应该养成一个周期地检查log文档,脚本和扫描控制您的网络的习惯。您将注意到:事情变化十分快并且不但仅是朝着好的方向发展。
最后,我们要提到话,就是不忘记备份。 备份的策略没有变化: 每日,每星期和每月。 Unix机器也会有问题,即使他是不寻常的。同时,有时用户犯错误的而也不是经常的。大多数问题来自负责机器或部门的管理人员。
最后,终于完了!
假如您看到这一节那可是勇气可嘉呀。问题是我们仅仅大概浏阅了整个的主题!安全是没有终结的并且还不但仅是网络。易受攻击的程式会毁掉一个网络。一个配置不好的防火墙比没有安防火墙更糟。每个Unix机器一般都有成千的文档。谁能确保没有一个是易攻破的呢?谁能想到一个攻击者能够破解一个128位的密码?您不要被愚弄:他会找到屋子的后门。再说一遍,即使您安装了任何的安全工具,但是假如您只留了一个小漏洞,那么这个小漏洞就能够导致系统被击穿。
安万能够看成是这样一种行为:您要紧跟形势。比如说,周期地浏阅安全网站,包括您机器的操作系统的网站...比如Sun每个月发布推荐的补丁。SGI每3个月发布Irix的新版本。微软频繁地提供服务包和补丁。 Linux发布的各个版本每发现一个易受攻击点就发布更正。各种BSD系统也是这样。假如您不使用那些产品连同补丁从硬盘中删掉就是了。就是这样子:事情要干的事情列出来会很长很长的。总之,这个工作是没完没了。
最后,让我再说一遍,我们做的只是使您的系统不太容易受到攻击。不要期望您能得到一个100%安全的网络,即使是一段给定的时间(当然您停掉机器不算)。这样子说,似乎对维护系统安全工作不负责似的... 但是他会时刻提醒您。但是不要搞的您的日常生活也是这样,您旁边的人比机器更友好一些...
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
