广州市电子政务外网系统安全加固

开 管理工具>计算机管理>共享文件夹>共享 在相应的共享文件夹上按右键，点停止共享即可，不过机器重新启动后，这些共享又会重新开启的。

默认共享目录 路径和功能 C$ D$ E$ 每个分区的根目录。Win2000 Pro版中，只有Administrator 和Backup Operators组成员才可连接，Win2000 Server版本 Server Operatros组也可以连接到这些共享目录 ADMIN$ %SYSTEMROOT% 远程管理用的共享目录。它的路径永远都 指向Win2000的安装路径，比如 c:\\winnt FAX$ 在Win2000 Server中，FAX$在fax客户端发传真的时候会到。

IPC$ 空连接。IPC$共享提供了登录到系统的能力。 NetLogon 这个共享在Windows 2000 服务器的Net Login 服务在处 理登陆域请求时用到 PRINT$ %SYSTEMROOT%\\SYSTEM32\\SPOOL\\DRIVERS 用户远程管理打印机 2.20 禁止dump file的产生

dump文件在系统崩溃和蓝屏的时候是一份很有用的查找问题的资料，然而，它也能够给黑客提供一些敏感信息比如一些应用程序的密码等。要禁止它，打开 控制面板>系统属性>高级>启动和故障恢复 把 写入调试信息 改成无。要用的时候，可以再重新打开它。 2.21 使用文件加密系统EFS

Windows 强大的加密系统能够给磁盘，文件夹，文件加上一层安全保护。这样可以防止别人把你的硬盘挂到别的机器上以读出里面的数据。记住要给文件夹也使用EFS,而不仅仅是单个的文件。 有关EFS的具体信息可以查看 http://www.microsoft.com/windows2000/techinfo/howitworks/security/encrypt.asp 2.22 锁住注册表

在windows，只有administrators和Backup Operators才有从网络上访问注册表的权限。如果觉得还不够的话，可以进一步设定注册表访问权限，详细信息请参考： http://support.microsoft.com/support/kb/articles/Q153/1/83.asp

9

2.23 建议安装urlscan（或直接安装IISLockdown）

Urlscan 属于IIS Lockdown Tool的一部分是个很强的安全工具，让站点管理员有能力

关掉不需要的功能及禁止这些HTTP访问.把一些特定的HTTP访问禁止,Urlscan安全工具可以防止可能会造成伤害的访问,不让这些有害访问到达服务器端.

IISLockdown 可执行许多步骤来帮助加强 Web 服务器的安全。这些步骤包括：

锁定文件 禁用服务和组件 安装 Urlscan

删除不需要的 Internet 服务器应用程序编程接口 (ISAPI) DLL 脚本映

射 删除不需要的目录

更改 ACL

您可以使用 IIS Lockdown 来加强许多类型的 IIS 服务器角色的安全。对于各服务器，您应挑选可满足您 Web 服务器需要的限制性最高的角色。 2.24 关闭RPC DCOM组件

Remote Procedure Call (RPC)是Windows操作系统使用的一种远程过程调用协议，RPC提供进程间交互通信机制，允许在某台计算机上运行程序无缝的在远程系统上执行代码。协议本身源自OSF RPC协议，但增加了Microsoft特定的扩展。

DCOM（the Distributed Component Object Model）扩展COM，以支持不同计算机之间的对象间通信，这些计算机可以是位于局域网，广域网，甚至是互连网。 DCOM规定了网络上组件之间的通信协定，因此DCOM可以说是组件之间的TCP/IP协议。

DCOM组件可以远程执行系统命令，并且存在多个已知的和未知的缓冲区溢出漏洞。

关闭方法：

依次打开 管理工具、组件服务，展开组件服务中的计算机，右键点击其中

10

的我的电脑中的属性，取消默认属性中的“在此计算机上启用分布式com”。

TOMCAT系统安全加固

1. Tomcat安全配置

1.1. 基本安全配置

首先，新建一个帐户

1. 用\计算机名\建立一个普通用户 2. 为其设置一个密码

3. 保证\密码永不过期\被选中

修改Tomcat安装文件夹的访问权限

1. 选定环境参数CATALINA_HOME或TOMCAT_HOME指向的Tomcat安装文件夹。 2. 为\计算机名\用户赋予读、写、执行的访问权限。

3. 为\计算机名\用户赋予对WebApps文件夹的只读访问权限。

4. 如果某些Web应用程序需要写访问权限，单独为其授予对那个文件夹的写访问权限。

当你需要Tomcat作为系统服务运行时，采取以下步骤： 1. 到\控制面板\，选择\管理工具\，然后选择\服务\。 2. 找到Tomcat：比如Apache Tomcat.exe等等，打开其\属性\。 3. 选择其\登录\标签。

4. 选择\以...登录\选项。

5. 键入新建的\计算机名\用户作为用户名。 6. 输入密码。 7. 重启机器。

1.2. 多重服务器的安全防护

如需要apache httpd保护web-inf或meta-inf文件，可以

11

请在httpd.conf 中加入下列的 内容：

你也可以把Tomcat配置为将所有对.htaccess的请求都送至错误网页，

在Tomcat 的一般安装中，请将下列的servlet-mapping 加到在$CATALINA_HOME/ conf/Web.xml 文件的servlet-mapping 项目后面：

invoker *.htaccess

这会将所有Web应用程序中对.htaccess 的请求映射到invoker servlet，由于无法加载名为invoker 的servlet 类，因此会产生“HTTP 404: Not Found”的错误网页。从技术层面讲，这种形式并不好，因为如果Tomcat可以找到并加载所请求名称的类（.htaccess），它便可能执行该类而非输出消息错误消息

1.3. 配置服务器默认端口

1. tomcat安装目标下的/conf目录下 2. 编辑server.xml文件

3. 修改port 8080为你需要端口号，如80.

1.4. 关闭服务器端口

1. tomcat安装目标下的/conf目录下 2. 编辑server.xml文件

3. 修改

这样就只有在telnet到8006，并且输入\才能够关闭Tomcat

12