win服务器安全设置图文教程Word格式文档下载.docx
《win服务器安全设置图文教程Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《win服务器安全设置图文教程Word格式文档下载.docx(17页珍藏版)》请在冰豆网上搜索。
C:
DocumentsandSettings目录只给Administrators组和SYSTEM的完全控制权限,并应用到子对象的项目替代所有子对象的权限项目。
系统盘DocumentsandSettingsAllUsers目录只给Administrators组和SYSTEM的完全控制权限。
这里给的system权限也不一定需要给,只是由于某些第三方应用程序是以服务形式启动的,需要加上这个用户,否则造成启动不了。
c:
/DocumentsandSettings/这里要注意,后面的目录里的权限根本不会继承从前的设置,如果仅仅只是设置了C盘给administrators权限,而在AllUsers/ApplicationData目录下会出现everyone用户有完全控制权限,这样入侵这可以跳转到这个目录,写入脚本或只文件,再结合其他漏洞来提升权限;
譬如利用serv-u的本地溢出提升权限,或系统遗漏有补丁,数据库的弱点等等。
在用做web/ftp服务器的系统里,建议设置。
Windows目录要加上给users的默认权限,否则ASP和ASPX等应用程序就无法运行。
如果修改的话,不要应用到子对象的项目替代所有子对象的权限项目。
系统目录权限拿不准的话就不要动了,一般做好根目录和DocumentsandSettings就比较安全了,asp程序访问不了根目录就访问不了子目录。
另外DocumentsandSettings目录增加Users用户组的读取运行权限,可以避免出现LoadUserProfile失败,需要注意的是一但有users组读取权限,asp木马就能访问这个目录。
为了安全需要接受一些错误日志。
(2009年1月13日备注:
貌似是没有system完全就出现LoadUserProfile,与users无关。
)
系统盘下cacls.exe;
cmd.exe;
net.exe;
net1.exe;
ftp.exe;
tftp.exe;
telnet.exe;
netstat.exe;
regedit.exe;
at.exe;
attrib.exe;
文件只给Administrators组和SYSTEM的完全控制权限。
可查找一下统一设置,或者编辑一份批处理,使用cacls命令处理。
【管理工具-本地安全设置
secpol.msc】
帐户策略→帐户锁定策略
用户锁定阈值3次无效登录
置复位帐户锁定计数器30分钟之后
帐户锁定时间30分钟
本地策略→审核策略
审核策略更改 成功 失败
审核登录事件 成功 失败
审核对象访问 失败
审核过程跟踪 无审核
审核目录服务访问 失败
审核特权使用 失败
审核系统事件 成功 失败
审核账户登录事件 成功 失败
审核账户管理 成功 失败
本地策略→用户权限分配
关闭系统:
只有Administrators组、其它全部删除。
通过终端服务允许登陆:
只加入Administrators,RemoteDesktopUsers组,其他全部删除
本地策略→安全选项
交互式登陆:
不显示上次的用户名 启用
网络访问:
不允许SAM帐户和共享的匿名枚举 启用
不允许为网络身份验证储存凭证 启用
可匿名访问的共享 全部删除
可匿名访问的命 全部删除
可远程访问的注册表路径 全部删除
可远程访问的注册表路径和子路径 全部删除
帐户:
重命名来宾帐户 重命名一个帐户
重命名系统管理员帐户 重命名一个帐户
【禁用不必要的服务开始-运行-services.msc】
ComputerBrowser :
维护网络上计算机的最新列表以及提供这个列表
DistributedFileSystem :
局域网管理共享文件,不需要可禁用
DistributedLinkTrackingClient :
用于局域网更新连接信息,不需要可禁用
ErrorReportingService :
禁止发送错误报告
Messenger :
传输客户端和服务器之间的NETSEND和警报器服务消息
MicrosoftSerch :
提供快速的单词搜索,不需要可禁用
NTLMSecuritySupportProvider :
telnet服务和MicrosoftSerch用的,不需要可禁用
PrintSpooler :
如果没有打印机可禁用
RemoteDesktopHelpSessionManager :
禁止远程协助
RemoteRegistry:
禁止远程修改注册表
Server :
支持此计算机通过网络的文件、打印、和命名管道共享
Taskscheduler :
允许程序在指定时间运行
TCP/IPNetBIOSHelper :
提供TCP/IP服务上的NetBIOS和网络上客户端的NetBIOS名称解析的支持而使用户能够共享文
Workstation :
关闭的话远程NET命令列不出用户组
以上是在WindowsServer2003系统上面默认启动的服务中禁用的,默认禁用的服务如没特别需要的话不要启动。
【卸载最不安全的组件】
最简单的办法是直接卸载后删除相应的程序文件。
将下面的代码保存为一个.BAT文件,(以下以win2003为例系统文件夹应该是C:
WINDOWS)
regsvr32/uC:
WINDOWSsystem32wshom.ocx
windowssystem32wshext.dll
WINDOWSsystem32shell32.dll
如果有可能删除这些组件
delC:
然后运行一下,WScript.Shell,Shell.application,WScript.Network就会被卸载了。
去
可能会提示无法删除文件,不用管它,重启一下服务器,你会发现这三个都提示“×
安全”了。
恢复的话,去掉/u就行了
FSO(FileSystemObject)是微软ASP的一个对文件操作的控件,该控件可以对服务器进行读取、新建、修改、删除目录以及文件的操作。
是ASP编程中非常有用的一个控件。
但是因为权限控制的问题,很多虚拟主机服务器的FSO反而成为这台服务器的一个公开的后门,因为客户可以在自己的ASP网页里面直接就对该控件编程,从而控制该服务器甚至删除服务器上的文件。
因此不少业界的虚拟主机提供商都干脆关掉了这个控件,让客户少了很多灵活性。
我们公司的W2K虚拟主机服务器具有高安全性,可以让客户在自己的网站空间中任意使用却有没有办法危害系统或者妨碍其他客户网站的正常运行。
FSO的添加
1、首先在系统盘中查找scrrun.dll,如果存在这个文件,请跳到第三步,如果没有,请执行第二步。
2、在安装文件目录i386中找到scrrun.dl_,用winrar解压缩后scrrun.dll复制到系统盘:
windowssystem32目录。
3、运行regsvr32scrrun.dll即可。
FSO删除
regsvr32/uscrrun.dll
建议保留
卸载stream对象
在cmd下运行:
regsvr32/s/u"
C:
ProgramFilesCommonFilesSystemadomsado15.dll"
恢复的话,去掉/u就行了,建议保留
修改远程桌面连接的3389端口为9874,十六进制2692等于十进制9874,根据需要修改成合适的端口。
将下面的内容保存为.reg文件,导入注册表即可。
(非必需)
WindowsRegistryEditorVersion5.00
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminalServerWdsrdpwdTdstcp]
"
PortNumber"
=dword:
00002692
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminalServerWinStationsRDP-Tcp]
杀毒
这里介绍MCAFEE8i中文企业版
因为这个版本对于国内的许多恶意代码和木马都能够及时的更新.
比如已经能够检测到海阳顶端2006
而且能够杀除IMAIL等SMTP软件使用的队列中MIME编码的病毒文件
而很多人喜欢安装诺顿企业版.而诺顿企业版,对于WEBSHELL.基本都是没有反应的.
而且无法对于MIME编码的文件进行杀毒.
在MCAFEE中.
我们还能够加入规则.阻止在windows目录建立和修改EXE.DLL文件等
我们在软件中加入对WEB目录的杀毒计划.
每天执行一次
并且打开实时监控.
注意:
安装一些杀毒软件会影响ASP地执行,是因为禁用了jscript.dll和vbscript.dll组件
在dos方式下运行regsvr32jscript.dll,regsvr32vbscript.dll解除限制即可
比如出现请求的资源在使用中
regsvr32%windir%system32jscript.dll
regsvr32%windir%system32vbscript.dll
关掉杀毒软件里的scriptscan
升级会员 