WindowsSecurity 服务器安全防范大全.docx

WindowsSecurity 服务器安全防范大全.docx

《WindowsSecurity 服务器安全防范大全.docx》由会员分享，可在线阅读，更多相关《WindowsSecurity 服务器安全防范大全.docx（41页珍藏版）》请在冰豆网上搜索。

WindowsSecurity服务器安全防范大全

服务器安全防范大全

一、安装Win200x安全概览3

1.硬盘分区的文件系统选择3

①使用多分区分别管理不同内容3

②采用NTFS文件系统3

③使用文件加密系统EFS3

2.组件的定制3

3.接入网络时间3

4.账户安全管理（改）3

5.卸载无用的组件模块4

二、基本系统设置4

1.安装各种补丁4

2.分区内容规划4

3.协议管理4

4.关闭所有以下不需要的服务4

5.删除OS/2和POSIX子系统:

5

6.帐号和密码策略6

7.设置文件和目录权限6

8.注册表一些条目的修改6

9.启用TCP/IP过滤7

10.移动部分重要文件并加访问控制7

11.下载Hisecweb.inf安全模板来配置系统7

12.服务器上其他工具程序的替代8

13.设置陷阱脚本8

14.取消部分危险文件扩展名8

15.关闭445端口8

16.关闭DirectDraw8

17.禁止dumpfile的产生和自动清除掉页面文件8

18.禁止从软盘和CDRom启动系统8

19.锁住注册表的访问权限9

20.考虑使用IPSec增强IP数据包的安全性9

21.考虑使用智能卡来代替密码9

22.将服务器隐藏起来9

？

？

Win2003中提高FSO的安全性9

三、IIS安全设置11

1.关闭并删除默认站点11

2.建立自己的站点，与系统不在一个分区11

3.删除IIS的部分目录11

4.删除不必要的IIS映射和扩展11

5.禁用父路径（有可能导致某些使用相对路径的子页面不能打开）12

6.在虚拟目录上设置访问控制权限12

7.启用日志记录13

8.备份IIS配置13

9.修改IIS标志13

10.重定义错误信息14

？

？

Win2003中提高FSO的安全性14

四、数据及备份管理16

1．备份16

2．设置文件共享权限16

3.防止文件名欺骗16

4.Access数据库的安全概要16

5.MSSQL注入攻击的防范18

6.MSSQLServer的基本安全策略18

7.使用应用层过滤防范URL入侵21

8.PHP木马的攻击的防御之道22

五、其他辅助安全措施23

1.安装可靠的杀毒软件并立即升级；23

2.安装一款可能强大且配置灵活的网络防火墙23

3.修改系统目录和程序目录中所有文件的日期23

4.在网络的另一台计算机上23

5.针对现有免费代码的利用安全问题24

6.文件列表、任务列表和服务列表的生成和利用24

六、简单设置防御小流量DDOS攻击24

七、日常安全检查26

1、日志查看26

2、检查列表27

3、检查异常文件27

4、不定期用光盘PE系统引导27

5、检查备份27

6、更新规则27

7、定期更新秘密27

8、检查系统安全补丁的升级情况27

9、查找WEBSHELL27

10、审核文件及目录权限27

11、审查应用程序及系统的升级情况27

12、审查IP过滤策略27

一、安装Win200x安全概览

1.硬盘分区的文件系统选择

①使用多分区分别管理不同内容

对提供服务的机器，可按如下设置分区:

分区1：

系统分区，安装系统和重要日志文件。

分区2：

提供给IIS使用。

分区3：

提供给FTP使用。

分区4：

放置其他一些资料文件。

（以上为示例，可灵活把握）

②采用NTFS文件系统

所有磁盘分区必须采用NTFS文件系统，而不要使用FAT32！

特别注意：

一定要在系统安装时，通过安装程序将系统盘格式化为NTFS，而不要先以FAT32格式安装系统，然后再用Convert转换！

因为转换后的磁盘根目录的默认权限过高！

③使用文件加密系统EFS

Windows2000强大的加密系统能够给磁盘，文件夹，文件加上一层安全保护。

这样可以防止别人把你的硬盘挂到别的机器上以读出里面的数据。

记住要给文件夹也使用EFS,而不仅仅是单个的文件。

有关EFS的具体信息可以查看

注意：

建议加密temp文件夹！

因为一些应用程序在安装和升级的时候，会把一些东西拷贝到temp文件夹，但是当程序升级完毕或关闭的时候，它们并不会自己清除temp文件夹的内容。

所以，给temp文件夹加密可以给你的文件多一层保护。

2.组件的定制

不要按Win2000的默认安装组件，根据安全原则“最少的服务+最小的权限=最大的安全”，只选择确实需要的服务安装即可。

典型Web服务器需要的最小组件是：

公用文件、Internet服务管理器、WWW服务器。

3.接入网络时间

在安装完成Win2000X作系统时，不要立即把服务器接入网络，因为这时的服务器还没有打上各种补丁，存在各种漏洞，非常容易感染病毒和被入侵。

补丁的安装应该在所有应用程序安装完之后，因为补丁程序往往要替换或修改某些系统文件，如果先安装补丁再安装应用程序有可能导致补丁不能起到应有的效果。

IIS的HotFix要求每次更改IIS的配置时都需要重新安装。

4．建议只安装一种操作系统

因为安装两种以上操作系统，会给黑客以可乘之机，利用攻击使系统重启到另外一个没有安全设置的操作系统（或者他熟悉的操作系统），进而进行破坏。

5.卸载无用的组件模块

将\\Winnt\\inf下的sysoc.inf文件中的所有hide用替换法删除；然后在控制面板的添加删除程序中就可以卸载所有不需要的组件。

二、基本系统设置

1.安装各种补丁

安装ServicePack和最新的hotfix；安装SQL和IIS系列补丁。

如果从本地备份中安装，则随后必须立即通过在线更新功能查验是否有遗漏的补丁没有安装。

建议启用系统自动更新功能，并设置为有更新时自动下载安装。

注意：

建议记得安装最新的MDAC（

MDAC为数据访问部件，通常程序对数据库的访问都通过它，但它也是黑客攻击的目标，且MDAC一般不以补丁形式发放的，比较容易漏更新。

为防止以前版本的漏洞可能会被带入升级后的版本，建议卸载后安装最新的版本。

注意：

在安装最新版本前最好先做一下测试，因为有的数据访问方式或许在新版本中不再被支持，这种情况下可以通过修改注册表来档漏洞，详见漏洞测试文档。

2.分区内容规划

1）操作系统、Web主目录、日志分别安装在不同的分区。

2）关闭任何分区的自动运行特性：

可以使用TweakUI等工具进行修改。

以防万一有人放入Autorun程序实现恶意代码自动加载。

3.协议管理

卸载不需要的协议，比如IPX/SPX,NetBIOS；在连接属性对话框的TCP）/IP属性的高级选项卡中，选择“WINS”，选定“禁用TCP/IP上的NETBIOS”。

4.关闭所有以下不需要的服务

以下仅供参考，具体还要看服务器上运行的应用来确定！

要特别注意各服务之间的储存关系，个性为当可能导致某些功能的异常，甚至服务器不能工作！

建议每次只个性两三个项目，重启测试无误后再设置其他项目：

*Alerter（disable）

*ClipBookServer（disable）

*ComputerBrowser（disable）

*DHCPClient（disable）

*DirectoryReplicator（disable）

*FTPpublishingservice（disable）

*LicenseLoggingService（disable）

*Messenger（disable）

*Netlogon（disable）

*NetworkDDE（disable）

*NetworkDDEDSDM（disable）

*NetworkMonitor（disable）

****PlugandPlay（disableafterallhardwareconfiguration）****

*RemoteAccessServer（disable）

*RemoteProcedureCall（RPC）locater（disable）

*Schedule（disable）

*Server（disable）

*SimpleServices（disable）

*Spooler（disable）

*TCP/IPNetbiosHelper（disable）

****TelephoneService（disable）****

在必要时禁止如下服务：

*SNMPservice（optional）

*SNMPtrap（optional）

*UPS（optional

设置如下服务为自动启动：

*Eventlog（required）

*NTLMSecurityProvider（required）

*RPCservice（required）

*WWW（required）

*Workstation（leaveserviceon:

willbedisabledlaterinthedocument．

*MSDTC（required）

*ProtectedStorage（required）

5.删除OS/2和POSIX子系统:

删除如下目录的任何键：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\OS/2SubsystemforNT

删除如下的键：

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SessionManager\\Environment\\Os2LibPath

删除如下的键：

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SessionManager\\SubSystems\\Optional

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SessionManager\\SubSystems\\Posix

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SessionManager\\SubSystems\\Os2

删除如下目录：

c:

\\winnt\\system32\\os2但会出现文件保护的提示，建议不删除，修改注册表就可以了

6.帐号和密码策略

1.所有帐号权限需严格控制，轻易不要给帐号以特殊权限；将Administrator重命名，改为一个不易猜的名字。

其他一般帐号也应尊循这一原则（说明：

这样可以为黑客攻击增加一层障碍）。

2.除Administrator外，有必要再增加一个属于管理员组的帐号（说明：

两个管理员组的帐号，一方面防止管理员一旦忘记一个帐号的口令还有一个备用帐号；另方面，一旦黑客攻破一个帐号并更改口令，我们还有有机会重新在短期内取得控制权）。

3.将Guest帐号禁用，并将它从Guest组删掉（说明：

有的黑客工具正是利用了guest的弱点，可以将帐号从一般用户提升到管理员组）。

4.给所有用户帐号一个复杂的口令，长度最少在8位以上，且必须同时包含字母、数字、特殊字符。

同时不要使用大家熟悉的单词（如microsoft）、熟悉的键盘顺序（如qwert）、熟悉的数字（如2000）等（说明：

口令是黑客攻击的重点，口令一旦被突破也就无任何系统安全可言了）。

5.口令必须定期更改（建议至少两周该一次），且最好记在心里，除此以外不要在任何地方做记录；另外，如果在日志审核中发现某个帐号被连续尝试，则必须立刻更改此帐号（包括用户名和口令）（说明：

在帐号属性中设立锁定次数，比如改帐号失败登录次数超过5次即锁定改帐号。

这样可以防止某些大规模的登录尝试，同时也使管理员对该帐号提高警惕）。

6.账户安全管理

通过本地安全策略中的账户策略：

 1）密码唯一性：

记录上次的6个密码

  2）最短密码期限：

2

  3）密码最长期限：

42

  4）最短密码长度：

8

  5）密码复杂化（passfilt.dll）：

启用

  6）用户必须登录方能更改密码：

启用

  7）帐号失败登录锁定的门限：

6

  8）锁定后重新启用的时间间隔：

720分钟

7.本地安全策略：

设置“本地安全策略→本地策略→选项”中的RestrictAnonymous（匿名连接的额外限制）为“不容许枚举SAM账号和共享”。

在安全选项中，不显示上次登录用户名、重命名管理员账号名称（某些情况下可能导致个别程序运行异常！

）；在用户权力指派中，限制更改系统时间、关闭系统的权力仅管理员。

7.设置文件和目录权限

将C:

\\winnt,C:

\\winnt\\config,C:

\\winnt\\system32,C:

\\winnt\\system等目录的访问权限做限制，限制everyone的写权限，限制users组的读写权限；

将各分区的根目录的everyone从权限列表中删除!

然后分别添加Administrators、PowerUsers、Users、IUSR_***以不同的权限。

不要给Guests任何权限。

运行Sfc/enable启动文件保护机制。

8.注册表一些条目的修改

1）去除logon对话框中的shutdown按钮\/

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\System\\中

ShutdownWithoutLogonREG_SZ值设为0

  2）去除logon信息的cashing功能\/什么是cashing功能？

？

将HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\WindowsNT\\CurrentVersion\\Winlogon\\中

CachedLogonsCountREG_SZ值设为0

  3）隐藏上次登陆的用户名

将HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\WindowsNT\\CurrentVersion\\Winlogon\\中

DontDisplayLastUserNameREG_SZ值设为1

  4）限制LSA匿名访问\/

将HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\LSA中

RestricAnonymousREG_DWORD值设为1

  5）去除所有网络共享

将HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\LanManServer\\Parameters\\中

AutoShareServerREG_DWORD值设为0,再创建一个AutoShareWks双字节值，设置为0（注意大小写）。

  6）禁止建立空连接\/

默认情况下，任何用户可通过空连接连上服务器，枚举账号并猜测密码。

可以通过以下两种方法禁止建立空连接。

Local_Machine\\System\\CurrentControlSet\\Control\\LSA\\RestrictAnonymous的值改成1

  7）修改终端服务的默认端口\/

终端服务的默认端口为3389，可考虑修改为别的端口。

修改方法为：

打开注册表，在“HKLM\\SYSTEM\\CurrentControlSet\\Control\\TerminalServer\\WinStations”处,找到类似RDP-TCP的子键，修改PortNumber值。

9.启用TCP/IP过滤

只允许TCP端口80和443（如果使用SSL）以及其他可能要用的端口；

不允许UDP端口；

只允许IPProtocol6（TCP）。

web服务器就可以，其他如域服务器不行，该规范主要针对WEB服务器。

10.移动部分重要文件并加访问控制

创建一个只有系统管理员能够访问的目录，将system32目录下的一些重要文件移动到此目录（注意同时处理System32\\Dllcache目录中的同名文件！

）。

但有时会因系统文件保护功能被启用而无法实现顺利删除。

变通办法是选中这些文件，然后禁止任何人访问。

为稳妥起见，应当事先将这些文件存放到其他比较安全的位置供管理员自己使用。

xcopy.exe,wscript.exe,cscript.exe,net.exe,ftp.exe,telnet.exe,arp.exe,

edlin.exe,ping.exe,route.exe,at.exe,finger.exe,posix.exe,rsh.exe,atsvc.exe,

qbasic.exe,runonce.exe,syskey.exe,cacls.exe,ipconfig.exe,rcp.exe,

secfixup.exe,nbtstat.exe,rdisk.exe,debug.exe,regedt32.exe,regedit.exe,

netstat.exe,tracert.exe,nslookup.exe,rexec.exe,cmd.exe

11.下载Hisecweb.inf安全模板来配置系统

Http:

//

该模板配置基本的Windows2000系统安全策略。

将该模板复制到%windir%\\security\\templates目录。

打开“安全模板”工具，查看这些设置。

打开“安全配置和分析”工具，然后装载该模板。

右键单击“安全配置和分析”工具，然后从上下文菜单中选择“立即分析计算机”。

等候操作完成。

查看结果，如有必要就更新该模板。

右键单击“安全配置和分析”工具，然后从上下文菜单中选择“立即配置计算机”。

12.服务器上其他工具程序的替代

浏览器建议使用FireFox，以免最新的针对IE的漏洞造成的危害。

平时尽量不在服务器上上网。

13.设置陷阱脚本

既要防范被人启用Telnet服务，又要考虑万一被入侵后的对策。

除Telnet服务外，对System32目录下的Telsrv.exe等文件设置访问权限；关闭相关服务；然后再编辑System32\\login.cmd文件，在其中添加脚本，目的是导致对方登录后出现异常，无法正常连接和工作。

脚本的内容可以自由发挥，以阻断对方操作为准。

14.取消部分危险文件扩展名

如regVBS  VBE  JS等。

15.关闭445端口？

？

？

445端口惹出了不少问题关闭方法修改注册表，添加一个键值

Hive:

HKEY_LOCAL_MACHINE

Key:

System\\CurrentControlSet\\Services\\NetBT\\Parameters

Name:

SMBDeviceEnabled

Type:

REG_DWORD

value:

0

修改完后重启机器，运行“netstat-an”，445端口已经不再Listening了。

16.关闭DirectDraw、/

这是C2级安全标准对视频卡和内存的要求。

关闭DirectDraw可能对一些需要用到DirectX的程序有影响（比如游戏，在服务器上玩星际争霸？

我晕..$%$^%^&?

?

），但是对于绝大多数的商业站点都应该是没有影响的。

修改注册表HKLM\\SYSTEM\\CurrentControlSet\\Control\\GraphicsDrivers\\DCI的Timeout（REG_DWORD）为0即可。

17.禁止dumpfile的产生和自动清除掉页面文件、/

dump文件在系统崩溃和蓝屏的时候是一份很有用的查找问题的资料（不然我就照字面意思翻译成垃圾文件了）。

然而，它也能够给黑客提供一些敏感信息比如一些应用程序的密码等。

要禁止它，打开控制面板>系统属性>高级>启动和故障恢复把写入调试信息改成无。

要用的时候，可以再重新打开它。

关机时清除掉页面文件：

页面文件也就是调度文件，是win2000用来存储没有装入内存的程序和数据文件部分的隐藏文件。

一些第三方的程序可以把一些没有的加密的密码存在内存中，页面文件中也可能含有另外一些敏感的资料。

要在关机的时候清楚页面文件，可以编辑注册表

HKLM\\SYSTEM\\CurrentControlSet\\Control\\SessionManager\\MemoryManagement

把ClearPageFileAtShutdown的值设置成1。

18.禁止从软盘和CDRom启动系统

一些第三方的工具能通过引导系统来绕过原有的安全机制。

如果你的服务器对安全要求非常高，可以考虑使用可移动软盘和光驱。

把机箱锁起来仍不失为一个好方法。

19.锁住注册表的访问权限

在windows2000中，只有administrators和BackupOperators才有从网络上访问注册表的权限。

如果你觉得还不够的话，可以进一步设定注册表访问权限，详细信息请参考：

20.考虑使用IPSec增强IP数据包的安全性

正如其名字的含义，IPSec提供IP数据包的安全性。

IPSec提供身份验证、完整性和可选择的机密性。

发送方计算机在传输之前加密数据，而接收方计算机在收到数据之后解密数据。

利用IPSec可以使得系统的安全性能大大增强。

有关IPSes的详细信息可以参考：

xxx21.考虑使用智能卡来代替密码

对于密码，总是使安全管理员进退两难，容易受到10phtcrack等工具的攻击，如果密码太复杂，用户把为了记住密码，会把密码到处乱写。

如果条件允许，用智能卡来代替复杂的密码是一个很好的解决方法。

22.将服务器隐藏起来

为了防止黑客或其他非法攻击者轻易搜索到局域网服务器的名字，你可以巧妙使用“netconfig”命令，将服务器的名称暂时隐藏起来。

如此一来局域网中的非法用户，即使通过网上邻居窗口，也无法找到服务器的“身影”了，服务器遭受外来攻击的危险性将会大大下降。

要用命令隐藏服务器的名称时，可以直接在