windows server2003是目前最為成熟的網(wǎng)絡(luò )服務(wù)器平臺,安全性相對于windows 2000有大大的提高,但是2003默認的安全配置不一定適合我們的需要,所以,我們要根據實(shí)際情況來(lái)對win2003進(jìn)行全面安全配置。說(shuō)實(shí)話(huà),安全配置是一項比較有難度的網(wǎng)絡(luò )技術(shù),權限配置的太嚴格,好多程序又運行不起,權限配置的太松,又很容易被黑客入侵,做為網(wǎng)絡(luò )管理員,真的很頭痛,因此,我結合這幾年的網(wǎng)絡(luò )安全管理經(jīng)驗,總結出以下一些方法來(lái)提高我們服務(wù)器的安全性。 第一招:正確劃分文件系統格式,選擇穩定的操作系統安裝盤(pán)
為了提高安全性,服務(wù)器的文件系統格式一定要劃分成NTFS(新技術(shù)文件系統)格式,它比FAT16、FAT32的安全性、空間利用率都大大的提高,我們可以通過(guò)它來(lái)配置文件的安全性,磁盤(pán)配額、EPS文件加密等。如果你已經(jīng)分成FAT32的格式了,可以用CONVERT 盤(pán)符 /FS:NTFS /V 來(lái)把FAT32轉換成NTFS格式。正確安裝windows 2003 server,在網(wǎng)安聯(lián)盟http://cqhk.14023.com/Soft/yyrj/bigsoft/200504/502.asp>有windows 2003的企業(yè)可升級版,這個(gè)一個(gè)完全破解了的版本,可以直接網(wǎng)上升級,我們安裝時(shí)盡量只安裝我們必須要用的組件,安裝完后打上最新的補丁,到網(wǎng)上升級到最新版本!保證操作系統本身無(wú)漏洞。
第二招:正確設置磁盤(pán)的安全性,具體如下(虛擬機的安全設置,我們以asp程序為例子)重點(diǎn):
1、系統盤(pán)權限設置
C:分區部分:
c:\
administrators 全部(該文件夾,子文件夾及文件)
CREATOR OWNER 全部(只有子文件來(lái)及文件)
system 全部(該文件夾,子文件夾及文件)
IIS_WPG 創(chuàng )建文件/寫(xiě)入數據(只有該文件夾)
IIS_WPG(該文件夾,子文件夾及文件)
遍歷文件夾/運行文件
列出文件夾/讀取數據
讀取屬性
創(chuàng )建文件夾/附加數據
讀取權限
c:\Documents and Settings
administrators 全部(該文件夾,子文件夾及文件)
Power Users (該文件夾,子文件夾及文件)
讀取和運行
列出文件夾目錄
讀取
SYSTEM全部(該文件夾,子文件夾及文件)
C:\Program Files
administrators 全部(該文件夾,子文件夾及文件)
CREATOR OWNER全部(只有子文件來(lái)及文件)
IIS_WPG (該文件夾,子文件夾及文件)
讀取和運行
列出文件夾目錄
讀取
Power Users(該文件夾,子文件夾及文件)
修改權限
SYSTEM全部(該文件夾,子文件夾及文件)
TERMINAL SERVER USER (該文件夾,子文件夾及文件)
修改權限
2、網(wǎng)站及虛擬機權限設置(比如網(wǎng)站在E盤(pán))
說(shuō)明:我們假設網(wǎng)站全部在E盤(pán)wwwsite目錄下,并且為每一個(gè)虛擬機創(chuàng )建了一個(gè)guest用戶(hù),用戶(hù)名為vhost1...vhostn并且創(chuàng )建了一個(gè)webuser組,把所有的vhost用戶(hù)全部加入這個(gè)webuser組里面方便管理
E:\
Administrators全部(該文件夾,子文件夾及文件)
E:\wwwsite
Administrators全部(該文件夾,子文件夾及文件)
system全部(該文件夾,子文件夾及文件)
service全部(該文件夾,子文件夾及文件)
E:\wwwsite\vhost1
Administrators全部(該文件夾,子文件夾及文件)
system全部(該文件夾,子文件夾及文件)
vhost1全部(該文件夾,子文件夾及文件)
3、數據備份盤(pán)
數據備份盤(pán)最好只指定一個(gè)特定的用戶(hù)對它有完全操作的權限
比如F盤(pán)為數據備份盤(pán),我們只指定一個(gè)管理員對它有完全操作的權限
4、其它地方的權限設置
請找到c盤(pán)的這些文件,把安全性設置只有特定的管理員有完全操作權限
下列這些文件只允許administrators訪(fǎng)問(wèn)
net.exe
net1.exet
cmd.exe
tftp.exe
netstat.exe
regedit.exe
at.exe
attrib.exe
cacls.exe
format.com
5.刪除c:\inetpub目錄,刪除iis不必要的映射,建立陷阱帳號,更改描述
第三招:禁用不必要的服務(wù),提高安全性和系統效率
Computer Browser 維護網(wǎng)絡(luò )上計算機的最新列表以及提供這個(gè)列表
Task scheduler 允許程序在指定時(shí)間運行
Routing and Remote Access 在局域網(wǎng)以及廣域網(wǎng)環(huán)境中為企業(yè)提供路由服務(wù)
Removable storage 管理可移動(dòng)媒體、驅動(dòng)程序和庫
Remote Registry Service 允許遠程注冊表操作
Print Spooler 將文件加載到內存中以便以后打印。要用打印機的朋友不能禁用這項
I(yíng)PSEC Policy Agent 管理IP安全策略以及啟動(dòng)ISAKMP/OakleyIKE)和IP安全驅動(dòng)程序
Distributed Link Tracking Client 當文件在網(wǎng)絡(luò )域的NTFS卷中移動(dòng)時(shí)發(fā)送通知
Com+ Event System 提供事件的自動(dòng)發(fā)布到訂閱COM組件
Alerter 通知選定的用戶(hù)和計算機管理警報
Error Reporting Service 收集、存儲和向 Microsoft 報告異常應用程序
Messenger 傳輸客戶(hù)端和服務(wù)器之間的 NET SEND 和 警報器服務(wù)消息
Telnet 允許遠程用戶(hù)登錄到此計算機并運行程序
第四招:修改注冊表,讓系統更強壯
1、隱藏重要文件/目錄可以修改注冊表實(shí)現完全隱藏:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”,鼠標右擊 “CheckedValue”,選擇修改,把數值由1改為0
2、啟動(dòng)系統自帶的Internet連接_blank">防火墻,在設置服務(wù)選項中勾選Web服務(wù)器。
3、防止SYN洪水攻擊
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名為SynAttackProtect,值為2
EnablePMTUDiscovery REG_DWORD 0
NoNameReleaseOnDemand REG_DWORD 1
EnableDeadGWDetect REG_DWORD 0
KeepAliveTime REG_DWORD 300,000
PerformRouterDiscovery REG_DWORD 0
EnableICMPRedirects REG_DWORD 0
4. 禁止響應ICMP路由通告報文
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface
新建DWORD值,名為PerformRouterDiscovery 值為0
5. 防止ICMP重定向報文的攻擊
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
將EnableICMPRedirects 值設為0
6. 不支持IGMP協(xié)議
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名為IGMPLevel 值為0
7.修改終端服務(wù)端口
運行regedit,找到[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ Wds \ rdpwd \ Tds \ tcp],看到右邊的PortNumber了嗎?在十進(jìn)制狀態(tài)下改成你想要的端口號吧,比如7126之類(lèi)的,只要不與其它沖突即可。
2、第二處HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp,方法同上,記得改的端口號和上面改的一樣就行了。
8、禁止IPC空連接:
cracker可以利用net use命令建立空連接,進(jìn)而入侵,還有net view,nbtstat這些都是基于空連接的,禁止空連接就好了。打開(kāi)注冊表,找到Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 把這個(gè)值改成”1”即可。
9、更改TTL值
cracker可以根據ping回的TTL值來(lái)大致判斷你的操作系統,如:
TTL=107(WINNT);
TTL=108(win2000);
TTL=127或128(win9x);
TTL=240或241(linux);
TTL=252(solaris);
TTL=240(Irix);
實(shí)際上你可以自己更改的:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters:DefaultTTL REG_DWORD 0-0xff(0-255 十進(jìn)制,默認值128)改成一個(gè)莫名其妙的數字如258,起碼讓那些小菜鳥(niǎo)暈上半天,就此放棄入侵你也不一定哦
10. 刪除默認共享
有人問(wèn)過(guò)我一開(kāi)機就共享所有盤(pán),改回來(lái)以后,重啟又變成了共享是怎么回事,這是2K為管理而設置的默認共享,必須通過(guò)修改注冊表的方式取消它:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters:AutoShareServer類(lèi)型是REG_DWORD把值改為0即可
11. 禁止建立空連接
默認情況下,任何用戶(hù)通過(guò)通過(guò)空連接連上服務(wù)器,進(jìn)而枚舉出帳號,猜測密碼。我們可以通過(guò)修改注冊表來(lái)禁止建立空連接:
Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成”1”即可。
第五招:其它安全手段
1.禁用TCP/IP上的NetBIOS
網(wǎng)上鄰居-屬性-本地連接-屬性-Internet協(xié)議(TCP/IP)屬性-高級-WINS面板-NetBIOS設置-禁用TCP/IP上的NetBIOS。這樣cracker就無(wú)法用nbtstat命令來(lái)讀取你的NetBIOS信息和網(wǎng)卡MAC地址了。
2. 賬戶(hù)安全
首先禁止一切賬戶(hù),除了你自己,呵呵。然后把Administrator改名。我呢就順手又建了個(gè)Administrator賬戶(hù),不過(guò)是什么權限都沒(méi)有的那種,然后打開(kāi)記事本,一陣亂敲,復制,粘貼到“密碼”里去,呵呵,來(lái)破密碼吧~!破完了才發(fā)現是個(gè)低級賬戶(hù),看你崩潰不?
創(chuàng )建2個(gè)管理員用帳號
雖然這點(diǎn)看上去和上面這點(diǎn)有些矛盾,但事實(shí)上是服從上面的規則的。 創(chuàng )建一個(gè)一般權限帳號用來(lái)收信以及處理一些*常事物,另一個(gè)擁有Administrators 權限的帳戶(hù)只在需要的時(shí)候使用?梢宰尮芾韱T使用 “ RunAS” 命令來(lái)執行一些需要特權才能作的一些工作,以方便管理
3.更改C:\WINDOWS\Help\iisHelp\common\404b.htm內容改為<META HTTP-EQUIV=REFRESH CONTENT="0;URL=/;">這樣,出錯了自動(dòng)轉到首頁(yè)
4. 安全日志
我遇到過(guò)這樣的情況,一臺主機被別人入侵了,系統管理員請我去追查兇手,我登錄進(jìn)去一看:安全日志是空的,倒,請記。篧in2000的默認安裝是不開(kāi)任何安全審核的!那么請你到本地安全策略->審核策略中打開(kāi)相應的審核,推薦的審核是:
賬戶(hù)管理 成功 失敗
登錄事件 成功 失敗
對象訪(fǎng)問(wèn) 失敗
策略更改 成功 失敗
特權使用 失敗
系統事件 成功 失敗
目錄服務(wù)訪(fǎng)問(wèn) 失敗
賬戶(hù)登錄事件 成功 失敗
審核項目少的缺點(diǎn)是萬(wàn)一你想看發(fā)現沒(méi)有記錄那就一點(diǎn)都沒(méi)轍;審核項目太多不僅會(huì )占用系統資源而且會(huì )導致你根本沒(méi)空去看,這樣就失去了審核的意義
5. 運行防毒軟件
我見(jiàn)過(guò)的Win2000/Nt服務(wù)器從來(lái)沒(méi)有見(jiàn)到有安裝了防毒軟件的,其實(shí)這一點(diǎn)非常重要。一些好的殺毒軟件不僅能殺掉一些著(zhù)名的病毒,還能查殺大量木馬和后門(mén)程序。這樣的話(huà),“黑客”們使用的那些有名的木馬就毫無(wú)用武之地了。不要忘了經(jīng)常升級病毒庫,我們推薦mcafree殺毒軟件+blackice_blank">防火墻
6.sqlserver數據庫服務(wù)器安全和serv-u ftp服務(wù)器安全配置,更改默認端口,和管理密碼
7.設置ip篩選、用blackice禁止木馬常用端口
一般禁用以下端口
135 138 139 443 445 4000 4899 7626
8.本地安全策略和組策略的設置,如果你在設置本地安全策略時(shí)設置錯了,可以這樣恢復成它的默認值.
打開(kāi) %SystemRoot%\Security文件夾,創(chuàng )建一個(gè) "OldSecurity"子目錄,將%SystemRoot%\Security下所有的.log文件移到這個(gè)新建的子文件夾中.
在%SystemRoot%\Security\database\下找到"Secedit.sdb"安全數據庫并將其改名,如改為"Secedit.old".
啟動(dòng)"安全配置和分析"MMC管理單元:"開(kāi)始"->"運行"->"MMC",啟動(dòng)管理控制臺,"添加/刪除管理單元",將"安全配置和分析"管理單元添加上.
右擊"安全配置和分析"->"打開(kāi)數據庫",瀏覽"C:\WINNT\security\Database"文件夾,輸入文件名"secedit.sdb",單擊"打開(kāi)".
當系統提示輸入一個(gè)模板時(shí),選擇"Setup Security.inf",單擊"打開(kāi)".
如果系統提示"拒絕訪(fǎng)問(wèn)數據庫",不管他.
你會(huì )發(fā)現在"C:\WINNT\security\Database"子文件夾中重新生成了新的安全數據庫,在"C:\WINNT\security"子文件夾下重新生成了log文件.安全數據庫重建成功.
上一條:
什么是SEO 做網(wǎng)站SEO對網(wǎng)站有什么好處下一條:
淺談?dòng)绊懖┌賰?yōu)優(yōu)化的百度因素