二、安全防范对策

　　（一）安装对策

　　在进行系统安装时，采取以下对策：

　　1、在完全安装、配置好操作系统，给系统全部安装系统补丁之前，一定不要把机器接入网络。

　　2、在安装操作系统时，建议至少分三个磁盘分区。第一个分区用来安装操作系统，第二分区存放IIS、FTP和各种应用程序，第三个分区存放重要的数据和日志文件。

　　3、采用NTFS文件格式安装操作系统，可以保证文件的安全，控制用户对文件的访问权限。

　　4、在安装系统组件时，不要采用缺省安装，删除系统缺省选中的IIS、DHCP、DNS等服务。

　　5、在安装完操作系统后，应先安装在其上面的应用系统，后安装系统补丁。安装系统补丁一定要全面。

　　（二）运行对策

　　在系统运行时，采取以下对策：

　　1、关闭系统默认共享

　　方法一：采用批处理文件在系统启动后自动删除共享。首选在Cmd提示符下输入“Net Share”命令，查看系统自动运行的所有共享目录。然后建立一个批处理文件SHAREDEL.BAT，将该批处理文件放入计划任务中，设为每次开机时运行。文件内容如下：

　　NET SHARE C$ /DELETE

　　NET SHARE D$ /DELETE

　　NET SHARE E$ /DELETE

　　……

　　NET SHARE IPC$ /DELETE

　　NET SHARE ADMIN$ /DELETE

　　方法二：修改系统注册表，禁止默认共享功能。在Local_Machine System CurrentControlSetServicesLanmanserverparameters下新建一个双字节项“auto shareserver”，其值为“0”。

　　2、删除多余的不需要的网络协议

　　删除网络协议中的NWLink NetBIOS协议，NWLink IPX/SPX/NetBIOS 协议，NeBEUI PROtocol协议和服务等，只保留TCP/IP网络通讯协议。

　　3、关闭不必要的有安全隐患的服务

　　用户可以根据实际情况，关闭表1中所示的系统自动运行的有安全隐患的服务。

　　

表1需要关闭的服务表

　　

标签：