服務(wù)器系統(tǒng)安全配置

1、2003服務(wù)器系統(tǒng)安全配置-中級(jí)安全配置 作者：墨魚(yú) 來(lái)源：互聯(lián)網(wǎng) 時(shí)間：2008-6-14 QQ書(shū)簽 搜藏 【大 中 小】2003服務(wù)器系統(tǒng)安全配置-中級(jí)安全配置！做好此教程的設(shè)置可防御一般入侵，需要高級(jí)服務(wù)器安全維護(hù)，請(qǐng)聯(lián)系我。我們一起交流一下！做為一個(gè)網(wǎng)管，應(yīng)該在處理WEB服務(wù)器或者其他服務(wù)器的時(shí)候 配合程序本身或者代碼本身去防止其他入侵，例如跨站等等！前提，系統(tǒng)包括軟件服務(wù)等的密碼一定要強(qiáng)壯！服務(wù)器安全設(shè)置1.系統(tǒng)盤和站點(diǎn)放置盤必須設(shè)置為NTFS格式,方便設(shè)置權(quán)限.2.系統(tǒng)盤和站點(diǎn)放置盤除administrators 和system的用戶權(quán)限全部去除.3.啟用windows自帶防火墻,

2、只保留有用的端口,比如遠(yuǎn)程和Web,Ftp(3389,80,21)等等,有郵件服務(wù)器的還要打開(kāi)25和130端口.4.安裝好SQL后進(jìn)入目錄搜索 xplog70 然后將找到的三個(gè)文件改名或者刪除.5.更改sa密碼為你都不知道的超長(zhǎng)密碼,在任何情況下都不要用sa這個(gè)帳戶.6.改名系統(tǒng)默認(rèn)帳戶名并新建一個(gè)Administrator帳戶作為陷阱帳戶,設(shè)置超長(zhǎng)密碼,并去掉所有用戶組.(就是在用戶組那里設(shè)置為空即可.讓這個(gè)帳號(hào)不屬于任何用戶組)同樣改名禁用掉Guest用戶.7.配置帳戶鎖定策略(在運(yùn)行中輸入gpedit.msc回車，打開(kāi)組策略編輯器，選擇計(jì)算機(jī)配置-Windows設(shè)置-安全設(shè)置-賬戶策略-

3、賬戶鎖定策略，將賬戶設(shè)為“三次登陸無(wú)效”，“鎖定時(shí)間30分鐘”，“復(fù)位鎖定計(jì)數(shù)設(shè)為30分鐘”。)8.在安全設(shè)置里 本地策略-安全選項(xiàng) 將 網(wǎng)絡(luò)訪問(wèn):可匿名訪問(wèn)的共享 ; 網(wǎng)絡(luò)訪問(wèn):可匿名訪問(wèn)的命名管道 ; 網(wǎng)絡(luò)訪問(wèn):可遠(yuǎn)程訪問(wèn)的注冊(cè)表路徑 ; 網(wǎng)絡(luò)訪問(wèn):可遠(yuǎn)程訪問(wèn)的注冊(cè)表路徑和子路徑 ; 以上四項(xiàng)清空.9.在安全設(shè)置里 本地策略-安全選項(xiàng)通過(guò)終端服務(wù)拒絕登陸 加入 ASPNET GuestIUSR_*IWAM_*NETWORK SERVICESQLDebugger (*表示你的機(jī)器名,具體查找可以點(diǎn)擊 添加用戶或組 選 高級(jí) 選 立即查找 在底下列出的用戶列表里選擇. 注意不要添加進(jìn)user組

4、和administrators組添加進(jìn)去以后就沒(méi)有辦法遠(yuǎn)程登陸了.)10.去掉默認(rèn)共享,將以下文件存為reg后綴,然后執(zhí)行導(dǎo)入即可.Windows Registry Editor Version 5.00HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters"AutoShareServer"=dword:00000000"AutoSharewks"=dword:0000000011. 禁用不需要的和危險(xiǎn)的服務(wù),以下列出服務(wù)都需要禁用.Alerter 發(fā)送管理警報(bào)和通知

5、Computer Browser:維護(hù)網(wǎng)絡(luò)計(jì)算機(jī)更新Distributed File System: 局域網(wǎng)管理共享文件Distributed linktracking client 用于局域網(wǎng)更新連接信息Error reporting service 發(fā)送錯(cuò)誤報(bào)告Remote Procedure Call (RPC) Locator RpcNs*遠(yuǎn)程過(guò)程調(diào)用 (RPC) Remote Registry 遠(yuǎn)程修改注冊(cè)表Removable storage 管理可移動(dòng)媒體、驅(qū)動(dòng)程序和庫(kù)Remote Desktop Help Session Manager 遠(yuǎn)程協(xié)助Routing and Remot

6、e Access 在局域網(wǎng)以及廣域網(wǎng)環(huán)境中為企業(yè)提供路由服務(wù)Messenger 消息文件傳輸服務(wù)Net Logon 域控制器通道管理NTLMSecuritysupportprovide telnet服務(wù)和Microsoft Serch用的PrintSpooler 打印服務(wù)telnet telnet服務(wù)Workstation 泄漏系統(tǒng)用戶名列表12.更改本地安全策略的審核策略賬戶管理 成功失敗登錄事件 成功失敗對(duì)象訪問(wèn) 失敗 策略更改 成功失敗特權(quán)使用 失敗 系統(tǒng)事件 成功失敗 目錄服務(wù)訪問(wèn) 失敗 賬戶登錄事件 成功 失敗13.更改有可能會(huì)被提權(quán)利用的文件運(yùn)行權(quán)限,找到以下文件,將其安全設(shè)置里除

7、administrators用戶組全部刪除,重要的是連system也不要留.net.exenet1.execmd.exetftp.exenetstat.exeregedit.exeat.exeattrib.execacls.exec.exe 特殊文件 有可能在你的計(jì)算機(jī)上找不到此文件.在搜索框里輸入 "net.exe","net1.exe","cmd.exe","tftp.exe","netstat.exe","regedit.exe","at.exe",

8、"attrib.exe","cacls.exe","","c.exe" 點(diǎn)擊搜索 然后全選 右鍵 屬性 安全 以上這點(diǎn)是最最重要的一點(diǎn)了,也是最最方便減少被提權(quán)和被破壞的可能的防御方法了.14.后備工作,將當(dāng)前服務(wù)器的進(jìn)程抓圖或記錄下來(lái)，將其保存，方便以后對(duì)照查看是否有不明的程序。將當(dāng)前開(kāi)放的端口抓圖或記錄下來(lái)，保存，方便以后對(duì)照查看是否開(kāi)放了不明的端口。當(dāng)然如果你能分辨每一個(gè)進(jìn)程，和端口這一步可以省略。以上是設(shè)置安全服務(wù)器必要的步驟.下面我們來(lái)說(shuō)說(shuō)數(shù)據(jù)庫(kù)安裝. 1.在企業(yè)管理器內(nèi)建立一個(gè)空的數(shù)據(jù)庫(kù)名為oblog4

9、,打開(kāi)查詢分析器,將data目錄的oblog4.sql導(dǎo)入查詢分析器.找到oblog4數(shù)據(jù)庫(kù)執(zhí)行.2.將初始數(shù)據(jù)庫(kù)oblog4.mdb導(dǎo)入我們剛剛建立好的數(shù)據(jù)庫(kù).好了數(shù)據(jù)庫(kù)裝好了,下面我們來(lái)說(shuō)說(shuō)IIS的安全設(shè)置.1. 在計(jì)算機(jī)管理中設(shè)定一個(gè)新的用戶組 iis guest 這個(gè)用戶組來(lái)將我們的站點(diǎn)使用的匿名用戶歸類.方便管理.2. 新建一個(gè)用戶已 U_開(kāi)頭 以后站點(diǎn)的匿名用戶就都是以U_開(kāi)頭方便識(shí)別和管理 當(dāng)然你可以自己設(shè)定,只要方便識(shí)別即可.然后去掉其所歸屬的user用戶組添加入 iis guest用戶組.比如新建的站點(diǎn)是 那么我我們就新建一個(gè) U_用戶,然后將它除去user組的隸屬關(guān)系,然后

10、將其加入guest組.3. 在發(fā)布盤上新建一個(gè)文件夾作為網(wǎng)站目錄.再這里我們新建E:wwwroot為我們的站點(diǎn)文件夾目錄最好帶有迷惑性 如:E:wireless security4. 將網(wǎng)站傳入到此文件夾下.5. 設(shè)置iis發(fā)布此站點(diǎn).站點(diǎn)的主機(jī)頭設(shè)為您的域名.6. 設(shè)置iis匿名用戶訪問(wèn)權(quán)限為剛剛我們新建的U_用戶.7. 設(shè)置發(fā)布目錄文件夾權(quán)限所有為U_用戶讀取運(yùn)行權(quán)限.8. 設(shè)置 目錄U(用戶日志生成靜態(tài)目錄),目錄 Uploadfiles(上傳目錄) skin下的skin.mdb 根目錄下的 index.html 等目錄或文件權(quán)限為可以修改.9. 在iis上設(shè)置Uploadfiles文件

11、夾為不可執(zhí)行腳本.10. 修改conn.asp和config.asp文件.適應(yīng)我們的設(shè)置.11. 訪問(wèn)您設(shè)定的網(wǎng)址 安裝完成.windows下根目錄的權(quán)限設(shè)置：C:WINDOWSDownloaded Program Files 默認(rèn)不改C:WINDOWSOffline Web Pages 默認(rèn)不改C:WINDOWSHelp TERMINAL SERVER USER 除前兩項(xiàng)權(quán)限不選其余都選C:WINDOWSIIS Temporary Compressed Files IIS_WPG選全部權(quán)限C:WINDOWSInstaller 刪除EVEryone組權(quán)限C:WINDOWSPrefetch 默認(rèn)

12、權(quán)限不改C:WINDOWSRegistration 添加NETWORK SERVICE 選擇其中三項(xiàng)權(quán)限，其它保留默認(rèn)C:WINDOWSsystem32 添加NETWORK SERVICE 選擇其中三項(xiàng)權(quán)限，其它保留默認(rèn)C:WINDOWSTAPI 刪除user組，其它組的權(quán)限保留默認(rèn)C:WINDOWSTemp 刪除user組，其它組的權(quán)限保留默認(rèn)C:WINDOWSWeb 注意權(quán)限設(shè)置為繼承。具體看演示C:WINDOWSWinSxS 添加NETWORK SERVICE 選擇其中三項(xiàng)權(quán)限，其它保留默認(rèn)C:WINDOWSApplication Compatibility Scripts C:WIND

13、OWSDebugUserMode 刪除users組的權(quán)限C:WINDOWSDebugWPD 目錄刪除Authenticated Users組權(quán)限。其它默認(rèn)不變 C:WINDOWSime C:WINDOWSinf C:WINDOWSInstaller 刪除其子目錄下所有包含EVEryone組的權(quán)限C:WINDOWSMicrosoft.NET 和C:WINDOWSMicrosoft.NETFrameworkv1.1.4322 子目錄中有很多組權(quán)限。保留默認(rèn)就行C:WINDOWSPCHealthUploadLB 刪除everyone組的權(quán)限，其它下級(jí)目錄不用管，沒(méi)有user組和EVEryone組權(quán)限

14、C:WINDOWSPCHealthHelpCtr 刪除everyone組的權(quán)限，其它下級(jí)目錄不用管，沒(méi)有user組和EVEryone組權(quán)限如果C:WINDOWSPCHealth還有其它演示中沒(méi)有的目錄，也如此操作，依情況靈活運(yùn)用C:WINDOWSRegistrationCRMLog 刪除users組的權(quán)限C:WINDOWSsecuritytemplates 刪除users組的權(quán)限及多余權(quán)限，看演示下面開(kāi)始system32根目錄的設(shè)置：此目錄中基本上是刪除user組和其它不必要的組后，其余組的權(quán)限保留就行了。要改的地方?jīng)]幾處C:WINDOWSsystem32GroupPolicy 刪除Authe

15、nticated Users組，其下子目錄保留默認(rèn)不用改就行*C:WINDOWSsystem32inetsrv 及其下子目錄均保持不改就行*C:WINDOWSsystem32spool*C:WINDOWSsystem32spooldrivers 刪除EVEryone組的權(quán)限C:WINDOWSsystem32spoolPRINTERS 刪除EVEryone組的權(quán)限C:WINDOWSsystem32wbemAutoRecover 刪除EVEryone組的權(quán)限C:WINDOWSsystem32wbemLogs 同上C:WINDOWSsystem32wbemmof 同上C:WINDOWSsystem3

16、2wbemRepository 同上在這里提供給大家一段批處理 windows 2003權(quán)限設(shè)置批處理echo.echo -echo.echo . share c$ /deletenet share d$ /deletenet share e$ /deletenet share f$ /deletenet share admin$ /deletenet share ipc$ /deletenet stop servernet stop lanmanworkstationregsvr32/u C:WINDOWSSystem32wshom.ocxregsvr32/u C:WINDO

17、WSsystem32shell32.dllcacls c:WINDOWSsystem32shell32.dll /g administrators:f system:fcacls c:WINDOWSsystem32shell.dll /g administrators:f system:fcacls c: /g administrators:f system:fcacls d: /g administrators:f system:fecho.echo .echo.echo -echo.echo .echo.echo . delshare.reg .echo Windows Registry

18、Editor Version 5.00> c:delshare.regecho HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters>> c:delshare.regecho "AutoShareWks"=dword:00000000>> c:delshare.regecho "AutoShareServer"=dword:00000000>> c:delshare.regecho . delshare.reg .reged

19、it /s c:delshare.regecho . delshare.reg .del c:delshare.regecho .echo .echo .echo =echo .echo .dos.echo .echo .echo Windows Registry Editor Version 5.00> c:dosforwin.regecho HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters>> c:dosforwin.regecho "EnableICMPRedirect"

20、=dword:00000000>> c:dosforwin.regecho "DeadGWDetectDefault"=dword:00000001>> c:dosforwin.regecho "DontAddDefaultGatewayDefault"=dword:00000000>> c:dosforwin.regecho "EnableSecurityFilters"=dword:00000000">> c:dosforwin.regecho "AllowUnq

21、ualifiedQuery"=dword:00000000>> c:dosforwin.regecho "PrioritizeRecordData"=dword:00000001>> c:dosforwin.regecho "ReservedPorts"=hex(7):31,00,34,00,33,00,33,00,2d,00,31,00,34,00,33,00,34,00,>> c:dosforwin.regecho 00,00,00,00>> c:dosforwin.regecho "

22、;SynAttackProtect"=dword:00000002>> c:dosforwin.regecho "EnablePMTUDiscovery"=dword:00000000>> c:dosforwin.regecho "NoNameReleaseOnDemand"=dword:00000001>> c:dosforwin.regecho "EnableDeadGWDetect"=dword:00000000>> c:dosforwin.regecho "K

23、eepAliveTime"=dword:00300000>> c:dosforwin.regecho "PerformRouterDiscovery"=dword:00000000>> c:dosforwin.regecho "EnableICMPRedirects"=dword:00000000>> c:dosforwin.regecho .echo =echo . dosforwin.reg .regedit /s c:dosforwin.regecho . dosforwin.reg .del c:do

24、sforwin.regecho =echo .echo .(.).echo .echo .telnet,.telnet.echo .echo Windows Registry Editor Version 5.00> c:telnet.regecho HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTlntSvr>> c:telnet.regecho "Start"=dword:00000004>> c:telnet.regecho .echo . telnet.reg .regedit /s

25、c:telnet.regecho .echo . telnet.reg .del c:telnet.regecho .echo =echo .Remote Registry Service.echo .echo .echo Windows Registry Editor Version 5.00> c:regedit.regecho HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRemoteRegistry>> c:regedit.regecho "Start"=dword:00000004>>

26、; c:regedit.regecho .echo . regedit.reg .regedit /s c:regedit.regecho .echo .del c:regedit.regecho =echo .Messenger.echo .echo Windows Registry Editor Version 5.00> c:message.regecho HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesMessenger>> c:message.regecho "Start"=dword:00000

27、004>> c:message.regecho .echo . message.reg .regedit /s c:message.regecho .echo . message.regdel c:message.regecho =echo .lanmanworkstation.echo .echo Windows Registry Editor Version 5.00> c:lanmanworkstation.regecho HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanworkstation>>

28、 c:lanmanworkstation.regecho "Start"=dword:00000004>> c:lanmanworkstation.regecho .echo . lanmanworkstation.reg .regedit /s c:lanmanworkstation.regecho .echo . lanmanworkstation.regdel c:lanmanworkstation.regecho =echo .lanmanserver.echo .echo Windows Registry Editor Version 5.00>

29、 c:lanmanserver.regecho HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserver>> c:lanmanserver.regecho "Start"=dword:00000004>> c:lanmanserver.regecho .echo . lanmanserver.reg .regedit /s c:lanmanserver.regecho .echo . lanmanserver.regdel c:lanmanserver.regecho =echo .l

30、anmanserver.echo .echo Windows Registry Editor Version 5.00> c:lanmanserver.regecho HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserver>> c:lanmanserver.regecho "Start"=dword:00000004>> c:lanmanserver.regecho .echo . lanmanserver.reg .regedit /s c:lanmanserver.rege

31、cho .echo . lanmanserver.regdel c:lanmanserver.regecho =echo .Alerter.echo .echo Windows Registry Editor Version 5.00> c:Alerter.regecho HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesAlerter>> c:Alerter.regecho "Start"=dword:00000004>> c:Alerter.regecho .echo . Alerter.reg .regedit /s c:Alerter.regecho .echo . Alerter.regdel c:Alerter.regecho =echo .Browser.echo .echo Windows Registry Editor Version 5.00> c:Browser.regecho HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesBrowser>> c:Browser.regecho "Start"=dword:00000004>> c