Microsoft IIS 真的如此「不安全」嗎？(3)

2019-11-18 20:28:22

字體：大中小

來源：轉載

供稿：網友

這份 IIS 5.0 清單并沒有提及幾個其它能夠用來保護任何連接到網絡上的計算機的措施。這些措施非常基本，卻經常被忽略：

至少在連接到網絡上的轉接器（adapter）上取消「NetBIOS over TCP/ip」的設定。

不要在同一個 adapter 的 TCP/IP 上綁定客戶端和服務器端服務。

在服務器上停止使用越多服務越好。可考慮停用的服務包括： Alerter, ClipBook 服務器, DHCP 客戶端, Directory Replicator, FTP Publishing Service, License Logging Service, Messenger, Netlogon, Network DDE, Network DDE DDM, Network Monitor, Remote access Server, Remote PRocedure Call Locator, Schedule Server, Simple Services, Spooler, TCP/IP NetBIOS Helper, 和 Telephone Service 等。

采用良好的使用者管理，堅持采用穩當的密碼（strong passWord），去除諸如「Guest」等無用帳號，對任何人的權限都進行控制。

Nosratinia 提供了另一個較不常見的建議。首先，她建議刪除「Administrator」帳號（或把它從所有組員窗體中移除），并用一個罕見的名字（odd name）建立一個新的管理員帳號。她還建議為所有網上內容使用加密文件系統（Encrypted File System，EFS），這么一來，即使入侵者可以令系統癱瘓，但是至少可以防止他們改變網站的內容。

有別于分配權限給使用者群組（group）的傳統做法，Nosratinia 建議為單一用戶（individual）帳號分配權限。她說為了進入系統，駭客必須「進入一個比他使用的帳號擁有更高特權級別的用戶組。」使用單一用戶的帳號（而非使用者群組）在這個過程中能達到遏止的效果。

上一篇：Microsoft IIS 真的如此「不安全」嗎？(4)

下一篇：Microsoft IIS 真的如此「不安全」嗎？(2)