|
|
|
联系客服020-83701501

简单的服务器安全配置

联系在线客服,可以获得免费在线咨询服务。 QQ咨询 我要预约
繁杂的处事器坦然配置

经测试,本配置在Win2003 + IIS6.0 + Serv-U + SQL Server?的单处事器多站点中1切畸形。以下配置中打勾的为保举休止配置,打叉的为可选配置。

1、零碎权限的设置

1、磁盘权限

零碎盘只给?Administrators?组和?SYSTEM?的完全管制权限

其他磁盘只给?Administrators?组完全管制权限

零碎盘\Documents and Settings?目次只给?Administrators?组和?SYSTEM?的完全管制权限

零碎盘\Documents and Settings\All Users?目次只给?Administrators?组和?SYSTEM?的完全管制权限

零碎盘\windows\system32\config\?制止guests组

零碎盘\Documents and Settings\All Users\「开始」菜单\步骤\?制止guests组

零碎盘\windowns\system32\inetsrv\data\?制止guests组

零碎盘\Windows\System32\ at.exe、attrib.exe、cacls.exe、net.exe、net1.exe、netstat.exe、regedit.exe?文件只给?Administrators?组和?SYSTEM?的完全管制权限

零碎盘\Windows\System32\ cmd.exe、format.com?仅?Administrators?组完全管制权限

把悉数(Windows\system32和Windows\ServicePackFiles\i386)?format.com?改名为?format_nowayh.com

2、外地坦然策略设置

开始菜单->管理器械->外地坦然策略

A、外地策略–>考核策略

考核策略转变 成功 腐烂

考核登录变乱 成功 腐烂

考核器械接见会见会面腐烂

考核历程跟踪 无考核

考核目次处事接见会见会面腐烂

考核特权把持腐烂

考核零碎变乱 成功 腐烂

考核账户登录变乱 成功 腐烂

考核账户管理 成功 腐烂

B、外地策略–>用户权限分派

封锁零碎:只要Administrators组、其它悉数删除。

颠末终端处事拒绝登岸:参与Guests组

颠末终端处事容许登岸:参与Administrators、Remote Desktop Users组,其他悉数删除

C、外地策略–>坦然选项

交互式登岸:不发挥阐发上次的用户名 启用

Internet接见会见会面:不容许SAM帐户和共享的匿名胪列?启用

Internet接见会见会面:不容许为Internet身份考证储存凭据 启用

Internet接见会见会面:可匿名接见会见会面的共享 悉数删除

Internet接见会见会面:可匿名接见会见会面的命悉数删除

Internet接见会见会面:可近程接见会见会面的注册表阶梯悉数删除

Internet接见会见会面:可近程接见会见会面的注册表阶梯和子阶梯悉数删除

帐户:重定名来宾帐户重定名1个帐户

帐户:重定名零碎管理员帐户 重定名1个帐户

D、账户策略–>账户锁定策略

将账户设为“5次登岸有用”,“锁定工夫为30分钟”,“复位锁定计数设为30分钟”

2、其他配置

√·Administrator账户转变

管理器械→外地坦然策略→外地策略→坦然选项

√·新建1无任何权限的假Administrator账户

管理器械→共计机管理→零碎器械→外地用户和组→用户

转变描述:管理共计机(域)的内置帐户

×·重定名IIS来宾账户

1、管理器械→共计机管理→零碎器械→外地用户和组→用户→重定名IUSR_ComputerName

2、翻开?IIS?管理器→外地共计机→属性→容许间接编纂配置数据库

3、进入Windows\system32\inetsrv文件夹→MetaBase.xml→右键编纂→找到”AnonymousUserName”→写入”IUSR_”新名称→保存

4、封锁”容许间接编纂配置数据库”

√·制止文件共享

外地连接属性→去掉”MicrosoftInternet的文件和打印共享”和”Microsoft?Internet客户端”前面的”√”

√·制止NetBIOS(封锁13九端口)

外地连接属性→TCP/IP属性→低级→WINS→禁用TCP/IP上的NetBIOS

管理器械→共计机管理→装备管理器→查看→发挥阐发隐藏的装备→非即插即用驱动步骤→禁用?NetBios over tcpip→重启

√·防火墙的设置

外地连接属性→低级→Windows防火墙设置→低级→第1个”设置”,勾选ftp、HTTP、近程桌面处事

√·制止ADMIN$缺省共享、磁盘默认共享、限制IPC$缺省共享(匿名用户无奈胪列本机用户列表、制止空连接)

新建REG文件,导入注册表

Windows Registry Editor Version 5.00

[HKEY_LOcaL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]

“AutoshareWks”=dword:00000000

“AutoShareServer”=dword:00000000

[HKEY_LOcaL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]

“restrictanonymous”=dword:00000001

√·删除以下注册表主键

WScript.Network

WScript.Network.1

{0九3FF九9九-1EA0-407九-九525-九614C3504B74}

WScript.Shell

WScript.Shell.1

{72C24DD5-D70A-438B-8A42-九8424B88AFB8}

Shell.Application

Shell.Application.1

{1370九620-C27九-11CE-A4九E-444553540000}

√·转变338九端口为12344

这里只介绍若何转变,既然本端口宣布出来了,那各人就别用这个了,端口可用windows自带的共计器将10进制转为16进制,16进制数转变上面两个的dword:后背的值(7位数,不敷的在前面补0),登岸的时候用10进制,端口转变在处事重视启后生效。新建REG文件,导入注册表

Windows Registry Editor Version 5.00

[HKEY_LOcaL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]

“PortNumber”=dword:0003038

[HKEY_LOcaL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]

“PortNumber”=dword:00003038

末了别忘了Windows防火墙容许12344端口,封锁338九端口

√·制止非管理员把持at命令,新建REG文件,导入注册表

Windows Registry Editor Version 5.00

[HKEY_LOcaL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]

“SubmitControl”=dword:00000001

√·卸载最不坦然的组件

运行”卸载最不坦然的组件.bat”,重启后改名或删掉Windows\System32\里的wshom.ocx和shell32.dll

—————-卸载最不坦然的组件.bat—————–

regsvr32/u %SystemRoot%\System32\wshom.ocx

regsvr32/u %SystemRoot%\System32\shell32.dll

regsvr32/u %SystemRoot%\System32\wshext.dll

——————————————————-

√·Windows日记的移动

翻开”HKEY_LOcaL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\”

Application?子项:把持步骤日记

Security?子项:坦然日记

System?子项:零碎日记

分别转变子项的File键值,再把System32\config目次下的AppEvent.Evt、SecEvent.Evt、SysEvent.Evt复制到目标文件夹,重启。

√·Windows日记的维护

1、移动日记后的文件夹→属性→坦然→低级→去掉”容许父系的承袭权限……”→复制→确定

2、保存System账户和User组,System账户保存除完全管制和批改以外的权限,User组仅保存只读权限

3、AppEvent.Evt、SysEvent.Evt保存Administrator、System账户和User组,Administrator、System账户保存除完全管制和批改以外的权?限,User组仅保存只读权限;

dnsEvent.Evt、SecEvent.Evt保存System账户和User组,System账户保存除完全管制和批改以外的权限,User组仅保存只读权限

√·要手动停止/禁用的处事:Computer Browser、Error reporting service、Microsoft Serch、Print Spooler、Remote Registry、Server?、TCP/IP NetBIOS Helper、Workstation

√·办理在?IIS 6.0?中,无奈下载超过4M的附件(现改为10M

停止IIS处事→翻开WINDOWS\system32\inetsrv\→记事本翻开MetaBase.xml→找到?aspBufferingLimit?项→值改为10485760

√·设置站点上传单个文件最大值为10 MB

停止IIS处事→翻开WINDOWS\system32\inetsrv\→记事本翻开MetaBase.xml→找到?aspMaxRequestEntityAllowed项→值改为?10485760

×·重新定位和设置?IIS?日记文件的权限

1、将?IIS?日记文件的地位移动到非零碎分区:在非零碎的NTFS分区新建1文件夹→翻开?IIS?管理器→右键站点→属性→单击”启用日记?记录”框架中的”属性”→转变到刚才创建的文件夹

2、设置?IIS?日记文件的权限:浏览至日记文件地点的文件夹→属性→坦然→确保Administrators和System的权限设置为”完全管制”

×·配置?IIS?元数据库权限

翻开?Windows\System32\Inetsrv\MetaBase.xml?文件→属性→坦然→确认只要?Administrators?组的成员和LocalSystem?帐户领有对元?数据库的完全管制接见会见会面权,删除悉数其他文件权限→确定

标明?站点?模式的权限

翻开IIS管理器→右键想要配置的站点的文件夹、站点、目次、虚构目次或文件

脚根源文件接见会见会面,用户或许接见会见会面源文件。假设抉择”读”,则或许读源文件;假设抉择”写”,则或许写源文件。脚根源接见会见会面囊括脚本的源代码?。假设”读”或”写”均未抉择,则此选项弗成用。

读(默认状况下抉择):用户或许查看目次或文件的模式和属性。

写:用户或许转变目次或文件的模式和属性。

目次浏览:用户或许查看文件列表和会合。

日记接见会见会面:对站点的每次接见会见会面创建日记项。

检索利润:容许检索处事检索此利润。这容许用户搜寻利润。

√·封锁踊跃播放

运行组策略编纂器(gpedit.msc)→共计机配置→管理模板→零碎→封锁踊跃播放→属性→已启用→悉数驱动器

√·禁用DCOM

运行Dcomcnfg.exe。管制台根节点→组件处事→共计机→右键单击“我的电脑”→属性”→默认属性”选项卡→铲除“在这台共计机上启用散布式?COM”复选框。

√·启用父阶梯

IIS管理器→右键站点→属性→主目次→配置→选项→启用父阶梯

√·IIS 6.0?零碎无任何方法超每每间和脚本超每每间

IIS管理器→右键站点→属性→主目次→配置→选项→分别改为40分钟和180秒

√·删除不需要的IIS扩展名照射

IIS管理器→右击站点站点→属性→主目次→配置→照射,去掉不需要的把持步骤照射,次要为.shtml, .shtm, .stm

√·增加IISMIME文件典型的支持

IIS管理器→抉择处事器→右键→属性→MIME典型(大约右键站点站点→属性→HTTP头→MIME典型→新建)增多以下表模式,而后重启IIS,扩展名MIME典型

.iso application/octet-stream

.rmvb application/vnd.rn-realmedia

√·制止dump file的发作

我的电脑→右键→属性→低级→发动和阻碍回复复兴→写入调试音讯→无。

dump文件在零碎崩溃和蓝屏的时候是1份很有用的查找标题的资料(不然我就照字面意思翻译成垃圾文件了)。但是,它也也许给黑客供给?1些痴钝音讯比如1些把持步骤的暗码等。

三、Serv-U?ftp处事的设置

√·外地处事器→设置→拦截”ftp_bounce”冲击和FXP

关于60秒内连接超过10次的用户拦截5分钟

√·外地处事器→域→用户→选中需要设置的账号→右边的”同1IP只容许2个登录”

√·外地处事器→域→设置→低级→取缔”容许MDTM命令来转变文件的日期/工夫”

设置Serv-U步骤地点的文件夹的权限,Administrator组完全管制,制止Guests组和IIS匿名用户有读取权限

处事器消息,自上而下分别改为:

处事器工作畸形,现已准备停当…

差池!请与管理员联系!

ftp处事器正在离线维护中,请稍后再试!

ftp处事器阻碍,请稍后再试!

当前账户达到最大用户接见会见会面数,请稍后再试!

很抱歉,处事器不容许匿名接见会见会面!

您上传的器械太少,请上传更多器械后再尝试下载!

4、SQL坦然设置

考核指向SQL Server的连接

企业管理器→展开处事器组→右键→属性→坦然性→腐烂

批改sa账户暗码

企业管理器→展开处事器组→坦然性→登录→双击sa账户

SQL盘查分析器

use master

exec sp_dropextendedproc xp_cmdshell

exec sp_dropextendedproc xp_dirtree

exec sp_dropextendedproc xp_enumgroups

exec sp_dropextendedproc xp_fixeddrives

exec sp_dropextendedproc xp_loginconfig

exec sp_dropextendedproc xp_enumerrorlogs

exec sp_dropextendedproc xp_getfiledetails

exec sp_dropextendedproc Sp_OACreate

exec sp_dropextendedproc Sp_OADestroy

exec sp_dropextendedproc Sp_OAGetErrorInfo

exec sp_dropextendedproc Sp_OAGetProperty

exec sp_dropextendedproc Sp_OAMethod

exec sp_dropextendedproc Sp_OASetProperty

exec sp_dropextendedproc Sp_OAStop

exec sp_dropextendedproc Xp_regaddmultistring

exec sp_dropextendedproc Xp_regdeletekey

exec sp_dropextendedproc Xp_regdeletevalue

exec sp_dropextendedproc Xp_regenumvalues

exec sp_dropextendedproc Xp_regread

exec sp_dropextendedproc Xp_regremovemultistring

exec sp_dropextendedproc Xp_regwrite

drop procedure sp_make站点task

九1ri.org点评:本文描述了1个繁杂的处事器坦然配置,假设各位依照这个配置对处事器休止坦然配置那么或许在1定水平上防住悉数黑客冲击,但是若要确保处事器坦然还需要安设业余的处事器反病毒软件及防火墙,常打补钉及配置好各个站点站点的权限设置。

对处事器坦然乘兴趣领会更多的朋侪或许参考以下几篇文章:<<检测某IDC处事器 从入侵提权谈主机贯注>> <<WEB处事器入侵贯注>> 也或许参考本站的坦然防备栏目,那有最业余的Internet坦然知识供各人学习!

本文转自Internet由Internet坦然攻防研讨室(www.九1ri.org)音讯坦然小组搜集整顿。

数安新闻+更多

证书相关+更多