Windows Server 2003 安全配置
windows server2003是如今最为成熟的网络办事器平台,宁静性相对付windows 2000有大大的进步,但是2003默许的宁静设置装备摆设纷歧定适合我们的必要,所以,我们要凭据实际情况来对win2003进行全面宁静设置装备摆设。说实话,宁静设置装备摆设是一项比力有难度的网络技能,权限设置装备摆设的太严格,好多程序又运行不起,权限设置装备摆设的太松,又很容易被黑客入侵,做为网络办理员,真的很头痛,因此,我结合这几年的网络宁静办理履历,总结出以下一些要领来进步我们办事器的宁静性。
第一招:正确划分文件系统款式,选择稳定的操纵系统安置盘
为了进步宁静性,办事器的文件系统款式肯定要划分成NTFS(新技能文件系统)款式,它比FAT16、FAT32的宁静性、空间利用率都大大的进步,我们可以经过它来设置装备摆设文件的宁静性,磁盘配额、EPS文件加密等。如果你已经分成FAT32的款式了,可以用CONVERT 盘符 /FS:NTFS /V 来把FAT32转换成NTFS款式。正确安置windows 2003 server,在网安同盟http://cqhk.14023.com/Soft/yyrj/bigsoft/200504/502.asp>有windows 2003的企业可晋级版,这个一个完全破解了的版本,可以间接网上晋级,我们安置时只管即便只安置我们必需要用的组件,安置完后打上最新的补丁,到网上晋级到最新版本!保证操纵系统本身无毛病。
第二招:正确设置磁盘的宁静性,详细如下(假造机的宁静设置,我们以asp程序为例子)重点:
1、系统盘权限设置
C:分区部门:
c:\
administrators 全部(该文件夹,子文件夹及文件)
CREATOR OWNER 全部(只有子文件来及文件)
system 全部(该文件夹,子文件夹及文件)
IIS_WPG 创立文件/写入数据(只有该文件夹)
IIS_WPG(该文件夹,子文件夹及文件)
遍历文件夹/运行文件
列出文件夹/读取数据
读取属性
创立文件夹/附加数据
读取权限
c:\Documents and Settings
administrators 全部(该文件夹,子文件夹及文件)
Power Users (该文件夹,子文件夹及文件)
读取和运行
列出文件夹目次
读取
SYSTEM全部(该文件夹,子文件夹及文件)
C:\Program Files
administrators 全部(该文件夹,子文件夹及文件)
CREATOR OWNER全部(只有子文件来及文件)
IIS_WPG (该文件夹,子文件夹及文件)
读取和运行
列出文件夹目次
读取
Power Users(该文件夹,子文件夹及文件)
修改权限
SYSTEM全部(该文件夹,子文件夹及文件)
TERMINAL SERVER USER (该文件夹,子文件夹及文件)
修改权限
2、网站及假造机权限设置(比如网站在E盘)
阐明:我们假定网站全部在E盘wwwsite目次下,并且为每一个假造机创立了一个guest用户,用户名为vhost1...vhostn并且创立了一个webuser组,把全部的vhost用户全部参加这个webuser组里面方便办理
E:\
Administrators全部(该文件夹,子文件夹及文件)
E:\wwwsite
Administrators全部(该文件夹,子文件夹及文件)
system全部(该文件夹,子文件夹及文件)
service全部(该文件夹,子文件夹及文件)
E:\wwwsite\vhost1
Administrators全部(该文件夹,子文件夹及文件)
system全部(该文件夹,子文件夹及文件)
vhost1全部(该文件夹,子文件夹及文件)
3、数据备份盘
数据备份盘最好只指定一个特定的用户对它有完全操纵的权限
比如F盘为数据备份盘,我们只指定一个办理员对它有完全操纵的权限
4、别的中央的权限设置
请找到c盘的这些文件,把宁静性设置只有特定的办理员有完全操纵权限
下列这些文件只允许administrators访问
net.exe
net1.exet
cmd.exe
tftp.exe
netstat.exe
regedit.exe
at.exe
attrib.exe
cacls.exe
format.com
5.删除c:\inetpub目次,删除iis不必要的映射,建立圈套帐号,更改描述
第三招:禁用不必要的办事,进步宁静性和系统服从
Computer Browser 维护网络上盘算机的最新列表以及提供这个列表
Task scheduler 允许程序在指定工夫运行
Routing and Remote Access 在局域网以及广域网环境中为企业提供路由办事
Removable storage 办理可挪动媒体、驱动程序和库
Remote Registry Service 允许长途注册表操纵
Print Spooler 将文件加载到内存中以便以后打印。要用打印机的朋友不克不及禁用这项
IPSEC Policy Agent 办理IP宁静策略以及启动ISAKMP/OakleyIKE)和IP宁静驱动程序
Distributed Link Tracking Client 当文件在网络域的NTFS卷中挪动时发送关照
Com+ Event System 提供变乱的自动公布到订阅COM组件
Alerter 关照选定的用户和盘算机办理警报
Error Reporting Service 收集、存储和向 Microsoft 陈诉异常使用程序
Messenger 传输客户端和办事器之间的 NET SEND 和 警报器办事音讯
Telnet 允许长途用户登录到此盘算机并运行程序
第四招:修改注册表,让系统更强健
1、隐蔽重要文件/目次可以修改注册表完成完全隐蔽:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”,鼠标右击 “CheckedValue”,选择修改,把数值由1改为0
2、启动系统自带的Internet毗连_blank">防火墙,在设置办事选项中勾选Web办事器。
3、防备SYN洪水打击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名为SynAttackProtect,值为2
EnablePMTUDiscovery REG_DWORD 0
NoNameReleaseOnDemand REG_DWORD 1
EnableDeadGWDetect REG_DWORD 0
KeepAliveTime REG_DWORD 300,000
PerformRouterDiscovery REG_DWORD 0
EnableICMPRedirects REG_DWORD 0
4. 禁止相应ICMP路由告示报文
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface
新建DWORD值,名为PerformRouterDiscovery 值为0
5. 防备ICMP重定向报文的打击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
将EnableICMPRedirects 值设为0
6. 不支持IGMP协议
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名为IGMPLevel 值为0
7.修改终端办事端口
运行regedit,找到[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ Wds \ rdpwd \ Tds \ tcp],看到右边的PortNumber了吗?在十进制状态下改成你想要的端口号吧,比如7126之类的,只需不与别的辩论即可。
2、第二处HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp,要领同上,记得改的端口号和上面改的一样就行了。
8、禁止IPC空毗连:
cracker可以利用net use命令建立空毗连,进而入侵,还有net view,nbtstat这些都是基于空毗连的,禁止空毗连就好了。翻开注册表,找到Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 把这个值改成”1”即可。
9、更改TTL值
cracker可以凭据ping回的TTL值来大致果断你的操纵系统,如:
TTL=107(WINNT);
TTL=108(win2000);
TTL=127或128(win9x);
TTL=240或241(linux);
TTL=252(solaris);
TTL=240(Irix);
实际上你可以本身更改的:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters:DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默许值128)改成一个莫名其妙的数字如258,最少让那些小菜鸟晕上半天,就此放弃入侵你也纷歧定哦
10. 删除默许共享
有人问过我一开机就共享全部盘,改返来以后,重启又酿成了共享是怎样回事,这是2K为办理而设置的默许共享,必须经过修改注册表的方式取消它:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters:AutoShareServer类型是REG_DWORD把值改为0即可
11. 禁止建立空毗连
默许情况下,任何用户经过经过空连连续上办事器,进而罗列出帐号,推测密码。我们可以经过修改注册表来禁止建立空毗连:
Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成”1”即可。
第五招:别的宁静手段
1.禁用TCP/IP上的NetBIOS
网上邻人-属性-本地毗连-属性-Internet协议(TCP/IP)属性-初级-WINS面板-NetBIOS设置-禁用TCP/IP上的NetBIOS。如许cracker就无法用nbtstat命令来读取你的NetBIOS信息和网卡MAC地址了。
2. 账户宁静
首先禁止一切账户,除了你本身,呵呵。然后把Administrator改名。我呢就随手又建了个Administrator账户,不过是什么权限都没有的那种,然后翻开记事本,一阵乱敲,复制,粘贴到“密码”里去,呵呵,来破密码吧~!破完了才发现是个低级账户,看你瓦解不?
创立2个办理员用帐号
固然这点看上去和上面这点有些抵牾,但究竟上是服从上面的规则的。 创立一个一般权限帐号用来收信以及处置惩罚一些*常事物,另一个拥有Administrators 权限的帐户只在必要的时候利用。可以让办理员利用 “ RunAS” 命令来执行一些必要特权才能作的一些事情,以方便办理
3.更改C:\WINDOWS\Help\iisHelp\common\404b.htm内容改为如许,出错了自动转到首页
4. 宁静日记
我遇到过如许的情况,一台主机被他人入侵了,系统办理员请我去清查凶手,我登录出来一看:宁静日记是空的,倒,请记着:Win2000的默许安置是不开任何宁静审核的!那么请你到本地宁静策略->审核策略中翻开相应的审核,推荐的审核是:
账户办理 乐成 失败
登录变乱 乐成 失败
工具访问 失败
策略更改 乐成 失败
特权利用 失败
系统变乱 乐成 失败
目次办事访问 失败
账户登录变乱 乐成 失败
审核项目少的缺陷是万一你想看发现没有记载那就一点都没辙;审核项目太多不仅会占用系统资源而且会招致你根本没空去看,如许就得到了审核的意义
5. 运行防毒软件
我见过的Win2000/Nt办事器历来没有见到有安置了防毒软件的,其实这一点十分重要。一些好的杀毒软件不仅能杀失一些闻名的病毒,还能查杀少量木马和后门程序。如许的话,“黑客”们利用的那些著名的木马就毫无用武之地了。不要忘了每每晋级病毒库,我们推荐mcafree杀毒软件+blackice_blank">防火墙
6.sqlserver数据库办事器宁静和serv-u ftp办事器宁静设置装备摆设,更改默许端口,和办理密码
7.设置ip挑选、用blackice禁止木马常用端口
一般禁用以下端口
135 138 139 443 445 4000 4899 7626
8.本地宁静策略和组策略的设置,如果你在设置本地宁静策略时设置错了,可以如许恢复成它的默许值.
翻开 %SystemRoot%\Security文件夹,创立一个 "OldSecurity"子目次,将%SystemRoot%\Security下全部的.log文件移到这个新建的子文件夹中.
在%SystemRoot%\Security\database\下找到"Secedit.sdb"宁静数据库并将其改名,如改为"Secedit.old".
启动"宁静设置装备摆设和阐发"MMC办理单元:"开端"->"运行"->"MMC",启动办理控制台,"添加/删除办理单元",将"宁静设置装备摆设和阐发"办理单元添加上.
右击"宁静设置装备摆设和阐发"->"翻开数据库",浏览"C:\WINNT\security\Database"文件夹,输入文件名"secedit.sdb",单击"翻开".
当系统提示输入一个模板时,选择"Setup Security.inf",单击"翻开".
如果系统提示"拒绝访问数据库",不管他.
你会发如今"C:\WINNT\security\Database"子文件夹中重新天生了新的宁静数据库,在"C:\WINNT\security"子文件夹下重新天生了log文件.宁静数据库重建乐成.
- 文章作者: 福州军威计算机技术有限公司
军威网络是福州最专业的电脑维修公司,专业承接福州电脑维修、上门维修、IT外包、企业电脑包年维护、局域网网络布线、网吧承包等相关维修服务。
版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章原始出处 、作者信息和声明。否则将追究法律责任。
TAG:
|
评论加载中...
|
