windows服务器安全设置.docx
《windows服务器安全设置.docx》由会员分享,可在线阅读,更多相关《windows服务器安全设置.docx(33页珍藏版)》请在冰豆网上搜索。
windows服务器安全设置
(1)服务器安全设置篇(3-1)-入侵方法介绍 端口限制 磁盘权限设置
上篇服务器应用安装篇已说完了,至于在WINDOWS2003上安装Apache+Servlet+JSP等运行环境的这个我就没必要说的,毕竟用的人,是少之又少.
能常入侵,,也就是几个环节,,要作出对应的安全设置,,保障服务器的安全当然,这个必须是你的程序也是相对安全的,要不就算你的服务器做得怎么好,密码设了DFWR#34d43dfwadfdf/.==//++59978..df,5.@$^%D.这样的密码,也是没用的..
开始正题吧,,要做好WINDOWS的安全,,最要紧的是几方面:
1,端口限制
2.权限限制
3,关闭一些危险的服务和组件
4.包过滤
5,策略审计
做好服务器安全?
先要做什么?
当然先要知道,别人是怎么入侵的呀,你不知道怎么个入侵,你怎么做防范?
?
先来看看入侵的方式:
(别怪我罗嗦,呵呵)
1,扫描你的端口..(安全要做的是限制端口)
2.下载你的包,(安全要做的是过滤相应的包,对了,这个包,是不能吃的!
别想着吃,我现在比你更饿~~~)
3.上传文件(安全要做的是.限制上传木马后门等程序,限制运行EXE等等)
4,WEBSHELL权限(第三部上传文件没限好的话,被人上传了木马,这里,,就要做好限制服务和组件了)
5.执行SHELL(设置ACL的权限,不让执行命令,不能让其加上管理员帐户等等)
6,登陆3389(这里就要做策略,限制登陆3389,如:
只许某一个IP或某一个段登陆3389)
7,擦除入侵后的"脚印"(设置好日志中的审计,让他删也删不了)
装好前面我说的一大堆什么IIS SERV-U SQL2000 PHP MYSQL这些东西.
一般人,也就是用这些服务吧?
?
?
1,本地安全策略或者网卡那里做端口限制
本地安全策略:
外->本地80
外->本地20
外->本地21
外->本地PASV所用到的一些端口(SERV-U,一般开放9000-9049这50个端口)
外->本地3389
然后按照具体情况.打开SQLSERVER和MYSQL的端口
外->本地1433
外->本地3306
本地->外80
除了明确允许的一律阻止.这个是安全规则的关键.
外->本地所有协议阻止
网卡端口限制:
填写相应的TCP端口,如WEB用到80端口,SERV-U用到21端口,远程桌面用3389端口,SQLSERVER开放外网连接,用到1433端口,MYSQL开放远程连接,用
到3306端口等,
切记:
如果是开了远程,一定要开3389端口啊,要不你就连不上远程了..(如果你改了3389端口,就另外填写你改的那个)
2,更改默认管理员的帐户名
将administrator改名为你好记的名字,密码设长点,,最少8位以上,,大小写,字符等.
3,磁盘权限设置..
将所有盘符的权限(如C,D,E等),全部改为只有
administrators组全部权限
system全部权限
如图:
主要设置C盘权限:
C盘的所有子目录和子文件继承C盘的administrator(组或用户)和SYSTEM所有权限的两个权限
修改
C:
\ProgramFiles\CommonFiles开放Everyone 默认的读取及运行列出文件目录读取三个权限
C:
\WINDOWS\开放Everyone 默认的读取及运行列出文件目录读取三个权限
C:
\WINDOWS\Temp开放Everyone修改,读取及运行,列出文件目录,读取,写入权限
如图:
这三个目录权限都是这样设置
Everyone权限,很多地方都有,现在,我们一个一个找他们出来,删了!
!
C:
\DocumentsandSettings下AllUsers\DefaultUser目录及其子目录,这个比较烦,要认真找找喔.
C:
\WINDOWS\PCHealth
C:
\windows\Installer
现在WebShell就无法在系统目录内写入任何文件了,如木马,EXE等等.
当然也可以使用更严格的权限.
在WINDOWS下分别目录设置权限.
可是比较复杂.效果也并不明显.而且,,还会很容易头晕..(比如我 ^O^)
4,设置系统EXE文件权限
打开c:
\windows 搜索:
net.exe;cmd.exe;netstat.exe;regedit.exe;at.exe;cacls.exe;regsvr32.exe;xcopy.exe;wscript.exe;cscript.exe;
ftp.exe;telnet.exe;arp.exe;edlin.exe;ping.exe;route.exe;finger.exe;posix.exe;rsh.exe;atsvc.exe;qbasic.exe;
runonce.exe;syskey.exe
修改权限,删除所有的用户只保存Administrators和SYSTEM为所有权限
如图:
(2)服务器安全设置篇(3-2)-注册表修改 删除不安全组件 禁用无关服务
注册表是啥东西?
注册表包含Windows在运行期间不断引用的信息,例如,每个用户的配置文件、计算机上安装的应用程序以及每个应用程序可以创建的文档类型、文件夹和应用程序图标的属性表设置、系统上存在哪些硬件以及正在使用哪些端口等等等,,在这里,也只是随便说说,改注册表,,限一些东西而已
点击"开始"--"运行"--"regedit" --"确定"
就可以打开注册表了..
(1).关闭445端口
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\netBT\Parameters
新建“DWORD值”值名为“SMBDeviceEnabled”数据为默认值“0”(0在十六进制,十进制都是一样)
如图:
(以下就不做图例了,差不多的.看看也懂.)
(2).禁止建立空连接
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
新建“DWORD值”值名为“RestrictAnonymous”数据值为“1”[2003默认为1]
(3).禁止系统自动启动服务器共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
新建“DWORD值”值名为“AutoShareServer”数据值为“0”
(4).禁止系统自动启动管理共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
新建“DWORD值”值名为“AutoShareWks”数据值为“0”
(5).通过修改注册表防止小规模DDOS攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建“DWORD值”值名为“SynAttackProtect”数据值为“1”
2.禁止dumpfile
我的电脑>点击右键"属性">高级>启动和故障恢复把写入调试信息改成无。
如图:
3.关闭Dr.Watsonforwindows
在开始-运行中输入“drwtsn32”,就可以看到Dr.Watson
只保留“转储全部线程上下文”选项
如图:
4.删除危险组件和关闭无用的服务
(1)WScript.Shell、Shell.application这两个组件ASP木马都会使用到的..
"开始"--"运行"--"cmd"--"确定"
输入:
regsvr32/uwshom.ocx 按回车
再输入:
regsvr32/ushell32.dll 按回车
regsvr32/uwshom.ocx是卸载WScript.Shell组件意思
regsvr32/ushell32.dll是卸载Shell.application组件意思
如图:
当然,也可以在注册表中删除:
删除注册表HKEY_CLASSES_ROOT\CLSID\{72C24DD5-D70A-438B-8A42-98424B88AFB8}对应WScript.Shell
删除注册表HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540000}对应Shell.application
(2)卸载FSO组件
当然,如果服务器不需要FSO那就卸载掉吧.
regsvr32/uc:
\windows\system32\scrrun.dll注销组件
使用regedit
将/HKEY_CLASSES_ROOT下的
WScript.Network
WScript.Network.1
WScript.Shell
WScript.Shell.1
Shell.Application
Shell.Application.1
键值改名或删除
将这些键值下CLSID中包含的字串
如{72C24DD5-D70A-438B-8A42-98424B88AFB8}
到/HKEY_CLASSES_ROOT/CLSID下找到以这些字串命名的键值
全部删除
5.关闭无用的服务
服务其实是Win2000/XP/2003中一种特殊的应用程序类型,不过它是在后台运行,所以我们在任务管理器看不到它。
安装Win2003后,通常系统会默认启动许多服务,其中有些服务是普通用户根本用不到的,不但占用系统资源,还有可能被黑客所利用。
服务分为三种启动类型:
·自动:
如果一些无用服务被设置为自动,它就会随机器一起启动,这样会延长系统启动时间。
通常与系统有紧密关联的服务才必须设置为自动。
·手动:
只有在需要它的时候,才会被启动。
·已禁用:
表示这种服务将不再启动,即使是在需要它时,也不会被启动,除非修改为上面两种类型。
如果我们要关闭正在运行的服务,只要选中它,然后在右键菜单中选择“停止”即可。
但是下次启动机器时,它还可能自动或手动运行。
如果服务项目确实无用,可以选择禁止服务。
在右键菜单中选择“属性”,然后在“常规→启动类型”列表中选择“已禁用”,这项服务就会被彻底禁用。
如果以后需要重新起用它,只要在此选择“自动”或“手动”即可;也可以通过命令行“netstart?
服务名?
”来启动,比如“netstartClipbook”。
禁用系统不必要的服务
打开服务那一项:
"控制面板"--"管理工具" --"服务"
如图:
Win2003系统中不必要开放的服务列表:
ComputerBrowser维护网络上计算机的最新列表以及提供这个列表
·Taskscheduler允许程序在指定时间运行
·RoutingandRemoteAccess在局域网以及广域网环境中为企业提供路由服务
·Removablestorage管理可移动媒体、驱动程序和库
·RemoteRegistryService允许远程注册表操作
·PrintSpooler将文件加载到内存中以便以后打印。
要用打印机的朋友不能禁用这项
·IPSECPolicyAgent管理IP安全策略以及启动ISAKMP/OakleyIKE)和IP安全驱动程序
·DistributedLinkTrackingClient当文件在网络域的NTFS卷中移动时发送通知
·Com+EventSystem提供事件的自动发布到订阅COM组件
·Alerter通知选定的用户和计算机管理警报
·ErrorReportingService收集、存储和向Microsoft报告异常应用程序
·Messenger传输客户端和服务器之间的NETSEND和警报器服务消息
·Telnet允许远程用户登录到此计算机并运行程序
·Workstation 创建和维护到远程服务的客户端网络连接。
如果服务停止,这些连接将不可用。
如果服务被禁用,任何直接依赖于此服务的服务将无法启动。
(关闭这个,木马那里就无法读取到服务器的用户列表了,快关了!
^O^)
(3)服务器安全设置篇(3-3)-网站WEB目录权限 SQLSERVER2000设置
1.WEB网站存放目录的权限设置
IIS中,IIS用户一般使用Guests组,比较保险的做法就是为每个客户,建立一个windows中Guests用户.把IIS执行的匿名用户.绑定成
这个用户
当然也可以再重新建立一个独立的专供IIS使用的组,
建立Guests用户:
"我的电脑"--"计算机管理"--"系统工具"--"本地用户和组"--"用户"--点击右键"新用户"
如图:
这样就建立了一个iis001的用户..
第二步WEB目录权限设置:
如图:
这样,WEB网站的目录权限就成了
administrators全部权限
system全部权限
单独建立的用户(或者IUSER)选择高级->打开除完全控制,遍历文件夹/运行程序,取得所有权3个外的其他权限.
网站目录,可别乱给Everyone权限喔...
第三步,IIS上,IIS执行的匿名用户.绑定成这个用户
打开IIS,网站的属性,如图:
"点击目录安全性"--"身份验证和访问控制" --"编辑"
那样就可以了...
如果服务器上站点不多.并且有论坛
我们可以把每个论坛的上传目录
去掉此用户的执行权限.
只有读写权限
这样入侵者即便绕过论坛文件类型检测上传了webshell
也是无法运行的.
2.MSSQLSERVER2000删除无用的扩展
进入"SQL查询分析器",别告诉我你不知道在哪吧?
?
?
输入以下脚本:
usemaster
execsp_dropextendedproc*xp_cmdshell*
execsp_dropextendedproc*xp_dirtree*
execsp_dropextendedproc*xp_enumgroups*
execsp_dropextendedproc*xp_fixeddrives*
execsp_dropextendedproc*xp_loginconfig*
execsp_dropextendedproc*xp_enumerrorlogs*
execsp_dropextendedproc*xp_getfiledetails*
execsp_dropextendedproc*Sp_OAcreate*
execsp_dropextendedproc*Sp_OADestroy*
execsp_dropextendedproc*Sp_OAGetErrorInfo*
execsp_dropextendedproc*Sp_OAGetProperty*
execsp_dropextendedproc*Sp_OAMethod*
execsp_dropextendedproc*Sp_OASetProperty*
execsp_dropextendedproc*Sp_OAStop*
execsp_dropextendedproc*Xp_regaddmultistring*
execsp_dropextendedproc*Xp_regdeletekey*
execsp_dropextendedproc*Xp_regdeletevalue*
execsp_dropextendedproc*Xp_regenumvalues*
execsp_dropextendedproc*Xp_regread*
execsp_dropextendedproc*Xp_regremovemultistring*
execsp_dropextendedproc*Xp_regwrite*
dropproceduresp_makewebtask
go如图:
这样就删除了SQL2000那里所有危险的扩展.
(4)服务器安全设置篇(3-4)-备份 杀毒 审计
服务器,如果有问题,硬盘坏了?
被入侵了?
删除了?
那咋办?
?
还是要防范于未然,,要不,,完蛋了..
1.系统的备份:
使用backup软件.备份网站数据什么的,这个,,网上搜搜,找找,很多.这里,,不多说了.
使用reg.exe备份系统关键数据
reg.exe是啥?
?
RegistryConsoleTool,MicrosftWindowsXP系统自带的用于在命令行下编辑注册表的工具。
当然,也有坏人,把他的木马什么的,,改成名字是reg.exe
REG.EXE如何备份关键的东东呢?
?
如备份系统ODBC命令如下:
regexportHKLM\SOFTWARE\ODBCe:
\backup\system\odbc.reg/y
其它的,你可以在命令行下输入"Reg/?
"来了解详细的参数设置,
如图:
在这里,我也不多说了..呵呵
2,杀毒.
这个嘛,,要点难说,呵呵,,服务器没拿来做上QQ,上网打开网站用,其实要不要,没什么用.
不过,,心安,还是装一个吧,,推荐McAfeeVirusScan,
你想问,为什么不用什么江民,卡巴,金山毒霸,瑞星等等呢?
?
?
呵呵,你以为家用上网呢?
?
?
问:
那为啥不装诺顿?
?
答:
诺顿?
呵呵..它对WEBSHELL.基本都是没有反应的.没用的家伙,装它干嘛?
McAfeeVirusScan对于国内的许多恶意代码和木马都能够及时的更新.
或者再加上一个:
AVGAnti-Spyware
问:
装AVGAnti-Spyware?
为啥不装360安全卫士?
答:
360要来做什么?
它只是一个靠吹的东西.没多少用处,随便都可以跑到它身后去..
以上这些软件,就麻烦你自己找咯..呵呵,我就不提供了..
3:
审计
问:
啥是审计?
答:
也就是本地安全策略中和审核策略
本地安全策略->本地策略->审核策略
打开以下内容
审核策略更改成功,失败
审核系统事件成功,失败
审核帐户登陆事件成功,失败
审核帐户管理成功,失败
如图:
WindowsServer2003作为Microsoft最新推出的服务器操作系统,相比Windows2000/XP系统来说,各方面的功能确实得到了增强,尤其在安全方面,总体感觉做的还算不错。
但“金无足赤”任何事物也没有十全十美的,微软Windows2003也是如此,照样存在着系统漏洞、存在着不少安全隐患!
无论你用计算机欣赏音乐、上网冲浪、运行游戏,还是编写文档都要不可避免地遭受新病毒泛滥时的威胁,如何让WindowsServer2003更加安全,成为广大用户十分关注的问题。
一、取消IE安全提示对话框
面对黑客组织恶意程序的攻击,微软公司一直都在努力致力于降低产品的安全隐患,这是有目共睹的。
微软新一代的WindowsServer2003操作系统在安全性能方面就得到了加强。
比如在使用
WindowsServer2003自带的IE浏览器浏览网页时,每次都会弹出一个安全提示框,“不厌其烦”地提示我们,是否需要将当前访问的网站添加到自己信任的站点中去;如果表示不信任的话,只能单击“关闭”按钮;而要是想浏览该站点的话,就必须单击“添加”按钮,将该网页添加到信任网站的列表中去。
不过每次访问网页,都要经过这样的步骤,实在是太烦琐了。
其实我们可以通过下面的方法来让IE取消对网站安全性的检查:
网管网bitsCN_com
1.一旦系统打开安全提示页面时,你可以用鼠标将其中的“当网站的内容被堵塞时继续提示”复选项选中;
2.在浏览界面中,用鼠标单击“工具”菜单项,从打开的下拉菜单中执行“Internet选项”命令;
3.在弹出的选项设置界面中,你可以将系统默认状态下的最高安全级别设置为中等级别;
4.设置时,只要在“安全”标签页面中,拖动其中的安全滑块到“中”位置处就可以了;
5.完成设置后,单击“确定”按钮,就可以将浏览器的安全自动提示页面取消了。
经过修改IE的默认安全级别的设置,再上网的时候,IE就不会自动去检查网站的安全性了,麻烦解决了吧!
二、重新支持ASP脚本
提起ASP(ActiveServerPage)大家都会联想到Windows,它以其强大的功能,简单易学的特点而受到广大WEB开发人员的喜欢。
但为了将系统安全隐患降到最低限度,WindowsServer2003操作系统在默认状态下,是不支持ASP脚本运行的——系统将不会再对网站中的ASP代码进行任何的操作;但现在许多网页的服务功能多是通过ASP脚本来实现的,怎么办?
其实我们完全可以在系统安全得到保障的前提下,让系统重新支持ASP脚本。
具体实现的方法为:
1.在系统的开始菜单中,依次单击“管理工具”/“Internet信息服务管理器”命令(如图1)。
2.在随后出现的Internet信息服务属性设置窗口中,用鼠标选中左侧区域中的“Web服务器扩展”选项;
3.接着在对应该选项右侧的区域中,用鼠标双击“Activesserverpages”选项,然后将“任务栏”设置项处的“允许”按钮单击一下,系统中的IIS6就可以重新支持ASP脚本了(如图2)。
用户最关心的问题大概就是原有的ASP组件是否还可以继续使用?
我可以告诉大家,经这番修改设置,系统中的IIS6重新支持ASP脚本了,一切的操作是不是很简单啊!
三、清除默认共享隐患
使用WindowsServer2003的用户都会碰到一个问题,就是系统在默认安装时,都会产生默认的共享文件夹。
虽然用户并没有设置共享,但每个盘符都被Windows自动设置了共享,其共享名为盘符
后面加一个符号$(共享名称分别为c$、d$、ipc$以及admin$)。
也就是说,只要攻击者知道了该系统的管理员密码,就有可能通过“\\工作站名\共享名称”的方法,来打开系统的指定文件夹,如此一来,用户精心设置的安全防范岂不成了摆设?
还有安全嘛!
为此,我们很有必要将WindowsServer2003系统默认的共享隐患,立即从系统中清除掉。
中国网管联盟www_bitscn_com
1、删除Win
升级会员 