Windows Server 优化及安全配置.docx
《Windows Server 优化及安全配置.docx》由会员分享,可在线阅读,更多相关《Windows Server 优化及安全配置.docx(16页珍藏版)》请在冰豆网上搜索。
WindowsServer优化及安全配置
WindowsServer2003优化及安全配置
一、操作系统基础配置优化
稳定的服务源于强健的操作系统,强健的操作系统基于合理的基础配置
1.1跳过磁盘检修等待时间
一旦计算机因意外原因,例如突然停电或者死机的话,那么计算机下次重新启动的话,系统就会花10秒钟的时间,来运行磁盘扫描程序,检查磁盘是否有错误出现。
对于服务器来说,越短的启动时间代表越少的服务中断,所以我们可以进行以下配置:
A、在开始菜单中选择“运行”,键入“cmd”命令,将界面切换到DOS命令行状态下;
B、直接输入“CHKNTFS/T:
0”命令,单击回车键后,系统就能自动将检查磁盘的等待时间修改为0了;
下次遇到异常情况,重新启动计算机后,系统再调用磁盘扫描程序时,就不需要等待了。
1.2取消对网站的安全检查
WindowsServer2003操作系统自带了InternetExplorer增强的安全配置,当打开浏览器来查询网上信息时,发现IE总是“不厌其烦”地提示我们,是否需要将当前访问的网站添加到自己信任的站点中去;要是不信任的话,就无法打开指定网页;倘若信任的话,就必须单击“添加”按钮,将该网页添加到信任网站的列表中去。
这种配置虽然增强了系统安全性,但是无疑也给我们日常维护增加了麻烦。
我们可以通过下面的方法来让IE取消对网站安全性的检查:
A、依次执行“开始”/“设置”/“控制面板”命令,在打开的控制面板窗口中,用鼠标双击“添加和删除程序”图标,将界面切换到“添加和删除Windows组件”页面中;
B、用鼠标选中“InternetExplorer增强的安全配置”选项,继续单击下一步按钮,就能将该选项从系统中删除了;
C、再单击一下“完成”按钮,退出组件删除提示窗口。
1.3自动登录WindowsServer2003系统
每次开机运行WindowsServer2003系统时,都需要同时按住Ctrl+Alt+Delete复合键,再输入登录密码,才能进入到系统中。
大家在实际应用中,可能会遇到某些并不是以服务的形式启动服务软件,这类软件必需要求用户登录后才能启动(如金华科数理平台的服务器端),大家可以按照下面的步骤,来让系统自动完成登录操作:
开启自动登录功能会给服务器带来安全隐患!
A、在运行对话框中,输入注册表编辑命令regedit,来打开注册表编辑窗口;
B、在该窗口中,依次展开:
HKEY_LOCAL_MACHINES\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\WinLogon键值;
C、在对应右边的子窗口中,用鼠标右键单击空白处,从弹出的快捷菜单中,依次执行“新建”/“字符串”命令,来创建一个字符串类型的键名,并将键名设置为“AutoAdminLogon”,并将该键名的数值设置为“1”;
D、找到“DefaultDomainName”键名,并用鼠标双击之,在随后出现的窗口中,输入要登录的域名,例如Department;
E、双击“DefaultUserName”键名,在随后打开的窗口中,直接输入要登录到此域的用户名,例如“test”;
F、在WinLogon右边的子窗口中,用鼠标右键单击空白处,从弹出的快捷菜单中,依次执行“新建”/“字符串”命令,来创建一个字符串类型的键名,并将键名设置为“DefaultPassword”,并将该键名的数值设置为用户登录系统的密码,例如用户test的登录密码为“123456”;
G、完成设置后,重新启动计算机时,我们会发现不需要再登录,就能自动进入到WindowsServer2003系统中了。
以后要取消自动登录功能的话,可以将“AutoAdminLogon”键值设置为“0”就可以了。
1.4取消关机原因的提示
在关闭WindowsServer2003操作系统时,系统会弹出一个提示窗口,要求大家选择关闭计算机的原因选项;尽管这种方法可以记录每次重启的原因以供分析,但在实际应用中作用不大,而且大家会发现这件工作“很烦很碍事”。
为了进快地关闭计算机,大家可以按下面步骤来取消关机原因的提示:
打开开始菜单->运行->输入gpedit.msc,在出现的窗口的左边部分,选择计算机配置->管理模板->系统,在右边窗口双击“显示关闭事件跟踪程序”在出现的对话框中选择“禁止”,点击然后“确定”保存后退出
1.5禁用自动播放功能
近来许多病毒及木马程序利用Windows操作系统的自动播放功能进行传播,从安全的角度考虑,最好的选择是关闭Windows自动播放功能
打开开始菜单->运行->输入gpedit.msc,在出现的窗口的左边部分,选择计算机配置->管理模板->系统,在右边窗口双击“关闭自动播放”在出现的对话框中选择“禁止”,并选择“所有驱动器”,点击然后“确定”保存后退出
1.6工具软件的选择
服务器上只可以安装少量用于系统维护的工具软件,严禁安装任何娱乐、聊天及大型应用软件,慎用系统优化软件,并严格控制软件对外网的访问。
推荐安装:
WinRAR
UltraEdit(文本/16进制编辑软件)
Diskeeper(磁盘碎片整理软件)
反病毒软件(自行选择)
防火墙(自行选择)
二、操作系统权限与安全配置
配置格言:
1、最小的权限+最少的服务=最大的安全。
2、没有绝对的安全,只有相对完善的配置!
2.1最小的权限如何实现?
NTFS系统权限设置
在使用之前将每个硬盘根加上Administrators用户为全部权限(可选加入SYSTEM用户)
删除其它用户,进入系统盘:
权限如下
∙C:
\WINDOWSAdministratorsSYSTEM用户全部权限Users用户默认权限不作修改
∙其它目录删除Everyone用户,切记C:
\DocumentsandSettings下AllUsers\DefaultUser目录及其子目录
如C:
\DocumentsandSettings\AllUsers\ApplicationData目录默认配置保留了Everyone用户权限
C:
\WINDOWS目录下面的权限也得注意,如C:
\WINDOWS\PCHealth、C:
\windows\Installer也是保留了Everyone权限.
∙删除C:
\WINDOWS\Web\printers目录,此目录的存在会造成IIS里加入一个.printers的扩展名,可溢出攻击
∙默认IIS错误页面已基本上没多少人使用了。
建议删除C:
\WINDOWS\Help\iisHelp目录
∙打开C:
\Windows搜索
net.exe
cmd.exe
tftp.exe
netstat.exe
regedit.exe
at.exe
attrib.exe
cacls.exe
regsvr32.exe
xcopy.exe
wscript.exe
cscript.exe
ftp.exe
telnet.exe
arp.exe
edlin.exe
ping.exe
route.exe
finger.exe
posix.exe
rsh.exe
atsvc.exe
qbasic.exe
runonce.exe
syskey.exe
修改权限,删除所有的用户只保存Administrators和SYSTEM为所有权限。
关闭139、445端口
TCP139、445端口对应的是NetBios服务,简单的说就是“网上邻居”功能,也是最常受攻击的端口,推荐在服务器上关闭此端口:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\netBT\Parameters
新建"DWORD值"值名为"SMBDeviceEnabled"数据为默认值"0"
同时推荐以下操作:
打开本地连接属性,卸载“Microsoft网络的文件与打印机共享”
禁止建立空连接
空连接和ipc$(internetprocessconnection)是不同的概念。
空连接是在没有信任的情况下与服务器建立的会话,换句话说,它是一个到服务器的匿名访问。
ipc$是为了让进程间通信而开放的命名管道,可以通过验证用户名和密码获得相应的权限,通过它黑客可以采用暴力法、穷举法进行密码破解。
默认共享是为了方便远程管理而开放的共享,包含了所有的逻辑盘(c$,d$,e$……)和系统目录winnt或windows(admin$)。
相信大家不难看出这些共享的危险性,应对些威胁,我们可以进行以下配置:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
新建"DWORD值"值名为"RestrictAnonymous"数据值为"1"[2003默认为1]
禁止系统自动启动服务器共享
理由同上
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
新建"DWORD值"值名为"AutoShareServer"数据值为"0"
禁止系统自动启动管理共享
理由同上
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
新建"DWORD值"值名为"AutoShareWks"数据值为"0"
通过修改注册表防止小规模DDOS攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建"DWORD值"值名为"SynAttackProtect"数据值为"1"
应对DDOS攻击的最好方法是安装应用层防火墙。
禁止dumpfile的产生
dump文件在系统崩溃和蓝屏的时候是一份很有用的查找问题的资料。
然而,它也能够给黑客提供一些敏感信息比如一些应用程序的密码等。
控制面板>系统属性>高级>启动和故障恢复把写入调试信息改成无。
关闭“华生医生”Dr.Watson
在开始-运行中输入"drwtsn32",或者开始-程序-附件-系统工具-系统信息-工具-DrWatson,调出系统里的华医生Dr.Watson,只保留"转储全部线程上下文"选项,否则一旦程序出错,硬盘会读很久,并占用大量空间。
如果以前有此情况,请查找user.dmp文件,删除后可节省几十MB空间。
本地安全策略配置
开始>程序>管理工具>本地安全策略
∙账户策略>密码策略>密码最短使用期限改成0天(即密码不过期,上面我讲到不会造成IIS密码不同步)
∙账户策略>账户锁定策略>账户锁定阈值5次账户锁定时间10分钟(个人推荐配置)
∙本地策略>审核策略>
∙账户管理成功失败
∙登录事件成功失败
∙对象访问失败
∙策略更改成功失败
∙特权使用失败
∙系统事件成功失败
∙目录服务访问失败
∙账户登录事件成功失败
∙本地策略>安全选项>
o清除虚拟内存页面文件更改为"已启用"
o不显示上次的用户名更改为"已启用"
o不需要按CTRL+ALT+DEL更改为"已启用"
o不允许SAM账户的匿名枚举更改为"已启用"
o不允许SAM账户和共享的匿名枚举更改为"已启用"
o重命名来宾账户更改成一个复杂的账户名
o重命名系统管理员账号更改一个自己用的账号(同时可建立一个无用户组的Administrator账户作为诱饵)
组策略编辑器
运行gpedit.msc计算机配置>管理模板>系统显示"关闭事件跟踪程序"更改为已禁用
删除不安全组件
WScript.Shell、Shell.application这两个组件一般一些ASP木马或一些恶意程序都会使用到。
1.方案一:
regsvr32/uwshom.ocx卸载WScript.Shell组件
regsvr32/ushell32.dll卸载Shell.application组件
2.方案二:
删除注册表HKEY_CLASSES_ROOT\CLSID\{72C24DD5-D70A-438B-8A42-98424B88AFB8}对应WScript.Shell
删除注册表HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540000}对应Shell.application
用户管理
建立另一个备用管理员账号,防止特殊情况发生。
安装有终端服务与SQL服务的服务器停用TsInternetUser,SQLDebugger这两个账号
用户组说明
在将来要使用到的IIS中,IIS用户一般使用Guests组,也可以再重新建立一个独立的专供IIS使用的组,但要将这个组赋予C:
\Windows目录为读取权限[单一读取]
二、系统权限与安全配置
2.2最少的服务如果实现
黑色为自动绿色为手动红色为禁用
∙Alerter
∙ApplicationExperienceLookupService
∙ApplicationLayerGatewayService
∙ApplicationManagement
∙AutomaticUpdates(Windows自动更新,可选项)
∙BackgroundIntelligentTransferService
∙ClipBook
∙COM+EventSystem
∙COM+SystemApplication
∙ComputerBrowser
∙CryptographicServices
∙DCOMServerProcessLauncher
∙DHCPClient
∙DistributedFileSystem
∙DistributedLinkTrackingClient
∙DistributedLinkTrackingServer
∙DistributedTransactionCoordinator
∙DNSClient
∙ErrorReportingService
∙EventLog
∙FileReplication
∙HelpandSupport
∙HTTPSSL
∙HumanInterfaceDeviceAccess
∙IISAdminService
∙IMAPICD-BurningCOMService
∙IndexingService
∙IntersiteMessaging
∙IPSECServices(如果使用了IP安全策略则自动,如无则禁用,可选操作)
∙KerberosKeyDistributionCenter
∙LicenseLogging
∙LogicalDiskManager(可选,多硬盘建议自动)
∙LogicalDiskManagerAdministrativeService
∙Messenger
∙MicrosoftSearch
∙MicrosoftSoftwareShadowCopyProvider
∙MSSQLSERVER
∙MSSQLServerADHelper
∙NetLogon
∙NetMeetingRemoteDesktopSharing
∙NetworkConnections
∙NetworkDDE
∙NetworkDDEDSDM
∙NetworkLocationAwareness(NLA)
∙NetworkProvisioningService
∙NTLMSecuritySupportProvider
∙PerformanceLogsandAlerts
∙PlugandPlay
∙PortableMediaSerialNumberService(微软反盗版工具,目前只针对移动多媒体设备)
∙PrintSpooler
∙ProtectedStorage
∙RemoteAccessAutoConnectionManager
∙RemoteAccessConnectionManager
∙RemoteDesktopHelpSessionManager
∙RemoteProcedureCall(RPC)
∙RemoteProcedureCall(RPC)Locator
∙RemoteRegistry
∙RemovableStorage
∙ResultantSetofPolicyProvider
∙RoutingandRemoteAccess
∙SecondaryLogon
∙SecurityAccountsManager
∙Server
∙ShellHardwareDetection
∙SmartCard
∙SpecialAdministrationConsoleHelper
∙SQLSERVERAGENT
∙SystemEventNotification
∙TaskScheduler
∙TCP/IPNetBIOSHelper
∙Telephony
∙Telnet
∙TerminalServices
∙TerminalServicesSessionDirectory
∙Themes
∙UninterruptiblePowerSupply
∙UploadManager
∙VirtualDiskService
∙VolumeShadowCopy
∙WebClient
∙WindowsAudio(服务器没必要使用声音)
∙WindowsFirewall/InternetConnectionSharing(ICS)
∙WindowsImageAcquisition(WIA)
∙WindowsInstaller
∙WindowsManagementInstrumentation
∙WindowsManagementInstrumentationDriverExtensions
∙WindowsTime
∙WindowsUserModeDriverFramework
∙WinHTTPWebProxyAuto-DiscoveryService
∙WirelessConfiguration
∙WMIPerformanceAdapter
∙Workstation
∙WorldWideWebPublishingService
以上操作完成以后是否就"最小的权限+最少的服务=最大的安全"呢?
其实不然,任何事物都是相对的。
三、IIS、终端服务、FTP、SQL的配置
3.1IIS配置
很多网管在用IIS6架网站的时候遇到不少问题,因为IIS6在IIS5的基础上做了不小的改动,现就我自己配置的经验列出以下几个常见问题,希望对大家有所帮助!
问题1:
未启用父路径
症状举例:
ActiveServerPages错误'ASP0131'
不允许的父路径
/exam/admin/login.asp,行1
包含文件'../include/conn.asp'不能用'..'表示父目录。
原因分析:
许多Web页面里要用到诸如../格式的语句(即回到上一层的页面,也就是父路径),而IIS6.0出于安全考虑,这一选项默认是关闭的。
解决方法:
在IIS中属性->主目录->配置->选项中。
把”启用父路径“前面打上勾。
确认刷新。
问题2:
ASP的Web扩展配置不当(同样适用于ASP.NET、CGI)
症状举例:
HTTP错误404-文件或目录未找到。
原因分析:
在IIS6.0中新增了web程序扩展这一选项,你可以在其中对ASP、ASP.NET、CGI、IDC等程序进行允许或禁止,默认情况下ASP等程序是禁止的。
解决方法:
在IIS中的Web服务扩展中选中ActiveServerPages,点击“允许”。
症状举例:
上传文件到Windows2003server+IIS6.0服务器的时候遇到下列错误:
请求对象错误'ASP0104:
80004005'
操作被禁止
/Upload.asp,line40
原因分析:
IIS6.0禁止上传超过200kB的文件.因此你需要修改IIS的默认设置.
解决方法
1、运行:
Iisreset/stop
2、找到c:
\windows\system32\inetsrv\metabase.xml,去掉它的只读属性
3、用记事本编辑其中的ASPMaxRequestEntityAllowed把他修改为需要的值,默认为204800,即200K,把它改成你需要的值后保存。
4、运行:
iisreset/start
注意!
不要用Word或写字板修改否则会出现错误,并导致IIS服务不能启动!
推荐使用EditPlus或UltraEdit。
IIS基本参数配置实例
打开IIS管理器>网站>属性>
网站>启动日志记录>关闭
主目录>配置>应用程序扩展>只保留asp,asa
主目录>配置>选项>启用父目录
主目录>配置>调试>向客户端发送文本错误消息
网站>自定义错误>全部改成默认值
IIS管理器>WEB服务扩展>启用ActiveServerPages
注:
停用IIS默认站点,切勿删除,有可能会造成IIS的不稳定。
站点的建立将在第四节中详细介绍。
3.2终端服务配置
建议使用NetOPRemoteControl实现服务器远程控制,如必需使用终端服务,请进行以下配置:
开始>程序>管理工具>终端服务配置>连接
选择右侧列出的连接属性>权限
删除所有用户组添加单一的允许使用的管理员账户,这样即使服务器被创建了其它的管理员.也无法使用终端服务。
另外在会话设置中可以进一步设置断开、注销等一些参数。
3.3FTP的配置
目前大多数服务器使用Serv-UServer为FTP服务。
我们建议使用此软件的最新版本以降低遭受攻击的可能性。
安装原版至D:
\