3.3 使用安全工具
我们可以从微软的网站上下载IIS服务器安 全管理工具，他们是：
LockDown—一款帮助管理员设置服务器安全 的工具。
URL Scan—过滤非法访问请求的工具。
四、使用防火墙
防火墙作为一种应用的很普遍的网络安全 防御手段，能提高网络的安全性。
不但网络出口会安装硬件防火墙来防止外 部攻击，每台计算机上还可以安装软件防 火墙来进一步保障内部网络的安全。
防火墙介绍 企业防火墙应具备的功能 防火墙的不足
4.1 防火墙介绍
包过滤防火墙，只需要将每个数据包与相应的安 全规则进行比较即可，实现较为简单。
应用级网关，即代理服务器，它通常运行在两个 网络之间，隔离内部与外部网络，很多也具备 NAT功能。
状态检测防火墙在包过滤防火墙基础之上还增加 了对数据包连接状态变化的额外考虑。它可以站 在会话的角度，跟踪每一个会话的状态。
主机加固技术
计算机网络的安全威胁
黑客攻击 计算机病毒 内部窃密和破坏 信息截取
主机防御对策
采用安全的操作系统及人员防范措施 严密的配置安全策略 合理的运用保护技术
访问控制技术 防火墙技术 信息加密技术 反病毒技术 漏洞修补技术 入侵检测技术
主机加固
由于主机对数据进行存储和加工，同时主机间还 进行信息交换，因此加固主机是一个非常重要的 任务。（这里的主机主要指服务器系统）
1.2 账户的安全加固
账户管理是一件很烦琐的事情，但合理的 管理用户账户是非常重要的。
停用guest账户及其他不必要的账户 创建陷阱administrator账户 最小化账户权限 禁止枚举账户名
1.3 账户口令的安全加固
由于存储在SAM数据库中的信息未加密， 仅进行Hash运算，可通过暴力破解。因此 必须制定安全的账户口令策略。
重新定位WEB根目录位置，最好在非系统卷上。 删除危险的IIS组件，包括示例程序和帮助文档等。 删除不必要的应用程序关联。 将文件分类存放，并设置权限。 及时更新漏洞补丁。 采用SSL加密验证保护WEB通信。 限制MetaBase.bin和脚本工具的访问权限。 限定特定区域的用户访问。 利用日志寻找安全隐患。 检查网站程序的安全性。
黑客在获取信息时有许多方法和途径，比如直接攻击主机 获取控制权 、信息截取和伪造身份等。
黑客一般会采取洪水攻击或超常报文攻击的形式，让主机 的网络服务协议发生缓冲区溢出，造成宕机或者停止服务， 甚至取得系统控制权。
另外一种方式就是，窃取主机同外部的通讯包。由于很多 服务程序在传输数据时都未将信息加密，攻击者可以通过 分析数据包来获取有用的信息。
用户密码策略 账户锁定策略 使用Syskey命令加密 禁止光盘自动运行
1.4 资源访问管理
配置目录和文件的安全权限，要注意访问 权限最小化。
NTFS文件系统的安全控制原则有：
权限的累加特性 绝权限优先 文件权限优先于文件夹权限
采用EFS加密文件系统。
1.5 控制网络共享
如果是企业服务器，出于安全考虑，应该禁用网 络共享。如果是工作主机，可根据安全需要控制 网络共享。
抵御ICMP攻击。在注册表的HKLM/System/CurrentControlSet/ Services/AFD/Parameters中加入EnableICMPRedirects键，类型为 DWORD，值为0（禁止响应ICMP重定向报文）
抵御SNMP攻击。在注册表的HKLM/System/CurrentControlSet/ Services/Tcpip/Parameters中加入EnableDeadGWDetect键，类型为 DWORD，值为0（禁止攻击者强制切换到备用网关
2.2 加密网络通讯
通讯加密可以在任何时候进行，一般在系 统中受广泛支持的加密方式有：
IPSec：基于网络层的加密通信，支持隧道。 SSL：基于传输层的加密协议，可认证身份。
三、服务程序的加固
服务器的具体的服务由各种服务程序完成 的，其中WEB服务是一个典型代表，因为 它应用广、而且容易受到攻击，下面以IIS 为例来介绍服务程序的加固。
2.1 抵御网络攻击
通过对系统注册表的设置，修改网络通讯的响应规则，可以起到一定 的网络防御作用。
抵御SYN攻击。在注册表的HKLM/System/CurrentControlSet/ Services/Tcpip/Parameters中加入SynAttackProtect键，类型为 DWORD，值为0-2，2为最快的连接超时响应时间。
合理配置共享资源 关闭NetBIOS服务 关闭默认共享：
在注册表的 HKLM/System/CurrentControlSet/Services/Lanmanserver/Param eters下添加autoShareWks=0（工作站）或autoShareServer=0 （服务器）
二、网络协议的加固
IIS 漏洞 IIS 的安全加固 使用安全工具
3.1 IIS漏洞
利用服务器上有安全隐患的组件或工具查 探文件内容或进行攻击。
使用缓冲区溢出漏洞攻击服务器，上载后 门程序。
利用特殊格式构造的WEB请求导致解析错 误，取得原代码或执行本地命令。
利用数据库的特性进行对数据库的攻击。
3.2 IIS的安全加固
以Windows操作系统为代表的主机加固主要分为 以下几个方面：
操作系统安全加固 网络协议的加固 服务程序加固 使用防火墙 病毒防范
一、操作系统安全加固
对操作系统的安全配置大致从以下几个方 面入手：
配置安全服务项目 账户的安全加固 账户口令的安全加固 资源访问管理 控制网络共享
1.1 配置安全的服务项目
系统中有许多服务，为了安全起见，应当 禁用不必要的服务，例如：
Alert：错误警报器 Message：传输Net Send消息 Remote registry：远程注册表运行/修改。 Telnet：Telnet服务程序，现在大多不用。 Server：提供文件、打印及命名管道共享。