【2003服務器安全攻略】
<P align=center><STRONG><FONT size=5>【<FONT color=red>2003服務器安全攻略</FONT>】</FONT></STRONG></P><P><STRONG></STRONG> </P>
<P><STRONG>windows server2003是目前最為成熟的網絡服務器平台,安全性相對於windows 2000有大大的提高,但是2003默認的安全配置不一定適合我們的需要,所以,我們要根據實際情況來對win2003進行全面安全配置。</STRONG></P>
<P><STRONG></STRONG> </P>
<P><STRONG>說實話,安全配置是一項比較有難度的網絡技術,權限配置的太嚴格,好多程序又運行不起,權限配置的太鬆,又很容易被黑客入侵,做為網絡管理員,真的很頭痛,因此,我結合這幾年的網絡安全管理經驗,總結出以下一些方法來提高我們服務器的安全性。<BR></STRONG></P>
<P><STRONG>第一招:正確劃分文件系統格式,選擇穩定的操作系統安裝盤<BR></STRONG></P>
<P><STRONG>為了提高安全性,服務器的文件系統格式一定要劃分成NTFS(新技術文件系統)格式,它比FAT16、FAT32的安全性、空間利用率都大大的提高,我們可以通過它來配置文件的安全性,磁盤配額、EPS文件加密等。</STRONG></P>
<P><STRONG></STRONG> </P>
<P><STRONG>如果你已經分成FAT32的格式了,可以用CONVERT 盤符/FS:NTFS /V 來把FAT32轉換成NTFS格式。</STRONG></P>
<P><STRONG></STRONG> </P>
<P><STRONG>正確安裝windows 2003 server,最好裝windows 2003的企業可升級版,可以直接網上升級,我們安裝時盡量只安裝我們必須要用的組件,安裝完後打上最新的補丁,到網上升級到最新版本!</STRONG></P>
<P><STRONG></STRONG> </P>
<P><STRONG>保證操作系統本身無漏洞。</STRONG></P>
<P><STRONG></STRONG> </P>
<P><STRONG>切忌一定要設置自動更新,微軟發布的每個漏洞補丁都要打上去。</STRONG></P>
<P><STRONG></STRONG> </P>
<P><STRONG>這是最重要也是最基本的。</STRONG></P><STRONG>
<P><BR>本文轉摘自『藍派網』<A href="http://www.lan27.com/Article/200806/7463.htm">http://www.lan27.com/Article/200806/7463.htm</A></P>
<P> </P>
<P>第二招:正確設置磁盤的安全性,具體如下(虛擬機的安全設置,我們以asp程序為例子)</P>
<P><BR>重點:</P>
<P> </P>
<P>1、系統盤權限設置</P>
<P> </P>
<P>C:分區部分:</P>
<P> </P>
<P>c:\</P>
<P> </P>
<P>administrators 全部(該文件夾,子文件夾及文件)</P>
<P> </P>
<P>CREATOR OWNER 全部(只有子文件來及文件)</P>
<P> </P>
<P>system 全部(該文件夾,子文件夾及文件)</P>
<P> </P>
<P>IIS_WPG 創建文件/寫入數據(只有該文件夾)</P>
<P> </P>
<P>IIS_WPG(該文件夾,子文件夾及文件)</P>
<P> </P>
<P>遍歷文件夾/運行文件</P>
<P> </P>
<P>列出文件夾/讀取數據</P>
<P> </P>
<P>讀取屬性</P>
<P> </P>
<P>創建文件夾/附加數據</P>
<P> </P>
<P>讀取權限</P>
<P> </P>
<P>c:\Documents and Settings</P>
<P> </P>
<P>administrators 全部(該文件夾,子文件夾及文件)</P>
<P> </P>
<P>Power Users (該文件夾,子文件夾及文件)</P>
<P> </P>
<P>讀取和運行</P>
<P> </P>
<P>列出文件夾目錄</P>
<P> </P>
<P>讀取</P>
<P> </P>
<P>SYSTEM全部(該文件夾,子文件夾及文件)</P>
<P> </P>
<P>C:\Program Files</P>
<P> </P>
<P>administrators 全部(該文件夾,子文件夾及文件)</P>
<P> </P>
<P>CREATOR OWNER全部(只有子文件來及文件)</P>
<P> </P>
<P>IIS_WPG (該文件夾,子文件夾及文件)</P>
<P> </P>
<P>讀取和運行</P>
<P> </P>
<P>列出文件夾目錄</P>
<P> </P>
<P>讀取</P>
<P> </P>
<P>Power Users(該文件夾,子文件夾及文件)</P>
<P> </P>
<P>修改權限</P>
<P> </P>
<P>SYSTEM全部(該文件夾,子文件夾及文件)</P>
<P> </P>
<P>TERMINAL SERVER USER (該文件夾,子文件夾及文件)</P>
<P> </P>
<P>修改權限</P>
<P> </P>
<P>2、網站及虛擬機權限設置(比如網站在E盤)</P>
<P> </P>
<P>說明:我們假設網站全部在E盤wwwsite目錄下,並且為每一個虛擬機創建了一個guest用戶,用戶名為vhost1...vhostn並且創建了一個webuser組,把所有的vhost用戶全部加入這個webuser組裡面方便管理</P>
<P> </P>
<P>E:\</P>
<P> </P>
<P>Administrators全部(該文件夾,子文件夾及文件)</P>
<P> </P>
<P>E:\wwwsite</P>
<P> </P>
<P>Administrators全部(該文件夾,子文件夾及文件)</P>
<P> </P>
<P>system全部(該文件夾,子文件夾及文件)</P>
<P> </P>
<P>service全部(該文件夾,子文件夾及文件)</P>
<P> </P>
<P>E:\wwwsite\vhost1</P>
<P> </P>
<P>Administrators全部(該文件夾,子文件夾及文件)</P>
<P> </P>
<P>system全部(該文件夾,子文件夾及文件)</P>
<P> </P>
<P>vhost1全部(該文件夾,子文件夾及文件)</P>
<P> </P>
<P>3、數據備份盤</P>
<P> </P>
<P>數據備份盤最好只指定一個特定的用戶對它有完全操作的權限</P>
<P> </P>
<P>比如F盤為數據備份盤,我們只指定一個管理員對它有完全操作的權限</P>
<P> </P>
<P>4、其它地方的權限設置</P>
<P> </P>
<P>請找到c盤的這些文件,把安全性設置只有特定的管理員有完全操作權限</P>
<P> </P>
<P>下列這些文件只允許administrators訪問</P>
<P> </P>
<P>net.exe</P>
<P> </P>
<P>net1.exet</P>
<P> </P>
<P>cmd.exe</P>
<P> </P>
<P>tftp.exe</P>
<P> </P>
<P>netstat.exe</P>
<P> </P>
<P>regedit.exe</P>
<P> </P>
<P>at.exe</P>
<P> </P>
<P>attrib.exe</P>
<P> </P>
<P>cacls.exe</P>
<P> </P>
<P>format.com</P>
<P> </P>
<P>5.刪除c:\inetpub目錄,刪除iis不必要的映射,建立陷阱帳號,更改描述</P>
<P><BR>本文轉摘自『藍派網』<A href="http://www.lan27.com/Article/200806/7463.htm">http://www.lan27.com/Article/200806/7463.htm</A></P>
<P> </P>
<P> </P>
<P>第三招:禁用不必要的服務,提高安全性和系統效率</P>
<P> </P>
<P>Computer Browser 維護網絡上計算機的最新列表以及提供這個列表</P>
<P> </P>
<P>Task scheduler 允許程序在指定時間運行</P>
<P> </P>
<P>Routing and Remote Access 在局域網以及廣域網環境中為企業提供路由服務</P>
<P> </P>
<P>Removable storage 管理可移動媒體、驅動程序和庫</P>
<P> </P>
<P>Remote Registry Service 允許遠程註冊表操作</P>
<P> </P>
<P>Print Spooler 將文件加載到內存中以便以後打印。</P>
<P> </P>
<P>要用打印機的朋友不能禁用這項</P>
<P> </P>
<P>IPSEC Policy Agent 管理IP安全策略以及啟動ISAKMP/OakleyIKE)和IP安全驅動程序</P>
<P> </P>
<P>Distributed Link Tracking Client 當文件在網絡域的NTFS卷中移動時發送通知</P>
<P> </P>
<P>Com+ Event System 提供事件的自動發佈到訂閱COM組件</P>
<P> </P>
<P>Alerter 通知選定的用戶和計算機管理警報</P>
<P> </P>
<P>Error Reporting Service 收集、存儲和向Microsoft 報告異常應用程序</P>
<P> </P>
<P>Messenger 傳輸客戶端和服務器之間的NET SEND 和警報器服務消息</P>
<P> </P>
<P>Telnet 允許遠程用戶登錄到此計算機並運行程序</P>
<P><BR>本文轉摘自『藍派網』<A href="http://www.lan27.com/Article/200806/7463.htm">http://www.lan27.com/Article/200806/7463.htm</A></P>
<P> </P>
<P>第四招:修改註冊表,讓系統更強壯</P>
<P> </P>
<P>1、隱藏重要文件/目錄可以修改註冊表實現完全隱藏:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”,鼠標右擊“CheckedValue”,選擇修改,把數值由1改為0</P>
<P> </P>
<P>2、啟動系統自帶的Internet連接_blank">防火牆,在設置服務選項中勾選Web服務器。</P>
<P> </P>
<P>3、防止SYN洪水攻擊</P>
<P> </P>
<P>HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters</P>
<P>新建DWORD值,名為SynAttackProtect,值為2</P>
<P> </P>
<P>EnablePMTUDiscovery REG_DWORD 0</P>
<P> </P>
<P>NoNameReleaseOnDemand REG_DWORD 1</P>
<P> </P>
<P>EnableDeadGWDetect REG_DWORD 0</P>
<P> </P>
<P>KeepAliveTime REG_DWORD 300,000</P>
<P> </P>
<P>PerformRouterDiscovery REG_DWORD 0</P>
<P> </P>
<P>EnableICMPRedirects REG_DWORD 0</P>
<P> </P>
<P>4. 禁止響應ICMP路由通告報文</P>
<P> </P>
<P>HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface</P>
<P> </P>
<P>新建DWORD值,名為PerformRouterDiscovery 值為0</P>
<P> </P>
<P>5. 防止ICMP重定向報文的攻擊</P>
<P> </P>
<P>HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters</P>
<P>將EnableICMPRedirects 值設為0</P>
<P> </P>
<P>6. 不支持IGMP協議</P>
<P> </P>
<P>HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters</P>
<P>新建DWORD值,名為IGMPLevel 值為0</P>
<P> </P>
<P>7.修改終端服務端口</P>
<P> </P>
<P>運行regedit,找到,看到右邊的PortNumber了嗎?</P>
<P> </P>
<P>在十進制狀態下改成你想要的端口號吧,比如7126之類的,只要不與其它衝突即可。</P>
<P> </P>
<P>2、第二處HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp,方法同上,記得改的端口號和上面改的一樣就行了。</P>
<P> </P>
<P>8、禁止IPC空連接:</P>
<P> </P>
<P>cracker可以利用net use命令建立空連接,進而入侵,還有net view,nbtstat這些都是基於空連接的,禁止空連接就好了。</P>
<P> </P>
<P>打開註冊表,找到Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 把這個值改成”1”即可。</P>
<P> </P>
<P>9、更改TTL值</P>
<P> </P>
<P>cracker可以根據ping回的TTL值來大致判斷你的操作系統,如:</P>
<P> </P>
<P>TTL=107(WINNT);</P>
<P> </P>
<P>TTL=108(win2000);</P>
<P> </P>
<P>TTL=127或128(win9x);</P>
<P> </P>
<P>TTL=240或241(linux);</P>
<P> </P>
<P>TTL=252(solaris);</P>
<P> </P>
<P>TTL=240(Irix);</P>
<P> </P>
<P>實際上你可以自己更改的:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters:DefaultTTL REG_DWORD 0-0xff(0-255 十進制,默認值128)改成一個莫名其妙的數字如258,起碼讓那些小菜鳥暈上半天,就此放棄入侵你也不一定哦</P>
<P> </P>
<P>10. 刪除默認共享</P>
<P><BR>有人問過我一開機就共享所有盤,改回來以後,重啟又變成了共享是怎麼回事,這是2K為管理而設置的默認共享,必須通過修改註冊表的方式取消它:</P>
<P> </P>
<P>HKEY_LOCAL_MACHINE\SYSTEM \CurrentControlSet\Services\LanmanServer\Parameters:AutoShareServer類型是REG_DWORD把值改為0即可</P>
<P> </P>
<P>11. 禁止建立空連接</P>
<P> </P>
<P>默認情況下,任何用戶通過通過空連接連上服務器,進而枚舉出帳號,猜測密碼。</P>
<P> </P>
<P>我們可以通過修改註冊表來禁止建立空連接:</P>
<P> </P>
<P>Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成”1”即可。</P>
<P><BR>本文轉摘自『藍派網』<A href="http://www.lan27.com/Article/200806/7463.htm">http://www.lan27.com/Article/200806/7463.htm</A></P>
<P> </P>
<P>第五招:其它安全手段</P>
<P> </P>
<P>1.禁用TCP/IP上的NetBIOS</P>
<P><BR>網上鄰居-屬性-本地連接-屬性-Internet協議(TCP/IP)屬性-高級-WINS面板-NetBIOS設置-禁用TCP/IP上的NetBIOS。</P>
<P> </P>
<P>這樣cracker就無法用nbtstat命令來讀取你的NetBIOS信息和網卡MAC地址了。</P>
<P> </P>
<P>2. 賬戶安全</P>
<P><BR>首先禁止一切賬戶,除了你自己,呵呵。</P>
<P> </P>
<P>然後把Administrator改名。我呢就順手又建了個Administrator賬戶,不過是什麼權限都沒有的那種,然後打開記事本,一陣亂敲,複製,粘貼到“密碼”裡去,呵呵,來破密碼吧~!</P>
<P> </P>
<P>破完了才發現是個低級賬戶,看你崩潰不?</P>
<P> </P>
<P>創建2個管理員用帳號</P>
<P> </P>
<P>雖然這點看上去和上面這點有些矛盾,但事實上是服從上面的規則的。</P>
<P> </P>
<P>創建一個一般權限帳號用來收信以及處理一些*常事物,另一個擁有Administrators 權限的帳戶只在需要的時候使用。</P>
<P> </P>
<P>可以讓管理員使用“ RunAS” 命令來執行一些需要特權才能作的一些工作,以方便管理</P>
<P> </P>
<P>3.更改C:\WINDOWS\Help\iisHelp\common\404b.htm內容改為<META HTTP-EQUIV=REFRESH C>這樣,出錯了自動轉到首頁</P>
<P> </P>
<P>4. 安全日誌</P>
<P> </P>
<P>我遇到過這樣的情況,一台主機被別人入侵了,系統管理員請我去追查兇手,我登錄進去一看:</P>
<P> </P>
<P>安全日誌是空的,倒,請記住:Win2000的默認安裝是不開任何安全審核的!</P>
<P> </P>
<P>那麼請你到本地安全策略->審核策略中打開相應的審核,推薦的審核是:</P>
<P> </P>
<P>賬戶管理 成功 失敗</P>
<P> </P>
<P>登錄事件 成功 失敗</P>
<P> </P>
<P>對象訪問 失敗</P>
<P> </P>
<P>策略更改 成功 失敗</P>
<P> </P>
<P>特權使用 失敗</P>
<P> </P>
<P>系統事件 成功 失敗</P>
<P> </P>
<P>目錄服務訪問 失敗</P>
<P> </P>
<P>賬戶登錄事件 成功 失敗</P>
<P> </P>
<P>審核項目少的缺點是萬一你想看發現沒有記錄那就一點都沒轍;</P>
<P> </P>
<P>審核項目太多不僅會佔用系統資源而且會導致你根本沒空去看,這樣就失去了審核的意義</P>
<P> </P>
<P>5. 運行防毒軟件</P>
<P> </P>
<P>我見過的Win2000/Nt服務器從來沒有見到有安裝了防毒軟件的,其實這一點非常重要。</P>
<P> </P>
<P>一些好的殺毒軟件不僅能殺掉一些著名的病毒,還能查殺大量木馬和後門程序。</P>
<P> </P>
<P>這樣的話,“黑客”們使用的那些有名的木馬就毫無用武之地了。</P>
<P> </P>
<P>不要忘了經常升級病毒庫,我們推薦mcafree殺毒軟件+blackice_blank">防火牆</P>
<P> </P>
<P>6.sqlserver數據庫服務器安全和serv-u ftp服務器安全配置,更改默認端口,和管理密碼</P>
<P> </P>
<P>7.設置ip篩選、用blackice禁止木馬常用端口</P>
<P> </P>
<P>一般禁用以下端口</P>
<P> </P>
<P>135 138 139 443 445 4000 4899 7626</P>
<P> </P>
<P>8.本地安全策略和組策略的設置,如果你在設置本地安全策略時設置錯了,可以這樣恢復成它的默認值.</P>
<P> </P>
<P>打開%SystemRoot%\Security文件夾,創建一個"OldSecurity"子目錄,將%SystemRoot%\Security下所有的.log文件移到這個新建的子文件夾中.</P>
<P> </P>
<P>在%SystemRoot%\Security\database\下找到"Secedit.sdb"安全數據庫並將其改名,如改為"Secedit.old".</P>
<P><BR>啟動"安全配置和分析"MMC管理單元:"開始"->"運行"->"MMC",啟動管理控制台,"添加/刪除管理單元",將"安全配置和分析"管理單元添加上.</P>
<P> </P>
<P>右擊"安全配置和分析"->"打開數據庫",瀏覽"C:\WINNT\security\Database"文件夾,輸入文件名"secedit.sdb",單擊"打開".</P>
<P><BR>當系統提示輸入一個模板時,選擇"Setup Security.inf",單擊"打開".</P>
<P><BR>如果系統提示"拒絕訪問數據庫",不管他.</P>
<P> </P>
<P>你會發現在"C:\WINNT\security\Database"子文件夾中重新生成了新的安全數據庫,在"C:\WINNT\security"子文件夾下重新生成了log文件.安全數據庫重建成功.</P>
<P><BR>本文轉摘自『藍派網』<A href="http://www.lan27.com/Article/200806/7463.htm">http://www.lan27.com/Article/200806/7463.htm</A></P>
<P> </P>
<P> </P>
<P>引用:<A href="http://www.lan27.com/Article/200806/7463.htm">http://www.lan27.com/Article/200806/7463.htm</A></P>
<P><BR></STRONG> </P>
頁:
[1]