管教有道讓服務(wù)器享受多點安全保護

“護駕”服務(wù)器系統(tǒng)能夠始終穩(wěn)定、安全地運行，是每一位網(wǎng)絡(luò)管理員都要認真學(xué)習(xí)和總結(jié)的“課題”;提到服務(wù)器的“安全”字眼，不少人都會想當(dāng)然地“請”來各種專業(yè)安全工具，希望通過它們的力量來給服務(wù)器多一點的安全保護。不過，我們手頭并不是時常都有專業(yè)安全工具可以選用，并且即使有專業(yè)安全工具在手頭，也并不能保證它就能達到特定的安全保護目的;更多的時候，我們還需要依靠自己的聰明才智，對服務(wù)器系統(tǒng)進行妥善“管教”，對其自身安全保護功能進行挖掘，以便讓服務(wù)器享受更多一點的安全保護!
    1、限制并發(fā)連接，避免服務(wù)器無法響應(yīng)
    大家知道，Windows XP終端服務(wù)器在缺省狀態(tài)下沒有對并發(fā)連接數(shù)量進行限制，這在訪問人數(shù)不多的小規(guī)模局域網(wǎng)中是看不出任何影響的!可是在訪問人數(shù)較多、規(guī)模較大的局域網(wǎng)中時，如果不對終端服務(wù)器的并發(fā)連接數(shù)量進行限制的話，終端服務(wù)器很可能會發(fā)生無法響應(yīng)的故障，因為每一個訪問連接都需要耗費一定的系統(tǒng)資源，太多的并發(fā)連接會將服務(wù)器系統(tǒng)資源消耗殆盡，從而導(dǎo)致服務(wù)器無法正常處理每一個網(wǎng)絡(luò)連接請求。為了避免終端服務(wù)器系統(tǒng)無法響應(yīng)，我們不妨在性能配置檔次不高的終端服務(wù)器系統(tǒng)中對并發(fā)連接數(shù)量進行適當(dāng)控制，保證服務(wù)器能夠有足夠系統(tǒng)資源來處理每一個網(wǎng)絡(luò)連接請求：
    首先在Windows XP終端服務(wù)器系統(tǒng)桌面中，單擊“開始”按鈕，從彈出的“開始”菜單中選擇“運行”命令，打開系統(tǒng)運行對話框，在其中輸入字符串命令“regedit”，單擊“確定”按鈕后，打開系統(tǒng)注冊表編輯界面;
    其次將鼠標定位于注冊表編輯界面左側(cè)顯示區(qū)域的“HKEY_LOCAL_MACHINE”分支，再依次展開該分支下面的注冊表子項“SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services”，仔細檢查“Terminal Services”子項下面有沒有“MaxInstanceCount”雙字節(jié)值，要是發(fā)現(xiàn)該鍵值不存在的話，那么我們不妨用鼠標右擊注冊表子項“Terminal Services”，再從其后的快捷菜單中依次單擊“新建”、“DWORD值”選項，之后為新創(chuàng)建的雙字節(jié)值設(shè)置名稱為“MaxInstanceCount”;
    下面，用鼠標雙擊剛剛新建的“MaxInstanceCount”雙字節(jié)值，在彈出的如圖1所示編輯界面中，對服務(wù)器系統(tǒng)的并發(fā)連接數(shù)量進行合適控制;例如，倘若我們要求終端服務(wù)器只能處理20個并發(fā)連接請求時，只需要選中這里的“十進制”項目，再輸入“20”，后單擊“確定”結(jié)束注冊表的編輯操作，并重新啟動一下服務(wù)器系統(tǒng)，如此一來終端服務(wù)器系統(tǒng)日后就不會輕易發(fā)生無法響應(yīng)的故障現(xiàn)象了。
    2、禁止緩存密碼，預(yù)防服務(wù)器對外泄密
    在默認設(shè)置下，Windows 2003服務(wù)器系統(tǒng)會將超級用戶輸入的各種管理密碼內(nèi)容，記憶存儲到系統(tǒng)緩存中，而不少攻擊者或木馬病毒常常會想方設(shè)法地嘗試掃描服務(wù)器緩存中的內(nèi)容，那樣一來存儲在服務(wù)器緩存中的各種管理密碼就能被非法攻擊者或木馬病毒輕易獲取，如此這般，服務(wù)器系統(tǒng)就會受到極大的安全威脅。為了預(yù)防Windows 2003服務(wù)器系統(tǒng)對外泄密，我們可以嘗試按照如下操作，來禁止服務(wù)器系統(tǒng)自動記憶存儲密碼：
    首先以超級管理員權(quán)限進入Windows 2003服務(wù)器系統(tǒng)，單擊該系統(tǒng)桌面中的“開始”按鈕，選擇“開始”菜單中的“運行”命令，在彈出的系統(tǒng)運行對話框中，輸入“Regedit”字符串命令，單擊“確定”按鈕后，打開服務(wù)器系統(tǒng)的注冊表編輯窗口;
    其次選中該編輯窗口左側(cè)區(qū)域中的HKEY_LOCAL_MACHINE注冊表分支，再依次展開該分支下面的子項“Software\Microsoft\Windows\CurrentVersion\policies”，如圖2所示;之后用鼠標右鍵單擊“policies”子項，從彈出的快捷菜單中依次選擇“新建”/“項”選項，并將新創(chuàng)建的子項名稱設(shè)置為“Network”;
    下面，再用鼠標右鍵單擊“Network”子項，從其后的快捷菜單中依次選擇“新建”、“DWORD”選項，同時將新創(chuàng)建的雙字節(jié)鍵值名稱設(shè)置為“DisablePasswordCaching”，再雙擊“DisablePasswordCaching”雙字節(jié)鍵值，在其后界面中將其數(shù)值設(shè)置為“0x00000001”，后按F5功能鍵刷新一下系統(tǒng)注冊表，如此一來Windows 2003服務(wù)器系統(tǒng)就不會擅自主張地來存儲各種管理密碼了，那樣的話非法攻擊者或木馬病毒即使已經(jīng)進入服務(wù)器系統(tǒng)，它們也無法從服務(wù)器系統(tǒng)緩存中找到管理密碼內(nèi)容。
    3、快速關(guān)閉共享，拒絕服務(wù)器共享攻擊
    考慮到在默認設(shè)置下Windows系統(tǒng)服務(wù)器一般都會將本地磁盤分區(qū)自動設(shè)置成隱藏共享狀態(tài)，如此一來非法攻擊者或木馬病毒就有可能借助專業(yè)攻擊方法，來對服務(wù)器實施共享攻擊，從而給服務(wù)器系統(tǒng)造成安全威脅;為了拒絕服務(wù)器系統(tǒng)遭遇共享攻擊，我們不妨按照下面的設(shè)置步驟，來快速關(guān)閉服務(wù)器系統(tǒng)中的所有隱藏共享，從而切斷非法攻擊者入侵服務(wù)器的共享“通道”：
    首先以超級管理員權(quán)限進入Windows服務(wù)器系統(tǒng)，單擊該系統(tǒng)桌面中的“開始”按鈕，選擇“開始”菜單中的“運行”命令，在彈出的系統(tǒng)運行對話框中，輸入“Regedit”字符串命令，單擊“確定”按鈕后，打開服務(wù)器系統(tǒng)的注冊表編輯窗口;
    其次選中該編輯窗口左側(cè)區(qū)域中的HKEY_LOCAL_MACHINE注冊表分支，再依次展開該分支下面的子項“SYSTEM/CurrentControlSet/Services/LanmanServer/Parameters”，在“Parameters”注冊表子項下面找到“AutoShareServer”字符串值，并用鼠標雙擊該鍵值，打開如圖3所示的編輯界面，在該界面的“數(shù)值數(shù)據(jù)”文本框中輸入“0”，再單擊“確定”按鈕，后重新啟動一下計算機系統(tǒng)，這樣的話本地服務(wù)器系統(tǒng)就不可能遭受非法共享攻擊了，那么服務(wù)器的安全性也就能得到有效保證了。