關于2003服務器的安全設置
windows server2003是目前最為成熟的網絡服務器平臺��,安全性相對于windows 2000有大大的提高,但是2003默認的安全配置不一定適合我們的需要,所以,我們要根據實際情況來對win2003進行全面安全配置���。說實話��,安全配置是一項比較有難度的網絡技術,權限配置的太嚴格,好多程序又運行不起��,權限配置的太松��,又很容易被黑客入侵���,做為網絡管理員��,真的很頭痛,因此,我結合這幾年的網絡安全管理經驗,總結出以下一些方法來提高我們服務器的安全性�����。
你所需要的網站建設服務��,我們均能行業靠前的水平為你提供.標準是產品質量的保證��,主要從事做網站、網站設計��、企業網站建設����、成都做手機網站���、網頁設計����、品牌網站設計、網頁制作�����、做網站����、建網站。成都創新互聯擁有實力堅強的技術研發團隊及素養的視覺設計專才�。
第一招:正確劃分文件系統格式�����,選擇穩定的操作系統安裝盤
為了提高安全性,服務器的文件系統格式一定要劃分成NTFS(新技術文件系統)格式�����,它比FAT16、FAT32的安全性、空間利用率都大大的提高�����,我們可以通過它來配置文件的安全性�����,磁盤配額、EPS文件加密等���。如果你已經分成FAT32的格式了,可以用CONVERT 盤符 /FS:NTFS /V 來把FAT32轉換成NTFS格式��。正確安裝windows 2003 server,在網安聯盟;有windows 2003的企業可升級版����,這個一個完全破解了的版本,可以直接網上升級,我們安裝時盡量只安裝我們必須要用的組件�����,安裝完后打上最新的補丁�,到網上升級到最新版本!保證操作系統本身無漏洞����。
第二招:正確設置磁盤的安全性,具體如下(虛擬機的安全設置���,我們以asp程序為例子)重點:
1���、系統盤權限設置
C:分區部分:
c:\
administrators 全部(該文件夾��,子文件夾及文件)
CREATOR OWNER 全部(只有子文件來及文件)
system 全部(該文件夾,子文件夾及文件)
IIS_WPG 創建文件/寫入數據(只有該文件夾)
IIS_WPG(該文件夾���,子文件夾及文件)
遍歷文件夾/運行文件
列出文件夾/讀取數據
讀取屬性
創建文件夾/附加數據
讀取權限
c:\Documents and Settings
administrators 全部(該文件夾,子文件夾及文件)
Power Users (該文件夾�����,子文件夾及文件)
讀取和運行
列出文件夾目錄
讀取
SYSTEM全部(該文件夾�,子文件夾及文件)
C:\Program Files
administrators 全部(該文件夾,子文件夾及文件)
CREATOR OWNER全部(只有子文件來及文件)
IIS_WPG (該文件夾����,子文件夾及文件)
讀取和運行
列出文件夾目錄
讀取
Power Users(該文件夾,子文件夾及文件)
修改權限
SYSTEM全部(該文件夾�,子文件夾及文件)
TERMINAL SERVER USER (該文件夾��,子文件夾及文件)
修改權限
2、網站及虛擬機權限設置(比如網站在E盤)
說明:我們假設網站全部在E盤wwwsite目錄下��,并且為每一個虛擬機創建了一個guest用戶�,用戶名為vhost1...vhostn并且創建了一個webuser組,把所有的vhost用戶全部加入這個webuser組里面方便管理
E:\
Administrators全部(該文件夾,子文件夾及文件)
E:\wwwsite
Administrators全部(該文件夾,子文件夾及文件)
system全部(該文件夾��,子文件夾及文件)
service全部(該文件夾��,子文件夾及文件)
E:\wwwsite\vhost1
Administrators全部(該文件夾�,子文件夾及文件)
system全部(該文件夾����,子文件夾及文件)
vhost1全部(該文件夾,子文件夾及文件)
3、數據備份盤
數據備份盤最好只指定一個特定的用戶對它有完全操作的權限
比如F盤為數據備份盤����,我們只指定一個管理員對它有完全操作的權限
4�、其它地方的權限設置
請找到c盤的這些文件����,把安全性設置只有特定的管理員有完全操作權限
下列這些文件只允許administrators訪問
net.exe
net1.exet
cmd.exe
t
netstat.exe
regedit.exe
at.exe
attrib.exe
cacls.exe
format.com
5.刪除c:\inetpub目錄,刪除iis不必要的映射����,建立陷阱帳號����,更改描述
第三招:禁用不必要的服務�����,提高安全性和系統效率
Computer Browser 維護網絡上計算機的最新列表以及提供這個列表
Task scheduler 允許程序在指定時間運行
Routing and Remote Access 在局域網以及廣域網環境中為企業提供路由服務
Removable storage 管理可移動媒體�、驅動程序和庫
Remote Registry Service 允許遠程注冊表操作
Print Spooler 將文件加載到內存中以便以后打印��。要用打印機的朋友不能禁用這項
IPSEC Policy Agent 管理IP安全策略以及啟動ISAKMP/OakleyIKE)和IP安全驅動程序
Distributed Link Tracking Client 當文件在網絡域的NTFS卷中移動時發送通知
Com+ Event System 提供事件的自動發布到訂閱COM組件
Alerter 通知選定的用戶和計算機管理警報
Error Reporting Service 收集��、存儲和向 Microsoft 報告異常應用程序
Messenger 傳輸客戶端和服務器之間的 NET SEND 和 警報器服務消息
Telnet 允許遠程用戶登錄到此計算機并運行程序
第四招:修改注冊表,讓系統更強壯
1、隱藏重要文件/目錄可以修改注冊表實現完全隱藏:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”�,鼠標右擊 “CheckedValue”��,選擇修改,把數值由1改為0
2、啟動系統自帶的Internet連接_blank"防火墻,在設置服務選項中勾選Web服務器。
3�����、防止SYN洪水攻擊
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值�����,名為SynAttackProtect�����,值為2
EnablePMTUDiscovery REG_DWORD 0
NoNameReleaseOnDemand REG_DWORD 1
EnableDeadGWDetect REG_DWORD 0
KeepAliveTime REG_DWORD 300,000
PerformRouterDiscovery REG_DWORD 0
EnableICMPRedirects REG_DWORD 0
4. 禁止響應ICMP路由通告報文
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface
新建DWORD值,名為PerformRouterDiscovery 值為0
5. 防止ICMP重定向報文的攻擊
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
將EnableICMPRedirects 值設為0
6. 不支持IGMP協議
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值��,名為IGMPLevel 值為0
7.修改終端服務端口
運行regedit�����,找到[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ Wds \ rdpwd \ Tds \ tcp]��,看到右邊的PortNumber了嗎?在十進制狀態下改成你想要的端口號吧,比如7126之類的,只要不與其它沖突即可�����。
2�、第二處HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp�����,方法同上���,記得改的端口號和上面改的一樣就行了���。
8���、禁止IPC空連接:
cracker可以利用net use命令建立空連接�,進而入侵�����,還有net view�,nbtstat這些都是基于空連接的��,禁止空連接就好了�。打開注冊表���,找到Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 把這個值改成”1”即可��。
9�����、更改TTL值
cracker可以根據ping回的TTL值來大致判斷你的操作系統,如:
TTL=107(WINNT);
TTL=108(win2000);
TTL=127或128(win9x);
TTL=240或241(linux);
TTL=252(solaris);
TTL=240(Irix);
實際上你可以自己更改的:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters:DefaultTTL REG_DWORD 0-0xff(0-255 十進制,默認值128)改成一個莫名其妙的數字如258�����,起碼讓那些小菜鳥暈上半天�,就此放棄入侵你也不一定哦
10. 刪除默認共享
有人問過我一開機就共享所有盤����,改回來以后,重啟又變成了共享是怎么回事,這是2K為管理而設置的默認共享���,必須通過修改注冊表的方式取消它:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters:AutoShareServer類型是REG_DWORD把值改為0即可
11. 禁止建立空連接
默認情況下����,任何用戶通過通過空連接連上服務器��,進而枚舉出帳號�����,猜測密碼。我們可以通過修改注冊表來禁止建立空連接:
Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成”1”即可�。
第五招:其它安全手段
1.禁用TCP/IP上的NetBIOS
網上鄰居-屬性-本地連接-屬性-Internet協議(TCP/IP)屬性-高級-WINS面板-NetBIOS設置-禁用TCP/IP上的NetBIOS����。這樣cracker就無法用nbtstat命令來讀取你的NetBIOS信息和網卡MAC地址了����。
2. 賬戶安全
首先禁止一切賬戶,除了你自己��,呵呵���。然后把Administrator改名����。我呢就順手又建了個Administrator賬戶,不過是什么權限都沒有的那種�,然后打開記事本����,一陣亂敲����,復制�����,粘貼到“密碼”里去���,呵呵�,來破密碼吧~�����!破完了才發現是個低級賬戶���,看你崩潰不�����?
創建2個管理員用帳號
雖然這點看上去和上面這點有些矛盾,但事實上是服從上面的規則的。 創建一個一般權限帳號用來收信以及處理一些*常事物����,另一個擁有Administrators 權限的帳戶只在需要的時候使用���?����?梢宰尮芾韱T使用 “ RunAS” 命令來執行一些需要特權才能作的一些工作�����,以方便管理
3.更改C:\WINDOWS\Help\iisHelp\common\404b.htm內容改為META HTTP-EQUIV=REFRESH CONTENT="0;URL=/;"這樣�����,出錯了自動轉到首頁
4. 安全日志
我遇到過這樣的情況,一臺主機被別人入侵了����,系統管理員請我去追查兇手�,我登錄進去一看:安全日志是空的,倒,請記?。篧in2000的默認安裝是不開任何安全審核的��!那么請你到本地安全策略-審核策略中打開相應的審核,推薦的審核是:
賬戶管理 成功 失敗
登錄事件 成功 失敗
對象訪問 失敗
策略更改 成功 失敗
特權使用 失敗
系統事件 成功 失敗
目錄服務訪問 失敗
賬戶登錄事件 成功 失敗
審核項目少的缺點是萬一你想看發現沒有記錄那就一點都沒轍;審核項目太多不僅會占用系統資源而且會導致你根本沒空去看,這樣就失去了審核的意義
5. 運行防毒軟件
我見過的Win2000/Nt服務器從來沒有見到有安裝了防毒軟件的,其實這一點非常重要�����。一些好的殺毒軟件不僅能殺掉一些著名的病毒���,還能查殺大量木馬和后門程序����。這樣的話,“黑客”們使用的那些有名的木馬就毫無用武之地了。不要忘了經常升級病毒庫,我們推薦mcafree殺毒軟件+blackice_blank"防火墻
6.sqlserver數據庫服務器安全和serv-u ftp服務器安全配置����,更改默認端口���,和管理密碼
7.設置ip篩選���、用blackice禁止木馬常用端口
一般禁用以下端口
135 138 139 443 445 4000 4899 7626
8.本地安全策略和組策略的設置,如果你在設置本地安全策略時設置錯了,可以這樣恢復成它的默認值.
打開 %SystemRoot%\Security文件夾,創建一個 "OldSecurity"子目錄,將%SystemRoot%\Security下所有的.log文件移到這個新建的子文件夾中.
在%SystemRoot%\Security\database\下找到"Secedit.sdb"安全數據庫并將其改名,如改為"Secedit.old".
啟動"安全配置和分析"MMC管理單元:"開始"-"運行"-"MMC",啟動管理控制臺,"添加/刪除管理單元",將"安全配置和分析"管理單元添加上.
右擊"安全配置和分析"-"打開數據庫",瀏覽"C:\WINNT\security\Database"文件夾,輸入文件名"secedit.sdb",單擊"打開".
當系統提示輸入一個模板時,選擇"Setup Security.inf",單擊"打開".
如果系統提示"拒絕訪問數據庫",不管他.
你會發現在"C:\WINNT\security\Database"子文件夾中重新生成了新的安全數據庫,在"C:\WINNT\security"子文件夾下重新生成了log文件.安全數據庫重建成功.
服務器怎么做好安全防護
1�����、服務器初始安全防護
安裝服務器時��,要選擇綠色安全版的防護軟件��,以防有被入侵的可能性。對網站提供服務的服務器���,軟件防火墻的安全設置最高,防火墻只要開放服務器端口����,其他的一律都關閉�,你要訪問網站時防火墻會提示您是否允許訪問�����,在根據實際情況添加允許訪問列表�����。這樣至少給系統多一份安全。
2���、修改服務器遠程端口。
因為有不少不法分子經常掃描公網IP端口�����,如果使用默認的3389或者Linux的22端口���,相對來說是不安全的�����,建議修改掉默認遠程端口。
3����、設置復雜密碼�����。
一但服務器IP被掃描出來默認端口,非法分子就會對服務器進行暴力破解�,利用第三方字典生成的密碼來嘗試破解服務器密碼��,如果您的密碼足夠復雜,非法分子就需要大量的時間來進行密碼嘗試,也許在密碼未破解完成,服務器就已經進入保護模式���,不允許登陸�。
4��、修補已知的漏洞
如果網站出現漏洞時不及時處理����,網站就會出現一系列的安全隱患����,這使得服務器很容易受到病毒入侵,導致網絡癱瘓��,所以����,平時要養成良好的習慣,時刻關注是否有新的需修補的漏洞���。
5�、多服務器保護
一個網站可以有多個服務器,網站被攻擊時��,那么我們就可以選擇不一樣的方式進行防范��,針對不同的服務器��,我們應該設置不同的管理,這樣即使一個服務器被攻陷,其他的服務還可以正常使用�����。
6����、防火墻技術
現在防火墻發展已經很成熟了,防火墻可以選擇安全性檢驗強的,檢驗的時間會較長,運行的過程會有很大負擔。如果選擇防護性低的����,那么檢驗時間會比較短��。我們在選擇防護墻時,要根據網絡服務器自身的特點選擇合適的防火墻技術。
7、定時為數據進行備份���。
定時為數據做好備份,即使服務器被破解,數據被破壞�����,或者系統出現故障崩潰��,你只需要進行重裝系統����,還原數據即可�,不用擔心數據徹底丟失或損壞�����。
做好網站服務器的安全維護是一項非常重要的工作�����,只有做好了服務器安全工作,才能保證網站可以穩定運營�。要想做好網站服務器安全維護�,還要學習更多的維護技巧���。
服務器有哪些安全設置��?
1)�����、系統安全基本設置
1.安裝說明:系統全部NTFS格式化,重新安裝系統(采用原版win2003),安裝殺毒軟件(Mcafee)���,并將殺毒軟件更新,安裝sp2補釘����,安裝IIS(只安裝必須的組件),安裝SQL2000��,安裝.net2.0,開啟防火墻����。并將服務器打上最新的補釘���。
2)�����、關閉不需要的服務
Computer Browser:維護網絡計算機更新,禁用
Distributed File System: 局域網管理共享文件��,不需要禁用
Distributed linktracking client:用于局域網更新連接信息����,不需要禁用
Error reporting service:禁止發送錯誤報告
Microsoft Serch:提供快速的單詞搜索,不需要可禁用
NTLMSecuritysupportprovide:telnet服務和Microsoft Serch用的�,不需要禁用
PrintSpooler:如果沒有打印機可禁用
Remote Registry:禁止遠程修改注冊表
Remote Desktop Help Session Manager:禁止遠程協助 其他服務有待核查
3)�����、設置和管理賬戶
1、將Guest賬戶禁用并更改名稱和描述�,然后輸入一個復雜的密碼
2�、系統管理員賬戶最好少建���,更改默認的管理員帳戶名(Administrator)和描述�����,密碼最好采用數字加大小寫字母加數字的上檔鍵組合���,長度最好不少于10位
3���、新建一個名為Administrator的陷阱帳號�����,為其設置最小的權限,然后隨便輸入組合的最好不低于20位的密碼
4��、計算機配置-Windows設置-安全設置-賬戶策略-賬戶鎖定策略�,將賬戶設為“三次登陸無效 時間為30分鐘
5�����、在安全設置-本地策略-安全選項中將“不顯示上次的用戶名”設為啟用
6��、 在安全設置-本地策略-用戶權利分配中將“從網絡訪問此計算機”中只保留Internet來賓賬戶、啟動IIS進程賬戶,Aspnet賬戶
7、創建一個User賬戶�����,運行系統��,如果要運行特權命令使用Runas命令���。
4)��、打開相應的審核策略
審核策略更改:成功
審核登錄事件:成功,失敗
審核對象訪問:失敗
審核對象追蹤:成功,失敗
審核目錄服務訪問:失敗
審核特權使用:失敗
審核系統事件:成功,失敗
審核賬戶登錄事件:成功,失敗
審核賬戶管理:成功,失敗
5)、 其它安全相關設置
1��、禁止C$����、D$、ADMIN$一類的缺省共享
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters�����,在右邊的 窗口中新建Dword值����,名稱設為AutoShareServer值設為0
2�����、解除NetBios與TCP/IP協議的綁定
右擊網上鄰居-屬性-右擊本地連接-屬性-雙擊Internet協議-高級-Wins-禁用TCP/IP上的 NETBIOS
3���、隱藏重要文件/目錄
可以修改注冊表實現完全隱藏: “HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrent-VersionExplorerAdvancedFol derHi-ddenSHOWALL”��,鼠標右擊“CheckedValue”����,選擇修改�����,把數值由1改為0
4�����、防止SYN洪水攻擊
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 新建DWORD 值,名為SynAttackProtect�����,值為2
5��、 禁止響應ICMP路由通告報文
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfacesinterface 新建DWORD值�����,名為PerformRouterDiscovery 值為0
6. 防止ICMP重定向報文的攻擊
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 將EnableICMPRedirects 值設為0
7、 不支持IGMP協議
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 新建DWORD 值,名為IGMPLevel 值為0
8�����、禁用DCOM:運行中輸入 Dcomcnfg.exe����。 回車����, 單擊“控制臺根節點”下的“組件服務”。 打開“計算機”子 文件夾����。
對于本地計算機��,請以右鍵單擊“我的電腦”,然后選擇“屬 性”�����。選擇“默認屬性”選項卡����。清除“在這臺計算機上啟用分布式 COM”復選框。
9���、終端服務的默認端口為3389,可考慮修改為別的端口�。
修改方法為: 服務器端:打開注冊表���,在“HKLM\SYSTEM\Current ControlSet\Control\Terminal Server\Win Stations” 處找到類似RDP-TCP的子鍵�,修改PortNumber值���。 客戶端:按正常步驟建一個客戶端連接�,選中這個連接,在“文件”菜單中選擇導出��,在指定位置會 生成一個后綴為.cns的文件�����。打開該文件,修改“Server Port”值為與服務器端的PortNumber對應的 值。然后再導入該文件(方法:菜單→文件→導入)�,這樣客戶端就修改了端口�����。
6)�、配置 IIS 服務
1��、不使用默認的Web站點�,如果使用也要將 將IIS目錄與系統磁盤分開��。
2�����、刪除IIS默認創建的Inetpub目錄(在安裝系統的盤上)。
3�����、刪除系統盤下的虛擬目錄�,如:_vti_bin、IISSamples����、Scripts��、IIShelp、IISAdmin����、IIShelp����、 MSADC�����。
4、刪除不必要的IIS擴展名映射�����。 右鍵單擊“默認Web站點→屬性→主目錄→配置”��,打開應用程序窗口����,去掉不必要的應用程序映 射���。主要為.shtml, .shtm, .stm
5����、更改IIS日志的路徑 右鍵單擊“默認Web站點→屬性-網站-在啟用日志記錄下點擊屬性
6、如果使用的是2000可以使用iislockdown來保護IIS,在2003運行的IE6.0的版本不需要。
7���、使用UrlScan
UrlScan是一個ISAPI篩選器,它對傳入的HTTP數據包進行分析并可以拒絕任何可疑的通信量。 目前最新的版本是2.5�����,如果是2000Server需要先安裝1.0或2.0的版本��。 如果沒有特殊的要求采用UrlScan默認配置就可以了����。 但如果你在服務器運行ASP.NET程序��,并要進行調試你需打開要 %WINDIR%System32InetsrvURLscan�,文件夾中的URLScan.ini 文件����,然后在UserAllowVerbs節添 加debug謂詞�,注意此節是區分大小寫的。 如果你的網頁是.asp網頁你需要在DenyExtensions刪除.asp相關的內容。 如果你的網頁使用了非ASCII代碼,你需要在Option節中將AllowHighBitCharacters的值設為1 在對URLScan.ini 文件做了更改后�,你需要重啟IIS服務才能生效���,快速方法運行中輸入iisreset 如果你在配置后出現什么問題���,你可以通過添加/刪除程序刪除UrlScan���。
8���、利用WIS (Web Injection Scanner)工具對整個網站進行SQL Injection 脆弱性掃描.
7)��、配置Sql服務器
1�����、System Administrators 角色最好不要超過兩個
3、不要使用Sa賬戶,為其配置一個超級復雜的密碼
4�����、刪除以下的擴展存儲過程格式為:
use master sp_dropextendedproc '擴展存儲過程名'
xp_cmdshell:是進入操作系統的最佳捷徑��,刪除 訪問注冊表的存儲過程�,
刪除
Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvalues Xp_regread Xp_regwrite Xp_regremovemultistring
OLE自動存儲過程��,不需要刪除
Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty Sp_OAMethod Sp_OASetProperty Sp_OAStop
5�����、隱藏 SQL Server、更改默認的1433端口
右擊實例選屬性-常規-網絡配置中選擇TCP/IP協議的屬性,選擇隱藏 SQL Server 實例�����,并改原默 認的1433端口�。
8)�����、修改系統日志保存地址 默認位置為 應用程序日志����、安全日志�、系統日志、DNS日志默認位置:%systemroot%\system32\config�,默認 文件大小512KB�����,管理員都會改變這個默認大小。
安全日志文件:%systemroot%\system32\config\SecEvent.EVT 系統日志文件:%systemroot%\system32\config\SysEvent.EVT 應用程序日志文件:%systemroot%\system32\config\AppEvent.EVT Internet信息服務FTP日志默認位置:%systemroot%\system32\logfiles\msftpsvc1\�,默認每天一個日 志 Internet信息服務WWW日志默認位置:%systemroot%\system32\logfiles\w3svc1\���,默認每天一個日 志 Scheduler(任務計劃)服務日志默認位置:%systemroot%\schedlgu.txt 應用程序日志���,安全日志�����,系統日志,DNS服務器日志�,它們這些LOG文件在注冊表中的: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog Schedluler(任務計劃)服務日志在注冊表中 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent SQL 刪掉或改名xplog70.dll [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters] "AutoShareServer"=dword:00000000 "AutoShareWks"=dword:00000000 // AutoShareWks 對pro版本 // AutoShareServer 對server版本 // 0
禁止管理共享admin$,c$,d$之類默認共享 [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA] "restrictanonymous"=dword:00000001 //0x1 匿名用戶無法列舉本機用戶列表 //0x2 匿名用戶無法連接本機IPC$共享(可能sql server不能夠啟動
9)���、本地安全策略
1.只開放服務需要的端口與協議����。 具體方法為:按順序打開“網上鄰居→屬性→本地連接→屬性→Internet 協議→屬性→高級→選項→ TCP/IP篩選→屬性”���,添加需要的TCP����、UDP端口以及IP協議即可�。根據服務開設口,常用的TCP 口有:80口用于Web服務�����;21用于FTP服務�;25口用于SMTP��;23口用于Telnet服務;110口 用于POP3����。常用的UDP端口有:53口-DNS域名解析服務�����;161口-snmp簡單的網絡管理協議。 8000�、4000用于OICQ���,服務器用8000來接收信息����,客戶端用4000發送信息��。 封TCP端口: 21(FTP,換FTP端口)23(TELNET),53(DNS),135,136,137,138,139,443,445,1028,1433,3389 可封TCP端口:1080,3128,6588,8080(以上為代理端口).25(SMTP),161(SNMP),67(引導) 封UDP端口:1434(這個就不用說了吧) 封所有ICMP,即封PING 以上是最常被掃的端口,有別的同樣也封,當然因為80是做WEB用的
2���、禁止建立空連接 默認情況下,任何用戶可通過空連接連上服務器���,枚舉賬號并猜測密碼。空連接用的端口是139����, 通過空連接����,可以復制文件到遠端服務器��,計劃執行一個任務���,這就是一個漏洞���?�?梢酝ㄟ^以下兩 種方法禁止建立空連接:
(1) 修改注冊表中 Local_Machine\System\ CurrentControlSet\Control\LSA-RestrictAnonymous 的值為1。
(2) 修改Windows 2000的本地安全策略。設置“本地安全策略→本地策略→選項”中的 RestrictAnonymous(匿名連接的額外限制)為“不容許枚舉SAM賬號和共享”�。 首先�����,Windows 2000的默認安裝允許任何用戶通過空連接得到系統所有賬號和共享列表,這本來 是為了方便局域網用戶共享資源和文件的�����,但是�,同時任何一個遠程用戶也可以通過同樣的方法得 到您的用戶列表,并可能使用暴力法破解用戶密碼給整個網絡帶來破壞。很多人都只知道更改注冊 表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous = 1來禁止空用戶連接����, 實際上Windows 2000的本地安全策略里(如果是域服務器就是在域服務器安全和域安全策略里) 就有RestrictAnonymous選項����,其中有三個值:“0”這個值是系統默認的�,沒有任何限制���,遠程用戶 可以知道您機器上所有的賬號�����、組信息��、共享目錄、網絡傳輸列表(NetServerTransportEnum)等�����;“1” 這個值是只允許非NULL用戶存取SAM賬號信息和共享信息;“2”這個值只有Windows 2000才支 持����,需要注意的是����,如果使用了這個值,就不能再共享資源了,所以還是推薦把數值設為“1”比較 好���。
10)、防止asp木馬
1、基于FileSystemObject組件的asp木馬
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用 regsvr32 scrrun.dll /u /s //刪除
2.基于shell.application組件的asp木馬
cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用 regsvr32 shell32.dll /u /s //刪除
3.將圖片文件夾的權限設置為不允許運行����。
4.如果網站中不存在有asp的話�����,禁用asp
11)�、防止SQL注入
1.盡量使用參數化語句
2.無法使用參數化的SQL使用過濾�。
3.網站設置為不顯示詳細錯誤信息�����,頁面出錯時一律跳轉到錯誤頁面����。
4.不要使用sa用戶連接數據庫
5����、新建一個public權限數據庫用戶,并用這個用戶訪問數據庫 6��、[角色]去掉角色public對sysobjects與syscolumns對象的select訪問權限
最后強調一下����,以上設置可能會影響到有些應用服務����,例如導至不能連接上遠程服務器�,
因此強烈建議���,以上設置首先在本地機器或虛擬機(VMware Workstation)上做好設置����,確定沒事之后然后再在服務器上做���。
分享標題:服務器安全的設置總結 服務器安全設置在哪
文章鏈接:
http://m.jcarcd.cn/article/dohesds.html
