1、Windows 系統(tǒng)加固內(nèi)容服務(wù)最小化系統(tǒng)加固(防火墻和IIS防護(hù)工具)安全檢查工具(MBSA等)1.服務(wù)最小化-1Alerter警報(bào)器服務(wù)）：局域網(wǎng)中當(dāng)系統(tǒng)發(fā)生問(wèn)題時(shí)向系統(tǒng)管理員發(fā)出警報(bào)application management-用于設(shè)定，發(fā)布和刪除軟件服務(wù): msi文件格式automatic updates -windows自動(dòng)更新background intelligent transfer service-這個(gè)服務(wù)原是用來(lái)實(shí)現(xiàn)http1.1服務(wù)器之間的信息傳輸，微軟稱支持windows更新時(shí)斷點(diǎn)續(xù)傳 clipbook - 用與局域網(wǎng)電腦來(lái)共享 粘貼/剪貼的內(nèi)容1.服務(wù)最小化-2com

2、+Event system-一些 COM+軟件需要，檢查你的 c:program filesComPlus Applications 目錄，沒(méi)東西可以把這個(gè)服務(wù)關(guān)閉 COM+Event system application同上 COmputer browser用來(lái)瀏覽局域網(wǎng)電腦的服務(wù)，但關(guān)了也不影響瀏覽！DHCP client靜態(tài)IP就不需要了Distributed link tracking client用于局域網(wǎng)更新連接信息，比如在電腦有個(gè)文件，在做了個(gè)連接，如果文件移動(dòng)了，這個(gè)服務(wù)將會(huì)更新信息。1.服務(wù)最小化-3Distributed Transaction coordinator-并列

3、事務(wù)DNS Client域名系統(tǒng)客戶端）：將域名解析為IP地址。Event Log事件日志）：該服務(wù)能記錄程序和系統(tǒng)發(fā)送的出錯(cuò)消息。Fax Service傳真服務(wù)）Indexing Service索引服務(wù)）Internet Connection SharingInternet連接共享）1.服務(wù)最小化-4IPSEC Policy AgentIP安全策略代理）：該代理服務(wù)允許IP安全策略對(duì)兩臺(tái)計(jì)算機(jī)之間傳輸?shù)臄?shù)據(jù)包進(jìn)行加密，從而防止在網(wǎng)上看到它的人對(duì)它進(jìn)行更改和破譯。Logical Disk manager磁盤(pán)管理服務(wù)Logical Disk Logical Disk manager admini

4、strative service同上。 Messenger信使服務(wù)）Net Logon網(wǎng)絡(luò)登陸）NetMeeting Remote Desktop SharingNetMeeting遠(yuǎn)程桌面共享）1.服務(wù)最小化-5Network Connections網(wǎng)絡(luò)連接）：它管理著“網(wǎng)絡(luò)和撥號(hào)連接文件夾中的所有對(duì)象。Network DDE網(wǎng)絡(luò)動(dòng)態(tài)數(shù)據(jù)交換和Network DDE DSDM：網(wǎng)絡(luò)動(dòng)態(tài)數(shù)據(jù)交換服務(wù)是一種為DDE對(duì)話提供網(wǎng)絡(luò)傳輸和安全的服務(wù)。NT LM Security support providerPerformance logs and alerts記錄機(jī)器運(yùn)行狀況而且定時(shí)寫(xiě)入日志或發(fā)警

5、告Plug and Play - 自動(dòng)查測(cè)新裝硬件，即插即用Print Spooler -打印機(jī)用的1.服務(wù)最小化-6Protected Storage儲(chǔ)存本地密碼和網(wǎng)上服務(wù)密碼的服務(wù)，包括填表時(shí)的“自動(dòng)完成功能QoS RSVPRemote access auto connection managerRemote Access Connection ManagerRemote Procedure Call （RPC）（遠(yuǎn)程過(guò)程調(diào)用）Remote Procedure Call LOCATOR-管理RPC數(shù)據(jù)庫(kù)服務(wù)Remote Registry Service遠(yuǎn)程注冊(cè)表服務(wù)）1.服務(wù)最小化-7re

6、movable storage一般情況下不用，磁帶備份用的。 Run As Service以其他用戶身份運(yùn)行服務(wù)的服務(wù)）security accounts manager存儲(chǔ)本地用戶帳戶的安全信息。server -局域網(wǎng)文件打印共享需要的Smart Card和Smart Card Helper：這兩個(gè)服務(wù)提供對(duì)智能卡設(shè)備的支持system event notification記錄用戶登錄注銷(xiāo)重起關(guān)機(jī)信息1.服務(wù)最小化-8Task Scheduler計(jì)劃任務(wù)）TCP/IP NetBIOS Helper ServiceTCPIP NetBIOS支持服務(wù)）Telephony）Telnet：該 服務(wù)允

7、許您從遠(yuǎn)程計(jì)算機(jī)上登錄以本系統(tǒng)并且使用命令行方式操作這臺(tái)計(jì)算機(jī)。Uninterruptible Power Supply不間斷電源）Windows Installer -windows的安裝服務(wù)，建議設(shè)成手動(dòng)1.服務(wù)最小化-9Windows Management InstrumentationWindows管理規(guī)范和Windows Management Instrumentation Driver ExtensionsWindows管理規(guī)范驅(qū)動(dòng)程序擴(kuò)展）：WMI是Win2K中的基 礎(chǔ)管理結(jié)構(gòu)，它通過(guò)一組常用接口控制和監(jiān)視系統(tǒng)如對(duì)系統(tǒng)屬性的查看與更改、設(shè)置用戶權(quán)限等）。windows time

8、-網(wǎng)上時(shí)間校對(duì)Workstation -很多服務(wù)都依靠這個(gè)服務(wù)，支持聯(lián)網(wǎng)和打印文件共享的2.系統(tǒng)加固-（防火墻）硬件防火墻軟件防火墻2.系統(tǒng)加固-(IIS)1.IIS Lock Tool2.系統(tǒng)加固-(IIS Lock 1)2.系統(tǒng)加固-(IIS Lock 2)2.系統(tǒng)加固-(IIS Lock 3)2.系統(tǒng)加固-(IIS URL Scan 1)System32/InetSvr/URLScan目錄下找到以下文件：urlscan.dll：動(dòng)態(tài)連接庫(kù)文件；urlscan.inf：安裝信息文件； urlscan.txt：軟件說(shuō)明文件；urlscan.ini：軟件配置文件，這個(gè)文件很只要，因?yàn)閷?duì)URLS

9、can的所有配置，均有這個(gè)文件來(lái)完成。2.系統(tǒng)加固-(IIS URL Scan 2)urlscan配置文件的構(gòu)造形式(urlscan.ini)配置文件修改以后，必須重新啟動(dòng)IIS，使配置生效；配置文件由以下各節(jié)組成：Option節(jié)，主要設(shè)置節(jié)；AllowVerbs節(jié)，配置認(rèn)定為合法URL規(guī)則設(shè)定DenyVerbs節(jié)，配置認(rèn)定為非法URL規(guī)則設(shè)定關(guān)；DenyHeaders節(jié)，配置認(rèn)定為非法的header；AllowExtensions節(jié)，配置認(rèn)定為合法的文件擴(kuò)展名設(shè)置；DenyExtensions節(jié)，配置認(rèn)定為非法的文件擴(kuò)展名設(shè)置；2.系統(tǒng)加固-(IIS URL Scan 3)具體配置（1Opt

10、ion節(jié)的配置UseAllowVerbs：使用允許模式檢查URL請(qǐng)求如果設(shè)置為1,所有沒(méi)有在AllowVerbs節(jié)設(shè)置的請(qǐng)求都被拒絕；如果設(shè)置為0，所有沒(méi)有在DenyVerbs設(shè)置的URL請(qǐng)求都認(rèn)為合法；默認(rèn)為1;UseAllowExtensions：使用允許模式檢測(cè)文件擴(kuò)展名；EnableLogging：是否允許使用Log文件AllowLateScanning：允許其他URL過(guò)濾在URLScan過(guò)濾之前進(jìn)行，系統(tǒng)默認(rèn)為不允許0;2.系統(tǒng)加固-(IIS URL Scan 4)（2）AllowVerbs節(jié)配置如果UseAllowVerbs設(shè)置為1,此節(jié)設(shè)置的所有請(qǐng)求將被允許，一般設(shè)置以下請(qǐng)求：G

11、ET、HEAD、POST（3）DenyVerbs節(jié)配置如果UseAllowVerbs設(shè)置為0，此節(jié)設(shè)置的所有請(qǐng)求將拒絕，一般設(shè)置以下請(qǐng)求：PROPFIND、PROPPATCH、MKCOL、DELETE、PUT、COPY、MOVE、LOCK、UNLOCK2.系統(tǒng)加固-(IIS URL Scan 5)（4）AllowExtensions節(jié)設(shè)置在這一節(jié)設(shè)置的所有擴(kuò)展名文件將被允許請(qǐng)求，一般設(shè)置以下請(qǐng)求：.asp、.htm、.html、.txt、.jpg、.jpeg、.gif，（5）DenyExtensions節(jié)設(shè)置 在這一節(jié)設(shè)置的所有擴(kuò)展名文件請(qǐng)求將被拒絕，根據(jù)已經(jīng)發(fā)現(xiàn)的漏洞，我們可以在這一節(jié)增加內(nèi)

12、容，一般為以下設(shè)置： .asa、可執(zhí)行文件、批處理文件、日志文件、罕見(jiàn)擴(kuò)展如：shtml、.printer等。3.安全檢查工具(MBSA)3.安全檢查工具(MBSA)23.安全檢查工具(MBSA)33.安全檢查工具(MBSA)43.安全檢查工具(其它)其它檢查掃描工具 1. Twwwscan 針對(duì)web服務(wù) 2.Fport 和 Portscan 查看服務(wù)器開(kāi)放端口3.安全檢查工具(twwwscan)example 1 : twwwscan 80example 2 : twwwscan 80 -vexample 3 : twwwscan target 80 -n -n -pwexample 4 : twwwscan virtual.yourhost 8080 -v -t3 -puexample 5 : twwwscan idstest.yourhost 80 -v -t1 -pa -ids3.安全檢查工具(fport)C:fportFPort v2.0 - TCP/IP Process to Port MapperCopyright 2000 by Foundstone, Inc.foundstonePid Proces