一、从被感染的系统进行恢复或者重建
如果你的系统受到感染,你的第一步工作就是对系统进行恢复或重建,进行恢复的工作包括对病毒进行清除和对破坏的数据进行修复,如果是重建,则需要在可靠的介质中把破坏的数据从备份进行恢复,重建是个非常繁琐的工作,在某些情况下,不如你的重要数据被大量破坏,这个时候你就不得不进行重建,如果你要保证安全,重建是最好的方法,你可以按如下步骤进行:
①停止IIS服务。
②安装杀毒软件,对病毒进行查杀。
③去除不必要的共享
④有NTFS更能保护你数据的安全,建议使用NTFS格式,可以用Convert命令把FAT16/FAT32格式转换为NTFS格式。
在进行杀毒和必要的重建工作之后,你的系统安全性就有一定的提高了。
二、对系统进行更新和安装补丁包
对系统进行更新的最好方法是从IE中访问Windows UpDATE,下面列出一些必须进行更新的信息的情况。
①下载最新的补丁包,对系统进行更新。
②安装紧急升级包
③更新的你IE
④看看Windows紧急更新公告
⑤OUTLOOK:OUTLOOK不应该在IIS服务器中,应该将其删除。
⑥安装最新的资源工具包
三、检查系统是否进行了最新的更新
你应该经常看看微软的公告,并打上最新的补丁包,你还可以用Windows UPdate进行更新,但是这样比较麻烦,这里推荐一个微软的工具Net work Secunity Hotfix。
这个工具能有效的检查是否为Win NT/2000等系统的IIS,IE不上漏洞,他能检查整个域的成员的情况,功能非常强大,当你在IE中进行Windows Update时,hfntechk能为你检查系统的情况,当出现“ALL neoessary hot fixes have been applied”说明你的漏洞已经补上了,但在NT中会有一些问题出现,当你打上了最新补丁包后仍然提示让你打上补丁包,另外,有些时候还需要手动进行检查,一般情况下这个工具还是很好用的。
四、保护系统部首其他方式的攻击
下面介绍几个使用的工具和经验,保护系统的安全:
①URLScan:一个功能非常强大的工具,能为您检查系统运行HTTP服务的情况,他包括以下几个检查项目:
不正确的URLS
尝试运行一些受限制的文件,如EXE,HTA,IDA等等
一些受限制的HTTP请求,现在一般所能进行的请求是GET、POST和HEAD
②IIS Lockdown:这个工具能保护系统不受尼姆达、红色代码和其他一些有害代码的攻击,但这个工具有些愚钝,如果你愿意的话,他会关闭所有的危险项目,另外,他会把进行保护的信息提交到URLScan中。
③经验介绍:
在时间查看器中,把日志的大小设置为10MB,并且允许覆盖,每三天进行一次备份。
当CMD.EXE文件移到别的目录的时候,要确保每个用户登录的时候能用上它。
建议吧CMFD.EXE和其他一些工具移动到用户各自默认的目录中,但是千万不要移动到Adminis trator的目录中。
如果服务器上有数据库方面的服务,在进行TCP/IP过滤时,注意别把应用程序的请求也过滤掉。
用访问控制列表和文件保护对WEB页进行保护。
打开安全审核的必要选项,如用户的登录,操作等等,这对于监视有很大的帮助。
安装防火墙。
五、对系统进行监视
IIS服务器是暴露在网络上的,因此经常容易受到病毒的侵袭和人为的破坏等等,对系统进行监视成为一件非常重要的事情了,下面简要介绍一下对系统需要进行监视的几个方面:
①对病毒进行监视:目前攻击IIS服务器的病毒比较猖獗,建议打开病毒防火墙,并且对数据进行监视,一旦发现有病毒入侵或者破坏,马上采取相应的手段和措施。
②对系统时间进行监视:
对失败的登录、用户的越权操作、数据属性的修改等操作进行审核。
对非正常的操作进行查看,如不明系统的浏览请求,对数据包的不完全截取等等。
要定时查看应用程序日志。
③检查你的系统是否更新过,前面介绍过的工具Hfnetchk
④检查WEB日志,请用前面介绍过的工具URLScan
⑤利用性能监视器对系统进行监视,这个操作是管理员必备的基础操作,我就不赘述了。
作为一个网络管理员,很重要的一点就是勤,勤更新,勤检查,这些都是保证系统安全的根本。