Windows服务器安全配置.docx

1、Windows服务器安全配置一、原则关掉所有不使用的服务,不安装所有与服务器无关的软件,打好所有补丁修改3389HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminal ServerWdsRepwdTdsTcp, 看到那个PortNumber没有?0xd3d，这个是16进制，就是3389啦，我改XXXX这个值是RDP(远程桌面协议)的默认值，也就是说用来配置以后新建的RDP服务的，要改已经建立的RDP服务，我们去下一个键值：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminalSe

2、rverWinStations这里应该有一个或多个类似RDP-TCP的子健（取决于你建立了多少个RDP服务），一样改掉PortNumber。修改系统日志保存地址默认位置为应用程序日志、安全日志、系统日志、DNS日志默认位置：%systemroot%system32config，默认文件大小512KB，管理员都会改变这个默认大小。安全日志文件：%systemroot%system32configSecEvent.EVT系统日志文件：%systemroot%system32configSysEvent.EVT应用程序日志文件：%systemroot%system32configAppEvent.E

3、VTInternet信息服务FTP日志默认位置：%systemroot%system32logfilesmsftpsvc1，默认每天一个日志Internet信息服务WWW日志默认位置：%systemroot%system32logfilesw3svc1，默认每天一个日志Scheduler(任务计划)服务日志默认位置：%systemroot%schedlgu.txt应用程序日志，安全日志，系统日志，DNS服务器日志，它们这些LOG文件在注册表中的：HKEY_LOCAL_MACHINESystemCurrentControlSetServicesEventlogSchedluler(任务计划)服务

4、日志在注册表中HKEY_LOCAL_MACHINESOFTWAREMicrosoftSchedulingAgentSQL删掉或改名xplog70.dllHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparametersAutoShareServer=dword:00000000AutoShareWks=dword:00000000/ AutoShareWks 对pro版本/ AutoShareServer 对server版本/ 0 禁止管理共享admin$,c$,d$之类默认共享HKEY_LOCAL_MACHINESy

5、stemCurrentControlSetControlLSArestrictanonymous=dword:00000001/0x1 匿名用户无法列举本机用户列表/0x2 匿名用户无法连接本机IPC$共享(可能sql server不能够启动)本地安全策略封TCP端口:21(FTP,换FTP端口)23(TELNET),53(DNS),135,136,137,138,139,443,445,1028,1433,3389可封TCP端口:1080,3128,6588,8080(以上为代理端口).25(SMTP),161(SNMP),67(引导)封UDP端口:1434(这个就不用说了吧)封所有ICMP

6、,即封PING以上是最常被扫的端口,有别的同样也封,当然因为80是做WEB用的审核策略为审核策略更改:成功,失败审核登录事件:成功,失败审核对象访问:失败审核对象追踪:成功,失败审核目录服务访问:失败审核特权使用:失败审核系统事件:成功,失败审核账户登录事件:成功,失败审核账户管理:成功,失败密码策略:启用“密码必须符合复杂性要求,密码长度最小值为6个字符,强制密码历史为5次,密码最长存留期为30天.在账户锁定策略中设置:复位账户锁定计数器为30分钟之后,账户锁定时间为30分钟,账户锁定值为30分钟.安全选项设置:本地安全策略=本地策略=安全选项=对匿名连接的额外限制,双击对其中有效策略进行设

7、置,选择不允许枚举SAM账号和共享,因为这个值是只允许非NULL用户存取SAM账号信息和共享信息,一般选择此项.禁止登录屏幕上显示上次登录的用户名控制面板=管理工具=本地安全策略=本地策略=安全选项或改注册表HKEY_LOCAL_MACHINESOFTTWAREMicrosoftWindowsNTCurrentVesionWinlogn项中的Dont Display Last User Name串，将其数据修改为1禁TCP/IP中的禁用TCP/IP上的NetBIOS修改默认管理用户名(这就不用说了吧),禁用Guest帐号,除了ADMIN组的用户可以远程登陆本机完,别的用户的远程登陆都去掉WEB

8、目录用户权限设定.依次做下面的工作:选取整个硬盘：system：完全控制administrator：完全控制(允许将来自父系的可继承性权限传播给对象)b.program filescommon files：everyone：读取及运行列出文件目录读取(允许将来自父系的可继承性权限传播给对象)c.inetpubwwwroot：iusr_machine：读取及运行列出文件目录读取 (允许将来自父系的可继承性权限传播给对象)e.winntsystem32：选择除inetsrv和centsrv以外的所有目录，去除“允许将来自父系的可继承性权限传播给对象”选框，复制。f.winnt：选择除了downlo

9、aded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框，复制。g.winnt：everyone：读取及运行列出文件目录读取(允许将来自父系的可继承性权限传播给对象)h.winnttemp：（允许访问数据库并显示在asp页面上）everyone：修改 (允许将来自父系的可继承性权限传播给对象)(还是WIN2K3好一点,默认就设好了设限)删除默认IIS目录删除IIS中除ASA和ASP的所有解析,除非

10、你要用到别的CGI程序(WIN2K3中去不掉的)定期查看服务器中的日志logs文件检查ASP程序是否有SQL注入漏洞解决方法:在ASP程序中加入dim listnameif not isnumeric(request(id) thenresponse.write 参数错误response.endend if/作用是检查ID是否为INT数字型如何让asp脚本以system权限运行?修改你asp脚本所对应的虚拟目录，把应用程序保护修改为低.如何防止asp木马?基于FileSystemObject组件的asp木马cacls %systemroot%system32scrrun.dll /e /d g

11、uests /禁止guests使用regsvr32 scrrun.dll /u /s /删除还原:cacls %systemroot%system32scrrun.dll /e /p guests:rregsvr32 scrrun.dll基于shell.application组件的asp木马cacls %systemroot%system32shell32.dll /e /d guests /禁止guests使用regsvr32 shell32.dll /u /s /删除还原:cacls %systemroot%system32shell32.dll /e /p guests:rregsvr3

12、2 shell32.dll可以看一下caclsr语法,f是完全控制,c是写入把ip2K.jpg另存为,改后缀名为RAR,2K和2K3下的安全策略,借用了REISTLIN的东西,3Q,上面有些东西太简单了就没写全.如果你是用固定IP的话,可以在安全策略中加上允许访问和你自己的IP二、关闭Messenger,Remote Registry Service,Task Scheduler 服务及不需要的服务.三、安装过程有选择性地安装组件不要按Windows 2000的默认安装组件，本着“最少的服务+最小的权限=最大的安全”原则，只选择安装需要的服务即可。例如：不作为Web服务器或FTP服务器就不安装

13、IIS。常用Web服务器需要的最小组件是： Internet 服务管理器、WWW服务器和与其有关的辅助服务。安装完毕后加入网络在安装完成Windows 2000操作系统后，不要立即把服务器加入网络，因为这时的服务器上的各种程序还没有打上补丁，存在各种漏洞，非常容易感染病毒和被入侵。应该在所有应用程序安装完之后依次打上各种补丁，因为补丁程序是针对不同应用程序而安装的，往往要替换或修改某些系统文件，如果先安装补丁再安装应用程序有可能导致补丁不能起到应有的效果。例如IIS的HotFix要求每次更改IIS的配置时都需要重新安装。还有，如果怕IIS负荷过高导致服务器死机，也可以在性能中打开CPU限制，如

14、将IIS的最大CPU使用率限制在70%。正确设置和管理账户1、停止使用用Guest账户，并给Guest 加一个复杂的密码。2、账户要尽可能少，并且要经常用一些扫描工具查看一下系统账户、账户权限及密码。删除停用的账户，常用的扫描软件有：流光、HSCAN、XSCAN、STATSCANNER等。正确配置账户的权限，密码至少应不少于8位，且要数字、大小写字母，以及数字的上档键混用，这样就较难破译。3、增加登录的难度，在“账户策略密码策略”中设定：“密码复杂性要求启用”，“密码长度最小值8位”，“强制密码历史5次”，“最长存留期 30天”；在“账户策略账户锁定策略”设定：“账户锁定3次错误登录”，“锁定

15、时间20分钟”，“复位锁定计数20分钟”等，增加了登录的难度对系统的安全大有好处。4、把系统Administrator账号改名，名称不要带有Admin等字样; 创建一个陷阱帐号，如创建一个名为“Administrator”的本地帐户，把权限设置成最低，什么事也干不了，并且加上一个超过10位的超级复杂密码。这样可以让那些 Scripts忙上一段时间了，并且可以借此发现他们的入侵企图。5、不让系统显示上次登录的用户名，具体操作如下：将注册表中“HkeySoftwareMicrosoft WindowsNT Current VersionWinlogonDont Display Last User

16、Name”的键值改为1。正确地设置目录和文件权限为了控制好服务器上用户的权限，同时也为了预防以后可能的入侵和溢出，还必须非常小心地设置目录和文件的访问权限。Windows 2000的访问权限分为：读取、写入、读取及执行、修改、列目录、完全控制。在默认的情况下，大多数的文件夹对所有用户（Everyone这个组）是完全控制的（Full Control），您需要根据应用的需要重新设置权限。在进行权限控制时，请记住以下几个原则：1、权限是累计的，如果一个用户同时属于两个组，那么他就有了这两个组所允许的所有权限。2、拒绝的权限要比允许的权限高（拒绝策略会先执行）。如果一个用户属于一个被拒绝访问某个资源的

17、组，那么不管其他的权限设置给他开放了多少权限，他也一定不能访问这个资源。3、 文件权限比文件夹权限高。4、 利用用户组来进行权限控制是一个成熟的系统管理员必须具有的优良习惯。5、 只给用户真正需要的权限，权限的最小化原则是安全的重要保障。6、 预防ICMP攻击。ICMP的风暴攻击和碎片攻击是NT主机比较头疼的攻击方法，而Windows 2000应付的方法很简单。Windows 2000自带一个Routing & Remote Access工具，这个工具初具路由器的雏形。在这个工具中，我们可以轻易地定义输入输出包过滤器。如设定输入ICMP代码255丢弃就表示丢弃所有的外来ICMP报文。网络服务安

18、全管理1、关闭不需要的服务只留必需的服务，多一些服务可能会给系统带来更多的安全因素。如Windows 2000的Terminal Services（终端服务）、IIS（web服务）、RAS（远程访问服务）等，这些都有产生漏洞的可能。2、关闭不用的端口只开放服务需要的端口与协议。具体方法为：按顺序打开“网上邻居属性本地连接属性Internet 协议属性高级选项TCP/IP筛选属性”，添加需要的TCP、UDP端口以及IP协议即可。根据服务开设口，常用的TCP口有：80口用于Web服务；21用于FTP服务；25口用于SMTP；23口用于Telnet服务；110口用于POP3。常用的UDP端口有：53

19、口DNS域名解析服务；161口snmp简单的网络管理协议。8000、4000用于OICQ，服务器用8000来接收信息，客户端用4000发送信息。3、禁止建立空连接默认情况下，任何用户可通过空连接连上服务器，枚举账号并猜测密码。空连接用的端口是139，通过空连接，可以复制文件到远端服务器，计划执行一个任务，这就是一个漏洞。可以通过以下两种方法禁止建立空连接：（1） 修改注册表中Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous 的值为1。（2） 修改Windows 2000的本地安全策略。设置“本地安全策略本地策略选项

20、”中的RestrictAnonymous（匿名连接的额外限制）为“不容许枚举SAM账号和共享”。首先，Windows 2000的默认安装允许任何用户通过空连接得到系统所有账号和共享列表，这本来是为了方便局域网用户共享资源和文件的，但是，同时任何一个远程用户也可以通过同样的方法得到您的用户列表，并可能使用暴力法破解用户密码给整个网络带来破坏。很多人都只知道更改注册表Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous = 1来禁止空用户连接，实际上Windows 2000的本地安全策略里（如果是域服务器就是在域服务器安全

21、和域安全策略里）就有RestrictAnonymous选项，其中有三个值：“0”这个值是系统默认的，没有任何限制，远程用户可以知道您机器上所有的账号、组信息、共享目录、网络传输列表(NetServerTransportEnum)等；“1”这个值是只允许非NULL用户存取SAM账号信息和共享信息；“2”这个值只有Windows 2000才支持，需要注意的是，如果使用了这个值，就不能再共享资源了，所以还是推荐把数值设为“1”比较好。网络服务安全配置1、修改默认端口。终端服务的默认端口为3389，可考虑修改为别的端口。修改方法为：服务器端：打开注册表，在“HKLMSYSTEMCurrent Cont

22、rolSetControlTerminal ServerWin Stations”处找到类似RDP-TCP的子键，修改PortNumber值。客户端：按正常步骤建一个客户端连接，选中这个连接，在“文件”菜单中选择导出，在指定位置会生成一个后缀为.cns的文件。打开该文件，修改“Server Port”值为与服务器端的PortNumber对应的值。然后再导入该文件（方法：菜单文件导入），这样客户端就修改了端口。2、安全配置Internet 服务管理器。对IIS服务安全配置如下：(1)停止默认的Web服务，建立新的Web服务，将其主目录设为其他（非inetpub）目录，最好不和主系统点用一个分区。

23、如果使用系统默认的Web服务，那么通过较简单的攻击，就可以黑掉服务器。(2) 删除原默认安装的Inetpub目录（在安装系统的盘上）。(3) 删除系统盘下的虚拟目录，如：_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。3、不要设置Frontpage服务器扩展服务，如果开设，那么就可以远程在Frontpage下打开您的主页文件进行修改。4、删除不必要的IIS扩展名映射。方法是：右键单击“默认Web站点属性主目录配置”，打开应用程序窗口，去掉不必要的应用程序映射。如不用到其他映射，只保留.asp、.asa两映射即可。安全的管理数

24、据文件1、常备份，要经常把要数据备份到专用的备份服务器，备份完毕后，可将备份服务器与网络隔离。2、关闭默认共享。Windows 2000安装好以后，系统会创建一些隐藏的共享（如C$、D$等），在命令态下可用net share命令查看它们，这些共享要删除。不过当机器重新启动后，这些共享又会重新开启，需每次启动后都删除。3、正确设置文件的共享权限 ，设置共享文件时，要注意把共享文件的权限从“everyone”组改成“授权用户”，包括打印共享，这样即使连接上去看到也无法查阅。4、防止文件名欺骗，用显示所有文件名和文件夹以及显示文件类型扩展名来有效地防止文件名欺骗。如防止以.txt或.exe为扩展名的

25、恶意文件被显示为.txt文件，大意打开该文件被攻，双击“我的电脑工具文件夹选项查看”，选择“显示所有文件和文件夹”属性设置，去掉“隐藏已知文件类型扩展名”属性设置。5、启用Terminal Service的安全日志，系统默认是不启用的。可以通过“Terminal Service Configration权限高级”中配置安全审核，记录登录、注销事件就可以了。启用日志，利用软件随时检测网络流量发现有异常随时查看日志文件，是不是有人在攻击。四、Windows 服务的最佳化说明Alerter微软： 通知选取的使用者及计算机系统管理警示。如果停止这个服务，使用系统管理警示的程序将不会收到通知。如果停用这

26、个服务，所有依存于它的服务将无法启动。补充： 一般家用计算机根本不需要传送或接收计算机系统管理来的警示(Administrative Alerts)，除非你的计算机用在局域网络上依存： Workstation建议： 已停用Application Layer Gateway Service微软： 提供因特网联机共享和因特网联机防火墙的第三方通讯协议插件的支持补充： 如果你不使用因特网联机共享 (ICS) 提供多台计算机的因特网存取和因特网联机防火墙 (ICF) 软件你可以关掉依存： Internt Connection Firewall (ICF) / Internet Connection S

27、haring (ICS)建议： 已停用Application Management (应用程序管理)微软： 提供指派、发行、以及移除的软件安装服务。补充： 如上说的软件安装变更的服务建议： 手动Automatic Updates微软： 启用重要 Windows 更新的下载及安装。如果停用此服务，可以手动的从 Windows Update 网站上更新操作系统。补充： 允许 Windows 于背景自动联机之下，到 Microsoft Servers 自动检查和下载更新修补程序建议： 已停用Background Intelligent Transfer Service微软： 使用闲置的网络频宽来传输

28、数据。补充： 经由 Via HTTP1.1 在背景传输资料的?#124;西，例如 Windows Update 就是以此为工作之一依存： Remote Procedure Call (RPC) 和 Workstation建议： 已停用ClipBook (剪贴簿)微软： 启用剪贴簿检视器以储存信息并与远程计算机共享。如果这个服务被停止，剪贴簿检视器将无法与远程计算机共享信息。如果这个服务被停用，任何明确依存于它的服务将无法启动。补充： 把剪贴簿内的信息和其它台计算机分享，一般家用计算机根本用不到依存： Network DDE建议： 已停用COM+ Event System (COM+ 事件系统)

29、微软： 支持系统事件通知服务 (SENS)，它可让事件自动分散到订阅的 COM 组件。如果服务被停止，SENS 会关闭，并无法提供登入及注销通知。如果此服务被停用，任何明显依存它的服务都无法启动。补充： 有些程序可能用到 COM+ 组件，像 BootVis 的 optimize system 应用，如事件检视器内显示的 DCOM 没有启用依存： Remote Procedure Call (RPC) 和 System Event Notification建议： 手动COM+ System Application微软： 管理 COM+ 组件的设定及追踪。如果停止此服务，大部分的 COM+ 组件将

30、无法适当?#092;作。如果此服务被停用，任何明确依存它的服务将无法启动。补充： 如果 COM+ Event System 是一台车，那么 COM+ System Application 就是司机，如事件检视器内显示的 DCOM 没有启用依存： Remote Procedure Call (RPC)建议： 手动Computer Browser (计算机浏览器)微软： 维护网络上更新的计算机清单，并将这个清单提供给做为浏览器的计算机。如果停止这个服务，这个清单将不会被更新或维护。如果停用这个服务，所有依存于它的服务将无法启动。补充： 一般家庭用计算机不需要，除非你的计算机应用在区网之上，不过在大型的区网上有必要开这个拖慢速度吗？依存： Serve