Win2003 防木馬、權(quán)限設(shè)置、IIS服務(wù)器安全配置整理_負(fù)載集群教程
一、系統(tǒng)的安裝
1、按照Windows2003安裝光盤的提示安裝,默認(rèn)情況下2003沒有把IIS6.0安裝在系統(tǒng)里面。
2、IIS6.0的安裝
開始菜單—>控制面板—>添加或刪除程序—>添加/刪除Windows組件
應(yīng)用程序 ———ASP.NET(可選)
|——啟用網(wǎng)絡(luò) COM+ 訪問(必選)
|——Internet 信息服務(wù)(IIS)———Internet 信息服務(wù)管理器(必選)
|——公用文件(必選)
|——萬維網(wǎng)服務(wù)———Active Server pages(必選)
|——Internet 數(shù)據(jù)連接器(可選)
|——WebDAV 發(fā)布(可選)
|——萬維網(wǎng)服務(wù)(必選)
|——在服務(wù)器端的包含文件(可選)
然后點(diǎn)擊確定—>下一步安裝。(具體見本文附件1)
3、系統(tǒng)補(bǔ)丁的更新
點(diǎn)擊開始菜單—>所有程序—>Windows Update
按照提示進(jìn)行補(bǔ)丁的安裝。
4、備份系統(tǒng)
用GHOST備份系統(tǒng)。
5、安裝常用的軟件
例如:殺毒軟件、解壓縮軟件等;安裝完畢后,配置殺毒軟件,掃描系統(tǒng)漏洞,安裝之后用GHOST再次備份系統(tǒng)。
6、先關(guān)閉不需要的端口 開啟防火墻 導(dǎo)入IPSEC策略
在”網(wǎng)絡(luò)連接”里,把不需要的協(xié)議和服務(wù)都刪掉,這里只安裝了基本的Internet協(xié)議(TCP/IP),由于要控制帶寬流量服務(wù),額外安裝了Qos數(shù)據(jù)包計(jì)劃程序。在高級(jí)tcp/ip設(shè)置里--"NetBIOS"設(shè)置"禁用tcp/IP上的NetBIOS(S)"。在高級(jí)選項(xiàng)里,使用"Internet連接防火墻",這是windows 2003 自帶的防火墻,在2000系統(tǒng)里沒有的功能,雖然沒什么功能,但可以屏蔽端口,這樣已經(jīng)基本達(dá)到了一個(gè)IPSec的功能。
修改3389遠(yuǎn)程連接端口
修改注冊(cè)表.
開始--運(yùn)行--regedit
依次展開 HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/
TERMINAL SERVER/WDS/RDPWD/TDS/TCP
右邊鍵值中 PortNumber 改為你想用的端口號(hào).注意使用十進(jìn)制(例 10000 )
HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/
WINSTATIONS/RDP-TCP/
右邊鍵值中 PortNumber 改為你想用的端口號(hào).注意使用十進(jìn)制(例 10000 )
注意:別忘了在WINDOWS2003自帶的防火墻給+上10000端口
修改完畢.重新啟動(dòng)服務(wù)器.設(shè)置生效.
二、用戶安全設(shè)置
1、禁用Guest賬號(hào)
在計(jì)算機(jī)管理的用戶里面把Guest賬號(hào)禁用。為了保險(xiǎn)起見,最好給Guest加一個(gè)復(fù)雜的密碼。你可以打開記事本,在里面輸入一串包含特殊字符、數(shù)字、字母的長字符串,然后把它作為Guest用戶的密碼拷進(jìn)去。
2、限制不必要的用戶
去掉所有的Duplicate User用戶、測(cè)試用戶、共享用戶等等。用戶組策略設(shè)置相應(yīng)權(quán)限,并且經(jīng)常檢查系統(tǒng)的用戶,刪除已經(jīng)不再使用的用戶。這些用戶很多時(shí)候都是黑客們?nèi)肭窒到y(tǒng)的突破口。
3、把系統(tǒng)Administrator賬號(hào)改名
大家都知道,Windows 2003 的Administrator用戶是不能被停用的,這意味著別人可以一遍又一遍地嘗試這個(gè)用戶的密碼。盡量把它偽裝成普通用戶,比如改成Guesycludx。
4、創(chuàng)建一個(gè)陷阱用戶
什么是陷阱用戶?即創(chuàng)建一個(gè)名為“Administrator”的本地用戶,把它的權(quán)限設(shè)置成最低,什么事也干不了的那種,并且加上一個(gè)超過10位的超級(jí)復(fù)雜密碼。這樣可以讓那些 Hacker們忙上一段時(shí)間,借此發(fā)現(xiàn)它們的入侵企圖。
5、把共享文件的權(quán)限從Everyone組改成授權(quán)用戶
任何時(shí)候都不要把共享文件的用戶設(shè)置成“Everyone”組,包括打印共享,默認(rèn)的屬性就是“Everyone”組的,一定不要忘了改。
6、開啟用戶策略
使用用戶策略,分別設(shè)置復(fù)位用戶鎖定計(jì)數(shù)器時(shí)間為20分鐘,用戶鎖定時(shí)間為20分鐘,用戶鎖定閾值為3次。 (該項(xiàng)為可選)
7、不讓系統(tǒng)顯示上次登錄的用戶名
默認(rèn)情況下,登錄對(duì)話框中會(huì)顯示上次登錄的用戶名。這使得別人可以很容易地得到系統(tǒng)的一些用戶名,進(jìn)而做密碼猜測(cè)。修改注冊(cè)表可以不讓對(duì)話框里顯示上次登錄的用戶名。方法為:打開注冊(cè)表編輯器并找到注冊(cè)表“HKLM\Software\Microsoft\Windows T\CurrentVersion\Winlogon\Dont-DisplayLastUserName”,把REG_SZ的鍵值改成1。
密碼安全設(shè)置
1、使用安全密碼
一些公司的管理員創(chuàng)建賬號(hào)的時(shí)候往往用公司名、計(jì)算機(jī)名做用戶名,然后又把這些用戶的密碼設(shè)置得太簡單,比如“welcome”等等。因此,要注意密碼的復(fù)雜性,還要記住經(jīng)常改密碼。
2、設(shè)置屏幕保護(hù)密碼
這是一個(gè)很簡單也很有必要的操作。設(shè)置屏幕保護(hù)密碼也是防止內(nèi)部人員破壞服務(wù)器的一個(gè)屏障。
3、開啟密碼策略
注意應(yīng)用密碼策略,如啟用密碼復(fù)雜性要求,設(shè)置密碼長度最小值為6位 ,設(shè)置強(qiáng)制密碼歷史為5次,時(shí)間為42天。
4、考慮使用智能卡來代替密碼
對(duì)于密碼,總是使安全管理員進(jìn)退兩難,密碼設(shè)置簡單容易受到黑客的攻擊,密碼設(shè)置復(fù)雜又容易忘記。如果條件允許,用智能卡來代替復(fù)雜的密碼是一個(gè)很好的解決方法。
三、系統(tǒng)權(quán)限的設(shè)置
1、磁盤權(quán)限
系統(tǒng)盤及所有磁盤只給 Administrators 組和 SYSTEM 的完全控制權(quán)限
系統(tǒng)盤\Documents and Settings 目錄只給 Administrators 組和 SYSTEM 的完全控制權(quán)限
系統(tǒng)盤\Documents and Settings\All Users 目錄只給 Administrators 組和 SYSTEM 的完全控制權(quán)限
系統(tǒng)盤\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe、ftp.exe、tftp.exe、telnet.exe 、 netstat.exe、regedit.exe、at.exe、attrib.exe、format.com、del文件只給 Administrators 組和SYSTEM 的完全 控制權(quán)限
另將\System32\cmd.exe、format.com、ftp.exe轉(zhuǎn)移到其他目錄或更名
Documents and Settings下所有些目錄都設(shè)置只給adinistrators權(quán)限。并且要一個(gè)一個(gè)目錄查看,包括下面的所有子目錄。
刪除c:\inetpub目錄
2、本地安全策略設(shè)置
開始菜單—>管理工具—>本地安全策略
A、本地策略——>審核策略
審核策略更改 成功 失敗
審核登錄事件 成功 失敗
審核對(duì)象訪問 失敗
審核過程跟蹤 無審核
審核目錄服務(wù)訪問 失敗
審核特權(quán)使用 失敗
審核系統(tǒng)事件 成功 失敗
審核賬戶登錄事件 成功 失敗
審核賬戶管理 成功 失敗
B、本地策略——>用戶權(quán)限分配
關(guān)閉系統(tǒng):只有Administrators組、其它全部刪除。
通過終端服務(wù)允許登陸:只加入Administrators,Remote Desktop Users組,其他全部刪除
C、本地策略——>安全選項(xiàng)
交互式登陸:不顯示上次的用戶名 啟用
網(wǎng)絡(luò)訪問:不允許SAM帳戶和共享的匿名枚舉 啟用
網(wǎng)絡(luò)訪問:不允許為網(wǎng)絡(luò)身份驗(yàn)證儲(chǔ)存憑證 啟用
網(wǎng)絡(luò)訪問:可匿名訪問的共享 全部刪除
網(wǎng)絡(luò)訪問:可匿名訪問的命 全部刪除
網(wǎng)絡(luò)訪問:可遠(yuǎn)程訪問的注冊(cè)表路徑 全部刪除
網(wǎng)絡(luò)訪問:可遠(yuǎn)程訪問的注冊(cè)表路徑和子路徑 全部刪除
帳戶:重命名來賓帳戶 重命名一個(gè)帳戶
帳戶:重命名系統(tǒng)管理員帳戶 重命名一個(gè)帳戶
3、禁用不必要的服務(wù) 開始-運(yùn)行-services.msc
TCP/IPNetBIOS Helper提供 TCP/IP 服務(wù)上的 NetBIOS 和網(wǎng)絡(luò)上客戶端的 NetBIOS 名稱解析的支持而使用戶能夠共享
文件、打印和登錄到網(wǎng)絡(luò)
Server支持此計(jì)算機(jī)通過網(wǎng)絡(luò)的文件、打印、和命名管道共享
Computer Browser 維護(hù)網(wǎng)絡(luò)上計(jì)算機(jī)的最新列表以及提供這個(gè)列表
Task scheduler 允許程序在指定時(shí)間運(yùn)行
Messenger 傳輸客戶端和服務(wù)器之間的 NET SEND 和 警報(bào)器服務(wù)消息
Distributed File System: 局域網(wǎng)管理共享文件,不需要可禁用
Distributed linktracking client:用于局域網(wǎng)更新連接信息,不需要可禁用
Error reporting service:禁止發(fā)送錯(cuò)誤報(bào)告
Microsoft Serch:提供快速的單詞搜索,不需要可禁用
NTLMSecuritysupportprovide:telnet服務(wù)和Microsoft Serch用的,不需要可禁用
PrintSpooler:如果沒有打印機(jī)可禁用
Remote Registry:禁止遠(yuǎn)程修改注冊(cè)表
Remote Desktop Help Session Manager:禁止遠(yuǎn)程協(xié)助
Workstation 關(guān)閉的話遠(yuǎn)程N(yùn)ET命令列不出用戶組
以上是在Windows Server 2003 系統(tǒng)上面默認(rèn)啟動(dòng)的服務(wù)中禁用的,默認(rèn)禁用的服務(wù)如沒特別需要的話不要啟動(dòng)。
4、修改注冊(cè)表
修改注冊(cè)表,讓系統(tǒng)更強(qiáng)壯
1、隱藏重要文件/目錄可以修改注冊(cè)表實(shí)現(xiàn)完全隱藏
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”,鼠標(biāo)右擊 “CheckedValue”,選擇修改,把數(shù)值由1改為0
2、防止SYN洪水攻擊
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名為SynAttackProtect,值為2
新建EnablePMTUDiscovery REG_DWORD 0
新建NoNameReleaseOnDemand REG_DWORD 1
新建EnableDeadGWDetect REG_DWORD 0
新建KeepAliveTime REG_DWORD 300,000
新建PerformRouterDiscovery REG_DWORD 0
新建EnableICMPRedirects REG_DWORD 0
3. 禁止響應(yīng)ICMP路由通告報(bào)文
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface
新建DWORD值,名為PerformRouterDiscovery 值為0
4. 防止ICMP重定向報(bào)文的攻擊
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
將EnableICMPRedirects 值設(shè)為0
5. 不支持IGMP協(xié)議
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名為IGMPLevel 值為0
6、禁止IPC空連接:
cracker可以利用net use命令建立空連接,進(jìn)而入侵,還有net view,nbtstat這些都是基于空連接的,禁止空連接就好了。
Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 把這個(gè)值改成”1”即可。
7、更改TTL值
cracker可以根據(jù)ping回的TTL值來大致判斷你的操作系統(tǒng),如:
TTL=107(WINNT);
TTL=108(win2000);
TTL=127或128(win9x);
TTL=240或241(linux);
TTL=252(solaris);
TTL=240(Irix);
實(shí)際上你可以自己改的:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters:DefaultTTL REG_DWORD 0-0xff(0-255 十進(jìn)制,默認(rèn)值128)改成一個(gè)莫名其妙的數(shù)字如258,起碼讓那些小菜鳥暈上半天,就此放棄入侵你也不一定哦
8. 刪除默認(rèn)共享
有人問過我一開機(jī)就共享所有盤,改回來以后,重啟又變成了共享是怎么回事,這是2K為管理而設(shè)置的默認(rèn)共享,HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters:AutoShareServer類型是REG_DWORD把值改為0即可
9. 禁止建立空連接
默認(rèn)情況下,任何用戶通過通過空連接連上服務(wù)器,進(jìn)而枚舉出帳號(hào),猜測(cè)密碼。我們可以通過修改注冊(cè)表來禁止建立空連接:
Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成”1”即可。
10、建立一個(gè)記事本,填上以下代碼。保存為*.bat并加到啟動(dòng)項(xiàng)目中
net share c$ /del
net share d$ /del
net share e$ /del
net share f$ /del
net share ipc$ /del
net share admin$ /del
5、IIS站點(diǎn)設(shè)置:
1、將IIS目錄&數(shù)據(jù)與系統(tǒng)磁盤分開,保存在專用磁盤空間內(nèi)。
2、啟用父級(jí)路徑
3、在IIS管理器中刪除必須之外的任何沒有用到的映射(保留asp等必要映射即可)
4、在IIS中將HTTP404 Object Not Found出錯(cuò)頁面通過URL重定向到一個(gè)定制HTM文件
5、Web站點(diǎn)權(quán)限設(shè)定(建議)
讀 允許
寫 不允許
腳本源訪問 不允許
目錄瀏覽 建議關(guān)閉
日志訪問 建議關(guān)閉
索引資源 建議關(guān)閉
執(zhí)行 推薦選擇 “僅限于腳本”
6、建議使用W3C擴(kuò)充日志文件格式,每天記錄客戶IP地址,用戶名,服務(wù)器端口,方法,URI字根,HTTP狀態(tài),用戶代理,而且每天均要審查日志。(最好不要使用缺省的目錄,建議更換一個(gè)記日志的路徑,同時(shí)設(shè)置日志的訪問權(quán)限,只允許管理員和system為Full Control)。
7、程序安全:
1) 涉及用戶名與口令的程序最好封裝在服務(wù)器端,盡量少的在ASP文件里出現(xiàn),涉及到與數(shù)據(jù)庫連接地用戶名與口令應(yīng)給予最小的權(quán)限;
2) 需要經(jīng)過驗(yàn)證的ASP頁面,可跟蹤上一個(gè)頁面的文件名,只有從上一頁面轉(zhuǎn)進(jìn)來的會(huì)話才能讀取這個(gè)頁面。
3) 防止ASP主頁.inc文件泄露問題;
4) 防止UE等編輯器生成some.asp.bak文件泄露問題。
6、IIS權(quán)限設(shè)置的思路
?要為每個(gè)獨(dú)立的要保護(hù)的個(gè)體(比如一個(gè)網(wǎng)站或者一個(gè)虛擬目錄)創(chuàng)建一個(gè)系統(tǒng)用戶,讓這個(gè)站點(diǎn)在系統(tǒng)中具有惟一的可以設(shè)置權(quán)限的身份。
?在IIS的【站點(diǎn)屬性或者虛擬目錄屬性→目錄安全性→匿名訪問和驗(yàn)證控制→編輯→匿名訪問→編輯】填寫剛剛創(chuàng)建的那個(gè)用戶名。
?設(shè)置所有的分區(qū)禁止這個(gè)用戶訪問,而剛才這個(gè)站點(diǎn)的主目錄對(duì)應(yīng)的那個(gè)文件夾設(shè)置允許這個(gè)用戶訪問(要去掉繼承父權(quán)限,并且要加上超管組和SYSTEM組)。
7、卸載最不安全的組件
最簡單的辦法是直接卸載后刪除相應(yīng)的程序文件。將下面的代碼保存為一個(gè).BAT文件,( 以下均以 WIN2000 為例,如果使用2003,則系統(tǒng)文件夾應(yīng)該是 C:\WINDOWS\ )
regsvr32/u C:\WINDOWS\System32\wshom.ocx
del C:\WINDOWS\System32\wshom.ocx
regsvr32/u C:\WINDOWS\system32\shell32.dll
del C:\WINNT\WINDOWS\shell32.dll
然后運(yùn)行一下,WScript.Shell, Shell.application, WScript.Network就會(huì)被卸載了。可能會(huì)提示無法刪除文件,不用管它,重啟一下服務(wù)器,你會(huì)發(fā)現(xiàn)這三個(gè)都提示“×安全”了。
去http://www.ajiang.net/products/aspcheck/下載阿江的探針查看相關(guān)安全設(shè)置情況
1、按照Windows2003安裝光盤的提示安裝,默認(rèn)情況下2003沒有把IIS6.0安裝在系統(tǒng)里面。
2、IIS6.0的安裝
開始菜單—>控制面板—>添加或刪除程序—>添加/刪除Windows組件
應(yīng)用程序 ———ASP.NET(可選)
|——啟用網(wǎng)絡(luò) COM+ 訪問(必選)
|——Internet 信息服務(wù)(IIS)———Internet 信息服務(wù)管理器(必選)
|——公用文件(必選)
|——萬維網(wǎng)服務(wù)———Active Server pages(必選)
|——Internet 數(shù)據(jù)連接器(可選)
|——WebDAV 發(fā)布(可選)
|——萬維網(wǎng)服務(wù)(必選)
|——在服務(wù)器端的包含文件(可選)
然后點(diǎn)擊確定—>下一步安裝。(具體見本文附件1)
3、系統(tǒng)補(bǔ)丁的更新
點(diǎn)擊開始菜單—>所有程序—>Windows Update
按照提示進(jìn)行補(bǔ)丁的安裝。
4、備份系統(tǒng)
用GHOST備份系統(tǒng)。
5、安裝常用的軟件
例如:殺毒軟件、解壓縮軟件等;安裝完畢后,配置殺毒軟件,掃描系統(tǒng)漏洞,安裝之后用GHOST再次備份系統(tǒng)。
6、先關(guān)閉不需要的端口 開啟防火墻 導(dǎo)入IPSEC策略
在”網(wǎng)絡(luò)連接”里,把不需要的協(xié)議和服務(wù)都刪掉,這里只安裝了基本的Internet協(xié)議(TCP/IP),由于要控制帶寬流量服務(wù),額外安裝了Qos數(shù)據(jù)包計(jì)劃程序。在高級(jí)tcp/ip設(shè)置里--"NetBIOS"設(shè)置"禁用tcp/IP上的NetBIOS(S)"。在高級(jí)選項(xiàng)里,使用"Internet連接防火墻",這是windows 2003 自帶的防火墻,在2000系統(tǒng)里沒有的功能,雖然沒什么功能,但可以屏蔽端口,這樣已經(jīng)基本達(dá)到了一個(gè)IPSec的功能。
修改3389遠(yuǎn)程連接端口
修改注冊(cè)表.
開始--運(yùn)行--regedit
依次展開 HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/
TERMINAL SERVER/WDS/RDPWD/TDS/TCP
右邊鍵值中 PortNumber 改為你想用的端口號(hào).注意使用十進(jìn)制(例 10000 )
HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/
WINSTATIONS/RDP-TCP/
右邊鍵值中 PortNumber 改為你想用的端口號(hào).注意使用十進(jìn)制(例 10000 )
注意:別忘了在WINDOWS2003自帶的防火墻給+上10000端口
修改完畢.重新啟動(dòng)服務(wù)器.設(shè)置生效.
二、用戶安全設(shè)置
1、禁用Guest賬號(hào)
在計(jì)算機(jī)管理的用戶里面把Guest賬號(hào)禁用。為了保險(xiǎn)起見,最好給Guest加一個(gè)復(fù)雜的密碼。你可以打開記事本,在里面輸入一串包含特殊字符、數(shù)字、字母的長字符串,然后把它作為Guest用戶的密碼拷進(jìn)去。
2、限制不必要的用戶
去掉所有的Duplicate User用戶、測(cè)試用戶、共享用戶等等。用戶組策略設(shè)置相應(yīng)權(quán)限,并且經(jīng)常檢查系統(tǒng)的用戶,刪除已經(jīng)不再使用的用戶。這些用戶很多時(shí)候都是黑客們?nèi)肭窒到y(tǒng)的突破口。
3、把系統(tǒng)Administrator賬號(hào)改名
大家都知道,Windows 2003 的Administrator用戶是不能被停用的,這意味著別人可以一遍又一遍地嘗試這個(gè)用戶的密碼。盡量把它偽裝成普通用戶,比如改成Guesycludx。
4、創(chuàng)建一個(gè)陷阱用戶
什么是陷阱用戶?即創(chuàng)建一個(gè)名為“Administrator”的本地用戶,把它的權(quán)限設(shè)置成最低,什么事也干不了的那種,并且加上一個(gè)超過10位的超級(jí)復(fù)雜密碼。這樣可以讓那些 Hacker們忙上一段時(shí)間,借此發(fā)現(xiàn)它們的入侵企圖。
5、把共享文件的權(quán)限從Everyone組改成授權(quán)用戶
任何時(shí)候都不要把共享文件的用戶設(shè)置成“Everyone”組,包括打印共享,默認(rèn)的屬性就是“Everyone”組的,一定不要忘了改。
6、開啟用戶策略
使用用戶策略,分別設(shè)置復(fù)位用戶鎖定計(jì)數(shù)器時(shí)間為20分鐘,用戶鎖定時(shí)間為20分鐘,用戶鎖定閾值為3次。 (該項(xiàng)為可選)
7、不讓系統(tǒng)顯示上次登錄的用戶名
默認(rèn)情況下,登錄對(duì)話框中會(huì)顯示上次登錄的用戶名。這使得別人可以很容易地得到系統(tǒng)的一些用戶名,進(jìn)而做密碼猜測(cè)。修改注冊(cè)表可以不讓對(duì)話框里顯示上次登錄的用戶名。方法為:打開注冊(cè)表編輯器并找到注冊(cè)表“HKLM\Software\Microsoft\Windows T\CurrentVersion\Winlogon\Dont-DisplayLastUserName”,把REG_SZ的鍵值改成1。
密碼安全設(shè)置
1、使用安全密碼
一些公司的管理員創(chuàng)建賬號(hào)的時(shí)候往往用公司名、計(jì)算機(jī)名做用戶名,然后又把這些用戶的密碼設(shè)置得太簡單,比如“welcome”等等。因此,要注意密碼的復(fù)雜性,還要記住經(jīng)常改密碼。
2、設(shè)置屏幕保護(hù)密碼
這是一個(gè)很簡單也很有必要的操作。設(shè)置屏幕保護(hù)密碼也是防止內(nèi)部人員破壞服務(wù)器的一個(gè)屏障。
3、開啟密碼策略
注意應(yīng)用密碼策略,如啟用密碼復(fù)雜性要求,設(shè)置密碼長度最小值為6位 ,設(shè)置強(qiáng)制密碼歷史為5次,時(shí)間為42天。
4、考慮使用智能卡來代替密碼
對(duì)于密碼,總是使安全管理員進(jìn)退兩難,密碼設(shè)置簡單容易受到黑客的攻擊,密碼設(shè)置復(fù)雜又容易忘記。如果條件允許,用智能卡來代替復(fù)雜的密碼是一個(gè)很好的解決方法。
三、系統(tǒng)權(quán)限的設(shè)置
1、磁盤權(quán)限
系統(tǒng)盤及所有磁盤只給 Administrators 組和 SYSTEM 的完全控制權(quán)限
系統(tǒng)盤\Documents and Settings 目錄只給 Administrators 組和 SYSTEM 的完全控制權(quán)限
系統(tǒng)盤\Documents and Settings\All Users 目錄只給 Administrators 組和 SYSTEM 的完全控制權(quán)限
系統(tǒng)盤\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe、ftp.exe、tftp.exe、telnet.exe 、 netstat.exe、regedit.exe、at.exe、attrib.exe、format.com、del文件只給 Administrators 組和SYSTEM 的完全 控制權(quán)限
另將\System32\cmd.exe、format.com、ftp.exe轉(zhuǎn)移到其他目錄或更名
Documents and Settings下所有些目錄都設(shè)置只給adinistrators權(quán)限。并且要一個(gè)一個(gè)目錄查看,包括下面的所有子目錄。
刪除c:\inetpub目錄
2、本地安全策略設(shè)置
開始菜單—>管理工具—>本地安全策略
A、本地策略——>審核策略
審核策略更改 成功 失敗
審核登錄事件 成功 失敗
審核對(duì)象訪問 失敗
審核過程跟蹤 無審核
審核目錄服務(wù)訪問 失敗
審核特權(quán)使用 失敗
審核系統(tǒng)事件 成功 失敗
審核賬戶登錄事件 成功 失敗
審核賬戶管理 成功 失敗
B、本地策略——>用戶權(quán)限分配
關(guān)閉系統(tǒng):只有Administrators組、其它全部刪除。
通過終端服務(wù)允許登陸:只加入Administrators,Remote Desktop Users組,其他全部刪除
C、本地策略——>安全選項(xiàng)
交互式登陸:不顯示上次的用戶名 啟用
網(wǎng)絡(luò)訪問:不允許SAM帳戶和共享的匿名枚舉 啟用
網(wǎng)絡(luò)訪問:不允許為網(wǎng)絡(luò)身份驗(yàn)證儲(chǔ)存憑證 啟用
網(wǎng)絡(luò)訪問:可匿名訪問的共享 全部刪除
網(wǎng)絡(luò)訪問:可匿名訪問的命 全部刪除
網(wǎng)絡(luò)訪問:可遠(yuǎn)程訪問的注冊(cè)表路徑 全部刪除
網(wǎng)絡(luò)訪問:可遠(yuǎn)程訪問的注冊(cè)表路徑和子路徑 全部刪除
帳戶:重命名來賓帳戶 重命名一個(gè)帳戶
帳戶:重命名系統(tǒng)管理員帳戶 重命名一個(gè)帳戶
3、禁用不必要的服務(wù) 開始-運(yùn)行-services.msc
TCP/IPNetBIOS Helper提供 TCP/IP 服務(wù)上的 NetBIOS 和網(wǎng)絡(luò)上客戶端的 NetBIOS 名稱解析的支持而使用戶能夠共享
文件、打印和登錄到網(wǎng)絡(luò)
Server支持此計(jì)算機(jī)通過網(wǎng)絡(luò)的文件、打印、和命名管道共享
Computer Browser 維護(hù)網(wǎng)絡(luò)上計(jì)算機(jī)的最新列表以及提供這個(gè)列表
Task scheduler 允許程序在指定時(shí)間運(yùn)行
Messenger 傳輸客戶端和服務(wù)器之間的 NET SEND 和 警報(bào)器服務(wù)消息
Distributed File System: 局域網(wǎng)管理共享文件,不需要可禁用
Distributed linktracking client:用于局域網(wǎng)更新連接信息,不需要可禁用
Error reporting service:禁止發(fā)送錯(cuò)誤報(bào)告
Microsoft Serch:提供快速的單詞搜索,不需要可禁用
NTLMSecuritysupportprovide:telnet服務(wù)和Microsoft Serch用的,不需要可禁用
PrintSpooler:如果沒有打印機(jī)可禁用
Remote Registry:禁止遠(yuǎn)程修改注冊(cè)表
Remote Desktop Help Session Manager:禁止遠(yuǎn)程協(xié)助
Workstation 關(guān)閉的話遠(yuǎn)程N(yùn)ET命令列不出用戶組
以上是在Windows Server 2003 系統(tǒng)上面默認(rèn)啟動(dòng)的服務(wù)中禁用的,默認(rèn)禁用的服務(wù)如沒特別需要的話不要啟動(dòng)。
4、修改注冊(cè)表
修改注冊(cè)表,讓系統(tǒng)更強(qiáng)壯
1、隱藏重要文件/目錄可以修改注冊(cè)表實(shí)現(xiàn)完全隱藏
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”,鼠標(biāo)右擊 “CheckedValue”,選擇修改,把數(shù)值由1改為0
2、防止SYN洪水攻擊
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名為SynAttackProtect,值為2
新建EnablePMTUDiscovery REG_DWORD 0
新建NoNameReleaseOnDemand REG_DWORD 1
新建EnableDeadGWDetect REG_DWORD 0
新建KeepAliveTime REG_DWORD 300,000
新建PerformRouterDiscovery REG_DWORD 0
新建EnableICMPRedirects REG_DWORD 0
3. 禁止響應(yīng)ICMP路由通告報(bào)文
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface
新建DWORD值,名為PerformRouterDiscovery 值為0
4. 防止ICMP重定向報(bào)文的攻擊
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
將EnableICMPRedirects 值設(shè)為0
5. 不支持IGMP協(xié)議
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名為IGMPLevel 值為0
6、禁止IPC空連接:
cracker可以利用net use命令建立空連接,進(jìn)而入侵,還有net view,nbtstat這些都是基于空連接的,禁止空連接就好了。
Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 把這個(gè)值改成”1”即可。
7、更改TTL值
cracker可以根據(jù)ping回的TTL值來大致判斷你的操作系統(tǒng),如:
TTL=107(WINNT);
TTL=108(win2000);
TTL=127或128(win9x);
TTL=240或241(linux);
TTL=252(solaris);
TTL=240(Irix);
實(shí)際上你可以自己改的:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters:DefaultTTL REG_DWORD 0-0xff(0-255 十進(jìn)制,默認(rèn)值128)改成一個(gè)莫名其妙的數(shù)字如258,起碼讓那些小菜鳥暈上半天,就此放棄入侵你也不一定哦
8. 刪除默認(rèn)共享
有人問過我一開機(jī)就共享所有盤,改回來以后,重啟又變成了共享是怎么回事,這是2K為管理而設(shè)置的默認(rèn)共享,HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters:AutoShareServer類型是REG_DWORD把值改為0即可
9. 禁止建立空連接
默認(rèn)情況下,任何用戶通過通過空連接連上服務(wù)器,進(jìn)而枚舉出帳號(hào),猜測(cè)密碼。我們可以通過修改注冊(cè)表來禁止建立空連接:
Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成”1”即可。
10、建立一個(gè)記事本,填上以下代碼。保存為*.bat并加到啟動(dòng)項(xiàng)目中
net share c$ /del
net share d$ /del
net share e$ /del
net share f$ /del
net share ipc$ /del
net share admin$ /del
5、IIS站點(diǎn)設(shè)置:
1、將IIS目錄&數(shù)據(jù)與系統(tǒng)磁盤分開,保存在專用磁盤空間內(nèi)。
2、啟用父級(jí)路徑
3、在IIS管理器中刪除必須之外的任何沒有用到的映射(保留asp等必要映射即可)
4、在IIS中將HTTP404 Object Not Found出錯(cuò)頁面通過URL重定向到一個(gè)定制HTM文件
5、Web站點(diǎn)權(quán)限設(shè)定(建議)
讀 允許
寫 不允許
腳本源訪問 不允許
目錄瀏覽 建議關(guān)閉
日志訪問 建議關(guān)閉
索引資源 建議關(guān)閉
執(zhí)行 推薦選擇 “僅限于腳本”
6、建議使用W3C擴(kuò)充日志文件格式,每天記錄客戶IP地址,用戶名,服務(wù)器端口,方法,URI字根,HTTP狀態(tài),用戶代理,而且每天均要審查日志。(最好不要使用缺省的目錄,建議更換一個(gè)記日志的路徑,同時(shí)設(shè)置日志的訪問權(quán)限,只允許管理員和system為Full Control)。
7、程序安全:
1) 涉及用戶名與口令的程序最好封裝在服務(wù)器端,盡量少的在ASP文件里出現(xiàn),涉及到與數(shù)據(jù)庫連接地用戶名與口令應(yīng)給予最小的權(quán)限;
2) 需要經(jīng)過驗(yàn)證的ASP頁面,可跟蹤上一個(gè)頁面的文件名,只有從上一頁面轉(zhuǎn)進(jìn)來的會(huì)話才能讀取這個(gè)頁面。
3) 防止ASP主頁.inc文件泄露問題;
4) 防止UE等編輯器生成some.asp.bak文件泄露問題。
6、IIS權(quán)限設(shè)置的思路
?要為每個(gè)獨(dú)立的要保護(hù)的個(gè)體(比如一個(gè)網(wǎng)站或者一個(gè)虛擬目錄)創(chuàng)建一個(gè)系統(tǒng)用戶,讓這個(gè)站點(diǎn)在系統(tǒng)中具有惟一的可以設(shè)置權(quán)限的身份。
?在IIS的【站點(diǎn)屬性或者虛擬目錄屬性→目錄安全性→匿名訪問和驗(yàn)證控制→編輯→匿名訪問→編輯】填寫剛剛創(chuàng)建的那個(gè)用戶名。
?設(shè)置所有的分區(qū)禁止這個(gè)用戶訪問,而剛才這個(gè)站點(diǎn)的主目錄對(duì)應(yīng)的那個(gè)文件夾設(shè)置允許這個(gè)用戶訪問(要去掉繼承父權(quán)限,并且要加上超管組和SYSTEM組)。
7、卸載最不安全的組件
最簡單的辦法是直接卸載后刪除相應(yīng)的程序文件。將下面的代碼保存為一個(gè).BAT文件,( 以下均以 WIN2000 為例,如果使用2003,則系統(tǒng)文件夾應(yīng)該是 C:\WINDOWS\ )
regsvr32/u C:\WINDOWS\System32\wshom.ocx
del C:\WINDOWS\System32\wshom.ocx
regsvr32/u C:\WINDOWS\system32\shell32.dll
del C:\WINNT\WINDOWS\shell32.dll
然后運(yùn)行一下,WScript.Shell, Shell.application, WScript.Network就會(huì)被卸載了。可能會(huì)提示無法刪除文件,不用管它,重啟一下服務(wù)器,你會(huì)發(fā)現(xiàn)這三個(gè)都提示“×安全”了。
去http://www.ajiang.net/products/aspcheck/下載阿江的探針查看相關(guān)安全設(shè)置情況
相關(guān)負(fù)載集群教程:
- 介紹服務(wù)器安全熱點(diǎn)12項(xiàng)技術(shù)
- Web網(wǎng)關(guān)的安全和性能
- 避免危害DNS服務(wù)器安全部署的七宗罪
- web中緩存的使用方法
- 服務(wù)器管理最容易犯的十大錯(cuò)誤
- 自定義FTP 體驗(yàn)極速的下載快感
- RAID0、RAID1、RAID5磁盤陣列的區(qū)別
- 圖文詳解服務(wù)器返回的各狀態(tài)碼
- 利用OpenIPMI監(jiān)控服務(wù)器溫度
- DNS高級(jí)服務(wù)器選項(xiàng)
- apache防盜鏈的兩種實(shí)現(xiàn)方法
- 在多臺(tái)服務(wù)器上簡單實(shí)現(xiàn)Redis的數(shù)據(jù)主從復(fù)制
- 相關(guān)鏈接:
- 教程說明:
負(fù)載集群教程-Win2003 防木馬、權(quán)限設(shè)置、IIS服務(wù)器安全配置整理
。