|
03 / 09 / 2010, 10:47 AM
| #1 (permalink) |
| عضو موقوف تاريخ التسجيل: 25 / 08 / 2010
المشاركات: 738
معدل تقييم المستوى: 0  |  2003服务器系统安全配置-中级安全配置
2003服务器系统安全配置-中级安全配置!做好此教程的设置可防御一般入侵,mens moncler jackets,需要高级服务器安全维护,请联系我。我们一起交流一下!做为一个网管,应该在处理WEB服务器或者其他服 务器的时候 配合程序本身或者代码本身去防止其他入侵,例如跨站等等!前提,系统包括软件服务等的密码一定要强壮!服务 器安全设置1.系统盘和站点放置盘必须设置为NTFS格式,方便设置权限.2.系统盘和站点放置盘除adm inistrators 和system的用户权限全部去除.3.启用windows自带防火墙,只保留有用的端口,比如远程和We b,Ftp(3389,80,21)等等,有邮件服务器的还要打开25和130端口.4.安装好SQL后进 入目录搜索 xplog70 然后将找到的三个文件改名或者删除.5.更改sa密码为你都不知道的超长密码,在任何情况下都不要用sa这 个帐户.6.改名系统默认帐户名并新建一个Administrator帐户作为陷阱帐户,设置超长密码,并 去掉所有用户组.(就是在用户组那里设置为空即可.让这个帐号不属于任何用户组)同样改名禁用掉Guest 用户.7.配置帐户锁定策略(在运行中输入gpedit.msc回车,打开组策略编辑器,选择 计算机配置-Windows设置-安全设置-账户策略-账户锁定策略,将账户设为“三次登陆无效”,“锁定时间30分钟”,“复位锁定计数设为30分钟”。)8. 在安全设置里 本地策略-安全选项 将 网络访问:可匿名访问的共享 ; 网络访问:可匿名访问的命名管道 ; 网络访问:可远程访问的注册表路径 ; 网络访问:可远程访问的注册表路径和子路径 ; 以上四项清空.9.在安全设置里 本地策略-安全选项通过终端服务拒绝登陆 加入 ASPNET GuestIUSR_*****IWAM_*****NETWORK SERVICESQLDebugger (****表示你的机器名,具体查找可以点击 添加用户或组 选 高级 选 立即查找 在底下列出的用户列表里选择. 注意不要添加进user组和administrators组添加进去以后就没有办法远程登陆了.)10.去 掉默认共享,将以下文件存为reg后缀,然后执行导入即可.Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\lanmanserver\parameters]"AutoShareServer"=dword:00000000"AutoSharewks"=dwo rd:0000000011. 禁用不需要的和危险的服务,以下列出服务都需要禁用.Alerter 发送管理警报和通知Computer Browser:维护网络计算机更新Distributed File System: 局域网管理共享文件Distributed linktracking client 用于局域网更新连接信息Error reporting service 发送错误报告Remote Procedure Call (RPC) Locator RpcNs*远程过程调用 (RPC) Remote Registry 远程修改注册表Removable storage 管理可移动媒体、驱动程序和库Remote Desktop Help Session Manager 远程协助Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务Messenger 消息文件传输服务Net Logon 域控制器通道管理NTLMSecuritysupportprovide telnet服务和Microsoft Serch用的PrintSpooler 打印服务telnet telnet服务Workstation 泄漏系统用户名列表12.更改本地安全策略的审核策略账户管理 成功失败登录事件 成功失败对象访问 失败 策略更改 成功失败特权使用 失败 系统事件 成功失败 目录服务访问 失败 账户登录事件 成功 失败13.更改有可能会被提权利用的文件运行权限,找到以下文件,将其安全设置里除administrat ors用户组全部删除,mbt shoes,重要的是连system也不要留.net.exenet1.execmd.exetftp.exenet stat.exeregedit.exeat.exeattrib.execacls.exeformat .comc.exe 特殊文件 有可能在你的计算机上找不到此文件.在搜索框里输入 "net.exe","net1.exe","cmd.exe","tftp.exe","netstat .exe","regedit.exe","at.exe","attrib.exe","cacls.e xe","format.com","c.exe" 点击搜索 然后全选 右键 属性 安全 以上这点是最最重要的一点了,也是最最方便减少被提权和被破坏的可能的防御方法了.14.后备工作,将当前 服务器的进程抓图或记录下来,将其保存,方便以后对照查看是否有不明的程序。将当前开放的端口抓图或记录下 来,ghd,保存,方便以后对照查看是否开放了不明的端口。当然如果你能分辨每一个进程,和端口这一步可以省略。以上 是设置安全服务器必要的步骤.下面我们来说说数据库安装. 1.在企业管理器内建立一个空的数据库名为oblog4,打开查询分析器,将data目录的oblog4. sql导入查询分析器.找到oblog4数据库执行.2.将初始数据库oblog4.mdb导入我们刚刚建 立好的数据库.好了数据库装好了,下面我们来说说IIS的安全设置.1. 在计算机管理中设定一个新的用户组 iis guest 这个用户组来将我们的站点使用的匿名用户归类.方便管理.2. 新建一个用户已 U_开头 以后站点的匿名用户就都是以U_开头方便识别和管理 当然你可以自己设定,只要方便识别即可.然后去掉其所归属的user用户组添加入 iis guest用户组.比如新建的站点是www.lovalaozang.cn 那么我我们就新建一个 U_lovelaozang.cn用户,然后将它除去user组的隶属关系,然后将其加入guest组.3 . 在发布盘上新建一个文件夹作为网站目录.再这里我们新建E:\wwwroot为我们的站点文件 夹[目录最好带有迷惑性 如:E:\wireless security]4. 将网站传入到此文件夹下.5. 设置iis发布此站点.站点的主机头设为您的域名.6. 设置iis匿名用户访问权限为刚刚我们新建的U_lovelaozang.cn用户.7. 设置发布目录文件夹权限所有为U_lovelaozang.cn用户读取运行权限.8. 设置 目录U(用户日志生成静态目录),asics mini,目录 Uploadfiles(上传目录) skin下的skin.mdb 根目录下的 index.html 等目录或文件权限为可以修改.9. 在iis上设置Uploadfiles文件夹为不可执行脚本.10. 修改conn.asp和config.asp文件.适应我们的设置.11. 访问您设定的网址 安装完成.windows下根目录的权限设置:C:\WINDOWS\Downloaded Program Files 默认不改C:\WINDOWS\Offline Web Pages 默认不改C:\WINDOWS\Help TERMINAL SERVER USER 除前两项权限不选其余都选C:\WINDOWS\IIS Temporary Compressed Files IIS_WPG选全部权限C:\WINDOWS\Installer 删除everyone组权限C:\WINDOWS\Prefetch 默认权限不改C:\WINDOWS\Registration 添加NETWORK SERVICE 选择其中三项权限,其它保留默认C:\WINDOWS\system32 添加NETWORK SERVICE 选择其中三项权限,其它保留默认C:\WINDOWS\TAPI 删除user组,其它组的权限保留默认C:\WINDOWS\Temp 删除user组,其它组的权限保留默认C:\WINDOWS\Web 注意权限设置为继承。具体看演示C:\WINDOWS\WinSxS 添加NETWORK SERVICE 选择其中三项权限,其它保留默认C:\WINDOWS\Application Compatibility Scripts C:\WINDOWS\Debug\UserMode 删除users组的权限C:\WINDOWS\Debug\WPD 目录删除Authenticated Users组权限。其它默认不变 C:\WINDOWS\ime C:\WINDOWS\inf C:\WINDOWS\Installer 删除其子目录下所有包含everyone组的权限C:\WINDOWS\Microsoft. NET 和C:\WINDOWS\Microsoft.NET\Framework\v1.1.432 2 子目录中有很多组权限。保留默认就行C:\WINDOWS\PCHealth\UploadL B 删除everyone组的权限,其它下级目录不用管,没有user组和everyone组权限C:\WIN DOWS\PCHealth\HelpCtr 删除everyone组的权限,其它下级目录不用管,没有user组和everyone组权限如果C:\W INDOWS\PCHealth\还有其它演示中没有的目录,也如此操作,依情况灵活运用C:\WINDO WS\Registration\CRMLog 删除users组的权限C:\WINDOWS\security\templates 删除users组的权限及多余权限,看演示下面开始system32根目录的设置:此目录中基本上是删除u ser组和其它不必要的组后,其余组的权限保留就行了。要改的地方没几处C:\WINDOWS\syste m32\GroupPolicy 删除Authenticated Users组,其下子目录保留默认不用改就行*******C:\WINDOWS\system32\in etsrv 及其下子目录均保持不改就行*******C:\WINDOWS\system32\spool***** ********C:\WINDOWS\system32\spool\drivers 删除everyone组的权限C:\WINDOWS\system32\spool\PRIN TERS 删除everyone组的权限C:\WINDOWS\system32\wbem\AutoR ecover 删除everyone组的权限C:\WINDOWS\system32\wbem\Logs 同上C:\WINDOWS\system32\wbem\mof 同上C:\WINDOWS\system32\wbem\Repository 同上在这里提供给大家一段批处理 windows 2003权限设置批处理echo.echo ------------------------------------------------------echo.echo ...........echo.net share c$ /deletenet share d$ /deletenet share e$ /deletenet share f$ /deletenet share admin$ /deletenet share ipc$ /deletenet stop servernet stop lanmanworkstationregsvr32/u C:\WINDOWS\System32\wshom.ocxregsvr32/u C:\WINDOWS\system32\shell32.dllcacls c:\WINDOWS\system32\shell32.dll /g administrators:f system:fcacls c:\WINDOWS\system32\shell.dll /g administrators:f system:fcacls c:\ /g administrators:f system:fcacls d:\ /g administrators:f system:fecho.echo ..........echo.echo ------------------------------------------------------echo.echo .................echo.echo .. delshare.reg .......echo Windows Registry Editor Version 5.00> c:\delshare.regecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\lanmanserver\parameters]>> c:\delshare.regecho "AutoShareWks"=dword:00000000>> c:\delshare.regecho "AutoShareServer"=dword:00000000>> c:\delshare.regecho .. delshare.reg .....regedit /s c:\delshare.regecho .. delshare.reg ....del c:\delshare.regecho .echo ........echo .echo ================================================== =======echo .echo .....................dos....echo .echo .........echo Windows Registry Editor Version 5.00> c:\dosforwin.regecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Tcpip\Parameters]>> c:\dosforwin.regecho "EnableICMPRedirect"=dword:00000000>> c:\dosforwin.regecho "DeadGWDetectDefault"=dword:00000001>> c:\dosforwin.regecho "DontAddDefaultGatewayDefault"=dword:00000000> > c:\dosforwin.regecho "EnableSecurityFilters"=dword:00000000">> c:\dosforwin.regecho "AllowUnqualifiedQuery"=dword:00000000>> c:\dosforwin.regecho "PrioritizeRecordData"=dword:00000001>> c:\dosforwin.regecho "ReservedPorts"=hex(7):31,00,34,00,33,00,33,00,2d, 00,31,00,34,00,33,00,nike 360,34,00,\>> c:\dosforwin.regecho 00,00,00,00>> c:\dosforwin.regecho "SynAttackProtect"=dword:00000002>> c:\dosforwin.regecho "EnablePMTUDiscovery"=dword:00000000>> c:\dosforwin.regecho "NoNameReleaseOnDemand"=dword:00000001>> c:\dosforwin.regecho "EnableDeadGWDetect"=dword:00000000>> c:\dosforwin.regecho "KeepAliveTime"=dword:00300000>> c:\dosforwin.regecho "PerformRouterDiscovery"=dword:00000000>> c:\dosforwin.regecho "EnableICMPRedirects"=dword:00000000>> c:\dosforwin.regecho .echo ================================================== ========echo .. dosforwin.reg .....regedit /s c:\dosforwin.regecho .. dosforwin.reg ....del c:\dosforwin.regecho ================================================== ============echo .echo ..........(......................).echo .echo ..telnet,......telnet.echo ..........echo Windows Registry Editor Version 5.00> c:\telnet.regecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\TlntSvr]>> c:\telnet.regecho "Start"=dword:00000004>> c:\telnet.regecho .echo .. telnet.reg .....regedit /s c:\telnet.regecho .echo .. telnet.reg ....del c:\telnet.regecho .echo ================================================== =============echo ..Remote Registry Service...........echo .........echo .echo Windows Registry Editor Version 5.00> c:\regedit.regecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\RemoteRegistry]>> c:\regedit.regecho "Start"=dword:00000004>> c:\regedit.regecho .echo .. regedit.reg .....regedit /s c:\regedit.regecho .echo ......del c:\regedit.regecho ================================================== =============echo ..Messenger.......echo .........echo Windows Registry Editor Version 5.00> c:\message.regecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Messenger]>> c:\message.regecho "Start"=dword:00000004>> c:\message.regecho .echo .. message.reg .....regedit /s c:\message.regecho .echo .. message.regdel c:\message.regecho ================================================== =============echo ..lanmanworkstation.......echo .........echo Windows Registry Editor Version 5.00> c:\lanmanworkstation.regecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\lanmanworkstation]>> c:\lanmanworkstation.regecho "Start"=dword:00000004>> c:\lanmanworkstation.regecho .echo .. lanmanworkstation.reg .....regedit /s c:\lanmanworkstation.regecho .echo .. lanmanworkstation.regdel c:\lanmanworkstation.regecho ================================================== =============echo ..lanmanserver.......echo .........echo Windows Registry Editor Version 5.00> c:\lanmanserver.regecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\lanmanserver]>> c:\lanmanserver.regecho "Start"=dword:00000004>> c:\lanmanserver.regecho .echo .. lanmanserver.reg .....regedit /s c:\lanmanserver.regecho .echo .. lanmanserver.regdel c:\lanmanserver.regecho ================================================== =============echo ..lanmanserver.......echo .........echo Windows Registry Editor Version 5.00> c:\lanmanserver.regecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\lanmanserver]>> c:\lanmanserver.regecho "Start"=dword:00000004>> c:\lanmanserver.regecho .echo .. lanmanserver.reg .....regedit /s c:\lanmanserver.regecho .echo .. lanmanserver.regdel c:\lanmanserver.regecho ================================================== =============echo ..Alerter.......echo .........echo Windows Registry Editor Version 5.00> c:\Alerter.regecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Alerter]>> c:\Alerter.regecho "Start"=dword:00000004>> c:\Alerter.regecho .echo .. Alerter.reg .....regedit /s c:\Alerter.regecho .echo .. Alerter.regdel c:\Alerter.regecho ================================================== =============echo ..Browser.......echo .........echo Windows Registry Editor Version 5.00> c:\Browser.regecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Browser]>> c:\Browser.regecho "Start"=dword:00000004>> c:\Browser.regecho .echo .. Browser.reg .....regedit /s c:\Browser.regecho .echo .. Browser.regdel c:\Browser.regecho ================================================== =============echo ..Dfs.......echo .........echo Windows Registry Editor Version 5.00> c:\Dfs.regecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Dfs]>> c:\Dfs.regecho "Start"=dword:00000004>> c:\Dfs.regecho .echo .. Dfs.reg .....regedit /s c:\Dfs.regecho .echo .. Dfs.regdel c:\Dfs.regecho ================================================== =============echo ..Spooler.......echo .........echo Windows Registry Editor Version 5.00> c:\Spooler.regecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Spooler]>> c:\Spooler.regecho "Start"=dword:00000004>> c:\Spooler.regecho .echo .. Spooler.reg .....regedit /s c:\Spooler.regecho .echo .. Spooler.regdel c:\Spooler.regecho ================================================== ============echo ...TCP/IP NetBIOS Helper Serviceecho .........echo Windows Registry Editor Version 5.00> c:\netbios.regecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\LmHosts]>> c:\netbios.regecho "Start"=dword:00000004>> c:\netbios.regecho .echo .. netbios.reg .....regedit /s c:\netbios.regecho .echo .. netbios.regdel c:\netbios.regecho ================================================== =============echo ================================================== =============goto :END
|
|  |
 |
« الموضوع السابق
|
الموضوع التالي »
| أدوات الموضوع | |
|
|
الساعة الآن 10:21 PM.
عدد الزوار
عدد الزوار
