Web服務(wù)器作用相當(dāng)突出，如果允許別人自由執(zhí)行關(guān)機(jī)操作的話，一定會(huì)影響整個(gè)網(wǎng)絡(luò)用戶的正常工作。為了不讓別人自由關(guān)閉Web服務(wù)器，請(qǐng)問如何讓系統(tǒng)“開始”菜單中的關(guān)機(jī)命令隱藏起來？

答：打開系統(tǒng)組策略控制臺(tái)窗口，將鼠標(biāo)定位到“本地計(jì)算機(jī)策略”、“用戶配置”、“管理模板”、“開始菜單和任務(wù)欄”分支上，打開“刪除并阻止訪問‘關(guān)機(jī)’、‘重新啟動(dòng)’、‘睡眠’和‘休眠’命令”組策略屬性對(duì)話框，選中“已啟用”選項(xiàng)，單擊“確定”按鈕后關(guān)閉設(shè)置對(duì)話框即可。

有的用戶會(huì)通過Web訪問方式，遠(yuǎn)程管理網(wǎng)絡(luò)打印機(jī)，可是該訪問方式容易被非法用戶利用，從而威脅到計(jì)算機(jī)系統(tǒng)運(yùn)行安全，請(qǐng)問如何禁止普通用戶啟用這項(xiàng)功能？

答：在網(wǎng)絡(luò)打印機(jī)所在計(jì)算機(jī)系統(tǒng)中，逐一選擇“開始”、“運(yùn)行”選項(xiàng)，彈出系統(tǒng)運(yùn)行對(duì)話框，輸入“regedit”命令并回車，開啟注冊(cè)表編輯器運(yùn)行狀態(tài)。依次跳轉(zhuǎn)到“HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoft” 注冊(cè)表節(jié)點(diǎn)上，用鼠標(biāo)右擊“Microsoft”選項(xiàng)，從彈出右鍵菜單中逐一單擊“新建”、“項(xiàng)”命令，創(chuàng)建好“Windows NT”子項(xiàng)。

同 樣 地，在“Windows NT”子項(xiàng)下面手工創(chuàng)建好“Printers” 項(xiàng)， 并 在該子項(xiàng)右側(cè)區(qū)域創(chuàng)建好“DisableWebPrinting”雙字節(jié)值，同時(shí)將它的數(shù)值調(diào)整為“1”，最后刷新系統(tǒng)注冊(cè)表，就能禁止普通用戶啟用網(wǎng)絡(luò)打印機(jī)的Web打印與管理功能了。

一些黑客之所以能夠輕松進(jìn)入Web站點(diǎn)的后臺(tái)系統(tǒng)，主要是這類Web站點(diǎn)使用了默認(rèn)的登錄賬號(hào)和密碼，站點(diǎn)后臺(tái)路徑使用的也是“/admin/login.asp”之類的域名，這些信息很容易被黑客猜測(cè)到。請(qǐng)問如何才能防止黑客通過默認(rèn)設(shè)置對(duì)Web站點(diǎn)發(fā)動(dòng)惡意攻擊呢？

答：首先不要使用“admin”之類的默認(rèn)管理賬號(hào)，一定要將這類管理賬號(hào)名稱修改為十分復(fù)雜的名稱，同時(shí)也要將對(duì)應(yīng)賬號(hào)的密碼設(shè)置得足夠健壯，以避免被黑客輕易破解成功。其次要善于將網(wǎng)站后臺(tái)路徑隱藏起來，例如將“l(fā)ogin.asp”等重要文件，隱藏到不容易被人猜測(cè)出來的較深層次目錄中，而且還要將重要文件名稱修改一下，以防止黑客依照網(wǎng)站模板系統(tǒng)輕易找到后臺(tái)入口。

為了保證Web服務(wù)器的訪問安全性和穩(wěn)定性，請(qǐng)問怎樣對(duì)IIS站點(diǎn)的同時(shí)訪問人數(shù)進(jìn)行限制？

答：打開IIS平臺(tái)管理窗口，找到特定Web服務(wù)器站點(diǎn)名稱，用鼠標(biāo)右鍵單擊之，選擇快捷菜單中的“屬性”命令，切換到Web站點(diǎn)屬性設(shè)置框。點(diǎn)擊“性能”選項(xiàng)卡，在對(duì)應(yīng)標(biāo)簽頁(yè)面的“網(wǎng)站連接”位置處，選中“連接限制為”選項(xiàng)，同時(shí)在對(duì)應(yīng)選項(xiàng)旁邊的文本框中，輸入合適的同時(shí)在線人數(shù)，比方說輸入“50”，確認(rèn)后保存設(shè)置操作。重新啟動(dòng)服務(wù)器系統(tǒng)，這樣基于IIS平臺(tái)的Web站點(diǎn)日后就只能允許50個(gè)用戶同時(shí)在線訪問了，當(dāng)在線訪問的人數(shù)超過該數(shù)值時(shí)，后續(xù)用戶的訪問請(qǐng)求將會(huì)被服務(wù)器強(qiáng)行拒絕。

Web服務(wù)器要想安全運(yùn)行，一定要經(jīng)過合適配置，一旦配置丟失或損壞，它就無法安全對(duì)外服務(wù)了。為了保護(hù)Web服務(wù)器配置信息的安全，我們應(yīng)該怎樣快速備份Web服務(wù)器的配置信息？

答：使 用IIS Export Utility工具，可以快速備份IIS服務(wù)器中Web站點(diǎn)的配置信息，它適用于IIS4、IIS5、IIS6等不同版本。在使用該工具備份Web站點(diǎn)配置時(shí)，先從網(wǎng)上下載安裝好IIS Export Utility工具，啟動(dòng)運(yùn)行它，在主操作界面“Import from”位置處，選擇“An IIS Server”標(biāo)簽，在對(duì)應(yīng)設(shè)置區(qū)域處輸入Web服務(wù)器主機(jī)名稱或IP地址，同時(shí)設(shè)置好IIS站點(diǎn)版本類型，例如選擇IIS4、IIS5或 IIS6，從“Type of site”位置處選中站點(diǎn)類型，正常應(yīng)該選“WWW”，點(diǎn)擊“Lists Sites”按鈕，從列表框中選擇需要備份的特定站點(diǎn)名稱，在這里可以選中多個(gè)站點(diǎn)同時(shí)備份。

接著在“Export to”位置處選“Database”標(biāo)簽，在對(duì)應(yīng)標(biāo)簽設(shè)置區(qū)域選IIS版本類型，這里的設(shè)置一定要和之前的設(shè)置相同。之后，進(jìn)入“Another IIS Server”選項(xiàng)設(shè)置頁(yè)面，在這里輸入新站點(diǎn)名稱，也可以使用原始站點(diǎn)名稱，再選中“Create as new webs”選項(xiàng)，同時(shí)選中有效IIS版本號(hào)，最后單擊“Export”按鈕，結(jié)束IIS指定Web站點(diǎn)配置信息的備份任務(wù)。

日后需要還原Web站點(diǎn)配置信息時(shí)，只要打開對(duì)應(yīng)程序主操作界面，選擇“Import from”位置處的“Database”標(biāo)簽，在“Type of site”框選擇“WWW”選項(xiàng)，點(diǎn)擊“List Sites”按鈕，從“Available Sites”位置處導(dǎo)入之前的備份文件。接著在“Export Server”設(shè)置項(xiàng)處輸入本地計(jì)算機(jī)名稱，并選中“Overwrite existing webs”選項(xiàng)，最后點(diǎn)擊“Export”按鈕，結(jié)束Web站點(diǎn)的配置還原操作。

現(xiàn)在很多Web服務(wù)器都有目錄遍歷漏洞，黑客通過該漏洞，能在Web站點(diǎn)所有目錄中自由跳轉(zhuǎn)訪問，從而尋找獲取conn.asp之類的重要文件，以竊取Web服務(wù)器數(shù)據(jù)庫(kù)的隱私內(nèi)容。為了防范Web服務(wù)器安全，請(qǐng)問如何預(yù)防目錄遍歷漏洞攻擊？

答：首先為Web服務(wù)器主目錄進(jìn)行合適授權(quán)，為普通用戶授予的訪問權(quán)限越低越好。在進(jìn)行該操作時(shí)，先打開系統(tǒng)資源管理器窗口，找到指定Web站點(diǎn)主目錄文件夾，打開它的右鍵菜單，點(diǎn)擊“屬性”命令，彈出主目錄屬性設(shè)置框，刪除“everyone”帳號(hào)對(duì)服Web務(wù)器所有分區(qū)的訪問權(quán)限。

其 次 為“I U S R_SERVERNAME”賬號(hào)分配“讀取”、“寫入”、“列出文件夾目錄”等權(quán)限，但一定要取消“完全控制”、“讀取和運(yùn)行”等權(quán)限。

第三對(duì)于那些不需要利用Web方式寫入內(nèi)容的文件夾，只需要為“IUSR_SERVERNAME”賬號(hào)授予“列出文件夾目錄”、“讀取”等權(quán)限即可。同樣地，為其他合法可信的用戶授予恰當(dāng)?shù)脑L問權(quán)限。此外，還應(yīng)限制用戶將提交的參數(shù)作為文件名使用，特別是要仔細(xì)檢查那些存在“..”、“../”、“/”等關(guān)鍵字符的目錄路徑。

很多黑客常常會(huì)先通過竊取Web服務(wù)器主目錄訪問權(quán)限，來悄悄修改Web站點(diǎn)頁(yè)面內(nèi)容。為了不讓黑客輕易修改Web站點(diǎn)主頁(yè)面內(nèi)容，請(qǐng)問如何控制Web網(wǎng)站的主目錄訪問權(quán)限？

答：首先打開Web服務(wù)器所在主機(jī)系統(tǒng)的IIS控制臺(tái)窗口，展開本地主機(jī)分支下的特定Web網(wǎng)站，打開它的右鍵菜單，點(diǎn)擊“屬性”命令，切換到特定站點(diǎn)的屬性對(duì)話框，選擇“目錄安全性”標(biāo)簽，在對(duì)應(yīng)標(biāo)簽頁(yè)面的“匿名訪問和身份驗(yàn)證控制”設(shè)置項(xiàng)處，點(diǎn)擊“編輯”按鈕，進(jìn)入驗(yàn)證控制設(shè)置對(duì)話框，在這里刪除所有用戶賬號(hào)，再將合法可信用戶賬號(hào)導(dǎo)入進(jìn)來，這樣可以禁止黑客通過匿名方式訪問Web站點(diǎn)。

之后正確設(shè)置Web服務(wù)器的程序映射功能，阻止黑客隨意進(jìn)行程序映射操作。一般來說，只要讓W(xué)eb服務(wù)器允許.NET程序映射就足夠了，將其他用不到的程序映射依次刪除，謹(jǐn)防它們被黑客悄悄使用。要做到這一點(diǎn)，可以在特定Web站點(diǎn)的屬性對(duì)話框中，選擇“主目錄”標(biāo)簽，在其后出現(xiàn)的標(biāo)簽頁(yè)面中，單擊“應(yīng)用程序設(shè)置”設(shè)置項(xiàng)處的“配置”按鈕，切換到應(yīng)用程序映射對(duì)話框，從中選擇與ASPX關(guān)聯(lián)的功能選項(xiàng)，如果不能找到對(duì)應(yīng)功能選項(xiàng)時(shí)，那就說明Web服務(wù)器所在的IIS系統(tǒng)控件還不能支持.NET功能，此時(shí)可以嘗試將IIS系統(tǒng)版本升級(jí)到最新版本。

為了提高管理效率，網(wǎng)管員經(jīng)常會(huì)用遠(yuǎn)程桌面連接程序，對(duì)Web服務(wù)器進(jìn)行遠(yuǎn)程控制。而遠(yuǎn)程控制會(huì)用到默認(rèn)的3389端口，為了防止惡意用戶趁機(jī)利用該端口，對(duì)Web服務(wù)器發(fā)動(dòng)惡意攻擊，請(qǐng)問如何將該端口修改成陌生號(hào)碼？

答：很簡(jiǎn)單！在Web服務(wù)器所在主機(jī)系統(tǒng)中，打開系統(tǒng)注冊(cè)表編輯窗口，將鼠標(biāo)定位到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminalServerWds dpwdTds cp注冊(cè)表分支上，雙擊目標(biāo)分支下的PortNumber鍵值，在彈出的編輯鍵值對(duì)話框中，輸入新的端口號(hào)碼，比方說輸入“8564”，確認(rèn)后保存設(shè)置操作。之后，將鼠標(biāo)定位 到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp注 冊(cè)表分支上，雙擊目標(biāo)分支下的PortNumber鍵值，在彈出的編輯鍵值對(duì)話框中，也輸入“8564”，確認(rèn)后保存設(shè)置操作，最后重新啟動(dòng)計(jì)算機(jī)系統(tǒng)即可。

有的用戶在訪問某個(gè)Web站點(diǎn)時(shí)，沒有看到對(duì)應(yīng)站點(diǎn)的主頁(yè)面內(nèi)容，而是看到了身份驗(yàn)證對(duì)話框，不知道這是怎么回事，請(qǐng)問如何取消登錄驗(yàn)證對(duì)話框？

答：這很可能是特定Web站點(diǎn)在安全登錄方面沒有配置正確。此時(shí)可以打開服務(wù)器主機(jī)的IIS主控臺(tái)窗口，從該窗口的左側(cè)列表區(qū)域，找到特定Web站點(diǎn)名稱，打開它的右鍵菜單，選擇“屬性”命令，切換到Web站點(diǎn)屬性設(shè)置框，單擊“目錄安全性”標(biāo)簽，打開目錄安全性標(biāo)簽頁(yè)面。單擊“身份驗(yàn)證和訪問控制”位置處的“編輯”按鈕，展開身份驗(yàn)證和訪問控制設(shè)置界面，檢查這里的“匿名訪問”、“集成Windows驗(yàn)證”等選項(xiàng)是否處于選中狀態(tài)，如果發(fā)現(xiàn)它們已被選中，不妨嘗試取消它們的選中狀態(tài)進(jìn)行測(cè)試，相信這樣操作就能取消登錄驗(yàn)證對(duì)話框。

筆者在單位局域網(wǎng)部署了一個(gè)Web站點(diǎn)，域名解析一切正常，只是本地網(wǎng)絡(luò)運(yùn)行商因?yàn)榘踩蛩仃P(guān)閉了80端口。所以，筆者在訪問自己部署的Web網(wǎng)站時(shí)，只能用帶端口的域名進(jìn)行訪問，例如使用“www.xxx.com:8080”，嘗 試 直 接 用“www.xxx.com”域名訪問不了。想問一下，如何才能成功使用“www.xxx.com”域名進(jìn)行Web訪問，是不是一定要讓本地運(yùn)營(yíng)商開通80服務(wù)端口啊？

答：這個(gè)一定要本地網(wǎng)絡(luò)運(yùn)行商給開通80端口，才能使用“www.xxx.com”域名訪問，否則必須要在域名上加端口才行。

在對(duì)Web站點(diǎn)中的SQL服務(wù)器數(shù)據(jù)庫(kù)執(zhí)行語句查詢操作時(shí)，有時(shí)容易發(fā)生不安全穩(wěn)定現(xiàn)象，請(qǐng)問如何有效避免這種現(xiàn)象？

答：遇到這類現(xiàn)象時(shí)，首先應(yīng)該從SQL語句和數(shù)據(jù)表的結(jié)構(gòu)上尋找故障原因，優(yōu)化SQL語句和為數(shù)據(jù)庫(kù)的查詢字段建索引是最常用的辦法。此外，數(shù)據(jù)庫(kù)的查詢超時(shí)設(shè)置一般是SQL Server自己維護(hù)的，只有當(dāng)用戶的實(shí)際查詢時(shí)間超過估計(jì)查詢時(shí)間的25倍時(shí)，才會(huì)超時(shí)。而引起超出估計(jì)值那么多的原因有兩種可能：一是估計(jì)時(shí)間不準(zhǔn)確；二是SQL語句涉及到大量占用內(nèi)存的查詢，比方說排序和哈希操作，內(nèi)存不夠，需要排隊(duì)等待資源造成的。要解決上面的問題，可以優(yōu)化語句，創(chuàng)建使用合適的索引。第二增加服務(wù)器系統(tǒng)內(nèi)存資源。第三更新要查詢表的索引分發(fā)統(tǒng)計(jì)，保證估計(jì)時(shí)間的正確性。

在Windows Server 2003系統(tǒng)環(huán)境下，如果服務(wù)器系統(tǒng)的授權(quán)模式設(shè)置不正確，也容易引起Web訪問的安全事故。請(qǐng)問如何檢查Web服務(wù)器系統(tǒng)的授權(quán)模式配置？

答：先以系統(tǒng)管理員權(quán)限登錄Web服務(wù)器系統(tǒng)，依次單擊“開始”、“設(shè)置”、“控制面板”選項(xiàng)，打開系統(tǒng)控制面板窗口，雙擊其中的“授權(quán)”圖標(biāo)，切換到授權(quán)模式配置對(duì)話框，檢查特定Web站點(diǎn)當(dāng)前使用的授權(quán)模式是“每服務(wù)器”，還是“每設(shè)備或用戶”，如果改變授權(quán)模式配置后，Web訪問失敗故障現(xiàn)象自動(dòng)消失，那就表示之前的Web訪問故障，真的與Web服務(wù)器系統(tǒng)授權(quán)模式配置有關(guān)。

請(qǐng)問如何防止黑客對(duì)Web站點(diǎn)系統(tǒng)進(jìn)行注入攻擊？

答：大家知道，當(dāng)Web站點(diǎn)系統(tǒng)自身存在注入漏洞時(shí)，那么黑客就能利用啊D之類的注入檢測(cè)工具，來猜測(cè)Web站點(diǎn)數(shù)據(jù)庫(kù)以及相關(guān)隱私信息，并利用這些信息猜測(cè)數(shù)據(jù)庫(kù)后臺(tái)登錄地址，導(dǎo)致Web站點(diǎn)系統(tǒng)最后被攻陷。

要想防止黑客對(duì)Web站點(diǎn)系統(tǒng)進(jìn)行注入攻擊，最有效的辦法就是通過防注入程序，對(duì)一些特殊的命令或字符進(jìn)行過濾，比方說拒絕提交“insert”、“select”、“and”、“or”等關(guān)鍵字，并將它們定義為非法字符。

現(xiàn)在有些Web站點(diǎn)是架設(shè)在Windows 2008系統(tǒng)中的，善于借助該系統(tǒng)的遠(yuǎn)程服務(wù)網(wǎng)關(guān)功能，管理員能通過HTTPS方式安全穩(wěn)定地建立與Web站點(diǎn)的遠(yuǎn)程連接。請(qǐng)問在該系統(tǒng)中，為什么用遠(yuǎn)程服務(wù)網(wǎng)關(guān)功能，比用傳統(tǒng)的遠(yuǎn)程桌面連接或VPN連接方式，遠(yuǎn)程管理Web站點(diǎn)更安全呢？

答：大家知道，通過遠(yuǎn)程桌面連接方式遠(yuǎn)程管理Web站點(diǎn)時(shí)，需要開放Web服務(wù)器的TCP端口3389，而直接向Internet網(wǎng)絡(luò)開放TCP 3389端口，容易遭來安全威脅。而使用VPN連接方式遠(yuǎn)程管理Web站點(diǎn)時(shí)，雖然連接性能比較安全，同時(shí)遠(yuǎn)程管理更加靈活，但有時(shí)候?qū)嵤┢饋聿⒉惶奖?，畢竟不少公共Internet無線上網(wǎng)節(jié)點(diǎn)并沒有開啟PPTP或L2TP通信端口，同時(shí)有的公共網(wǎng)絡(luò)也不能正常初始化VPN連接。

相比之前的兩種遠(yuǎn)程連接方式，Web站點(diǎn)所在服務(wù)器系統(tǒng)的遠(yuǎn)程服務(wù)網(wǎng)關(guān)功能，既安全又通用，該功能將RDP封裝在HTTPS中，管理員能利用HTTPS的端口TCP 443端口與遠(yuǎn)程服務(wù)網(wǎng)關(guān)服務(wù)器建立連接，遠(yuǎn)程服務(wù)網(wǎng)關(guān)對(duì)普通計(jì)算機(jī)系統(tǒng)進(jìn)行身份驗(yàn)證，從HTTPS中解壓RDP，之后在TCP 3389端口上將連接轉(zhuǎn)發(fā)給目標(biāo)資源。借助遠(yuǎn)程服務(wù)網(wǎng)關(guān)，普通計(jì)算機(jī)系統(tǒng)只需要訪問TCP 443端口，就能與Web站點(diǎn)建立一個(gè)安全的RDP會(huì)話。此外，善于利用遠(yuǎn)程服務(wù)網(wǎng)關(guān)的身份驗(yàn)證功能，可以有效提升Web站點(diǎn)遠(yuǎn)程管理的穩(wěn)定性和安全性。

在使用IE瀏覽器訪問Web頁(yè)面內(nèi)容時(shí)，一些潛藏在Web頁(yè)面背后的病毒、木馬程序，可能會(huì)自動(dòng)下載到本地硬盤，日后這些惡意內(nèi)容可能會(huì)威脅本地計(jì)算機(jī)的運(yùn)行安全。請(qǐng)問如何禁止Web頁(yè)面中的內(nèi)容自動(dòng)下載存儲(chǔ)到本地硬盤中？

答：首先使用“Win+R”快捷鍵，調(diào)用系統(tǒng)運(yùn)行文本框，在其中執(zhí)行“gpedit.msc”命令，開啟系統(tǒng)組策略編輯器運(yùn)行狀態(tài)。在該編輯窗口左側(cè)列表中，將鼠標(biāo)定位到“本地計(jì)算機(jī)策略”、“計(jì)算機(jī)配置”、“管理模板”、“Windows組件”、“Internet Explorer”、“安 全功能”、“限制文件下載”分支上。雙擊該分支下的“Internet Explorer進(jìn)程”組策略，打開“Internet Explorer進(jìn)程”屬性對(duì)話框，選中“已啟用”選項(xiàng)，單擊“確定”按鈕返回，這樣就能禁止來自Web頁(yè)面中的內(nèi)容自動(dòng)下載存儲(chǔ)到本地硬盤中了。

某 臺(tái)Windows Server 2003主機(jī)系統(tǒng)中部署了兩個(gè)Web站點(diǎn)，這兩個(gè)站點(diǎn)同時(shí)使用80端口，會(huì)不會(huì)造成端口上的安全沖突??？

答：為了避免端口安全沖突，可以將其中一個(gè)站點(diǎn)設(shè)置成使用80端口，另外一個(gè)站點(diǎn)設(shè)置使用8080端口。只要進(jìn)入IIS控制臺(tái)窗口，用鼠標(biāo)右鍵單擊目標(biāo)站點(diǎn)，執(zhí)行快捷菜單中的“屬性”命令，在其后界面中將默認(rèn)的“80”端口設(shè)置為“8080”，另外一個(gè)站點(diǎn)就不用調(diào)整了，直接使用“80”端口。

當(dāng)然，也可以通過DNS來設(shè)置不同的主機(jī)頭，也就是別名同時(shí)指向一臺(tái)主機(jī)，這樣可以同時(shí)用一個(gè)IP地址的相同端口了。

Windows Server 2003系統(tǒng)默認(rèn)會(huì)自動(dòng)運(yùn)行IIS服務(wù)，但在實(shí)際管理Web站點(diǎn)時(shí)，經(jīng)常會(huì)發(fā)現(xiàn)IIS服務(wù)無法自啟動(dòng)，這在一定程度上會(huì)影響Web服務(wù)的安全穩(wěn)定性。請(qǐng)問怎樣避免這種不安全性呢？

答：首先以超級(jí)用戶身份登錄進(jìn)入Web站點(diǎn)所在服務(wù)器主機(jī)，打開系統(tǒng)運(yùn)行對(duì)話框，輸入“Services.msc”命令并回車，展開系統(tǒng)服務(wù)列表界面。用鼠標(biāo)右鍵單擊“World Wide Web Publishing Service”服務(wù)選項(xiàng)，點(diǎn)擊右鍵菜單中的“屬性”命令，進(jìn)入對(duì)應(yīng)服務(wù)屬性設(shè)置窗口，單擊“常規(guī)”標(biāo)簽，檢查該標(biāo)簽頁(yè)面中的“World Wide Web Publishing Service”運(yùn)行狀態(tài)是否正常，一旦看到其運(yùn)行不正常時(shí)，只要點(diǎn)擊“啟動(dòng)”按鈕，將目標(biāo)系統(tǒng)服務(wù)啟用成功，同時(shí)將“啟動(dòng)類型”調(diào)整為“自動(dòng)”，單擊“確定”按鈕保存好上述設(shè)置操作即可。

某Web站 點(diǎn) 部 署 在Windows 2008系 統(tǒng) 中，當(dāng)筆者對(duì)其進(jìn)行管理維護(hù)時(shí)，經(jīng)常發(fā)現(xiàn)有來自不同網(wǎng)段的客戶機(jī)，隨意與Web站點(diǎn)建立遠(yuǎn)程桌面連接。事實(shí)上，在平時(shí)的工作中只有10.192.1.0/255.255.255.0網(wǎng)段的客戶機(jī)，才會(huì)對(duì)Web站點(diǎn)有遠(yuǎn)程管理需求。請(qǐng)問有沒有辦法讓W(xué)eb站點(diǎn)僅接受來自10.192.1.0/255.255.255.0網(wǎng)段客戶機(jī)的遠(yuǎn)程桌面連接請(qǐng)求，而拒絕其他網(wǎng)段客戶機(jī)的連接請(qǐng)求呢？

答：只要善于利用Web站點(diǎn)系統(tǒng)自帶的高級(jí)安全防火墻，就能輕松實(shí)現(xiàn)上述控制目的。首先啟用系統(tǒng)高級(jí)安全防火墻功能。依次單擊“開始”、“設(shè)置”、“控制面板”選項(xiàng)，在彈出的系統(tǒng)控制面板窗口中，雙擊Windows防火墻選項(xiàng)，在其后窗口中單擊“啟用或關(guān)閉Windows防火墻”鏈接，切換到Windows 2008系統(tǒng)防火墻基本配置窗口，選中“啟用”選項(xiàng)即可。其次對(duì)它的入站規(guī)則進(jìn)行合適設(shè)置。在Windows防火墻管理界面中，單擊“高級(jí)設(shè)置”按鈕，切換到高級(jí)防火墻設(shè)置對(duì)話框；在其中的“入站規(guī)則”列表中，用鼠標(biāo)右鍵單擊“遠(yuǎn)程桌面”選項(xiàng)，點(diǎn)選右鍵菜單中的“屬性”命令，彈出遠(yuǎn)程桌面連接屬性界面。選擇“常規(guī)”選項(xiàng)卡，在對(duì)應(yīng)選項(xiàng)設(shè)置頁(yè)面中，將“常規(guī)”位置處的“已啟用”選中，再將“操作”處的“只允許安全連接”選中。接著選擇“作用域”選項(xiàng)卡，在對(duì)應(yīng)選項(xiàng)設(shè)置頁(yè)面的“遠(yuǎn)程IP地址”文本框中，輸入合適的IP地址即可，比方說，要是我們希望只允許10.192.1.0網(wǎng)段的客戶機(jī)與服務(wù)器系統(tǒng)建立遠(yuǎn)程桌面連接時(shí)，那只要在這里輸入10.192.1.0/255.255.255.0”，再單擊“確定”按鈕保存設(shè)置即可。

在局域網(wǎng)環(huán)境中，終端計(jì)算機(jī)的隨意性和復(fù)雜性很強(qiáng)，由終端計(jì)算機(jī)自身安全漏洞引起的病毒木馬攻擊，給Web訪問的安全帶來了很大的威脅，請(qǐng)問如何才能有效降低這種安全威脅？

答：很簡(jiǎn)單！只要及時(shí)為終端計(jì)算機(jī)和Web服務(wù)器安裝更新漏洞補(bǔ)丁，修補(bǔ)系統(tǒng)薄弱環(huán)節(jié)，切斷病毒木馬攻擊通道即可。因?yàn)榧皶r(shí)升級(jí)漏洞補(bǔ)丁，非法攻擊通道就會(huì)被自動(dòng)切斷，那么病毒木馬就不能通過專業(yè)的漏洞掃描工具，獲得被攻擊目標(biāo)的系統(tǒng)漏洞，那么它們就無法沿著漏洞通道進(jìn)行非法攻擊。因?yàn)榧皶r(shí)升級(jí)漏洞補(bǔ)丁，可以將Web網(wǎng)站的所有漏洞全部堵上，那么黑客或木馬程序就無法通過Web漏洞，對(duì)Web站點(diǎn)執(zhí)行跨站腳本攻擊，或者進(jìn)行SQL注入，或進(jìn)行網(wǎng)站掛馬，或進(jìn)行CGI攻擊。因?yàn)榧皶r(shí)升級(jí)漏洞補(bǔ)丁，狙擊波、震蕩波、沖擊波之類的流行病毒，就無法通過系統(tǒng)漏洞，將漏洞代碼發(fā)送給終端或Web服務(wù)器，強(qiáng)制其產(chǎn)生緩沖區(qū)溢出，并執(zhí)行病毒代碼內(nèi)容，進(jìn)行惡意傳播擴(kuò)散了。此外，及時(shí)升級(jí)系統(tǒng)補(bǔ)丁，也能改善系統(tǒng)與程序、程序與程序之間的相互兼容性，提升系統(tǒng)或程序的運(yùn)行穩(wěn)定性。