最新服务器系统安全配置汇总Word下载.docx
《最新服务器系统安全配置汇总Word下载.docx》由会员分享,可在线阅读,更多相关《最新服务器系统安全配置汇总Word下载.docx(23页珍藏版)》请在冰豆网上搜索。
服务器安全设置
1.系统盘和站点放置盘必须设置为NTFS格式,方便设置权限.
2.系统盘和站点放置盘除administrators和system的用户权限全部去除.
3.启用windows自带防火墙,只保留有用的端口,比如远程和Web,Ftp(3389,80,21)等等,有邮件服务器的还要打开25和130端口.
4.安装好SQL后进入目录搜索xplog70然后将找到的三个文件改名或者删除.
5.更改sa密码为你都不知道的超长密码,在任何情况下都不要用sa这个帐户.
6.改名系统默认帐户名并新建一个Administrator帐户作为陷阱帐户,设置超长密码,并去掉所有用户组.(就是在用户组那里设置为空即可.让这个帐号不属于任何用户组)同样改名禁用掉Guest用户.
7.配置帐户锁定策略(在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略,将账户设为“三次登陆无效”,“锁定时间30分钟”,“复位锁定计数设为30分钟”。
)
8.在安全设置里本地策略-安全选项将
网络访问:
可匿名访问的共享;
可匿名访问的命名管道;
可远程访问的注册表路径;
可远程访问的注册表路径和子路径;
以上四项清空.
9.在安全设置里本地策略-安全选项通过终端服务拒绝登陆加入
ASPNET
Guest
IUSR_*****
IWAM_*****
NETWORKSERVICE
SQLDebugger
(****表示你的机器名,具体查找可以点击添加用户或组选高级选立即查找在底下列出的用户列表里选择.注意不要添加进user组和administrators组添加进去以后就没有办法远程登陆了.)
10.去掉默认共享,将以下文件存为reg后缀,然后执行导入即可.
WindowsRegistryEditorVersion5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"
AutoShareServer"
=dword:
00000000
AutoSharewks"
11.禁用不需要的和危险的服务,以下列出服务都需要禁用.
Alerter发送管理警报和通知
ComputerBrowser:
维护网络计算机更新
DistributedFileSystem:
局域网管理共享文件
Distributedlinktrackingclient用于局域网更新连接信息
Errorreportingservice发送错误报告
RemoteProcedureCall(RPC)LocatorRpcNs*远程过程调用(RPC)
RemoteRegistry远程修改注册表
Removablestorage管理可移动媒体、驱动程序和库
RemoteDesktopHelpSessionManager远程协助
RoutingandRemoteAccess在局域网以及广域网环境中为企业提供路由服务
Messenger消息文件传输服务
NetLogon域控制器通道管理
NTLMSecuritysupportprovidetelnet服务和MicrosoftSerch用的
PrintSpooler打印服务
telnettelnet服务
Workstation泄漏系统用户名列表
12.更改本地安全策略的审核策略
账户管理成功失败
登录事件成功失败
对象访问失败
策略更改成功失败
特权使用失败
系统事件成功失败
目录服务访问失败
账户登录事件成功失败
13.更改有可能会被提权利用的文件运行权限,找到以下文件,将其安全设置里除administrators用户组全部删除,重要的是连system也不要留.
net.exe
net1.exe
cmd.exe
tftp.exe
netstat.exe
regedit.exe
at.exe
attrib.exe
cacls.exe
c.exe特殊文件有可能在你的计算机上找不到此文件.
在搜索框里输入
net.exe"
"
net1.exe"
cmd.exe"
tftp.exe"
netstat.exe"
regedit.exe"
at.exe"
attrib.exe"
cacls.exe"
c.exe"
点击搜索然后全选右键属性安全
以上这点是最最重要的一点了,也是最最方便减少被提权和被破坏的可能的防御方法了.
14.后备工作,将当前服务器的进程抓图或记录下来,将其保存,方便以后对照查看是否有不明的程序。
将当前开放的端口抓图或记录下来,保存,方便以后对照查看是否开放了不明的端口。
当然如果你能分辨每一个进程,和端口这一步可以省略。
以上是设置安全服务器必要的步骤.下面我们来说说数据库安装.
1.在企业管理器内建立一个空的数据库名为oblog4,打开查询分析器,将data目录的oblog4.sql导入查询分析器.找到oblog4数据库执行.
2.将初始数据库oblog4.mdb导入我们刚刚建立好的数据库.
好了数据库装好了,下面我们来说说IIS的安全设置.
1.在计算机管理中设定一个新的用户组iisguest这个用户组来将我们的站点使用的匿名用户归类.方便管理.
2.新建一个用户已U_开头以后站点的匿名用户就都是以U_开头方便识别和管理当然你可以自己设定,只要方便识别即可.然后去掉其所归属的user用户组添加入iisguest用户组.比如新建的站点是那么我我们就新建一个
U_用户,然后将它除去user组的隶属关系,然后将其加入guest组.
3.在发布盘上新建一个文件夹作为网站目录.再这里我们新建E:
\wwwroot为我们的站点文件夹[目录最好带有迷惑性如:
E:
\wirelesssecurity]
4.将网站传入到此文件夹下.
5.设置iis发布此站点.站点的主机头设为您的域名.
6.设置iis匿名用户访问权限为刚刚我们新建的U_用户.
7.设置发布目录文件夹权限所有为U_用户读取运行权限.
8.设置目录U(用户日志生成静态目录),目录Uploadfiles(上传目录)skin下的skin.mdb根目录下的index.html等目录或文件权限为可以修改.
9.在iis上设置Uploadfiles文件夹为不可执行脚本.
10.修改conn.asp和config.asp文件.适应我们的设置.
11.访问您设定的网址安装完成.
windows下根目录的权限设置:
C:
\WINDOWS\DownloadedProgramFiles默认不改
\WINDOWS\OfflineWebPages默认不改
\WINDOWS\HelpTERMINALSERVERUSER除前两项权限不选其余都选
\WINDOWS\IISTemporaryCompressedFilesIIS_WPG选全部权限
\WINDOWS\Installer删除EVEryone组权限
\WINDOWS\Prefetch默认权限不改
\WINDOWS\Registration添加NETWORKSERVICE选择其中三项权限,其它保留默认
\WINDOWS\system32添加NETWORKSERVICE选择其中三项权限,其它保留默认
\WINDOWS\TAPI删除user组,其它组的权限保留默认
\WINDOWS\Temp删除user组,其它组的权限保留默认
\WINDOWS\Web注意权限设置为继承。
具体看演示
\WINDOWS\WinSxS添加NETWORKSERVICE选择其中三项权限,其它保留默认
\WINDOWS\ApplicationCompatibilityScripts
\WINDOWS\Debug\UserMode删除users组的权限
\WINDOWS\Debug\WPD目录删除AuthenticatedUsers组权限。
其它默认不变
\WINDOWS\ime
\WINDOWS\inf
\WINDOWS\Installer删除其子目录下所有包含EVEryone组的权限
\WINDOWS\Microsoft.NET和C:
\WINDOWS\Microsoft.NET\Framework\v1.1.4322子目录中有很多组权限。
保留默认就行
\WINDOWS\PCHealth\UploadLB删除everyone组的权限,其它下级目录不用管,没有user组和EVEryone组权限
\WINDOWS\PCHealth\HelpCtr删除everyone组的权限,其它下级目录不用管,没有user组和EVEryone组权限
如果C:
\WINDOWS\PCHealth\还有其它演示中没有的目录,也如此操作,依情况灵活运用
\WINDOWS\Registration\CRMLog删除users组的权限
\WINDOWS\security\templates删除users组的权限及多余权限,看演示
下面开始
system32根目录的设置:
此目录中基本上是删除user组和其它不必要的组后,其余组的权限保留就行了。
要改的地方没几处
\WINDOWS\system32\GroupPolicy删除AuthenticatedUsers组,其下子目录保留默认不用改就行*******
\WINDOWS\system32\inetsrv及其下子目录均保持不改就行*******
\WINDOWS\system32\spool*************
\WINDOWS\system32\spool\drivers删除EVEryone组的权限
\WINDOWS\system32\spool\PRINTERS删除EVEryone组的权限
\WINDOWS\system32\wbem\AutoRecover删除EVEryone组的权限
\WINDOWS\system32\wbem\Logs同上
\WINDOWS\system32\wbem\mof同上
\WINDOWS\system32\wbem\Repository同上
在这里提供给大家一段批处理windows2003权限设置批处理
echo.
echo-------------------