WIN2003服務(wù)器加固

1、在網(wǎng)絡(luò)日益發(fā)展的今天，網(wǎng)絡(luò)作為我們?nèi)粘Ｉ瞰@取信息不可分缺的一部分，針對(duì)網(wǎng)絡(luò)的攻擊也無(wú)時(shí)不刻的在我們身邊,除了要注意個(gè)人PC的安全之外，還應(yīng)該注重服務(wù)器安全，安全問(wèn)題頻發(fā)的網(wǎng)站服務(wù)器安全也就成了管理員們的最頭疼的事。威脅威脅安全安全問(wèn)題問(wèn)題黑客的頻繁攻擊(DDOS攻擊、CC攻擊、跨站、注入)程序的漏洞(敏感信息泄漏、應(yīng)用程序BUG)系統(tǒng)漏洞(溢出)弱口令(簡(jiǎn)單密碼、默認(rèn)密碼、常用密碼)數(shù)據(jù)庫(kù)(列目錄、差異備份、LOG備份、存儲(chǔ)過(guò)程)系統(tǒng)權(quán)限配置(運(yùn)行、上傳、寫(xiě)入)IIS設(shè)置(腳本執(zhí)行權(quán)限)FTPARP廣泛的用戶和組權(quán)限啟用不必要的數(shù)據(jù)庫(kù)功能失效的配置管理特權(quán)升級(jí)數(shù)據(jù)庫(kù)未打補(bǔ)丁敏感數(shù)據(jù)未加密網(wǎng)站

2、程序被破壞或篡改內(nèi)部文件或信息泄漏服務(wù)器被入侵導(dǎo)致惡意利用ARP嗅探致使用戶或管理員信息泄漏網(wǎng)站被植入木馬、黑鏈接或廣告發(fā)布惡意內(nèi)容并陷害網(wǎng)站程序、作品或勞動(dòng)成果被竊取網(wǎng)站和數(shù)據(jù)庫(kù)數(shù)據(jù)被惡意下載和利用社會(huì)影響和公眾影響 服務(wù)器和網(wǎng)站安全一直都是大家所關(guān)注的內(nèi)容，我們今天以Windows Server 2003 Enterprise Edition Service Pack 1為例，為大家演示服務(wù)器的加固措施。一般比較常用的是FAT32和NTFS格式分區(qū) 采用FAT32格式對(duì)硬盤(pán)進(jìn)行分區(qū)是無(wú)法設(shè)置訪問(wèn)權(quán)限的 ，如果要搭建網(wǎng)站或?qū)δ硞€(gè)文件夾、文件設(shè)置單獨(dú)的訪問(wèn)權(quán)限是不行的，一旦網(wǎng)站建立起來(lái)對(duì)服務(wù)器

3、以及網(wǎng)站就非常危險(xiǎn)。這是一大禁忌，因此目前已被性能更優(yōu)異的NTFS分區(qū)格式所取代系統(tǒng)盤(pán)和站點(diǎn)放置盤(pán)必須設(shè)置為NTFS格式,方便設(shè)置權(quán)限針對(duì)系統(tǒng)盤(pán)和站點(diǎn)放置盤(pán)，將除administrators 和system的用戶權(quán)限全部去除啟用windows自帶的防火墻可以滿足我們平常的需要只保留我們需要的端口,比如遠(yuǎn)程和Web,Ftp(3389,80,21)等等 ，不使用的端口全部關(guān)閉掉,防止被惡意攻擊者利用導(dǎo)致服務(wù)器淪陷某些服務(wù)器管理員密碼使用弱口令,而且默認(rèn)的登錄賬戶沒(méi)有修改，許多無(wú)聊的攻擊者會(huì)采用掃描終端的弱口令進(jìn)行入侵改名系統(tǒng)默認(rèn)帳戶名，并新建一個(gè)Administrator帳戶作為陷阱帳戶,設(shè)置超長(zhǎng)

4、密碼,并讓這個(gè)帳號(hào)不屬于任何用戶組。改名并禁用掉Guest用戶 配置帳戶鎖定策略(在運(yùn)行中輸入gpedit.msc回車(chē)，打開(kāi)組策略編輯器，選擇計(jì)算機(jī)配置-Windows設(shè)置-安全設(shè)置-賬戶策略-賬戶鎖定策略，將賬戶設(shè)為“三次登陸無(wú)效”，“鎖定時(shí)間30分鐘”，“復(fù)位鎖定計(jì)數(shù)設(shè)為30分鐘”。)以上四項(xiàng)清空以上四項(xiàng)清空1234網(wǎng)絡(luò)訪問(wèn) :可匿名訪問(wèn)的共享 ;網(wǎng)絡(luò)訪問(wèn):可匿名訪問(wèn)的命名管道 ;網(wǎng)絡(luò)訪問(wèn):可遠(yuǎn)程訪問(wèn)的注冊(cè)表路徑 ;網(wǎng)絡(luò)訪問(wèn):可遠(yuǎn)程訪問(wèn)的注冊(cè)表路徑和子路徑 ;在安全設(shè)置里“本地策略-安全選項(xiàng)”通過(guò)終端服務(wù)拒絕登陸加入： ASPNET GuestIUSR_*IWAM_*NETWORK SER

5、VICESQLDebugger (*表示你的機(jī)器名,具體查找可以點(diǎn)擊“添加用戶或組”選“高級(jí)”選“立即查找”在列出的用戶列表里選擇.注意，不要添加進(jìn)user組和administrators組。如果添加進(jìn)去以后，就不能遠(yuǎn)程登陸了) 賬戶登錄事件賬戶登錄事件成功成功 失敗失敗目錄服務(wù)訪問(wèn)目錄服務(wù)訪問(wèn)失敗失敗 系統(tǒng)事件系統(tǒng)事件成功成功 失敗失敗特權(quán)使用特權(quán)使用失敗失敗 策略更改策略更改成功成功 失敗失敗對(duì)象訪問(wèn)對(duì)象訪問(wèn)失敗失敗 登錄事件登錄事件成功成功 失敗失敗賬戶管理賬戶管理成功成功 失敗失敗審核策略審核策略將以下文件存為reg后綴,然后執(zhí)行導(dǎo)入即可.Windows Registry Editor

6、 Version 5.00HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparametersAutoShareServer=dword:00000000AutoSharewks=dword:00000000關(guān)閉掉默認(rèn)共享可以有效防止空口令或弱密碼入侵禁用不需要的和危險(xiǎn)的服務(wù),以下列出服務(wù)都需要禁用：Alerter 發(fā)送管理警報(bào)和通知Computer Browser:維護(hù)網(wǎng)絡(luò)計(jì)算機(jī)更新Distributed File System: 局域網(wǎng)管理共享文件Distributed linktracking client 用于局

7、域網(wǎng)更新連接信息Error reporting service 發(fā)送錯(cuò)誤報(bào)告Remote Procedure Call (RPC) Locator RpcNs*遠(yuǎn)程過(guò)程調(diào)用 (RPC) Remote Registry 遠(yuǎn)程修改注冊(cè)表Removable storage 管理可移動(dòng)媒體、驅(qū)動(dòng)程序和庫(kù)Remote Desktop Help Session Manager 遠(yuǎn)程協(xié)助Routing and Remote Access 在局域網(wǎng)以及廣域網(wǎng)環(huán)境中為企業(yè)提供路由服務(wù)Messenger 消息文件傳輸服務(wù)Net Logon 域控制器通道管理NT LMSecuritysupportprovide t

8、elnet服務(wù)和Microsoft Serch用的PrintSpooler 打印服務(wù)telnet telnet服務(wù)Workstation 泄漏系統(tǒng)用戶名列表一些系統(tǒng)文件經(jīng)常被黑客利用，應(yīng)設(shè)置其運(yùn)行權(quán)限或刪除（不使用的情況下）,也可放置到地方，并設(shè)置好權(quán)限更改有可能會(huì)被提權(quán)利用的文件運(yùn)行權(quán)限。找到以下文件,將其安全設(shè)置里除administrators用戶組全部刪除,重要的是連system也不能留.文件包括：c.exe 特殊文件 有可能在你的計(jì)算機(jī)上找不到此文件.在搜索框里輸入 net.exe,net1.exe,cmd.exe,tftp.exe,netstat.exe,regedit.exe,at

9、.exe,attrib.exe,cacls.exe,c.exe 點(diǎn)擊搜索 然后全選 右鍵 屬性 安全某些組件長(zhǎng)期被黑客利用，因此不使用應(yīng)及時(shí)的關(guān)閉或卸載該組件FSO:運(yùn)行regsvr32 scrrun.dll即可。如果想關(guān)閉FSO組件，請(qǐng)運(yùn)行 regsvr32 /u scrrun.dll即可。如何讓IIS支持Adodb.stream組件：adodb.stream組件：在開(kāi)始-運(yùn)行 中 輸入：regsvr32 C:Program FilesCommon FilesSystemadomsado15.dll即可再次支持adodb.stream組件FTP也經(jīng)常是黑客們拿到服務(wù)器權(quán)限的途徑之一，也是管理

10、員們最忽略的地方電子政務(wù)廳服務(wù)器基本上都裝有server-U，再次我們需要防止Serv-U權(quán)限提升。其實(shí)，注銷(xiāo)了Shell組件之后，侵入者運(yùn)行提升工具的可能性就很小了，但是prel等別的腳本語(yǔ)言也有shell能力。為此我們需要對(duì)此進(jìn)行設(shè)置，具體方法如下：用Ultraedit打開(kāi)ServUDaemon.exe查找Ascii：LocalAdministrator，和#l$ak#.lk;0P，修改成等長(zhǎng)度的其它字符就可以了，ServUAdmin.exe也一樣處理。另外注意設(shè)置Serv-U所在的文件夾的權(quán)限，不要讓IIS匿名用戶有讀取的權(quán)限。根據(jù)長(zhǎng)期的測(cè)試,我們發(fā)現(xiàn)國(guó)內(nèi)大量的IDC服務(wù)商FTP都是采用

11、Serv-U,并且未對(duì)注冊(cè)表的權(quán)限進(jìn)行設(shè)置，那么黑客可以任意讀取FTP信息。在注冊(cè)表中的具體位置是HKEY_LOCAL_MACHINESOFTWARECat SoftServ-UDomains1UserSettings，這里包含serv-u的信息以及用戶名和密碼對(duì)注冊(cè)表的權(quán)限進(jìn)行設(shè)置或采用比較安全的FTPS對(duì)于WEB服務(wù)器，除了要把以上的安全設(shè)置好以外，還需要對(duì)站點(diǎn)用戶、目錄、腳本等進(jìn)行特別的設(shè)置在IIS中，站點(diǎn)最好不要使用默認(rèn)的c:inetpubwwwroot目錄,應(yīng)放在其他盤(pán)，有利于備份和恢復(fù)有效防止黑客飛到網(wǎng)站權(quán)限后跨目錄訪問(wèn)對(duì)黑客容易利用的目錄進(jìn)行權(quán)限設(shè)置(比如文件上傳目錄)如果不是遠(yuǎn)程對(duì)服務(wù)器進(jìn)行安全配置，那么請(qǐng)?jiān)诎惭b系統(tǒng)前就應(yīng)該把網(wǎng)線拔掉盡量安裝和運(yùn)行越少的應(yīng)用程序和服務(wù)，安裝時(shí)且不要