【WIN2003 Server安全配置完整篇】
<P align=center><STRONG><FONT size=5>【<FONT color=red>WIN2003 Server安全配置完整篇</FONT>】</FONT></STRONG></P><P><STRONG> </STRONG></P>
<P><STRONG>一,先關閉不需要的端口<BR> </STRONG></P>
<P><STRONG>我比較小心,先關了端口。</STRONG></P>
<P><STRONG> </STRONG></P>
<P><STRONG>只開了3389 21 80然後添加你需要的端口即可的PS一句:設定完端口需要重新啟動!</STRONG></P><STRONG>
<P><BR>當然大家也可以更改遠程連接處端口方法擴展功能:</P>
<P><BR>Windows註冊表編輯器5.00版</P>
<P> </P>
<P></P>
<P><BR>“端口號”= DWORD:00002683</P>
<P><BR>保存為的。</P>
<P> </P>
<P>REG文件雙擊即可!</P>
<P> </P>
<P>更改為9859,當然大家也可以換別的端口,連接防火牆可以有效地攔截對Windows 2003的服務器的非法入侵,防止非法遠程主機對服務器的掃描,提高Windows的.</P>
<P> </P>
<P>二,關閉不需要的服務打開相應的審核策略<BR> </P>
<P>我關閉了以下的服務</P>
<P><BR>Computer Browser 計算機瀏覽器維護網絡上計算機的最新列表以及提供這個列表</P>
<P> </P>
<P>Task scheduler 允許程序在指定時間運行任務調度</P>
<P> </P>
<P>Messenger 信使傳輸客戶端和服務器之間的NET SEND和警報器服務消息</P>
<P> </P>
<P>Distributed File System:分佈式文件系統:局域網管理共享文件,不需要禁用</P>
<P> </P>
<P>Distributed linktracking client:分佈式linktracking客戶端:用於局域網更新2007-05-25連接處信息,不需要禁用</P>
<P> </P>
<P>Error reporting service:錯誤報告服務:禁止發送錯誤報告</P>
<P> </P>
<P>Microsoft Serch:微軟查詢:提供快速的單詞搜索,不需要可禁用</P>
<P> </P>
<P>NTLMSecuritysupportprovide命令:telnet服務和微軟Microsoft Serch用的,不需要禁用</P>
<P> </P>
<P>PrintSpooler:如果沒有打印機可禁用</P>
<P> </P>
<P>Remote Registry:遠程註冊表:禁止遠程修改註冊表</P>
<P> </P>
<P>Remote Desktop Help Session Manager:遠程桌面幫助會話管理器:禁止遠程協助</P>
<P> </P>
<P>Workstation 工作站關閉的話遠程NET的命令列不出用戶組</P>
<P> </P>
<P>把不必要的服務都禁止掉,儘管這些不一定能被攻擊者利用得上,但是按照安全規則和標准上來說,多餘的東西就沒必要開啟,減少一份隱患。</P>
<P><BR> <BR>在"網絡連接"裡,把不需要的協議和服務都刪掉,這裡只安裝了基本的Internet協議(TCP/IP),由於要控制帶寬流量服務,額外安裝了Qos數據包計劃程序。</P>
<P> </P>
<P>在高級tcp/ip設置裡--"NetBIOS"設置"禁用tcp/IP上的NetBIOS(S)"。在高級選項裡,使用"Internet連接防火牆",這是windows 2003 自帶的防火牆,在2000系統裡沒有的功能,雖然沒什麼功能,但可以屏蔽端口,這樣已經基本達到了一個IPSec的功能。</P>
<P> </P>
<P>在運行中輸入gpedit.msc回車,打開組策略編輯器,選擇計算機配置-Windows設置-安全設置-審核策略在創建審核項目時需要注意的是如果審核的項目太多,生成的事件也就越多,那麼要想發現嚴重的事件也越難當然如果審核的太少也會影響你發現嚴重的事件,你需要根據情況在這二者之間做出選擇。</P>
<P> </P>
<P>本文轉摘自『藍派網』<A href="http://www.lan27.com/Article/200810/8905.htm">http://www.lan27.com/Article/200810/8905.htm</A></P>
<P> </P>
<P>2003</P>
<P> </P>
<P>推薦的要審核的項目是:</P>
<P> </P>
<P>登錄事件 成功失敗</P>
<P> </P>
<P>賬戶登錄事件 成功失敗</P>
<P> </P>
<P>系統事件 成功失敗</P>
<P> </P>
<P>策略更改 成功失敗</P>
<P> </P>
<P>對象訪問 失敗</P>
<P> </P>
<P>目錄服務訪問 失敗</P>
<P> </P>
<P>特權使用 失敗</P>
<P> </P>
<P>三,關閉界面風格默認共享的空連接處</P>
<P> </P>
<P>地球人都知道,我就不打了!</P>
<P> </P>
<P>四、磁盤權限設置</P>
<P> </P>
<P>C盤只給administrators 和system權限,其他的權限不給,其他的盤也可以這樣設置,這裡給的system權限也不一定需要給,只是由於某些第三方應用程序是以服務形式啟動的,需要加上這個用戶,否則造成啟動不了。 </P>
<P> </P>
<P>Windows目錄要加上給users的默認權限,否則ASP和ASPX等應用程序就無法運行。</P>
<P> </P>
<P>以前有朋友單獨設置Instsrv和temp等目錄權限,其實沒有這個必要的。 </P>
<P> </P>
<P>另外在c:/Documents and Settings/這里相當重要,後面的目錄裡的權限根本不會繼承從前的設置,如果僅僅只是設置了C盤給administrators權限,而在All Users/Application Data目錄下會出現everyone用戶有完全控制權限,這樣入侵這可以跳轉到這個目錄,寫入腳本或只文件,再結合其他漏洞來提升權限;</P>
<P> </P>
<P>譬如利用serv-u的本地溢出提升權限,或系統遺漏有補丁,數據庫的弱點,甚至社會工程學等等N多方法,從前不是有牛人發颮說:"只要給我一個webshell,我就能拿到system",這也的確是有可能的。</P>
<P> </P>
<P>在用做web/ftp服務器的系統裡,建議是將這些目錄都設置的鎖死。</P>
<P> </P>
<P>其他每個盤的目錄都按照這樣設置,沒個盤都只給adinistrators權限。</P>
<P><BR>另外,還將:</P>
<P><BR>net.exe NET命令</P>
<P><BR>cmd.exe CMD 懂電腦的都知道咯~</P>
<P><BR>tftp.exe</P>
<P><BR>netstat.exe</P>
<P><BR>regedit.exe 註冊表啦 大家都知道</P>
<P><BR>at.exe</P>
<P><BR>attrib.exe</P>
<P><BR>cacls.exe ACL用戶組權限設置,此命令可以在NTFS下設置任何文件夾的任何權限!</P>
<P> </P>
<P>偶入侵的時候沒少用這個....(:format.exe 不說了,大家都知道是做嘛的大家都知道ASP木馬吧,有個CMD運行這個的,這些如果都可以在CMD下運行..55,,估計別的沒啥,format下估計就哭料~~~(:這些文件都設置只允許administrators訪問。</P>
<P><BR>本文轉摘自『藍派網』<A href="http://www.lan27.com/Article/200810/8905.htm">http://www.lan27.com/Article/200810/8905.htm</A></P>
<P> </P>
<P>五、防火牆、殺毒軟件的安裝</P>
<P><BR>關於這個東西的安裝其實我也說不來,反正安裝什麼的都有,建議使用卡巴,賣咖啡。</P>
<P> </P>
<P>用系統自帶的防火牆,,這個我不專業,不說了!</P>
<P> </P>
<P>大家湊合!</P>
<P><BR>本文轉摘自『藍派網』<A href="http://www.lan27.com/Article/200810/8905.htm">http://www.lan27.com/Article/200810/8905.htm</A></P>
<P><BR>六、SQL2000 SERV-U FTP安全設置</P>
<P> </P>
<P>SQL安全方面<BR> </P>
<P>1、System Administrators 角色最好不要超過兩個</P>
<P> </P>
<P>2、如果是在本機最好將身份驗證配置為Win登陸</P>
<P> </P>
<P>3、不要使用Sa賬戶,為其配置一個超級複雜的密碼</P>
<P> </P>
<P>4、刪除以下的擴展存儲過程格式為:<BR> </P>
<P>use master</P>
<P><BR>sp_dropextendedproc '擴展存儲過程名'</P>
<P> </P>
<P>xp_cmdshell:是進入操作系統的最佳捷徑,刪除</P>
<P> </P>
<P>訪問註冊表的存儲過程,刪除</P>
<P><BR>Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvalues</P>
<P><BR>本文轉摘自『藍派網』<A href="http://www.lan27.com/Article/200810/8905.htm">http://www.lan27.com/Article/200810/8905.htm</A></P>
<P> </P>
<P>Xp_regread Xp_regwrite Xp_regremovemultistring</P>
<P> </P>
<P>OLE自動存儲過程,不需要刪除</P>
<P><BR>Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty<BR>Sp_OAMethod Sp_OASetProperty Sp_OAStop</P>
<P> </P>
<P>5、隱藏SQL Server、更改默認的1433端口</P>
<P> </P>
<P>右擊實例選屬性-常規-網絡配置中選擇TCP/IP協議的屬性,選擇隱藏SQL Server 實例,並改原默認的1433端口</P>
<P> </P>
<P>serv-u的幾點常規安全需要設置下: <BR> </P>
<P>選中"Block "FTP_bounce"attack and FXP"。</P>
<P> </P>
<P>什麼是FXP呢?</P>
<P> </P>
<P>通常,當使用FTP協議進行文件傳輸時,客戶端首先向FTP服務器發出一個"PORT"命令,該命令中包含此用戶的IP地址和將被用來進行數據傳輸的端口號,服務器收到後,利用命令所提供的用戶地址信息建立與用戶的連接。</P>
<P> </P>
<P>大多數情況下,上述過程不會出現任何問題,但當客戶端是一名惡意用戶時,可能會通過在PORT命令中加入特定的地址信息,使FTP服務器與其它非客戶端的機器建立連接。</P>
<P> </P>
<P>雖然這名惡意用戶可能本身無權直接訪問某一特定機器,但是如果FTP服務器有權訪問該機器的話,那麼惡意用戶就可以通過FTP服務器作為中介,仍然能夠最終實現與目標服務器的連接。</P>
<P> </P>
<P>這就是FXP,也稱跨服務器攻擊。</P>
<P> </P>
<P>選中後就可以防止發生此種情況。</P>
<P><BR>本文轉摘自『藍派網』<A href="http://www.lan27.com/Article/200810/8905_2.htm">http://www.lan27.com/Article/200810/8905_2.htm</A></P>
<P> </P>
<P>七、IIS安全設置</P>
<P> </P>
<P>IIS的安全:</P>
<P> </P>
<P>1、不使用默認的Web站點,如果使用也要將將IIS目錄與系統磁盤分開。</P>
<P> </P>
<P>2、刪除IIS默認創建的Inetpub目錄(在安裝系統的盤上)。</P>
<P> </P>
<P>3、刪除系統盤下的虛擬目錄,如:_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。</P>
<P> </P>
<P>4、刪除不必要的IIS擴展名映射。</P>
<P> </P>
<P>右鍵單擊“默認Web站點→屬性→主目錄→配置”,打開應用程序窗口,去掉不必要的應用程序映射。</P>
<P> </P>
<P>主要為.shtml, .shtm, .stm</P>
<P> </P>
<P>5、更改IIS日誌的路徑</P>
<P> </P>
<P>右鍵單擊“默認Web站點→屬性-網站-在啟用日誌記錄下點擊屬性</P>
<P> </P>
<P>6、如果使用的是2000可以使用iislockdown來保護IIS,在2003運行的IE6.0的版本不需要。</P>
<P><BR>本文轉摘自『藍派網』<A href="http://www.lan27.com/Article/200810/8905_2.htm">http://www.lan27.com/Article/200810/8905_2.htm</A></P>
<P> </P>
<P>八、其它</P>
<P><BR>1、 系統升級、打操作系統補丁,尤其是IIS 6.0補丁、SQL SP3a補丁,甚至IE 6.0補丁也要打。</P>
<P> </P>
<P>同時及時跟踪最新漏洞補丁;</P>
<P><BR>2、停掉Guest 帳號、並給guest 加一個異常複雜的密碼,把Administrator改名或偽裝!</P>
<P><BR>3、隱藏重要文件/目錄</P>
<P> </P>
<P>可以修改註冊表實現完全隱藏:“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”,鼠標右擊“CheckedValue”,選擇修改,把數值由1改為0</P>
<P> </P>
<P>4、啟動系統自帶的Internet連接防火牆,在設置服務選項中勾選Web服務器。</P>
<P> </P>
<P>5、防止SYN洪水攻擊</P>
<P> </P>
<P>HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters</P>
<P>新建DWORD值,名為SynAttackProtect,值為2</P>
<P> </P>
<P>6. 禁止響應ICMP路由通告報文</P>
<P> </P>
<P>HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface</P>
<P> </P>
<P>新建DWORD值,名為PerformRouterDiscovery 值為0</P>
<P> </P>
<P>7. 防止ICMP重定向報文的攻擊</P>
<P> </P>
<P>HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters</P>
<P> </P>
<P>將EnableICMPRedirects 值設為0</P>
<P> </P>
<P>8. 不支持IGMP協議<BR></P>
<P>HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters</P>
<P> </P>
<P>新建DWORD值,名為IGMPLevel 值為0</P>
<P> </P>
<P>9、禁用DCOM:</P>
<P> </P>
<P>運行中輸入 Dcomcnfg.exe。</P>
<P> </P>
<P>回車, 單擊“控制台根節點”下的“組件服務”。</P>
<P> </P>
<P>打開“計算機”子文件夾。</P>
<P> </P>
<P>對於本地計算機,請以右鍵單擊“我的電腦”,然後選擇“屬性”。選擇“默認屬性”選項卡。</P>
<P> </P>
<P>清除“在這台計算機上啟用分佈式COM”複選框。</P>
<P><BR>八、 建議安全以上步驟做的朋友們,每做一步先進行一下測試,省的無可挽回,畢竟microsoft會出一些非常規性的問題的咯!</P>
<P> </P>
<P>出問題也不要我,本文章僅供參考!</P>
<P><BR>本文轉摘自『藍派網』<A href="http://www.lan27.com/Article/200810/8905_2.htm">http://www.lan27.com/Article/200810/8905_2.htm</A></P>
<P> </P>
<P> </P>
<P>引用:<A href="http://www.lan27.com/Article/200810/8905_2.htm">http://www.lan27.com/Article/200810/8905_2.htm</A></STRONG></P>
頁:
[1]