Win2003服務(wù)器安全相關(guān)設(shè)置

[重要通告]如您遇疑難雜癥,本站支持知識付費(fèi)業(yè)務(wù),掃右邊二維碼加博主微信,可節(jié)省您寶貴時間哦!

windows server2003是目前最為成熟的網(wǎng)絡(luò)服務(wù)器平臺,安全性相對于windows 2000有大大的提高,但是2003默認(rèn)的安全配置不一定適合我們的

需要,所以,我們要根據(jù)實際情況來對win2003進(jìn)行全面安全配置。說實話,安全配置是一項比較有難度的網(wǎng)絡(luò)技術(shù),權(quán)限配置的太嚴(yán)格,好多

程序又運(yùn)行不起,權(quán)限配置的太松,又很容易被黑客入侵,做為網(wǎng)絡(luò)管理員,真的很頭痛,因此,我結(jié)合這幾年的網(wǎng)絡(luò)安全管理經(jīng)驗,總結(jié)出

以下一些方法來提高我們服務(wù)器的安全性。

第一招:正確劃分文件系統(tǒng)格式,選擇穩(wěn)定的操作系統(tǒng)安裝盤

為了提高安全性,服務(wù)器的文件系統(tǒng)格式一定要劃分成NTFS(新技術(shù)文件系統(tǒng))格式,它比FAT16、FAT32的安全性、空間利用率都大大的提高

,我們可以通過它來配置文件的安全性,磁盤配額、EPS文件加密等。如果你已經(jīng)分成FAT32的格式了,可以用CONVERT 盤符 /FS:NTFS /V 來

把FAT32轉(zhuǎn)換成NTFS格式。我們安裝時盡量只安裝我們必須要用的組件,安裝完后打上最新的補(bǔ)丁,到網(wǎng)上升級到最新版本!保證操作系統(tǒng)本身

無漏洞。

第二招:正確設(shè)置磁盤的安全性,具體如下(虛擬機(jī)的安全設(shè)置,我們以asp程序為例子)重點:

C盤只給administrators 和system權(quán)限,其他的權(quán)限不給,其他的盤也可以這樣設(shè)置,這里給的system權(quán)限也不一定需要給,只是由于某些第

三方應(yīng)用程序是以服務(wù)形式啟動的,需要加上這個用戶,否則造成啟動不了。

Windows目錄要加上給users的默認(rèn)權(quán)限,否則ASP和ASPX等應(yīng)用程序就無法運(yùn)行。以前有朋友單獨設(shè)置Instsrv和temp等目錄權(quán)限,其實沒有這

個必要的。

另外在c:/Documents and Settings/這里相當(dāng)重要,后面的目錄里的權(quán)限根本不會繼承從前的設(shè)置,如果僅僅只是設(shè)置了C盤給administrators

權(quán)限,而在All Users\Application Data目錄下會 出現(xiàn)everyone用戶有完全控制權(quán)限,這樣入侵這可以跳轉(zhuǎn)到這個目錄,寫入腳本或只文件,

再結(jié)合其他漏洞來提升權(quán)限;譬如利用serv-u的本地溢出提升權(quán)限,或系統(tǒng)遺漏有補(bǔ)丁,數(shù)據(jù)庫的弱點,甚至社會工程學(xué)等等N多方法,從前不

是有牛人發(fā)颮說:“只要給我一個webshell,我就能拿到system",這也的確是有可能的。在用做web\ftp服務(wù)器的系統(tǒng)里,建議是將這些目錄

都設(shè)置的鎖死。其他每個盤的目錄都按照這樣設(shè)置,沒個盤都只給adinistrators權(quán)限。

請找到c盤的這些文件,把安全性設(shè)置只有特定的管理員有完全操作權(quán)限

下列這些文件只允許administrators訪問

net.exe

net1.exet

cmd.exe

tftp.exe

netstat.exe

regedit.exe

at.exe

attrib.exe

cacls.exe

format.com

刪除c:\inetpub目錄,刪除iis不必要的映射,建立陷阱帳號,更改描述

第三招:禁用不必要的服務(wù),提高安全性和系統(tǒng)效率

Computer Browser 維護(hù)網(wǎng)絡(luò)上計算機(jī)的最新列表以及提供這個列表

Task scheduler 允許程序在指定時間運(yùn)行

Routing and Remote Access 在局域網(wǎng)以及廣域網(wǎng)環(huán)境中為企業(yè)提供路由服務(wù)

Removable storage 管理可移動媒體、驅(qū)動程序和庫

Remote Registry Service 允許遠(yuǎn)程注冊表操作

Print Spooler 將文件加載到內(nèi)存中以便以后打印。要用打印機(jī)的朋友不能禁用這項

IPSEC Policy Agent 管理IP安全策略以及啟動ISAKMP/OakleyIKE)和IP安全驅(qū)動程序

Distributed Link Tracking Client 當(dāng)文件在網(wǎng)絡(luò)域的NTFS卷中移動時發(fā)送通知

Com+ Event System 提供事件的自動發(fā)布到訂閱COM組件

Alerter 通知選定的用戶和計算機(jī)管理警報

Error Reporting Service 收集、存儲和向 Microsoft 報告異常應(yīng)用程序

Messenger 傳輸客戶端和服務(wù)器之間的 NET SEND 和 警報器服務(wù)消息

Telnet 允許遠(yuǎn)程用戶登錄到此計算機(jī)并運(yùn)行程序

第四招:修改注冊表,讓系統(tǒng)更強(qiáng)壯

1、隱藏重要文件/目錄可以修改注冊表實現(xiàn)完全隱藏:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-

Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”,鼠標(biāo)右擊 “CheckedValue”,選擇修改,把數(shù)值由1改為0

2、啟動系統(tǒng)自帶的Internet連接_blank">防火墻,在設(shè)置服務(wù)選項中勾選Web服務(wù)器。

3、防止SYN洪水攻擊

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

新建DWORD值,名為SynAttackProtect,值為2

EnablePMTUDiscovery REG_DWORD 0

NoNameReleaseOnDemand REG_DWORD 1

EnableDeadGWDetect REG_DWORD 0

KeepAliveTime REG_DWORD 300,000

PerformRouterDiscovery REG_DWORD 0

EnableICMPRedirects REG_DWORD 0

4. 禁止響應(yīng)ICMP路由通告報文

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface

新建DWORD值,名為PerformRouterDiscovery 值為0

5. 防止ICMP重定向報文的攻擊

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

將EnableICMPRedirects 值設(shè)為0

6. 不支持IGMP協(xié)議

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

新建DWORD值,名為IGMPLevel 值為0

7.修改終端服務(wù)端口

運(yùn)行regedit,找到[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ Wds \ rdpwd \ Tds \ tcp],看

到右邊的PortNumber了嗎?在十進(jìn)制狀態(tài)下改成你想要的端口號吧,比如7126之類的,只要不與其它沖突即可。

2、第二處HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp,方法同上,記得

改的端口號和上面改的一樣就行了。

8、禁止IPC空連接:

cracker可以利用net use命令建立空連接,進(jìn)而入侵,還有net view,nbtstat這些都是基于空連接的,禁止空連接就好了。打開注冊表,找到

Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 把這個值改成”1”即可。

9、更改TTL值

cracker可以根據(jù)ping回的TTL值來大致判斷你的操作系統(tǒng),如:

TTL=107(WINNT);

TTL=108(win2000);

TTL=127或128(win9x);

TTL=240或241(linux);

TTL=252(solaris);

TTL=240(Irix);

實際上你可以自己更改的:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters:DefaultTTL REG_DWORD 0-0xff(0

-255 十進(jìn)制,默認(rèn)值128)改成一個莫名其妙的數(shù)字如258,起碼讓那些小菜鳥暈上半天,就此放棄入侵你也不一定哦

10. 刪除默認(rèn)共享
有人問過我一開機(jī)就共享所有盤,改回來以后,重啟又變成了共享是怎么回事,這是2K為管理而設(shè)置的默認(rèn)共享,必須通過修改注冊表的方式

取消它:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters:AutoShareServer類型是REG_DWORD把值改為0

即可

11. 禁止建立空連接

默認(rèn)情況下,任何用戶通過通過空連接連上服務(wù)器,進(jìn)而枚舉出帳號,猜測密碼。我們可以通過修改注冊表來禁止建立空連接:

Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成”1”即可。

第五招:其它安全手段

1.禁用TCP/IP上的NetBIOS
網(wǎng)上鄰居-屬性-本地連接-屬性-Internet協(xié)議(TCP/IP)屬性-高級-WINS面板-NetBIOS設(shè)置-禁用TCP/IP上的NetBIOS。這樣cracker就無法用

nbtstat命令來讀取你的NetBIOS信息和網(wǎng)卡MAC地址了。

2. 賬戶安全
首先禁止一切賬戶,除了你自己,呵呵。然后把Administrator改名。我呢就順手又建了個Administrator賬戶,不過是什么權(quán)限都沒有的那種

,然后打開記事本,一陣亂敲,復(fù)制,粘貼到“密碼”里去,呵呵,來破密碼吧~!破完了才發(fā)現(xiàn)是個低級賬戶,看你崩潰不?

創(chuàng)建2個管理員用帳號

雖然這點看上去和上面這點有些矛盾,但事實上是服從上面的規(guī)則的。 創(chuàng)建一個一般權(quán)限帳號用來收信以及處理一些*常事物,另一個擁有

Administrators 權(quán)限的帳戶只在需要的時候使用。可以讓管理員使用 “ RunAS” 命令來執(zhí)行一些需要特權(quán)才能作的一些工作,以方便管理

3.更改C:\WINDOWS\Help\iisHelp\common\404b.htm內(nèi)容改為這樣,出錯了自動轉(zhuǎn)到首頁

4. 安全日志

我遇到過這樣的情況,一臺主機(jī)被別人入侵了,系統(tǒng)管理員請我去追查兇手,我登錄進(jìn)去一看:安全日志是空的,倒,請記?。篧in2000的默認(rèn)

安裝是不開任何安全審核的!那么請你到本地安全策略->審核策略中打開相應(yīng)的審核,推薦的審核是:

賬戶管理 成功 失敗

登錄事件 成功 失敗

對象訪問 失敗

策略更改 成功 失敗

特權(quán)使用 失敗

系統(tǒng)事件 成功 失敗

目錄服務(wù)訪問 失敗

賬戶登錄事件 成功 失敗

審核項目少的缺點是萬一你想看發(fā)現(xiàn)沒有記錄那就一點都沒轍;審核項目太多不僅會占用系統(tǒng)資源而且會導(dǎo)致你根本沒空去看,這樣就失去了

審核的意義

5. 運(yùn)行防毒軟件

我見過的Win2000/Nt服務(wù)器從來沒有見到有安裝了防毒軟件的,其實這一點非常重要。一些好的殺毒軟件不僅能殺掉一些著名的病毒,還能查

殺大量木馬和后門程序。這樣的話,“黑客”們使用的那些有名的木馬就毫無用武之地了。不要忘了經(jīng)常升級病毒庫,我們推薦mcafree殺毒軟

件+blackice_blank">防火墻

6.sqlserver數(shù)據(jù)庫服務(wù)器安全和serv-u ftp服務(wù)器安全配置,更改默認(rèn)端口,和管理密碼

防止Serv-U權(quán)限提升

  其實,注銷了Shell組件之后,侵入者運(yùn)行提升工具的可能性就很小了,但是prel等別的腳本語言也有shell能力,為防萬一,還是設(shè)置一

下為好。

  用UltraedIT打開ServUDaemon.exe查找Ascii:LocalAdministrator,和#l@$ak#.lk;0@P,修改成等長度的其它字符就可以了,

ServUAdmin.exe也一樣處理。

  另外注意設(shè)置Serv-U所在的文件夾的權(quán)限,不要讓IIS匿名用戶有讀取的權(quán)限,否則人家下走你修改過的文件,照樣可以分析出你的管理員

名和密碼。

7.設(shè)置ip篩選、用blackice禁止木馬常用端口

一般禁用以下端口

135 138 139 443 445 4000 4899 7626

8.本地安全策略和組策略的設(shè)置,如果你在設(shè)置本地安全策略時設(shè)置錯了,可以這樣恢復(fù)成它的默認(rèn)值.

打開 %SystemRoot%\Security文件夾,創(chuàng)建一個 "OldSecurity"子目錄,將%SystemRoot%\Security下所有的.log文件移到這個新建的子文件夾中

.

在%SystemRoot%\Security\database\下找到"Secedit.sdb"安全數(shù)據(jù)庫并將其改名,如改為"Secedit.old".

啟動"安全配置和分析"MMC管理單元:"開始"->"運(yùn)行"->"MMC",啟動管理控制臺,"添加/刪除管理單元",將"安全配置和分析"管理單元添加上.

右擊"安全配置和分析"->"打開數(shù)據(jù)庫",瀏覽"C:\WINNT\security\Database"文件夾,輸入文件名"secedit.sdb",單擊"打開".

當(dāng)系統(tǒng)提示輸入一個模板時,選擇"Setup Security.inf",單擊"打開".

如果系統(tǒng)提示"拒絕訪問數(shù)據(jù)庫",不管他.

你會發(fā)現(xiàn)在"C:\WINNT\security\Database"子文件夾中重新生成了新的安全數(shù)據(jù)庫,在"C:\WINNT\security"子文件夾下重新生成了log文件.安

全數(shù)據(jù)庫重建成功.

問題未解決?付費(fèi)解決問題加Q或微信 2589053300 (即Q號又微信號)右上方掃一掃可加博主微信

所寫所說,是心之所感,思之所悟,行之所得;文當(dāng)無敷衍,落筆求簡潔。 以所舍,求所獲;有所依,方所成!

支付寶贊助
微信贊助

免責(zé)聲明,若由于商用引起版權(quán)糾紛,一切責(zé)任均由使用者承擔(dān)。

您必須遵守我們的協(xié)議,如您下載該資源,行為將被視為對《免責(zé)聲明》全部內(nèi)容的認(rèn)可->聯(lián)系老梁投訴資源
LaoLiang.Net部分資源來自互聯(lián)網(wǎng)收集,僅供用于學(xué)習(xí)和交流,請勿用于商業(yè)用途。如有侵權(quán)、不妥之處,請聯(lián)系站長并出示版權(quán)證明以便刪除。 敬請諒解! 侵權(quán)刪帖/違法舉報/投稿等事物聯(lián)系郵箱:service@laoliang.net
意在交流學(xué)習(xí),歡迎贊賞評論,如有謬誤,請聯(lián)系指正;轉(zhuǎn)載請注明出處: » Win2003服務(wù)器安全相關(guān)設(shè)置

發(fā)表回復(fù)

本站承接,網(wǎng)站推廣(SEM,SEO);軟件安裝與調(diào)試;服務(wù)器或網(wǎng)絡(luò)推薦及配置;APP開發(fā)與維護(hù);網(wǎng)站開發(fā)修改及維護(hù); 各財務(wù)軟件安裝調(diào)試及注冊服務(wù)(金蝶,用友,管家婆,速達(dá),星宇等);同時也有客戶管理系統(tǒng),人力資源,超市POS,醫(yī)藥管理等;

立即查看 了解詳情