服务器安全设置全攻略Word格式.docx
《服务器安全设置全攻略Word格式.docx》由会员分享,可在线阅读,更多相关《服务器安全设置全攻略Word格式.docx(30页珍藏版)》请在冰豆网上搜索。
2、解除NetBios与TCP/IP协议的绑定
右击网上邻居-属性-右击本地连接-属性-双击Internet协议-高级-Wins-禁用TCP/IP上的NETBIOS
3、关闭不需要的服务,以下为建议选项
ComputerBrowser:
维护网络计算机更新,禁用
DistributedFileSystem:
局域网管理共享文件,不需要禁用
Distributedlinktrackingclient:
用于局域网更新连接信息,不需要禁用
Errorreportingservice:
禁止发送错误报告
MicrosoftSerch:
提供快速的单词搜索,不需要可禁用
NTLMSecuritysupportprovide:
telnet服务和MicrosoftSerch用的,不需要禁用
PrintSpooler:
如果没有打印机可禁用
RemoteRegistry:
禁止远程修改注册表
RemoteDesktopHelpSessionManager:
禁止远程协助
四、打开相应的审核策略
在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-审核策略在创建审核项目时需要注意的是如果审核的项目太多,生成的事件也就越多,那么要想发现严重的事件也越难当然如果审核的太少也会影响你发现严重的事件,你需要根据情况在这二者之间做出选择。
推荐的要审核的项目是:
审核策略更改:
成功,失败
审核登录事件:
审核对象访问:
失败
审核对象追踪:
审核目录服务访问:
审核特权使用:
审核系统事件:
审核账户登录事件:
审核账户管理:
五、其它安全相关设置
1、隐藏重要文件/目录
可以修改注册表实现完全隐藏:
“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrent-VersionExplorerAdvancedFolderHi-ddenSHOWALL”,鼠标右击“CheckedValue”,选择修改,把数值由1改为0
2、启动系统自带的Internet连接防火墙,在设置服务选项中勾选Web服务器。
3、防止SYN洪水攻击
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
新建DWORD值,名为SynAttackProtect,值为2
4.禁止响应ICMP路由通告报文
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfacesinterface
新建DWORD值,名为PerformRouterDiscovery值为0
5.防止ICMP重定向报文的攻击
将EnableICMPRedirects值设为0
6.不支持IGMP协议
新建DWORD值,名为IGMPLevel值为0
7、禁用DCOM:
运行中输入Dcomcnfg.exe。
回车,单击“控制台根节点”下的“组件服务”。
打开“计算机”子文件夹。
对于本地计算机,请以右键单击“我的电脑”,然后选择“属性”。
选择“默认属性”选项卡。
清除“在这台计算机上启用分布式COM”复选框。
注:
3-6项内容我采用的是Server2000设置,没有测试过对2003是否起作用。
但有一点可以肯定我用了一段的时间没有发现其它副面的影响。
六、配置IIS服务:
1、不使用默认的Web站点,如果使用也要将将IIS目录与系统磁盘分开。
2、删除IIS默认创建的Inetpub目录(在安装系统的盘上)。
3、删除系统盘下的虚拟目录,如:
_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。
4、删除不必要的IIS扩展名映射。
右键单击“默认Web站点→属性→主目录→配置”,打开应用程序窗口,去掉不必要的应用程序映射。
主要为.shtml,.shtm,.stm
5、更改IIS日志的路径 右键单击“默认Web站点→属性-网站-在启用日志记录下点击属性
6、如果使用的是2000可以使用iislockdown来保护IIS,在2003运行的IE6.0的版本不需要。
7、使用UrlScan
UrlScan是一个ISAPI筛选器,它对传入的HTTP数据包进行分析并可以拒绝任何可疑的通信量。
目前最新的版本是2.5,如果是2000Server需要先安装1.0或2.0的版本。
如果没有特殊的要求采用UrlScan默认配置就可以了。
但如果你在服务器运行ASP.NET程序,并要进行调试你需打开要%WINDIR%System32InetsrvURLscan
文件夹中的URLScan.ini文件,然后在UserAllowVerbs节添加debug谓词,注意此节是区分大小写的。
如果你的网页是.asp网页你需要在DenyExtensions删除.asp相关的内容。
如果你的网页使用了非ASCII代码,你需要在Option节中将AllowHighBitCharacters的值设为1
在对URLScan.ini文件做了更改后,你需要重启IIS服务才能生效,快速方法运行中输入iisreset
如果你在配置后出现什么问题,你可以通过添加/删除程序删除UrlScan。
8、利用WIS(WebInjectionScanner)工具对整个网站进行SQLInjection脆弱性扫描.
下载地址:
VB.NET爱好者
七、配置Sql服务器
1、SystemAdministrators角色最好不要超过两个
2、如果是在本机最好将身份验证配置为Win登陆
3、不要使用Sa账户,为其配置一个超级复杂的密码
4、删除以下的扩展存储过程格式为:
usemaster
sp_dropextendedproc'
扩展存储过程名'
xp_cmdshell:
是进入操作系统的最佳捷径,删除
访问注册表的存储过程,删除
Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvalues
Xp_regread Xp_regwrite Xp_regremovemultistring
OLE自动存储过程,不需要删除
Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty
Sp_OAMethod Sp_OASetProperty Sp_OAStop
5、隐藏SQLServer、更改默认的1433端口
右击实例选属性-常规-网络配置中选择TCP/IP协议的属性,选择隐藏SQLServer实例,并改原默认的1433端口。
八、如果只做服务器,不进行其它操作,使用IPSec
1、管理工具—本地安全策略—右击IP安全策略—管理IP筛选器表和筛选器操作—在管理IP筛选器表选项下点击 添加—名称设为Web筛选器—点击添加—在描述中输入Web服务器—将源地址设为任何IP地址——将目标地址设为我的IP地址——协议类型设为Tcp——IP协议端口第一项设为从任意端口,第二项到此端口80——点击完成——点击确定。
2、再在管理IP筛选器表选项下点击
添加—名称设为所有入站筛选器—点击添加—在描述中输入所有入站筛选—将源地址设为任何IP地址——将目标地址设为我的IP地址——协议类型设为任意——点击下一步——完成——点击确定。
3、在管理筛选器操作选项下点击添加——下一步——名称中输入阻止——下一步——选择阻止——下一步——完成——关闭管理IP筛选器表和筛选器操作窗口
4、右击IP安全策略——创建IP安全策略——下一步——名称输入数据包筛选器——下一步——取消默认激活响应原则——下一步——完成
5、在打开的新IP安全策略属性窗口选择添加——下一步——不指定隧道——下一步——所有网络连接——下一步——在IP筛选器列表中选择新建的Web筛选器——下一步——在筛选器操作中选择许可——下一步——完成——在IP筛选器列表中选择新建的阻止筛选器——下一步——在筛选器操作中选择阻止——下一步——完成——确定
6、在IP安全策略的右边窗口中右击新建的数据包筛选器,点击指派,不需要重启,IPSec就可生效.
补充:
修改3389
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal
Server\Wds\Repwd\Tds\Tcp,
看到那个PortNumber没有?
0xd3d,这个是16进制,就是3389啦,我改XXXX这个值是RDP(远程桌面协议)的默认值,也就是说用来配置以后新建的RDP服务的,要改已经建立的RDP服务,我们去下一个键值:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations这里应该有一个或多个类似RDP-TCP的子健(取决于你建立了多少个RDP服务),一样改掉PortNumber。
修改系统日志保存地址
默认位置为
应用程序日志、安全日志、系统日志、DNS日志默认位置:
%systemroot%\system32\config,默认文件大小512KB,管理员都会改变这个默认大小。
安全日志文件:
%systemroot%\system32\config\SecEvent.EVT
系统日志文件:
%systemroot%\system32\config\SysEvent.EVT
应用程序日志文件:
%systemroot%\system32\config\AppEvent.EVT
Internet信息服务FTP日志默认位置:
%systemroot%\system32\logfiles\msftpsvc1\,默认每天一个日志
Internet信息服务WWW日志默认位置:
%systemroot%\system32\logfiles\w3svc1\,默认每天一个日志
Scheduler(任务计划)服务日志默认位置:
%systemroot%\schedlgu.txt
应用程序日志,安全日志,系统日志,DNS服务器日志,它们这些LOG文件在注册表中的:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog
Schedluler(任务计划)服务日志在注册表中
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent
SQL
删掉或改名xplog70.dll
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"
AutoShareServer"
=dword:
00000000
AutoShareWks"
//AutoShareWks对pro版本
//AutoShareServer对server版本
//0禁止管理共享admin$,c$,d$之类默认共享
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA]
restrictanonymous"
00000001
//0x1匿名用户无法列举本机用户列表
//0x2匿名用户无法连接本机IPC$共享(可能sqlserver不能够启动)
本地安全策略
封TCP端口:
21(FTP,换FTP端口)23(TELNET),53(DNS),135,136,137,138,139,443,445,1028,1433,3389
可封TCP端口:
1080,3128,6588,8080(以上为代理端口).25(SMTP),161(SNMP),67(引导)
封UDP端口:
1434(这个就不用说了吧)
封所有ICMP,即封PING
以上是最常被扫的端口,有别的同样也封,当然因为80是做WEB用的
密码策略:
启用“密码必须符合复杂性要求"
"
密码长度最小值"
为6个字符,"
强制密码历史"
为5次,"
密码最长存留期"
为30天.
在账户锁定策略中设置:
"
复位账户锁定计数器"
为30分钟之后,"
账户锁定时间"
为30分钟,"
账户锁定值"
为30分钟.
安全选项设置:
本地安全策略==本地策略==安全选项==对匿名连接的额外限制,双击对其中有效策略进行设置,选择"
不允许枚举SAM账号和共享"
因为这个值是只允许非NULL用户存取SAM账号信息和共享信息,一般选择此项.
禁止登录屏幕上显示上次登录的用户名
控制面板==管理工具==本地安全策略==本地策略==安全选项
或改注册表
HKEY_LOCAL_MACHINE\SOFTTWARE\Microsoft\WindowsNT\CurrentVesion\Winlogn项中的Don'
t
DisplayLastUserName串,将其数据修改为1
禁TCP/IP中的禁用TCP/IP上的NetBIOS
修改默认管理用户名(这就不用说了吧),禁用Guest帐号,除了ADMIN组的用户可以远程登陆本机完,别的用户的远程登陆都去掉
WEB目录用户权限设定...
依次做下面的工作:
选取整个硬盘:
system:
完全控制
administrator:
完全控制(允许将来自父系的可继承性权限传播给对象)
b.\programfiles\commonfiles:
everyone:
读取及运行
列出文件目录
读取(允许将来自父系的可继承性权限传播给对象)
c.\inetpub\wwwroot:
iusr_machine:
读取(允许将来自父系的可继承性权限传播给对象)
e.\winnt\system32:
选择除inetsrv和centsrv以外的所有目录,
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
f.\winnt:
选择除了downloadedprogramfiles、help、iistemporarycompressedfiles、
offlinewebpages、system32、tasks、temp、web以外的所有目录
g.\winnt:
读取及运行
h.\winnt\temp:
(允许访问数据库并显示在asp页面上)
修改(允许将来自父系的可继承性权限传播给对象)
(还是WIN2K3好一点,默认就设好了设限)
删除默认IIS目录
删除IIS中除ASA和ASP的所有解析,除非你要用到别的CGI程序(WIN2K3中去不掉的)
定期查看服务器中的日志logs文件
检查ASP程序是否有SQL注入漏洞
解决方法:
在ASP程序中加入
dimlistname
ifnotisnumeric(request("
id"
))then
response.write"
参数错误"
response.end
endif
//作用是检查ID是否为INT数字型
如何让asp脚本以system权限运行?
修改你asp脚本所对应的虚拟目录,把"
应用程序保护"
修改为"
低"
....
如何防止asp木马?
基于FileSystemObject组件的asp木马
cacls%systemroot%\system32\scrrun.dll/e/dguests//禁止guests使用
regsvr32scrrun.dll/u/s//删除
还原:
cacls%systemroot%\system32\scrrun.dll/e/pguests:
r
regsvr32scrrun.dll
基于shell.application组件的asp木马
cacls%systemroot%\system32\shell32.dll/e/dguests//禁止guests使用
regsvr32shell32.dll/u/s//删除
cacls%systemroot%\system32\shell32.dll/e/pguests:
regsvr32shell32.dll
可以看一下caclsr语法,f是完全控制,c是写入
把ip2K.jpg另存为,改后缀名为RAR,2K和2K3下的安全策略,借用了REISTLIN的东西,3Q,上面有些东西太简单了就没写全.如果你是用固定IP的话,可以在安全策略中加上允许访问和你自己的IP
关闭Messenger,RemoteRegistryService,TaskScheduler服务及不需要的服务..
网络服务安全管理
1、关闭不需要的服务
只留必需的服务,多一些服务可能会给系统带来更多的安全因素。
如Windows2000的Terminal
Services(终端服务)、IIS(web服务)、RAS(远程访问服务)等,这些都有产生漏洞的可能。
2、关闭不用的端口
只开放服务需要的端口与协议。
具体方法为:
按顺序打开“网上邻居→属性→本地连接→属性→Internet
协议→属性→高级→选项→TCP/IP筛选→属性”,添加需要的TCP、UDP端口以及IP协议即可。
根据服务开设口,常用的TCP口有:
80口用于Web服务;
21用于FTP服务;
25口用于SMTP;
23口用于Telnet服务;
110口用于POP3。
常用的UDP端口有:
53口-DNS域名解析服务;
161口-snmp简单的网络管理协议。
8000、4000用于OICQ,服务器用8000来接收信息,客户端用4000发送信息。
3、禁止建立空连接
默认情况下,任何用户可通过空连接连上服务器,枚举账号并猜测密码。
空连接用的端口是139,通过空连接,可以复制文件到远端服务器,计划执行一个任务,这就是一个漏洞。
可以通过以下两种方法禁止建立空连接:
(1)修改注册表中 Local_Machine\System\
CurrentControlSet\Control\LSA-RestrictAnonymous的值为1。
(2)修改Windows
2000的本地安全策略。
设置“本地安全策略→本地策略→选项”中的RestrictAnonymous(匿名连接的额外限制)为“不容许枚举SAM账号和共享”。
首先,Windows
2000的默认安装允许任何用户通过空连接得到系统所有账号和共享列表,这本来是为了方便局域网用户共享资源和文件的,但是,同时任何一个远程用户也可以通过同样的方法得到您的用户列表,并可能使用暴力法破解用户密码给整个网络带来破坏。
很多人都只知道更改注册表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous
=1来禁止空用户连接,实际上Windows
2000的本地安全策略里(如果是域服务器就是在域服务器安全和域安全策略里)就有RestrictAnon