Win2003服務器安全相關設置
[重要通告]如您遇疑難雜癥,本站支持知識付費業務,掃右邊二維碼加博主微信,可節省您寶貴時間哦!
windows server2003是目前最為成熟的網絡服務器平臺,安全性相對于windows 2000有大大的提高,但是2003默認的安全配置不一定適合我們的
需要,所以,我們要根據實際情況來對win2003進行全面安全配置。說實話,安全配置是一項比較有難度的網絡技術,權限配置的太嚴格,好多
程序又運行不起,權限配置的太松,又很容易被黑客入侵,做為網絡管理員,真的很頭痛,因此,我結合這幾年的網絡安全管理經驗,總結出
以下一些方法來提高我們服務器的安全性。
第一招:正確劃分文件系統格式,選擇穩定的操作系統安裝盤
為了提高安全性,服務器的文件系統格式一定要劃分成NTFS(新技術文件系統)格式,它比FAT16、FAT32的安全性、空間利用率都大大的提高
,我們可以通過它來配置文件的安全性,磁盤配額、EPS文件加密等。如果你已經分成FAT32的格式了,可以用CONVERT 盤符 /FS:NTFS /V 來
把FAT32轉換成NTFS格式。我們安裝時盡量只安裝我們必須要用的組件,安裝完后打上最新的補丁,到網上升級到最新版本!保證操作系統本身
無漏洞。
第二招:正確設置磁盤的安全性,具體如下(虛擬機的安全設置,我們以asp程序為例子)重點:
C盤只給administrators 和system權限,其他的權限不給,其他的盤也可以這樣設置,這里給的system權限也不一定需要給,只是由于某些第
三方應用程序是以服務形式啟動的,需要加上這個用戶,否則造成啟動不了。
Windows目錄要加上給users的默認權限,否則ASP和ASPX等應用程序就無法運行。以前有朋友單獨設置Instsrv和temp等目錄權限,其實沒有這
個必要的。
另外在c:/Documents and Settings/這里相當重要,后面的目錄里的權限根本不會繼承從前的設置,如果僅僅只是設置了C盤給administrators
權限,而在All Users\Application Data目錄下會 出現everyone用戶有完全控制權限,這樣入侵這可以跳轉到這個目錄,寫入腳本或只文件,
再結合其他漏洞來提升權限;譬如利用serv-u的本地溢出提升權限,或系統遺漏有補丁,數據庫的弱點,甚至社會工程學等等N多方法,從前不
是有牛人發颮說:“只要給我一個webshell,我就能拿到system",這也的確是有可能的。在用做web\ftp服務器的系統里,建議是將這些目錄
都設置的鎖死。其他每個盤的目錄都按照這樣設置,沒個盤都只給adinistrators權限。
請找到c盤的這些文件,把安全性設置只有特定的管理員有完全操作權限
下列這些文件只允許administrators訪問
net.exe
net1.exet
cmd.exe
tftp.exe
netstat.exe
regedit.exe
at.exe
attrib.exe
cacls.exe
format.com
刪除c:\inetpub目錄,刪除iis不必要的映射,建立陷阱帳號,更改描述
第三招:禁用不必要的服務,提高安全性和系統效率
Computer Browser 維護網絡上計算機的最新列表以及提供這個列表
Task scheduler 允許程序在指定時間運行
Routing and Remote Access 在局域網以及廣域網環境中為企業提供路由服務
Removable storage 管理可移動媒體、驅動程序和庫
Remote Registry Service 允許遠程注冊表操作
Print Spooler 將文件加載到內存中以便以后打印。要用打印機的朋友不能禁用這項
IPSEC Policy Agent 管理IP安全策略以及啟動ISAKMP/OakleyIKE)和IP安全驅動程序
Distributed Link Tracking Client 當文件在網絡域的NTFS卷中移動時發送通知
Com+ Event System 提供事件的自動發布到訂閱COM組件
Alerter 通知選定的用戶和計算機管理警報
Error Reporting Service 收集、存儲和向 Microsoft 報告異常應用程序
Messenger 傳輸客戶端和服務器之間的 NET SEND 和 警報器服務消息
Telnet 允許遠程用戶登錄到此計算機并運行程序
第四招:修改注冊表,讓系統更強壯
1、隱藏重要文件/目錄可以修改注冊表實現完全隱藏:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-
Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”,鼠標右擊 “CheckedValue”,選擇修改,把數值由1改為0
2、啟動系統自帶的Internet連接_blank">防火墻,在設置服務選項中勾選Web服務器。
3、防止SYN洪水攻擊
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名為SynAttackProtect,值為2
EnablePMTUDiscovery REG_DWORD 0
NoNameReleaseOnDemand REG_DWORD 1
EnableDeadGWDetect REG_DWORD 0
KeepAliveTime REG_DWORD 300,000
PerformRouterDiscovery REG_DWORD 0
EnableICMPRedirects REG_DWORD 0
4. 禁止響應ICMP路由通告報文
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface
新建DWORD值,名為PerformRouterDiscovery 值為0
5. 防止ICMP重定向報文的攻擊
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
將EnableICMPRedirects 值設為0
6. 不支持IGMP協議
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名為IGMPLevel 值為0
7.修改終端服務端口
運行regedit,找到[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ Wds \ rdpwd \ Tds \ tcp],看
到右邊的PortNumber了嗎?在十進制狀態下改成你想要的端口號吧,比如7126之類的,只要不與其它沖突即可。
2、第二處HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp,方法同上,記得
改的端口號和上面改的一樣就行了。
8、禁止IPC空連接:
cracker可以利用net use命令建立空連接,進而入侵,還有net view,nbtstat這些都是基于空連接的,禁止空連接就好了。打開注冊表,找到
Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 把這個值改成”1”即可。
9、更改TTL值
cracker可以根據ping回的TTL值來大致判斷你的操作系統,如:
TTL=107(WINNT);
TTL=108(win2000);
TTL=127或128(win9x);
TTL=240或241(linux);
TTL=252(solaris);
TTL=240(Irix);
實際上你可以自己更改的:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters:DefaultTTL REG_DWORD 0-0xff(0
-255 十進制,默認值128)改成一個莫名其妙的數字如258,起碼讓那些小菜鳥暈上半天,就此放棄入侵你也不一定哦
10. 刪除默認共享
有人問過我一開機就共享所有盤,改回來以后,重啟又變成了共享是怎么回事,這是2K為管理而設置的默認共享,必須通過修改注冊表的方式
取消它:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters:AutoShareServer類型是REG_DWORD把值改為0
即可
11. 禁止建立空連接
默認情況下,任何用戶通過通過空連接連上服務器,進而枚舉出帳號,猜測密碼。我們可以通過修改注冊表來禁止建立空連接:
Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成”1”即可。
第五招:其它安全手段
1.禁用TCP/IP上的NetBIOS
網上鄰居-屬性-本地連接-屬性-Internet協議(TCP/IP)屬性-高級-WINS面板-NetBIOS設置-禁用TCP/IP上的NetBIOS。這樣cracker就無法用
nbtstat命令來讀取你的NetBIOS信息和網卡MAC地址了。
2. 賬戶安全
首先禁止一切賬戶,除了你自己,呵呵。然后把Administrator改名。我呢就順手又建了個Administrator賬戶,不過是什么權限都沒有的那種
,然后打開記事本,一陣亂敲,復制,粘貼到“密碼”里去,呵呵,來破密碼吧~!破完了才發現是個低級賬戶,看你崩潰不?
創建2個管理員用帳號
雖然這點看上去和上面這點有些矛盾,但事實上是服從上面的規則的。 創建一個一般權限帳號用來收信以及處理一些*常事物,另一個擁有
Administrators 權限的帳戶只在需要的時候使用。可以讓管理員使用 “ RunAS” 命令來執行一些需要特權才能作的一些工作,以方便管理
3.更改C:\WINDOWS\Help\iisHelp\common\404b.htm內容改為這樣,出錯了自動轉到首頁
4. 安全日志
我遇到過這樣的情況,一臺主機被別人入侵了,系統管理員請我去追查兇手,我登錄進去一看:安全日志是空的,倒,請記住:Win2000的默認
安裝是不開任何安全審核的!那么請你到本地安全策略->審核策略中打開相應的審核,推薦的審核是:
賬戶管理 成功 失敗
登錄事件 成功 失敗
對象訪問 失敗
策略更改 成功 失敗
特權使用 失敗
系統事件 成功 失敗
目錄服務訪問 失敗
賬戶登錄事件 成功 失敗
審核項目少的缺點是萬一你想看發現沒有記錄那就一點都沒轍;審核項目太多不僅會占用系統資源而且會導致你根本沒空去看,這樣就失去了
審核的意義
5. 運行防毒軟件
我見過的Win2000/Nt服務器從來沒有見到有安裝了防毒軟件的,其實這一點非常重要。一些好的殺毒軟件不僅能殺掉一些著名的病毒,還能查
殺大量木馬和后門程序。這樣的話,“黑客”們使用的那些有名的木馬就毫無用武之地了。不要忘了經常升級病毒庫,我們推薦mcafree殺毒軟
件+blackice_blank">防火墻
6.sqlserver數據庫服務器安全和serv-u ftp服務器安全配置,更改默認端口,和管理密碼
防止Serv-U權限提升
其實,注銷了Shell組件之后,侵入者運行提升工具的可能性就很小了,但是prel等別的腳本語言也有shell能力,為防萬一,還是設置一
下為好。
用UltraedIT打開ServUDaemon.exe查找Ascii:LocalAdministrator,和#l@$ak#.lk;0@P,修改成等長度的其它字符就可以了,
ServUAdmin.exe也一樣處理。
另外注意設置Serv-U所在的文件夾的權限,不要讓IIS匿名用戶有讀取的權限,否則人家下走你修改過的文件,照樣可以分析出你的管理員
名和密碼。
7.設置ip篩選、用blackice禁止木馬常用端口
一般禁用以下端口
135 138 139 443 445 4000 4899 7626
8.本地安全策略和組策略的設置,如果你在設置本地安全策略時設置錯了,可以這樣恢復成它的默認值.
打開 %SystemRoot%\Security文件夾,創建一個 "OldSecurity"子目錄,將%SystemRoot%\Security下所有的.log文件移到這個新建的子文件夾中
.
在%SystemRoot%\Security\database\下找到"Secedit.sdb"安全數據庫并將其改名,如改為"Secedit.old".
啟動"安全配置和分析"MMC管理單元:"開始"->"運行"->"MMC",啟動管理控制臺,"添加/刪除管理單元",將"安全配置和分析"管理單元添加上.
右擊"安全配置和分析"->"打開數據庫",瀏覽"C:\WINNT\security\Database"文件夾,輸入文件名"secedit.sdb",單擊"打開".
當系統提示輸入一個模板時,選擇"Setup Security.inf",單擊"打開".
如果系統提示"拒絕訪問數據庫",不管他.
你會發現在"C:\WINNT\security\Database"子文件夾中重新生成了新的安全數據庫,在"C:\WINNT\security"子文件夾下重新生成了log文件.安
全數據庫重建成功.
問題未解決?付費解決問題加Q或微信 2589053300 (即Q號又微信號)右上方掃一掃可加博主微信
所寫所說,是心之所感,思之所悟,行之所得;文當無敷衍,落筆求簡潔。 以所舍,求所獲;有所依,方所成!