服務(wù)器安全設置
1����、系統盤(pán)和站點(diǎn)放置盤(pán)必須設置為NTFS格式����,方便設置權限�。
2���、系統盤(pán)和站點(diǎn)放置盤(pán)除administrators 和system的用戶(hù)權限全部去除�����。
3��、啟用windows自帶防火墻�,只保留有用的端口����,比如遠程和Web���、Ftp(3389���、80��、21)等等�����,有郵件服務(wù)器的還要打開(kāi)25和130端口����。
4���、安裝好SQL后進(jìn)入目錄搜索 xplog70 然后將找到的三個(gè)文件改名或者刪除�����。
5���、更改sa密碼為你都不知道的超長(cháng)密碼����,在任何情況下都不要用sa這個(gè)帳戶(hù)�����。
6���、改名系統默認帳戶(hù)名并新建一個(gè)Administrator帳戶(hù)作為陷阱帳戶(hù)�,設置超長(cháng)密碼��,并去掉所有用戶(hù)組��。(就是在用戶(hù)組那里設置為空即可���。讓這個(gè)帳號不屬于任何用戶(hù)組—樣)同樣改名禁用掉Guest用戶(hù)���。
7���、配置帳戶(hù)鎖定策略(在運行中輸入gpedit.msc回車(chē)�����,打開(kāi)組策略編輯器�,選擇計算機配置-Windows設置-安全設置-賬戶(hù)策略-賬戶(hù)鎖定策略��,將賬戶(hù)設為“三次登陸無(wú)效”�����,“鎖定時(shí)間30分鐘”���,“復位鎖定計數設為30分鐘”��。)
8���、在安全設置里本地策略-安全選項將
網(wǎng)絡(luò )訪(fǎng)問(wèn):可匿名訪(fǎng)問(wèn)的共享����;
網(wǎng)絡(luò )訪(fǎng)問(wèn):可匿名訪(fǎng)問(wèn)的命名管道�;
網(wǎng)絡(luò )訪(fǎng)問(wèn):可遠程訪(fǎng)問(wèn)的注冊表路徑�;
網(wǎng)絡(luò )訪(fǎng)問(wèn):可遠程訪(fǎng)問(wèn)的注冊表路徑和子路徑�;
以上四項清空����。
9�、在安全設置里 本地策略-安全選項 通過(guò)終端服務(wù)拒絕登陸 加入
以下為引用的內容:
ASPNET
Guest
IUSR_*****
IWAM_*****
NETWORK SERVICE
SQLDebugger
|
(****表示你的機器名,具體查找可以點(diǎn)擊 添加用戶(hù)或組 選 高級 選 立即查找 在底下列出的用戶(hù)列表里選擇.
注意不要添加進(jìn)user組和administrators組 添加進(jìn)去以后就沒(méi)有辦法遠程登陸了����。)
10����、去掉默認共享�����,將以下文件存為reg后綴���,然后執行導入即可�����。
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"AutoShareServer"=dword:00000000
"AutoSharewks"=dword:00000000
11�、 禁用不需要的和危險的服務(wù)��,以下列出服務(wù)都需要禁用�。
Alerter 發(fā)送管理警報和通知
Computer Browser:維護網(wǎng)絡(luò )計算機更新
Distributed File System: 局域網(wǎng)管理共享文件
Distributed linktracking client 用于局域網(wǎng)更新連接信息
Error reporting service 發(fā)送錯誤報告
Remote Procedure Call (RPC) Locator RpcNs*遠程過(guò)程調用 (RPC)
Remote Registry 遠程修改注冊表
Removable storage 管理可移動(dòng)媒體���、驅動(dòng)程序和庫
Remote Desktop Help Session Manager 遠程協(xié)助
Routing and Remote Access 在局域網(wǎng)以及廣域網(wǎng)環(huán)境中為企業(yè)提供路由服務(wù)
Messenger 消息文件傳輸服務(wù)
Net Logon 域控制器通道管理
NTLMSecuritysupportprovide telnet服務(wù)和Microsoft Serch用的
PrintSpooler 打印服務(wù)
telnet telnet服務(wù)
Workstation 泄漏系統用戶(hù)名列表
12�����、更改本地安全策略的審核策略
賬戶(hù)管理 成功 失敗
登錄事件 成功 失敗
對象訪(fǎng)問(wèn) 失敗
策略更改 成功 失敗
特權使用 失敗
系統事件 成功 失敗
目錄服務(wù)訪(fǎng)問(wèn) 失敗
賬戶(hù)登錄事件 成功 失敗
13�����、更改有可能會(huì )被提權利用的文件運行權限�,找到以下文件�,將其安全設置里除administrators用戶(hù)組全部刪除����,重要的是連system也不要留����。
net.exe
net1.exe
cmd.exe
tftp.exe
netstat.exe
regedit.exe
at.exe
attrib.exe
cacls.exe
format.com
c.exe 特殊文件 有可能在你的計算機上找不到此文件�。
在搜索框里輸入
"net.exe","net1.exe","cmd.exe","tftp.exe","netstat.exe","regedit.exe","at.exe","attrib.exe","cacls.exe","format.com","c.exe"
點(diǎn)擊搜索 然后全選 右鍵 屬性 安全
以上這點(diǎn)是最最重要的一點(diǎn)了��,也是最最方便減少被提權和被破壞的可能的防御方法了���。
14��、后備工作�,將當前服務(wù)器的進(jìn)程抓圖或記錄下來(lái)�,將其保存����,方便以后對照查看是否有不明的程序��。將當前開(kāi)放的端口抓圖或記錄下來(lái)��,保存��,方便以后對照查看是否開(kāi)放了不明的端口��。當然如果你能分辨每一個(gè)進(jìn)程��,和端口這一步可以省略�。
咨詢(xún)電話(huà):0731-88571521 136-3748-2004