管教有道讓服務(wù)器享受多點(diǎn)安全保護(hù)

“護(hù)駕”服務(wù)器系統(tǒng)能夠始終穩(wěn)定、安全地運(yùn)行，是每一位網(wǎng)絡(luò)管理員都要認(rèn)真學(xué)習(xí)和總結(jié)的“課題”;提到服務(wù)器的“安全”字眼，不少人都會(huì)想當(dāng)然地“請(qǐng)”來各種專業(yè)安全工具，希望通過它們的力量來給服務(wù)器多一點(diǎn)的安全保護(hù)。不過，我們手頭并不是時(shí)常都有專業(yè)安全工具可以選用，并且即使有專業(yè)安全工具在手頭，也并不能保證它就能達(dá)到特定的安全保護(hù)目的;更多的時(shí)候，我們還需要依靠自己的聰明才智，對(duì)服務(wù)器系統(tǒng)進(jìn)行妥善“管教”，對(duì)其自身安全保護(hù)功能進(jìn)行挖掘，以便讓服務(wù)器享受更多一點(diǎn)的安全保護(hù)!
    1、限制并發(fā)連接，避免服務(wù)器無(wú)法響應(yīng)
    大家知道，Windows XP終端服務(wù)器在缺省狀態(tài)下沒有對(duì)并發(fā)連接數(shù)量進(jìn)行限制，這在訪問人數(shù)不多的小規(guī)模局域網(wǎng)中是看不出任何影響的!可是在訪問人數(shù)較多、規(guī)模較大的局域網(wǎng)中時(shí)，如果不對(duì)終端服務(wù)器的并發(fā)連接數(shù)量進(jìn)行限制的話，終端服務(wù)器很可能會(huì)發(fā)生無(wú)法響應(yīng)的故障，因?yàn)槊恳粋€(gè)訪問連接都需要耗費(fèi)一定的系統(tǒng)資源，太多的并發(fā)連接會(huì)將服務(wù)器系統(tǒng)資源消耗殆盡，從而導(dǎo)致服務(wù)器無(wú)法正常處理每一個(gè)網(wǎng)絡(luò)連接請(qǐng)求。為了避免終端服務(wù)器系統(tǒng)無(wú)法響應(yīng)，我們不妨在性能配置檔次不高的終端服務(wù)器系統(tǒng)中對(duì)并發(fā)連接數(shù)量進(jìn)行適當(dāng)控制，保證服務(wù)器能夠有足夠系統(tǒng)資源來處理每一個(gè)網(wǎng)絡(luò)連接請(qǐng)求：
    首先在Windows XP終端服務(wù)器系統(tǒng)桌面中，單擊“開始”按鈕，從彈出的“開始”菜單中選擇“運(yùn)行”命令，打開系統(tǒng)運(yùn)行對(duì)話框，在其中輸入字符串命令“regedit”，單擊“確定”按鈕后，打開系統(tǒng)注冊(cè)表編輯界面;
    其次將鼠標(biāo)定位于注冊(cè)表編輯界面左側(cè)顯示區(qū)域的“HKEY_LOCAL_MACHINE”分支，再依次展開該分支下面的注冊(cè)表子項(xiàng)“SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services”，仔細(xì)檢查“Terminal Services”子項(xiàng)下面有沒有“MaxInstanceCount”雙字節(jié)值，要是發(fā)現(xiàn)該鍵值不存在的話，那么我們不妨用鼠標(biāo)右擊注冊(cè)表子項(xiàng)“Terminal Services”，再?gòu)钠浜蟮目旖莶藛沃幸来螁螕簟靶陆ā薄ⅰ癉WORD值”選項(xiàng)，之后為新創(chuàng)建的雙字節(jié)值設(shè)置名稱為“MaxInstanceCount”;
    下面，用鼠標(biāo)雙擊剛剛新建的“MaxInstanceCount”雙字節(jié)值，在彈出的如圖1所示編輯界面中，對(duì)服務(wù)器系統(tǒng)的并發(fā)連接數(shù)量進(jìn)行合適控制;例如，倘若我們要求終端服務(wù)器只能處理20個(gè)并發(fā)連接請(qǐng)求時(shí)，只需要選中這里的“十進(jìn)制”項(xiàng)目，再輸入“20”，后單擊“確定”結(jié)束注冊(cè)表的編輯操作，并重新啟動(dòng)一下服務(wù)器系統(tǒng)，如此一來終端服務(wù)器系統(tǒng)日后就不會(huì)輕易發(fā)生無(wú)法響應(yīng)的故障現(xiàn)象了。
    2、禁止緩存密碼，預(yù)防服務(wù)器對(duì)外泄密
    在默認(rèn)設(shè)置下，Windows 2003服務(wù)器系統(tǒng)會(huì)將超級(jí)用戶輸入的各種管理密碼內(nèi)容，記憶存儲(chǔ)到系統(tǒng)緩存中，而不少攻擊者或木馬病毒常常會(huì)想方設(shè)法地嘗試掃描服務(wù)器緩存中的內(nèi)容，那樣一來存儲(chǔ)在服務(wù)器緩存中的各種管理密碼就能被非法攻擊者或木馬病毒輕易獲取，如此這般，服務(wù)器系統(tǒng)就會(huì)受到極大的安全威脅。為了預(yù)防Windows 2003服務(wù)器系統(tǒng)對(duì)外泄密，我們可以嘗試按照如下操作，來禁止服務(wù)器系統(tǒng)自動(dòng)記憶存儲(chǔ)密碼：
    首先以超級(jí)管理員權(quán)限進(jìn)入Windows 2003服務(wù)器系統(tǒng)，單擊該系統(tǒng)桌面中的“開始”按鈕，選擇“開始”菜單中的“運(yùn)行”命令，在彈出的系統(tǒng)運(yùn)行對(duì)話框中，輸入“Regedit”字符串命令，單擊“確定”按鈕后，打開服務(wù)器系統(tǒng)的注冊(cè)表編輯窗口;
    其次選中該編輯窗口左側(cè)區(qū)域中的HKEY_LOCAL_MACHINE注冊(cè)表分支，再依次展開該分支下面的子項(xiàng)“Software\Microsoft\Windows\CurrentVersion\policies”，如圖2所示;之后用鼠標(biāo)右鍵單擊“policies”子項(xiàng)，從彈出的快捷菜單中依次選擇“新建”/“項(xiàng)”選項(xiàng)，并將新創(chuàng)建的子項(xiàng)名稱設(shè)置為“Network”;
    下面，再用鼠標(biāo)右鍵單擊“Network”子項(xiàng)，從其后的快捷菜單中依次選擇“新建”、“DWORD”選項(xiàng)，同時(shí)將新創(chuàng)建的雙字節(jié)鍵值名稱設(shè)置為“DisablePasswordCaching”，再雙擊“DisablePasswordCaching”雙字節(jié)鍵值，在其后界面中將其數(shù)值設(shè)置為“0x00000001”，后按F5功能鍵刷新一下系統(tǒng)注冊(cè)表，如此一來Windows 2003服務(wù)器系統(tǒng)就不會(huì)擅自主張地來存儲(chǔ)各種管理密碼了，那樣的話非法攻擊者或木馬病毒即使已經(jīng)進(jìn)入服務(wù)器系統(tǒng)，它們也無(wú)法從服務(wù)器系統(tǒng)緩存中找到管理密碼內(nèi)容。
    3、快速關(guān)閉共享，拒絕服務(wù)器共享攻擊
    考慮到在默認(rèn)設(shè)置下Windows系統(tǒng)服務(wù)器一般都會(huì)將本地磁盤分區(qū)自動(dòng)設(shè)置成隱藏共享狀態(tài)，如此一來非法攻擊者或木馬病毒就有可能借助專業(yè)攻擊方法，來對(duì)服務(wù)器實(shí)施共享攻擊，從而給服務(wù)器系統(tǒng)造成安全威脅;為了拒絕服務(wù)器系統(tǒng)遭遇共享攻擊，我們不妨按照下面的設(shè)置步驟，來快速關(guān)閉服務(wù)器系統(tǒng)中的所有隱藏共享，從而切斷非法攻擊者入侵服務(wù)器的共享“通道”：
    首先以超級(jí)管理員權(quán)限進(jìn)入Windows服務(wù)器系統(tǒng)，單擊該系統(tǒng)桌面中的“開始”按鈕，選擇“開始”菜單中的“運(yùn)行”命令，在彈出的系統(tǒng)運(yùn)行對(duì)話框中，輸入“Regedit”字符串命令，單擊“確定”按鈕后，打開服務(wù)器系統(tǒng)的注冊(cè)表編輯窗口;
    其次選中該編輯窗口左側(cè)區(qū)域中的HKEY_LOCAL_MACHINE注冊(cè)表分支，再依次展開該分支下面的子項(xiàng)“SYSTEM/CurrentControlSet/Services/LanmanServer/Parameters”，在“Parameters”注冊(cè)表子項(xiàng)下面找到“AutoShareServer”字符串值，并用鼠標(biāo)雙擊該鍵值，打開如圖3所示的編輯界面，在該界面的“數(shù)值數(shù)據(jù)”文本框中輸入“0”，再單擊“確定”按鈕，后重新啟動(dòng)一下計(jì)算機(jī)系統(tǒng)，這樣的話本地服務(wù)器系統(tǒng)就不可能遭受非法共享攻擊了，那么服務(wù)器的安全性也就能得到有效保證了。