參考了網絡上很多關於WIN2003的安全設置以及自己動手做了一些實踐,綜合了這些安全設置文章整理而成,希望對大家有所幫助,另外裏面有不足之處還請大家多多指點,然後給補上,謝謝!
一、系統的安裝
1、按照Windows2003安裝光盤的提示安裝,默認情況下2003沒有把IIS6.0安裝在系統裏面。
2、IIS6.0的安裝
開始菜單—>控制面板—>添加或刪除程序—>添加/刪除Windows組件
應用程序 ———ASP.NET(可選)
|——啓用網絡 COM+ 訪問(必選)
|——Internet 信息服務(IIS)———Internet 信息服務管理器(必選)
|——公用文件(必選)
|——萬維網服務———Active Server pages(必選)
|——Internet 數據連接器(可選)
|——WebDAV 發佈(可選)
|——萬維網服務(必選)
|——在服務器端的包含文件(可選)
然後點擊確定—>下一步安裝。(具體見本文附件1)
3、系統補丁的更新
點擊開始菜單—>所有程序—>Windows Update
按照提示進行補丁的安裝。
4、備份系統
用GHOST備份系統。
5、安裝常用的軟件
例如:殺毒軟件、解壓縮軟件等;安裝完畢後,配置殺毒軟件,掃描系統漏洞,安裝之後用GHOST再次備份系統。
6、先關閉不需要的端口 開啓防火牆 導入IPSEC策略
在” 網絡連接”裏,把不需要的協議和服務都刪掉,這裏只安裝了基本的Internet協議(TCP/IP),由於要控制帶寬流量服務,額外安裝了Qos數據包計劃程序。在高級tcp/ip設置裏--"NetBIOS"設置"禁用tcp/IP上的NetBIOS(S)"。在高級選項裏,使用"Internet連接防火牆",這是windows 2003 自帶的防火牆,在2000系統裏沒有的功能,雖然沒什麼功能,但可以屏蔽端口,這樣已經基本達到了一個IPSec的功能。
修改3389遠程連接端口
修改註冊表.
開始--運行--regedit
依次展開 HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/
TERMINAL SERVER/WDS/RDPWD/TDS/TCP
右邊鍵值中 PortNumber 改爲你想用的端口號.注意使用十進制(例 10000 )
HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/
WINSTATIONS/RDP-TCP/
右邊鍵值中 PortNumber 改爲你想用的端口號.注意使用十進制(例 10000 )
注意:別忘了在WINDOWS2003自帶的防火牆給+上10000端口
修改完畢.重新啓動服務器.設置生效.
二、用戶安全設置
1、禁用Guest賬號
在計算機管理的用戶裏面把Guest賬號禁用。爲了保險起見,最好給Guest加一個複雜的密碼。你可以打開記事本,在裏面輸入一串包含特殊字符、數字、字母的長字符串,然後把它作爲Guest用戶的密碼拷進去。
2、限制不必要的用戶
去掉所有的Duplicate User用戶、測試用戶、共享用戶等等。用戶組策略設置相應權限,並且經常檢查系統的用戶,刪除已經不再使用的用戶。這些用戶很多時候都是黑客們入侵系統的突破口。
3、把系統Administrator賬號改名
大家都知道,Windows 2003 的Administrator用戶是不能被停用的,這意味着別人可以一遍又一遍地嘗試這個用戶的密碼。儘量把它僞裝成普通用戶,比如改成Guesycludx。
4、創建一個陷阱用戶
什麼是陷阱用戶?即創建一個名爲“Administrator”的本地用戶,把它的權限設置成最低,什麼事也幹不了的那種,並且加上一個超過10位的超級複雜密碼。這樣可以讓那些 Hacker們忙上一段時間,藉此發現它們的入侵企圖。
5、把共享文件的權限從Everyone組改成授權用戶
任何時候都不要把共享文件的用戶設置成“Everyone”組,包括打印共享,默認的屬性就是“Everyone”組的,一定不要忘了改。
6、開啓用戶策略
使用用戶策略,分別設置復位用戶鎖定計數器時間爲20分鐘,用戶鎖定時間爲20分鐘,用戶鎖定閾值爲3次。 (該項爲可選)
7、不讓系統顯示上次登錄的用戶名
默認情況下,登錄對話框中會顯示上次登錄的用戶名。這使得別人可以很容易地得到系統的一些用戶名,進而做密碼猜測。修改註冊表可以不讓對話框裏顯示上次登錄的用戶名。方法爲:打開註冊表編輯器並找到註冊表“HKLM\Software\Microsoft\Windows T\CurrentVersion\Winlogon\Dont-DisplayLastUserName”,把REG_SZ的鍵值改成1。
密碼安全設置
1、使用安全密碼
一些公司的管理員創建賬號的時候往往用公司名、計算機名做用戶名,然後又把這些用戶的密碼設置得太簡單,比如“welcome”等等。因此,要注意密碼的複雜性,還要記住經常改密碼。
2、設置屏幕保護密碼
這是一個很簡單也很有必要的操作。設置屏幕保護密碼也是防止內部人員破壞服務器的一個屏障。
3、開啓密碼策略
注意應用密碼策略,如啓用密碼複雜性要求,設置密碼長度最小值爲6位 ,設置強制密碼歷史爲5次,時間爲42天。
4、考慮使用智能卡來代替密碼
對於密碼,總是使安全管理員進退兩難,密碼設置簡單容易受到黑客的攻擊,密碼設置複雜又容易忘記。如果條件允許,用智能卡來代替複雜的密碼是一個很好的解決方法。
三、系統權限的設置
1、磁盤權限
系統盤及所有磁盤只給 Administrators 組和 SYSTEM 的完全控制權限
系統盤\Documents and Settings 目錄只給 Administrators 組和 SYSTEM 的完全控制權限
系統盤\Documents and Settings\All Users 目錄只給 Administrators 組和 SYSTEM 的完全控制權限
系統盤\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe、ftp.exe、 tftp.exe、telnet.exe 、 netstat.exe、regedit.exe、at.exe、attrib.exe、format.com、del文件只給 Administrators 組和SYSTEM 的完全 控制權限
另將<systemroot>\System32\cmd.exe、format.com、ftp.exe轉移到其他目錄或更名
Documents and Settings下所有些目錄都設置只給adinistrators權限。並且要一個一個目錄查看,包括下面的所有子目錄。
刪除c:\inetpub目錄
2、本地安全策略設置
開始菜單—>管理工具—>本地安全策略
A、本地策略——>審覈策略
審覈策略更改 成功 失敗
審覈登錄事件 成功 失敗
審覈對象訪問 失敗
審覈過程跟蹤 無審覈
審覈目錄服務訪問 失敗
審覈特權使用 失敗
審覈系統事件 成功 失敗
審覈賬戶登錄事件 成功 失敗
審覈賬戶管理 成功 失敗
B、本地策略——>用戶權限分配
關閉系統:只有Administrators組、其它全部刪除。
通過終端服務允許登陸:只加入Administrators,Remote Desktop Users組,其他全部刪除
C、本地策略——>安全選項
交互式登陸:不顯示上次的用戶名 啓用
網絡訪問:不允許SAM帳戶和共享的匿名枚舉 啓用
網絡訪問:不允許爲網絡身份驗證儲存憑證 啓用
網絡訪問:可匿名訪問的共享 全部刪除
網絡訪問:可匿名訪問的命 全部刪除
網絡訪問:可遠程訪問的註冊表路徑 全部刪除
網絡訪問:可遠程訪問的註冊表路徑和子路徑 全部刪除
帳戶:重命名來賓帳戶 重命名一個帳戶
帳戶:重命名系統管理員帳戶 重命名一個帳戶
3、禁用不必要的服務 開始-運行-services.msc
TCP/IPNetBIOS Helper提供 TCP/IP 服務上的 NetBIOS 和網絡上客戶端的 NetBIOS 名稱解析的支持而使用戶能夠共享
文件、打印和登錄到網絡
Server支持此計算機通過網絡的文件、打印、和命名管道共享
Computer Browser 維護網絡上計算機的最新列表以及提供這個列表
Task scheduler 允許程序在指定時間運行
Messenger 傳輸客戶端和服務器之間的 NET SEND 和 警報器服務消息
Distributed File System: 局域網管理共享文件,不需要可禁用
Distributed linktracking client:用於局域網更新連接信息,不需要可禁用
Error reporting service:禁止發送錯誤報告
Microsoft Serch:提供快速的單詞搜索,不需要可禁用
NTLMSecuritysupportprovide:telnet服務和Microsoft Serch用的,不需要可禁用
PrintSpooler:如果沒有打印機可禁用
Remote Registry:禁止遠程修改註冊表
Remote Desktop Help Session Manager:禁止遠程協助
Workstation 關閉的話遠程NET命令列不出用戶組
以上是在Windows Server 2003 系統上面默認啓動的服務中禁用的,默認禁用的服務如沒特別需要的話不要啓動。
4、修改註冊表
修改註冊表,讓系統更強壯
1、隱藏重要文件/目錄可以修改註冊表實現完全隱藏
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”,鼠標右擊 “CheckedValue”,選擇修改,把數值由1改爲0
2、防止SYN洪水攻擊
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名爲SynAttackProtect,值爲2
新建EnablePMTUDiscovery REG_DWORD 0
新建NoNameReleaseOnDemand REG_DWORD 1
新建EnableDeadGWDetect REG_DWORD 0
新建KeepAliveTime REG_DWORD 300,000
新建PerformRouterDiscovery REG_DWORD 0
新建EnableICMPRedirects REG_DWORD 0
3. 禁止響應ICMP路由通告報文
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface
新建DWORD值,名爲PerformRouterDiscovery 值爲0
4. 防止ICMP重定向報文的攻擊
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
將EnableICMPRedirects 值設爲0
5. 不支持IGMP協議
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名爲IGMPLevel 值爲0
6、禁止IPC空連接:
cracker可以利用net use命令建立空連接,進而入侵,還有net view,nbtstat這些都是基於空連接的,禁止空連接就好了。
Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 把這個值改成”1”即可。
7、更改TTL值
cracker可以根據ping回的TTL值來大致判斷你的操作系統,如:
TTL=107(WINNT);
TTL=108(win2000);
TTL=127或128(win9x);
TTL=240或241(linux);
TTL=252(solaris);
TTL=240(Irix);
實際上你可以自己改的:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\ Parameters:DefaultTTL REG_DWORD 0-0xff(0-255 十進制,默認值128)改成一個莫名其妙的數字如258,起碼讓那些小菜鳥暈上半天,就此放棄入侵你也不一定哦
8. 刪除默認共享
有人問過我一開機就共享所有盤,改回來以後,重啓又變成了共享是怎麼回事,這是2K爲管理而設置的默認共享,HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters: AutoShareServer類型是REG_DWORD把值改爲0即可
9. 禁止建立空連接
默認情況下,任何用戶通過通過空連接連上服務器,進而枚舉出帳號,猜測密碼。我們可以通過修改註冊表來禁止建立空連接:
Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成”1”即可。
10、建立一個記事本,填上以下代碼。保存爲*.bat並加到啓動項目中
net share c$ /del
net share d$ /del
net share e$ /del
net share f$ /del
net share ipc$ /del
net share admin$ /del
5、IIS站點設置:
1、將IIS目錄&數據與系統磁盤分開,保存在專用磁盤空間內。
2、啓用父級路徑
3、在IIS管理器中刪除必須之外的任何沒有用到的映射(保留asp等必要映射即可)
4、在IIS中將HTTP404 Object Not Found出錯頁面通過URL重定向到一個定製HTM文件
5、Web站點權限設定(建議)
讀 允許
寫 不允許
腳本源訪問 不允許
目錄瀏覽 建議關閉
日誌訪問 建議關閉
索引資源 建議關閉
執行 推薦選擇 “僅限於腳本”
6、建議使用W3C擴充日誌文件格式,每天記錄客戶IP地址,用戶名,服務器端口,方法,URI字根,HTTP狀態,用戶代理,而且每天均要審查日誌。(最好不要使用缺省的目錄,建議更換一個記日誌的路徑,同時設置日誌的訪問權限,只允許管理員和system爲Full Control)。
7、程序安全:
1) 涉及用戶名與口令的程序最好封裝在服務器端,儘量少的在ASP文件裏出現,涉及到與數據庫連接地用戶名與口令應給予最小的權限;
2) 需要經過驗證的ASP頁面,可跟蹤上一個頁面的文件名,只有從上一頁面轉進來的會話才能讀取這個頁面。
3) 防止ASP主頁.inc文件泄露問題;
4) 防止UE等編輯器生成some.asp.bak文件泄露問題。
6、IIS權限設置的思路
?要爲每個獨立的要保護的個體(比如一個網站或者一個虛擬目錄)創建一個系統用戶,讓這個站點在系統中具有惟一的可以設置權限的身份。
?在IIS的【站點屬性或者虛擬目錄屬性→目錄安全性→匿名訪問和驗證控制→編輯→匿名訪問→編輯】填寫剛剛創建的那個用戶名。
?設置所有的分區禁止這個用戶訪問,而剛纔這個站點的主目錄對應的那個文件夾設置允許這個用戶訪問(要去掉繼承父權限,並且要加上超管組和SYSTEM組)。
7、卸載最不安全的組件
最簡單的辦法是直接卸載後刪除相應的程序文件。將下面的代碼保存爲一個.BAT文件,( 以下均以 WIN2000 爲例,如果使用2003,則系統文件夾應該是 C:\WINDOWS\ )
regsvr32/u C:\WINDOWS\System32\wshom.ocx
del C:\WINDOWS\System32\wshom.ocx
regsvr32/u C:\WINDOWS\system32\shell32.dll
del C:\WINNT\WINDOWS\shell32.dll
然後運行一下,WScript.Shell, Shell.application, WScript.Network就會被卸載了。可能會提示無法刪除文件,不用管它,重啓一下服務器,你會發現這三個都提示“×安全”了。
一、系統的安裝
1、按照Windows2003安裝光盤的提示安裝,默認情況下2003沒有把IIS6.0安裝在系統裏面。
2、IIS6.0的安裝
開始菜單—>控制面板—>添加或刪除程序—>添加/刪除Windows組件
應用程序 ———ASP.NET(可選)
|——啓用網絡 COM+ 訪問(必選)
|——Internet 信息服務(IIS)———Internet 信息服務管理器(必選)
|——公用文件(必選)
|——萬維網服務———Active Server pages(必選)
|——Internet 數據連接器(可選)
|——WebDAV 發佈(可選)
|——萬維網服務(必選)
|——在服務器端的包含文件(可選)
然後點擊確定—>下一步安裝。(具體見本文附件1)
3、系統補丁的更新
點擊開始菜單—>所有程序—>Windows Update
按照提示進行補丁的安裝。
4、備份系統
用GHOST備份系統。
5、安裝常用的軟件
例如:殺毒軟件、解壓縮軟件等;安裝完畢後,配置殺毒軟件,掃描系統漏洞,安裝之後用GHOST再次備份系統。
6、先關閉不需要的端口 開啓防火牆 導入IPSEC策略
在” 網絡連接”裏,把不需要的協議和服務都刪掉,這裏只安裝了基本的Internet協議(TCP/IP),由於要控制帶寬流量服務,額外安裝了Qos數據包計劃程序。在高級tcp/ip設置裏--"NetBIOS"設置"禁用tcp/IP上的NetBIOS(S)"。在高級選項裏,使用"Internet連接防火牆",這是windows 2003 自帶的防火牆,在2000系統裏沒有的功能,雖然沒什麼功能,但可以屏蔽端口,這樣已經基本達到了一個IPSec的功能。
修改3389遠程連接端口
修改註冊表.
開始--運行--regedit
依次展開 HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/
TERMINAL SERVER/WDS/RDPWD/TDS/TCP
右邊鍵值中 PortNumber 改爲你想用的端口號.注意使用十進制(例 10000 )
HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/
WINSTATIONS/RDP-TCP/
右邊鍵值中 PortNumber 改爲你想用的端口號.注意使用十進制(例 10000 )
注意:別忘了在WINDOWS2003自帶的防火牆給+上10000端口
修改完畢.重新啓動服務器.設置生效.
二、用戶安全設置
1、禁用Guest賬號
在計算機管理的用戶裏面把Guest賬號禁用。爲了保險起見,最好給Guest加一個複雜的密碼。你可以打開記事本,在裏面輸入一串包含特殊字符、數字、字母的長字符串,然後把它作爲Guest用戶的密碼拷進去。
2、限制不必要的用戶
去掉所有的Duplicate User用戶、測試用戶、共享用戶等等。用戶組策略設置相應權限,並且經常檢查系統的用戶,刪除已經不再使用的用戶。這些用戶很多時候都是黑客們入侵系統的突破口。
3、把系統Administrator賬號改名
大家都知道,Windows 2003 的Administrator用戶是不能被停用的,這意味着別人可以一遍又一遍地嘗試這個用戶的密碼。儘量把它僞裝成普通用戶,比如改成Guesycludx。
4、創建一個陷阱用戶
什麼是陷阱用戶?即創建一個名爲“Administrator”的本地用戶,把它的權限設置成最低,什麼事也幹不了的那種,並且加上一個超過10位的超級複雜密碼。這樣可以讓那些 Hacker們忙上一段時間,藉此發現它們的入侵企圖。
5、把共享文件的權限從Everyone組改成授權用戶
任何時候都不要把共享文件的用戶設置成“Everyone”組,包括打印共享,默認的屬性就是“Everyone”組的,一定不要忘了改。
6、開啓用戶策略
使用用戶策略,分別設置復位用戶鎖定計數器時間爲20分鐘,用戶鎖定時間爲20分鐘,用戶鎖定閾值爲3次。 (該項爲可選)
7、不讓系統顯示上次登錄的用戶名
默認情況下,登錄對話框中會顯示上次登錄的用戶名。這使得別人可以很容易地得到系統的一些用戶名,進而做密碼猜測。修改註冊表可以不讓對話框裏顯示上次登錄的用戶名。方法爲:打開註冊表編輯器並找到註冊表“HKLM\Software\Microsoft\Windows T\CurrentVersion\Winlogon\Dont-DisplayLastUserName”,把REG_SZ的鍵值改成1。
密碼安全設置
1、使用安全密碼
一些公司的管理員創建賬號的時候往往用公司名、計算機名做用戶名,然後又把這些用戶的密碼設置得太簡單,比如“welcome”等等。因此,要注意密碼的複雜性,還要記住經常改密碼。
2、設置屏幕保護密碼
這是一個很簡單也很有必要的操作。設置屏幕保護密碼也是防止內部人員破壞服務器的一個屏障。
3、開啓密碼策略
注意應用密碼策略,如啓用密碼複雜性要求,設置密碼長度最小值爲6位 ,設置強制密碼歷史爲5次,時間爲42天。
4、考慮使用智能卡來代替密碼
對於密碼,總是使安全管理員進退兩難,密碼設置簡單容易受到黑客的攻擊,密碼設置複雜又容易忘記。如果條件允許,用智能卡來代替複雜的密碼是一個很好的解決方法。
三、系統權限的設置
1、磁盤權限
系統盤及所有磁盤只給 Administrators 組和 SYSTEM 的完全控制權限
系統盤\Documents and Settings 目錄只給 Administrators 組和 SYSTEM 的完全控制權限
系統盤\Documents and Settings\All Users 目錄只給 Administrators 組和 SYSTEM 的完全控制權限
系統盤\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe、ftp.exe、 tftp.exe、telnet.exe 、 netstat.exe、regedit.exe、at.exe、attrib.exe、format.com、del文件只給 Administrators 組和SYSTEM 的完全 控制權限
另將<systemroot>\System32\cmd.exe、format.com、ftp.exe轉移到其他目錄或更名
Documents and Settings下所有些目錄都設置只給adinistrators權限。並且要一個一個目錄查看,包括下面的所有子目錄。
刪除c:\inetpub目錄
2、本地安全策略設置
開始菜單—>管理工具—>本地安全策略
A、本地策略——>審覈策略
審覈策略更改 成功 失敗
審覈登錄事件 成功 失敗
審覈對象訪問 失敗
審覈過程跟蹤 無審覈
審覈目錄服務訪問 失敗
審覈特權使用 失敗
審覈系統事件 成功 失敗
審覈賬戶登錄事件 成功 失敗
審覈賬戶管理 成功 失敗
B、本地策略——>用戶權限分配
關閉系統:只有Administrators組、其它全部刪除。
通過終端服務允許登陸:只加入Administrators,Remote Desktop Users組,其他全部刪除
C、本地策略——>安全選項
交互式登陸:不顯示上次的用戶名 啓用
網絡訪問:不允許SAM帳戶和共享的匿名枚舉 啓用
網絡訪問:不允許爲網絡身份驗證儲存憑證 啓用
網絡訪問:可匿名訪問的共享 全部刪除
網絡訪問:可匿名訪問的命 全部刪除
網絡訪問:可遠程訪問的註冊表路徑 全部刪除
網絡訪問:可遠程訪問的註冊表路徑和子路徑 全部刪除
帳戶:重命名來賓帳戶 重命名一個帳戶
帳戶:重命名系統管理員帳戶 重命名一個帳戶
3、禁用不必要的服務 開始-運行-services.msc
TCP/IPNetBIOS Helper提供 TCP/IP 服務上的 NetBIOS 和網絡上客戶端的 NetBIOS 名稱解析的支持而使用戶能夠共享
文件、打印和登錄到網絡
Server支持此計算機通過網絡的文件、打印、和命名管道共享
Computer Browser 維護網絡上計算機的最新列表以及提供這個列表
Task scheduler 允許程序在指定時間運行
Messenger 傳輸客戶端和服務器之間的 NET SEND 和 警報器服務消息
Distributed File System: 局域網管理共享文件,不需要可禁用
Distributed linktracking client:用於局域網更新連接信息,不需要可禁用
Error reporting service:禁止發送錯誤報告
Microsoft Serch:提供快速的單詞搜索,不需要可禁用
NTLMSecuritysupportprovide:telnet服務和Microsoft Serch用的,不需要可禁用
PrintSpooler:如果沒有打印機可禁用
Remote Registry:禁止遠程修改註冊表
Remote Desktop Help Session Manager:禁止遠程協助
Workstation 關閉的話遠程NET命令列不出用戶組
以上是在Windows Server 2003 系統上面默認啓動的服務中禁用的,默認禁用的服務如沒特別需要的話不要啓動。
4、修改註冊表
修改註冊表,讓系統更強壯
1、隱藏重要文件/目錄可以修改註冊表實現完全隱藏
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”,鼠標右擊 “CheckedValue”,選擇修改,把數值由1改爲0
2、防止SYN洪水攻擊
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名爲SynAttackProtect,值爲2
新建EnablePMTUDiscovery REG_DWORD 0
新建NoNameReleaseOnDemand REG_DWORD 1
新建EnableDeadGWDetect REG_DWORD 0
新建KeepAliveTime REG_DWORD 300,000
新建PerformRouterDiscovery REG_DWORD 0
新建EnableICMPRedirects REG_DWORD 0
3. 禁止響應ICMP路由通告報文
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface
新建DWORD值,名爲PerformRouterDiscovery 值爲0
4. 防止ICMP重定向報文的攻擊
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
將EnableICMPRedirects 值設爲0
5. 不支持IGMP協議
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名爲IGMPLevel 值爲0
6、禁止IPC空連接:
cracker可以利用net use命令建立空連接,進而入侵,還有net view,nbtstat這些都是基於空連接的,禁止空連接就好了。
Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 把這個值改成”1”即可。
7、更改TTL值
cracker可以根據ping回的TTL值來大致判斷你的操作系統,如:
TTL=107(WINNT);
TTL=108(win2000);
TTL=127或128(win9x);
TTL=240或241(linux);
TTL=252(solaris);
TTL=240(Irix);
實際上你可以自己改的:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\ Parameters:DefaultTTL REG_DWORD 0-0xff(0-255 十進制,默認值128)改成一個莫名其妙的數字如258,起碼讓那些小菜鳥暈上半天,就此放棄入侵你也不一定哦
8. 刪除默認共享
有人問過我一開機就共享所有盤,改回來以後,重啓又變成了共享是怎麼回事,這是2K爲管理而設置的默認共享,HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters: AutoShareServer類型是REG_DWORD把值改爲0即可
9. 禁止建立空連接
默認情況下,任何用戶通過通過空連接連上服務器,進而枚舉出帳號,猜測密碼。我們可以通過修改註冊表來禁止建立空連接:
Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成”1”即可。
10、建立一個記事本,填上以下代碼。保存爲*.bat並加到啓動項目中
net share c$ /del
net share d$ /del
net share e$ /del
net share f$ /del
net share ipc$ /del
net share admin$ /del
5、IIS站點設置:
1、將IIS目錄&數據與系統磁盤分開,保存在專用磁盤空間內。
2、啓用父級路徑
3、在IIS管理器中刪除必須之外的任何沒有用到的映射(保留asp等必要映射即可)
4、在IIS中將HTTP404 Object Not Found出錯頁面通過URL重定向到一個定製HTM文件
5、Web站點權限設定(建議)
讀 允許
寫 不允許
腳本源訪問 不允許
目錄瀏覽 建議關閉
日誌訪問 建議關閉
索引資源 建議關閉
執行 推薦選擇 “僅限於腳本”
6、建議使用W3C擴充日誌文件格式,每天記錄客戶IP地址,用戶名,服務器端口,方法,URI字根,HTTP狀態,用戶代理,而且每天均要審查日誌。(最好不要使用缺省的目錄,建議更換一個記日誌的路徑,同時設置日誌的訪問權限,只允許管理員和system爲Full Control)。
7、程序安全:
1) 涉及用戶名與口令的程序最好封裝在服務器端,儘量少的在ASP文件裏出現,涉及到與數據庫連接地用戶名與口令應給予最小的權限;
2) 需要經過驗證的ASP頁面,可跟蹤上一個頁面的文件名,只有從上一頁面轉進來的會話才能讀取這個頁面。
3) 防止ASP主頁.inc文件泄露問題;
4) 防止UE等編輯器生成some.asp.bak文件泄露問題。
6、IIS權限設置的思路
?要爲每個獨立的要保護的個體(比如一個網站或者一個虛擬目錄)創建一個系統用戶,讓這個站點在系統中具有惟一的可以設置權限的身份。
?在IIS的【站點屬性或者虛擬目錄屬性→目錄安全性→匿名訪問和驗證控制→編輯→匿名訪問→編輯】填寫剛剛創建的那個用戶名。
?設置所有的分區禁止這個用戶訪問,而剛纔這個站點的主目錄對應的那個文件夾設置允許這個用戶訪問(要去掉繼承父權限,並且要加上超管組和SYSTEM組)。
7、卸載最不安全的組件
最簡單的辦法是直接卸載後刪除相應的程序文件。將下面的代碼保存爲一個.BAT文件,( 以下均以 WIN2000 爲例,如果使用2003,則系統文件夾應該是 C:\WINDOWS\ )
regsvr32/u C:\WINDOWS\System32\wshom.ocx
del C:\WINDOWS\System32\wshom.ocx
regsvr32/u C:\WINDOWS\system32\shell32.dll
del C:\WINNT\WINDOWS\shell32.dll
然後運行一下,WScript.Shell, Shell.application, WScript.Network就會被卸載了。可能會提示無法刪除文件,不用管它,重啓一下服務器,你會發現這三個都提示“×安全”了。
2003服務器系統安全配置-中級安全配置
服務器安全設置
1.系統盤和站點放置盤必須設置爲NTFS格式,方便設置權限.
2.系統盤和站點放置盤除administrators 和system的用戶權限全部去除.
![]()
3.啓用windows自帶防火牆,只保留有用的端口,比如遠程和Web,Ftp(3389,80,21)等等,有郵件服務器的還要打開25和130端口.
![]()
![]()
![]()
4.安裝好SQL後進入目錄搜索 xplog70 然後將找到的三個文件改名或者刪除.
![]()
5.更改sa密碼爲你都不知道的超長密碼,在任何情況下都不要用sa這個帳戶.
![]()
6.改名系統默認帳戶名並新建一個Administrator帳戶作爲陷阱帳戶,設置超長密碼,並去掉所有用戶組.(就是在用戶組那裏設置爲空即可.讓這個帳號不屬於任何用戶組)同樣改名禁用掉Guest用戶.
![]()
7.配置帳戶鎖定策略(在運行中輸入gpedit.msc回車,打開組策略編輯器,選擇計算機配置-Windows設置-安全設置-賬戶策略-賬戶鎖定策略,將賬戶設爲“三次登陸無效”,“鎖定時間30分鐘”,“復位鎖定計數設爲30分鐘”。)
![]()
8.在安全設置裏 本地策略-安全選項 將
網絡訪問:可匿名訪問的共享 ;
網絡訪問:可匿名訪問的命名管道 ;
網絡訪問:可遠程訪問的註冊表路徑 ;
網絡訪問:可遠程訪問的註冊表路徑和子路徑 ;
以上四項清空.
![]()
9.在安全設置裏 本地策略-安全選項通過終端服務拒絕登陸 加入
ASPNET
Guest
IUSR_*****
IWAM_*****
NETWORK SERVICE
SQLDebugger
(****表示你的機器名,具體查找可以點擊 添加用戶或組 選 高級 選 立即查找 在底下列出的用戶列表裏選擇. 注意不要添加進user組和administrators組添加進去以後就沒有辦法遠程登陸了.)
![]()
10.去掉默認共享,將以下文件存爲reg後綴,然後執行導入即可.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"AutoShareServer"=dword:00000000
"AutoSharewks"=dword:00000000
![]()
11. 禁用不需要的和危險的服務,以下列出服務都需要禁用.
Alerter 發送管理警報和通知
Computer Browser:維護網絡計算機更新
Distributed File System: 局域網管理共享文件
Distributed linktracking client 用於局域網更新連接信息
Error reporting service 發送錯誤報告
Remote Procedure Call (RPC) Locator RpcNs*遠程過程調用 (RPC)
Remote Registry 遠程修改註冊表
Removable storage 管理可移動媒體、驅動程序和庫
Remote Desktop Help Session Manager 遠程協助
Routing and Remote Access 在局域網以及廣域網環境中爲企業提供路由服務
Messenger 消息文件傳輸服務
Net Logon 域控制器通道管理
NTLMSecuritysupportprovide telnet服務和Microsoft Serch用的
PrintSpooler 打印服務
telnet telnet服務
Workstation 泄漏系統用戶名列表
12.更改本地安全策略的審覈策略
賬戶管理 成功失敗
登錄事件 成功失敗
對象訪問 失敗
策略更改 成功失敗
特權使用 失敗
系統事件 成功失敗
目錄服務訪問 失敗
賬戶登錄事件 成功 失敗
13.更改有可能會被提權利用的文件運行權限,找到以下文件,將其安全設置裏除administrators用戶組全部刪除,重要的是連system也不要留.
net.exe
net1.exe
cmd.exe
tftp.exe
netstat.exe
regedit.exe
at.exe
attrib.exe
cacls.exe
format.com
c.exe 特殊文件 有可能在你的計算機上找不到此文件.
在搜索框裏輸入
"net.exe","net1.exe","cmd.exe","tftp.exe","netstat.exe","regedit.exe","at.exe","attrib.exe","cacls.exe","format.com","c.exe" 點擊搜索 然後全選 右鍵 屬性 安全
![]()
以上這點是最最重要的一點了,也是最最方便減少被提權和被破壞的可能的防禦方法了.
14.後備工作,將當前服務器的進程抓圖或記錄下來,將其保存,方便以後對照查看是否有不明的程序。將當前開放的端口抓圖或記錄下來,保存,方便以後對照查看是否開放了不明的端口。當然如果你能分辨每一個進程,和端口這一步可以省略。
以上是設置安全服務器必要的步驟.下面我們來說說數據庫安裝.
1.在企業管理器內建立一個空的數據庫名爲oblog4,打開查詢分析器,將data目錄的oblog4.sql導入查詢分析器.找到oblog4數據庫執行.
2.將初始數據庫oblog4.mdb導入我們剛剛建立好的數據庫.
好了數據庫裝好了,下面我們來說說IIS的安全設置.
1. 在計算機管理中設定一個新的用戶組 iis guest 這個用戶組來將我們的站點使用的匿名用戶歸類.方便管理.
2. 新建一個用戶已 U_開頭 以後站點的匿名用戶就都是以U_開頭方便識別和管理 當然你可以自己設定,只要方便識別即可.然後去掉其所歸屬的user用戶組添加入 iis guest用戶組.比如新建的站點是www.lovalaozang.cn 那麼我我們就新建一個
U_lovelaozang.cn用戶,然後將它除去user組的隸屬關係,然後將其加入guest組.
3. 在發佈盤上新建一個文件夾作爲網站目錄.再這裏我們新建E:\wwwroot爲我們的站點文件夾[目錄最好帶有迷惑性如:E:\wireless security]
4. 將網站傳入到此文件夾下.
5. 設置iis發佈此站點.站點的主機頭設爲您的域名.
![]()
6. 設置iis匿名用戶訪問權限爲剛剛我們新建的U_lovelaozang.cn用戶.
![]()
7. 設置發佈目錄文件夾權限所有爲U_lovelaozang.cn用戶讀取運行權限.
![]()
8. 設置 目錄U(用戶日誌生成靜態目錄),目錄 Uploadfiles(上傳目錄) skin下的skin.mdb 根目錄下的 index.html 等目錄或文件權限爲可以修改.
![]()
9. 在iis上設置Uploadfiles文件夾爲不可執行腳本.
![]()
服務器安全設置
1.系統盤和站點放置盤必須設置爲NTFS格式,方便設置權限.
2.系統盤和站點放置盤除administrators 和system的用戶權限全部去除.
3.啓用windows自帶防火牆,只保留有用的端口,比如遠程和Web,Ftp(3389,80,21)等等,有郵件服務器的還要打開25和130端口.
4.安裝好SQL後進入目錄搜索 xplog70 然後將找到的三個文件改名或者刪除.
5.更改sa密碼爲你都不知道的超長密碼,在任何情況下都不要用sa這個帳戶.
6.改名系統默認帳戶名並新建一個Administrator帳戶作爲陷阱帳戶,設置超長密碼,並去掉所有用戶組.(就是在用戶組那裏設置爲空即可.讓這個帳號不屬於任何用戶組)同樣改名禁用掉Guest用戶.
7.配置帳戶鎖定策略(在運行中輸入gpedit.msc回車,打開組策略編輯器,選擇計算機配置-Windows設置-安全設置-賬戶策略-賬戶鎖定策略,將賬戶設爲“三次登陸無效”,“鎖定時間30分鐘”,“復位鎖定計數設爲30分鐘”。)
8.在安全設置裏 本地策略-安全選項 將
網絡訪問:可匿名訪問的共享 ;
網絡訪問:可匿名訪問的命名管道 ;
網絡訪問:可遠程訪問的註冊表路徑 ;
網絡訪問:可遠程訪問的註冊表路徑和子路徑 ;
以上四項清空.
9.在安全設置裏 本地策略-安全選項通過終端服務拒絕登陸 加入
ASPNET
Guest
IUSR_*****
IWAM_*****
NETWORK SERVICE
SQLDebugger
(****表示你的機器名,具體查找可以點擊 添加用戶或組 選 高級 選 立即查找 在底下列出的用戶列表裏選擇. 注意不要添加進user組和administrators組添加進去以後就沒有辦法遠程登陸了.)
10.去掉默認共享,將以下文件存爲reg後綴,然後執行導入即可.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"AutoShareServer"=dword:00000000
"AutoSharewks"=dword:00000000
11. 禁用不需要的和危險的服務,以下列出服務都需要禁用.
Alerter 發送管理警報和通知
Computer Browser:維護網絡計算機更新
Distributed File System: 局域網管理共享文件
Distributed linktracking client 用於局域網更新連接信息
Error reporting service 發送錯誤報告
Remote Procedure Call (RPC) Locator RpcNs*遠程過程調用 (RPC)
Remote Registry 遠程修改註冊表
Removable storage 管理可移動媒體、驅動程序和庫
Remote Desktop Help Session Manager 遠程協助
Routing and Remote Access 在局域網以及廣域網環境中爲企業提供路由服務
Messenger 消息文件傳輸服務
Net Logon 域控制器通道管理
NTLMSecuritysupportprovide telnet服務和Microsoft Serch用的
PrintSpooler 打印服務
telnet telnet服務
Workstation 泄漏系統用戶名列表
12.更改本地安全策略的審覈策略
賬戶管理 成功失敗
登錄事件 成功失敗
對象訪問 失敗
策略更改 成功失敗
特權使用 失敗
系統事件 成功失敗
目錄服務訪問 失敗
賬戶登錄事件 成功 失敗
13.更改有可能會被提權利用的文件運行權限,找到以下文件,將其安全設置裏除administrators用戶組全部刪除,重要的是連system也不要留.
net.exe
net1.exe
cmd.exe
tftp.exe
netstat.exe
regedit.exe
at.exe
attrib.exe
cacls.exe
format.com
c.exe 特殊文件 有可能在你的計算機上找不到此文件.
在搜索框裏輸入
"net.exe","net1.exe","cmd.exe","tftp.exe","netstat.exe","regedit.exe","at.exe","attrib.exe","cacls.exe","format.com","c.exe" 點擊搜索 然後全選 右鍵 屬性 安全
以上這點是最最重要的一點了,也是最最方便減少被提權和被破壞的可能的防禦方法了.
14.後備工作,將當前服務器的進程抓圖或記錄下來,將其保存,方便以後對照查看是否有不明的程序。將當前開放的端口抓圖或記錄下來,保存,方便以後對照查看是否開放了不明的端口。當然如果你能分辨每一個進程,和端口這一步可以省略。
以上是設置安全服務器必要的步驟.下面我們來說說數據庫安裝.
1.在企業管理器內建立一個空的數據庫名爲oblog4,打開查詢分析器,將data目錄的oblog4.sql導入查詢分析器.找到oblog4數據庫執行.
2.將初始數據庫oblog4.mdb導入我們剛剛建立好的數據庫.
好了數據庫裝好了,下面我們來說說IIS的安全設置.
1. 在計算機管理中設定一個新的用戶組 iis guest 這個用戶組來將我們的站點使用的匿名用戶歸類.方便管理.
2. 新建一個用戶已 U_開頭 以後站點的匿名用戶就都是以U_開頭方便識別和管理 當然你可以自己設定,只要方便識別即可.然後去掉其所歸屬的user用戶組添加入 iis guest用戶組.比如新建的站點是www.lovalaozang.cn 那麼我我們就新建一個
U_lovelaozang.cn用戶,然後將它除去user組的隸屬關係,然後將其加入guest組.
3. 在發佈盤上新建一個文件夾作爲網站目錄.再這裏我們新建E:\wwwroot爲我們的站點文件夾[目錄最好帶有迷惑性如:E:\wireless security]
4. 將網站傳入到此文件夾下.
5. 設置iis發佈此站點.站點的主機頭設爲您的域名.
6. 設置iis匿名用戶訪問權限爲剛剛我們新建的U_lovelaozang.cn用戶.
7. 設置發佈目錄文件夾權限所有爲U_lovelaozang.cn用戶讀取運行權限.
8. 設置 目錄U(用戶日誌生成靜態目錄),目錄 Uploadfiles(上傳目錄) skin下的skin.mdb 根目錄下的 index.html 等目錄或文件權限爲可以修改.
9. 在iis上設置Uploadfiles文件夾爲不可執行腳本.
10. 修改conn.asp和config.asp文件.適應我們的設置.
11. 訪問您設定的網址 安裝完成.
windows下根目錄的權限設置:
C:\WINDOWS\Downloaded Program Files 默認不改
C:\WINDOWS\Offline Web Pages 默認不改
C:\WINDOWS\Help TERMINAL SERVER USER 除前兩項權限不選其餘都選
C:\WINDOWS\IIS Temporary Compressed Files IIS_WPG選全部權限
C:\WINDOWS\Installer 刪除EVEryone組權限
C:\WINDOWS\Prefetch 默認權限不改
C:\WINDOWS\Registration 添加NETWORK SERVICE 選擇其中三項權限,其它保留默認
C:\WINDOWS\system32 添加NETWORK SERVICE 選擇其中三項權限,其它保留默認
C:\WINDOWS\TAPI 刪除user組,其它組的權限保留默認
C:\WINDOWS\Temp 刪除user組,其它組的權限保留默認
C:\WINDOWS\Web 注意權限設置爲繼承。具體看演示
C:\WINDOWS\WinSxS 添加NETWORK SERVICE 選擇其中三項權限,其它保留默認
C:\WINDOWS\Application Compatibility Scripts
C:\WINDOWS\Debug\UserMode 刪除users組的權限
C:\WINDOWS\Debug\WPD 目錄刪除Authenticated Users組權限。其它默認不變
C:\WINDOWS\ime
C:\WINDOWS\inf
C:\WINDOWS\Installer 刪除其子目錄下所有包含EVEryone組的權限
C:\WINDOWS\Microsoft.NET 和C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322 子目錄中有很多組權限。保留默認就行
C:\WINDOWS\PCHealth\UploadLB 刪除everyone組的權限,其它下級目錄不用管,沒有user組和EVEryone組權限
C:\WINDOWS\PCHealth\HelpCtr 刪除everyone組的權限,其它下級目錄不用管,沒有user組和EVEryone組權限
如果C:\WINDOWS\PCHealth\還有其它演示中沒有的目錄,也如此操作,依情況靈活運用
C:\WINDOWS\Registration\CRMLog 刪除users組的權限
C:\WINDOWS\security\templates 刪除users組的權限及多餘權限,看演示
下面開始
system32根目錄的設置:
此目錄中基本上是刪除user組和其它不必要的組後,其餘組的權限保留就行了。要改的地方沒幾處
C:\WINDOWS\system32\GroupPolicy 刪除Authenticated Users組,其下子目錄保留默認不用改就行*******
C:\WINDOWS\system32\inetsrv 及其下子目錄均保持不改就行*******
C:\WINDOWS\system32\spool*************
C:\WINDOWS\system32\spool\drivers 刪除EVEryone組的權限
C:\WINDOWS\system32\spool\PRINTERS 刪除EVEryone組的權限
C:\WINDOWS\system32\wbem\AutoRecover 刪除EVEryone組的權限
C:\WINDOWS\system32\wbem\Logs 同上
C:\WINDOWS\system32\wbem\mof 同上
C:\WINDOWS\system32\wbem\Repository 同上
在這裏提供給大家一段批處理 windows 2003權限設置批處理
echo.
echo ------------------------------------------------------
echo.
echo ...........
echo.
net share c$ /delete
net share d$ /delete
net share e$ /delete
net share f$ /delete
net share admin$ /delete
net share ipc$ /delete
net stop server
net stop lanmanworkstation
regsvr32/u C:\WINDOWS\System32\wshom.ocx
regsvr32/u C:\WINDOWS\system32\shell32.dll
cacls c:\WINDOWS\system32\shell32.dll /g administrators:f system:f
cacls c:\WINDOWS\system32\shell.dll /g administrators:f system:f
cacls c:\ /g administrators:f system:f
cacls d:\ /g administrators:f system:f
echo.
echo ..........
echo.
echo ------------------------------------------------------
echo.
echo .................
echo.
echo .. delshare.reg .......
echo Windows Registry Editor Version 5.00> c:\delshare.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]>> c:\delshare.reg
echo "AutoShareWks"=dword:00000000>> c:\delshare.reg
echo "AutoShareServer"=dword:00000000>> c:\delshare.reg
echo .. delshare.reg .....
regedit /s c:\delshare.reg
echo .. delshare.reg ....
del c:\delshare.reg
echo .
echo ........
echo .
echo =========================================================
echo .
echo .....................dos....
echo .
echo .........
echo Windows Registry Editor Version 5.00> c:\dosforwin.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]>> c:\dosforwin.reg
echo "EnableICMPRedirect"=dword:00000000>> c:\dosforwin.reg
echo "DeadGWDetectDefault"=dword:00000001>> c:\dosforwin.reg
echo "DontAddDefaultGatewayDefault"=dword:00000000>> c:\dosforwin.reg
echo "EnableSecurityFilters"=dword:00000000">> c:\dosforwin.reg
echo "AllowUnqualifiedQuery"=dword:00000000>> c:\dosforwin.reg
echo "PrioritizeRecordData"=dword:00000001>> c:\dosforwin.reg
echo "ReservedPorts"=hex(7):31,00,34,00,33,00,33,00,2d,00,31,00,34,00,33,00,34,00,\>> c:\dosforwin.reg
echo 00,00,00,00>> c:\dosforwin.reg
echo "SynAttackProtect"=dword:00000002>> c:\dosforwin.reg
echo "EnablePMTUDiscovery"=dword:00000000>> c:\dosforwin.reg
echo "NoNameReleaseOnDemand"=dword:00000001>> c:\dosforwin.reg
echo "EnableDeadGWDetect"=dword:00000000>> c:\dosforwin.reg
echo "KeepAliveTime"=dword:00300000>> c:\dosforwin.reg
echo "PerformRouterDiscovery"=dword:00000000>> c:\dosforwin.reg
echo "EnableICMPRedirects"=dword:00000000>> c:\dosforwin.reg
echo .
echo ==========================================================
echo .. dosforwin.reg .....
regedit /s c:\dosforwin.reg
echo .. dosforwin.reg ....
del c:\dosforwin.reg
echo ==============================================================
echo .
echo ..........(......................).
echo .
echo ..telnet,......telnet.
echo ..........
echo Windows Registry Editor Version 5.00> c:\telnet.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TlntSvr]>> c:\telnet.reg
echo "Start"=dword:00000004>> c:\telnet.reg
echo .
echo .. telnet.reg .....
regedit /s c:\telnet.reg
echo .
echo .. telnet.reg ....
del c:\telnet.reg
echo .
echo
11. 訪問您設定的網址 安裝完成.
windows下根目錄的權限設置:
C:\WINDOWS\Downloaded Program Files 默認不改
C:\WINDOWS\Offline Web Pages 默認不改
C:\WINDOWS\Help TERMINAL SERVER USER 除前兩項權限不選其餘都選
C:\WINDOWS\IIS Temporary Compressed Files IIS_WPG選全部權限
C:\WINDOWS\Installer 刪除EVEryone組權限
C:\WINDOWS\Prefetch 默認權限不改
C:\WINDOWS\Registration 添加NETWORK SERVICE 選擇其中三項權限,其它保留默認
C:\WINDOWS\system32 添加NETWORK SERVICE 選擇其中三項權限,其它保留默認
C:\WINDOWS\TAPI 刪除user組,其它組的權限保留默認
C:\WINDOWS\Temp 刪除user組,其它組的權限保留默認
C:\WINDOWS\Web 注意權限設置爲繼承。具體看演示
C:\WINDOWS\WinSxS 添加NETWORK SERVICE 選擇其中三項權限,其它保留默認
C:\WINDOWS\Application Compatibility Scripts
C:\WINDOWS\Debug\UserMode 刪除users組的權限
C:\WINDOWS\Debug\WPD 目錄刪除Authenticated Users組權限。其它默認不變
C:\WINDOWS\ime
C:\WINDOWS\inf
C:\WINDOWS\Installer 刪除其子目錄下所有包含EVEryone組的權限
C:\WINDOWS\Microsoft.NET 和C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322 子目錄中有很多組權限。保留默認就行
C:\WINDOWS\PCHealth\UploadLB 刪除everyone組的權限,其它下級目錄不用管,沒有user組和EVEryone組權限
C:\WINDOWS\PCHealth\HelpCtr 刪除everyone組的權限,其它下級目錄不用管,沒有user組和EVEryone組權限
如果C:\WINDOWS\PCHealth\還有其它演示中沒有的目錄,也如此操作,依情況靈活運用
C:\WINDOWS\Registration\CRMLog 刪除users組的權限
C:\WINDOWS\security\templates 刪除users組的權限及多餘權限,看演示
下面開始
system32根目錄的設置:
此目錄中基本上是刪除user組和其它不必要的組後,其餘組的權限保留就行了。要改的地方沒幾處
C:\WINDOWS\system32\GroupPolicy 刪除Authenticated Users組,其下子目錄保留默認不用改就行*******
C:\WINDOWS\system32\inetsrv 及其下子目錄均保持不改就行*******
C:\WINDOWS\system32\spool*************
C:\WINDOWS\system32\spool\drivers 刪除EVEryone組的權限
C:\WINDOWS\system32\spool\PRINTERS 刪除EVEryone組的權限
C:\WINDOWS\system32\wbem\AutoRecover 刪除EVEryone組的權限
C:\WINDOWS\system32\wbem\Logs 同上
C:\WINDOWS\system32\wbem\mof 同上
C:\WINDOWS\system32\wbem\Repository 同上
在這裏提供給大家一段批處理 windows 2003權限設置批處理
echo.
echo ------------------------------------------------------
echo.
echo ...........
echo.
net share c$ /delete
net share d$ /delete
net share e$ /delete
net share f$ /delete
net share admin$ /delete
net share ipc$ /delete
net stop server
net stop lanmanworkstation
regsvr32/u C:\WINDOWS\System32\wshom.ocx
regsvr32/u C:\WINDOWS\system32\shell32.dll
cacls c:\WINDOWS\system32\shell32.dll /g administrators:f system:f
cacls c:\WINDOWS\system32\shell.dll /g administrators:f system:f
cacls c:\ /g administrators:f system:f
cacls d:\ /g administrators:f system:f
echo.
echo ..........
echo.
echo ------------------------------------------------------
echo.
echo .................
echo.
echo .. delshare.reg .......
echo Windows Registry Editor Version 5.00> c:\delshare.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]>> c:\delshare.reg
echo "AutoShareWks"=dword:00000000>> c:\delshare.reg
echo "AutoShareServer"=dword:00000000>> c:\delshare.reg
echo .. delshare.reg .....
regedit /s c:\delshare.reg
echo .. delshare.reg ....
del c:\delshare.reg
echo .
echo ........
echo .
echo =========================================================
echo .
echo .....................dos....
echo .
echo .........
echo Windows Registry Editor Version 5.00> c:\dosforwin.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]>> c:\dosforwin.reg
echo "EnableICMPRedirect"=dword:00000000>> c:\dosforwin.reg
echo "DeadGWDetectDefault"=dword:00000001>> c:\dosforwin.reg
echo "DontAddDefaultGatewayDefault"=dword:00000000>> c:\dosforwin.reg
echo "EnableSecurityFilters"=dword:00000000">> c:\dosforwin.reg
echo "AllowUnqualifiedQuery"=dword:00000000>> c:\dosforwin.reg
echo "PrioritizeRecordData"=dword:00000001>> c:\dosforwin.reg
echo "ReservedPorts"=hex(7):31,00,34,00,33,00,33,00,2d,00,31,00,34,00,33,00,34,00,\>> c:\dosforwin.reg
echo 00,00,00,00>> c:\dosforwin.reg
echo "SynAttackProtect"=dword:00000002>> c:\dosforwin.reg
echo "EnablePMTUDiscovery"=dword:00000000>> c:\dosforwin.reg
echo "NoNameReleaseOnDemand"=dword:00000001>> c:\dosforwin.reg
echo "EnableDeadGWDetect"=dword:00000000>> c:\dosforwin.reg
echo "KeepAliveTime"=dword:00300000>> c:\dosforwin.reg
echo "PerformRouterDiscovery"=dword:00000000>> c:\dosforwin.reg
echo "EnableICMPRedirects"=dword:00000000>> c:\dosforwin.reg
echo .
echo ==========================================================
echo .. dosforwin.reg .....
regedit /s c:\dosforwin.reg
echo .. dosforwin.reg ....
del c:\dosforwin.reg
echo ==============================================================
echo .
echo ..........(......................).
echo .
echo ..telnet,......telnet.
echo ..........
echo Windows Registry Editor Version 5.00> c:\telnet.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TlntSvr]>> c:\telnet.reg
echo "Start"=dword:00000004>> c:\telnet.reg
echo .
echo .. telnet.reg .....
regedit /s c:\telnet.reg
echo .
echo .. telnet.reg ....
del c:\telnet.reg
echo .
echo
Window2003服務器的安全配置
2008-05-18 閱讀次數:[ 289 ]
Window2003服務器安全配置方案
第一節 安裝 Windows 2003 Server
一、注意授權模式的選擇(每服務器,每客戶):
建議選擇“每服務器”模式,用戶可以將許可證模式從“每服務器”轉換爲“每客戶”,但是不能從“每客戶”轉換爲“每服務器”模式。,以後可以免費轉換爲“每客戶”模式。
所謂許可證(CAL)就是爲需要訪問Windows Server 2003的用戶所購買的授權。有兩種授權模式:每服務器和每客戶。
每服務器:該許可證是爲每一臺服務器購買的許可證,許可證的數量由“同時”連接到服務器的用戶的最大數量來決定。每服務器的許可證模式適合用於網絡中擁有很多客戶端,但在同一時間“同時”訪問服務器的客戶端數量不多時採用。並且每服務器的許可證模式也適用於網絡中服務器的數量不多時採用。
每客戶:該許可證模式是爲網絡中每一個客戶端購買一個許可證,這樣網絡中的客戶端就可以合法地訪問網絡中的任何一臺服務器,而不需要考慮“同時”有多少客戶端訪問服務器。該許可證模式適用於企業中有多臺服務器,並且客戶端“同時”訪問服務器的情況較多時採用。
微軟在許可數上只是給了你一個法律上的限制,而不是技術上的。
所以假如你希望服務器有更多的併發連接,只要把每服務器模式的數量改的大一些即可。這個數量會限制到windows中所有的網絡應用,包括數據庫。
二、安裝時候使用NTFS分區格式,設定好NTFS磁盤權限。
C盤賦給administrators 和system用戶組權限,刪除其他用戶組,其它盤也可以同樣設置。注意網站最好不要放置在C盤。
Windows目錄要加上給users的默認權限,否則ASP和ASPX等應用程序就無法運行。另外,還將c:\windows\system32 目錄下的一些DOS命令文件:net.exe,cmd.exe,tftp.exe,netstat.exe,regedit.exe,at.exe,attrib.exe,cacls.exe,這些文件都設置只允許administrators訪問。
另外在c:/Documents and Settings/這裏相當重要,後面的目錄裏的權限根本不會繼承從前的設置,如果僅僅只是設置了C盤給administrators權限,而在All Users/Application Data目錄默認everyone用戶有權限,這樣入侵這可以跳轉到這個目錄,寫入腳本或只文件,再結合其他漏洞來提升權限;譬如利用serv-u的本地溢出提升權限,或系統遺漏有補丁,數據庫的弱點,甚至社會工程學等方法,在用做web/ftp服務器的系統裏,建議是將這些目錄都設置的限定好權限。
三、禁止不必要的服務和增強網絡連接安全性
把不必要的服務都禁止掉,儘管這些不一定能被攻擊者利用得上,但是按照安全規則和標準上來說,多餘的東西就沒必要開啓,減少一份隱患。
在"網絡連接"裏,把不需要的協議和服務都刪掉,這裏只安裝了基本的Internet協議(TCP/IP),由於要控制帶寬流量服務,額外安裝了Qos數據包計劃程序。
在高級tcp/ip設置裏--"NetBIOS"設置"禁用tcp/IP上的NetBIOS(S)"。在高級選項裏,使用"Internet連接防火牆",這是windows 2003 自帶的防火牆,在2000系統裏沒有的功能,雖然沒什麼功能,但可以屏蔽端口,這樣已經基本達到了一個IPSec的功能。
注意:不推薦使用TCP/IP篩選裏的端口過濾功能。譬如在使用FTP服務器的時候,如果僅僅只開放21端口,由於FTP協議的特殊性,在進行FTP傳輸的時候,由於FTP 特有的Port模式和Passive模式,在進行數據傳輸的時候,需要動態的打開高端口,所以在使用TCP/IP過濾的情況下,經常會出現連接上後無法列出目錄和數據傳輸的問題。所以在2003系統上增加的windows連接防火牆能很好的解決這個問題,所以都不推薦使用網卡的TCP/IP過濾功能。
第二節 安裝和配置IIS
一、僅安裝必要的組件,選擇Internet(信息服務IIS)即可。原則是網站需要組件功能才安裝,比如ASP.NET或其它組件不需使用就不要安裝。
二、修改上傳文件的大小
Windows server 2003服務器,當上傳文件過大(超過200K)時,提示錯誤號 2147467259。原因是IIS6.0默認配置把上傳文件限制在200k,超過即出錯。解決方法如下:
首先,停止以下服務:
IIS admin service
World Wide Web Publishing Service
HTTP SSL
然後找到:
C:\Windows\system32\inesrv\metabase.xml \Windows\system32\inesrv\
編輯文件metabase.xml(不要用寫字板,要用記事本編輯,否則容易出錯。)
找到:ASPMaxRequestEntityAllowed 默認爲 204800 (200k),改成需要的!保存。
最後,啓動上面被停止的服務,就完成了!
注:可能會碰到metabase.xml 文件不能被保存,原因是你的服務未停乾淨,建議重啓以後再進行上面的操作。
第三節 FTP服務器架設
一、推薦使用Serv-U.FTP.Server.Corporate.v6.0.0.2
1.Serv-U最好不要使用默認安裝路徑,設置Serv-U的目錄權限,只有管理員才能訪問;
2、啓用Serv-U中的安全,serv-u的幾點常規安全設置:
選中"Block "FTP_bounce"attack and FXP"。什麼是FXP呢?通常,當使用FTP協議進行文件傳輸時,客戶端首先向FTP服務器發出一個"PORT"命令,該命令中包含此用戶的IP地址和將被用來進行數據傳輸的端口號,服務器收到後,利用命令所提供的用戶地址信息建立與用戶的連接。大多數情況下,上述過程不會出現任何問題,但當客戶端是一名惡意用戶時,可能會通過在PORT命令中加入特定的地址信息,使FTP服務器與其它非客戶端的機器建立連接。雖然這名惡意用戶可能本身無權直接訪問某一特定機器,但是如果FTP服務器有權訪問該機器的話,那麼惡意用戶就可以通過FTP服務器作爲中介,仍然能夠最終實現與目標服務器的連接。這就是FXP,也稱跨服務器攻擊。選中後就可以防止發生此種情況。
另外在"Block anti time-out schemes"也可以選中。其次,在"Advanced"選項卡中,檢查 "Enable security"是否被選中,如果沒有,選擇它們。
3.可修改Serv-U的默認管理員名字和密碼,默認端口也可以修改,詳情見附錄。
第四節 win2003系統安全設置
1、將一些危險的服務禁止,特別是遠程控制註冊表服務及無用和可疑的服務。
2、關閉機器上開啓的共享文件,設置一個批處理文件刪除默認共享。
3、封鎖端口
黑客大多通過端口進行入侵,所以你的服務器只能開放你需要的端口以下是常用端口:
80爲Web網站服務;21爲FTP服務;25 爲E-mail SMTP服務;110爲Email POP3服務。其他還有SQL Server的端口1433等,不用的端口一定要關閉!
關閉這些端口,我們可以通過Windows 2003的IP安全策略進行。
藉助它的安全策略,完全可以阻止入侵者的攻擊。你可以通過“管理工具→本地安全策略”進入,右擊“IP安全策略”,選擇“創建IP安全策略”,點[下一步]。輸入安全策略的名稱,點[下一步],一直到完成,你就創建了一個安全策略:
接着你要做的是右擊“IP安全策略”,進入管理IP篩選器和篩選器操作,在管理IP篩選器列表中,你可以添加要封鎖的端口,這裏以關閉ICMP和139端口爲例說明。
關閉了ICMP,黑客軟件如果沒有強制掃描功能就不能掃描到你的機器,也Ping不到你的機器。關閉ICMP的具體操作如下:點[添加],然後在名稱中輸入“關閉ICMP”,點右邊的[添加],再點[下一步]。在源地址中選“任何IP地址”,點[下一步]。在目標地址中選擇“我的IP地址”,點[下一步]。在協議中選擇“ICMP”,點[下一步]。回到關閉ICMP屬性窗口,即關閉了ICMP。
下面我們再設置關閉139,同樣在管理IP篩選器列表中點“添加”,名稱設置爲“關閉139”,點右邊的“添加”,點[下一步]。在源地址中選擇“任何IP地址”,點[下一步]。在目標地址中選擇“我的IP地址”,點[下一步]。在協議中選擇“TCP”,點[下一步]。在設置IP協議端口中選擇從任意端口到此端口,在此端口中輸入139,點[下一步]。即完成關閉139端口,其他的端口也同樣設置
然後進入設置管理篩選器操作,點“添加”,點[下一步],在名稱中輸入“拒絕”,點[下一步]。選擇“阻止”,點[下一步]。
然後關閉該屬性頁,右擊新建的IP安全策略“安全”,打開屬性頁。在規則中選擇“添加”,點[下一步]。選擇“此規則不指定隧道”,點[下一步]。在選擇網絡類型中選擇“所有網絡連接”,點[下一步]。在IP篩選器列表中選擇“關閉ICMP”,點[下一步]。在篩選器操作中選擇“拒絕”,點[下一步]。這樣你就將“關閉ICMP”的篩選器加入到名爲“安全”的IP安全策略中。同樣的方法,你可以將“關閉139”等其他篩選器加入進來。
最後要做的是指派該策略,只有指派後,它才起作用。方法是右擊“安全”,在菜單中選擇“所有任務”,選擇“指派”。IP安全設置到此結束,你可根據自己的情況,設置相應的策略。
第五節 IIS安全設置
1、刪掉c:/inetpub目錄,刪除iis不必要的映射。
2、使用虛擬主機的每個web站點都應該新建單獨的IIS來賓用戶。
3、 IIS爲每個虛擬主機設置來賓帳號,這樣即使一個網站由於後臺漏洞被入侵也不會波及整臺服務器,整個服務器管理權限不會淪陷。
4、IIS管理後臺設置限定IP地址訪問,僅僅開放需要進入後臺的IP。
5、IIS管理器內一些文件夾內只有圖片並沒有程序(例如image、pic),可將其運行權限設置爲無(默認可運行腳本)。
6、將IIS日誌默認保存位置修改至其它分區,防止黑客入侵後刪除安全事件及web日誌。
7、防止ASP木馬程序入侵的三種辦法:
1)上傳目錄的權限選擇無執行權限,即使上傳木馬也會因無執行權限而入侵失敗。
訪問時可執行文件的ASP顯示:
2)上傳的文件加上IP地址限制,只允許信息員機器IP地址訪問。
a.目錄限定:
b.文件限定:
3) 在上傳文件中增加驗證程序,比如:
<!--#include FILE="../admin/check.asp"-->
這樣打開頁面即提示:
4) 加入防注入代碼,在上傳文件入口處或關鍵程序中增加一行代碼調用防注入程序,可以登陸後臺對防注入程序進行管理,查看入侵掃描信息。代碼不要放在首頁,這樣影響網站打開速度,網站首頁的ASP代碼要儘可能少,最好已經是HTML,調用數據庫內容太多會影響網站速度。
登陸後臺頁面
入侵信息記錄
在防注入系統後臺系統設置中推薦採用“直接關閉網頁”。鎖定IP可以封掃描IP,但不推薦使用,以防誤操作一個局域網段的internet出口地址全部被封。這個自己在使用中可以慢慢體會。
5)使用從網上摘抄的源代碼後臺需要對其進行改動,尤其是上傳文件名,比如upfile.asp改爲jxic-upfile.asp。
第六節 設置安全的虛擬主機訪問權限
由於公網IP數量緊張,多個站點在一臺服務器已經很普遍,對於擁有虛擬站點的主機,我們要設置好用戶的訪問權,同時對於有子網站的用戶,單列出一個主機頭,使用自己的虛擬目錄,這樣在子網站存在漏洞被黑客入侵時也很難跨站入侵。
一、 新建web網站訪問用戶組和用戶。
原理涉及到用戶權限和組的權限,我們的目的的是新建一個組,這個組的權限是由用戶的權限來決定。只給予用戶必要的權限即可。同時也爲了避免網站訪問出現500內部錯誤問題,這個是由於IUSER帳號(默認的web訪問用戶)的三個系統文件內部時間不協調引起的。
1、 首先右鍵點擊“我的電腦”圖標-“管理”-“本地用戶和組”。
2、 左邊欄目中選擇“組”,點擊右鍵,選擇“新建組”,新建一個組名,加上描述。
3、 左邊欄目中選擇“用戶”,點擊右鍵,選擇“新建用戶”,新建一個用戶名,加上描述,設置密碼(後面IIS設置中需要此密碼),將用戶下次登陸時需更改密碼前的勾去除,同時勾選用戶不能更改密碼和密碼永不過期。
4、 在右邊欄目中選中剛創建的用戶“jxdpc-webguest”,右鍵選擇“屬性”-“隸屬於”,選擇 “Users”組後點擊“刪除”,在點擊“添加”。
5、 點擊“高級”,再點擊“立即查找”。
6、雙擊新建的組“webguestgroup”,添加到下圖所示方框後-點擊確定完成。
二、設置目錄的權限,我們把web網站放在D盤jxjw文件夾(基於安全考慮).
1、進入網站所在目錄,點右鍵選擇“屬性”。
2、選擇“安全”,將除Administrators,CREATOR OWNER,SYSTEMS的用戶組刪除。有些組提示不能刪除,是因爲繼承權限的原因,可以點擊上圖中的“高級”,將“允許父項的繼承項傳播到該對象和所有子對象”勾去除-選擇“應用”。
3、添加新建的用戶”jxdpc-webguest”。
4、給予“用戶修改、讀取和運行、列出文件夾目錄、讀取、寫入”這些權限,去除 “完全控制”權限。
三、IIS設置。
1、依次打開“開始”-“設置”-“控制面板”-“管理工具-Internet 信息服務(IIS)管理器”。
2、左邊欄目中選擇網站,點右鍵選擇“屬性”-“目錄安全性”。
3、身份驗證和訪問機制中選擇“編輯”。
4、選擇“瀏覽”-“選擇用戶”-“高級”-“立即查找”-選擇“jxdpc-webguest”用戶。
5、輸入網站訪問用戶密碼,需要輸入兩次,選擇“確定”。
四、修改所有盤符的權限,將除Administrators, SYSTEM的用戶組刪除,尤其是刪除Users組、Everyone組。刪除了EVERYONE用戶組,含義是使普通用戶不能越權,而且ASP還可以正常使用。
總結:
疑問一、有些人認爲只需要建立新用戶,將新用戶放在guest組下即可,我自己認爲建立一個單獨的組很有必要,這個組的權限是由用戶的權限的集合,guest組仍然具有一定的權限。
疑問二、完全控權限與下面所有的權限勾上是否相等,完全控制權限包括下面所有權限,我們只需要給予必要的權限,因此網站訪問來賓用戶不需要勾上完全控制權限。
2008-05-18 閱讀次數:[ 289 ]
Window2003服務器安全配置方案
第一節 安裝 Windows 2003 Server
一、注意授權模式的選擇(每服務器,每客戶):
建議選擇“每服務器”模式,用戶可以將許可證模式從“每服務器”轉換爲“每客戶”,但是不能從“每客戶”轉換爲“每服務器”模式。,以後可以免費轉換爲“每客戶”模式。
所謂許可證(CAL)就是爲需要訪問Windows Server 2003的用戶所購買的授權。有兩種授權模式:每服務器和每客戶。
每服務器:該許可證是爲每一臺服務器購買的許可證,許可證的數量由“同時”連接到服務器的用戶的最大數量來決定。每服務器的許可證模式適合用於網絡中擁有很多客戶端,但在同一時間“同時”訪問服務器的客戶端數量不多時採用。並且每服務器的許可證模式也適用於網絡中服務器的數量不多時採用。
每客戶:該許可證模式是爲網絡中每一個客戶端購買一個許可證,這樣網絡中的客戶端就可以合法地訪問網絡中的任何一臺服務器,而不需要考慮“同時”有多少客戶端訪問服務器。該許可證模式適用於企業中有多臺服務器,並且客戶端“同時”訪問服務器的情況較多時採用。
微軟在許可數上只是給了你一個法律上的限制,而不是技術上的。
所以假如你希望服務器有更多的併發連接,只要把每服務器模式的數量改的大一些即可。這個數量會限制到windows中所有的網絡應用,包括數據庫。
二、安裝時候使用NTFS分區格式,設定好NTFS磁盤權限。
C盤賦給administrators 和system用戶組權限,刪除其他用戶組,其它盤也可以同樣設置。注意網站最好不要放置在C盤。
Windows目錄要加上給users的默認權限,否則ASP和ASPX等應用程序就無法運行。另外,還將c:\windows\system32 目錄下的一些DOS命令文件:net.exe,cmd.exe,tftp.exe,netstat.exe,regedit.exe,at.exe,attrib.exe,cacls.exe,這些文件都設置只允許administrators訪問。
另外在c:/Documents and Settings/這裏相當重要,後面的目錄裏的權限根本不會繼承從前的設置,如果僅僅只是設置了C盤給administrators權限,而在All Users/Application Data目錄默認everyone用戶有權限,這樣入侵這可以跳轉到這個目錄,寫入腳本或只文件,再結合其他漏洞來提升權限;譬如利用serv-u的本地溢出提升權限,或系統遺漏有補丁,數據庫的弱點,甚至社會工程學等方法,在用做web/ftp服務器的系統裏,建議是將這些目錄都設置的限定好權限。
三、禁止不必要的服務和增強網絡連接安全性
把不必要的服務都禁止掉,儘管這些不一定能被攻擊者利用得上,但是按照安全規則和標準上來說,多餘的東西就沒必要開啓,減少一份隱患。
在"網絡連接"裏,把不需要的協議和服務都刪掉,這裏只安裝了基本的Internet協議(TCP/IP),由於要控制帶寬流量服務,額外安裝了Qos數據包計劃程序。
在高級tcp/ip設置裏--"NetBIOS"設置"禁用tcp/IP上的NetBIOS(S)"。在高級選項裏,使用"Internet連接防火牆",這是windows 2003 自帶的防火牆,在2000系統裏沒有的功能,雖然沒什麼功能,但可以屏蔽端口,這樣已經基本達到了一個IPSec的功能。
注意:不推薦使用TCP/IP篩選裏的端口過濾功能。譬如在使用FTP服務器的時候,如果僅僅只開放21端口,由於FTP協議的特殊性,在進行FTP傳輸的時候,由於FTP 特有的Port模式和Passive模式,在進行數據傳輸的時候,需要動態的打開高端口,所以在使用TCP/IP過濾的情況下,經常會出現連接上後無法列出目錄和數據傳輸的問題。所以在2003系統上增加的windows連接防火牆能很好的解決這個問題,所以都不推薦使用網卡的TCP/IP過濾功能。
第二節 安裝和配置IIS
一、僅安裝必要的組件,選擇Internet(信息服務IIS)即可。原則是網站需要組件功能才安裝,比如ASP.NET或其它組件不需使用就不要安裝。
二、修改上傳文件的大小
Windows server 2003服務器,當上傳文件過大(超過200K)時,提示錯誤號 2147467259。原因是IIS6.0默認配置把上傳文件限制在200k,超過即出錯。解決方法如下:
首先,停止以下服務:
IIS admin service
World Wide Web Publishing Service
HTTP SSL
然後找到:
C:\Windows\system32\inesrv\metabase.xml \Windows\system32\inesrv\
編輯文件metabase.xml(不要用寫字板,要用記事本編輯,否則容易出錯。)
找到:ASPMaxRequestEntityAllowed 默認爲 204800 (200k),改成需要的!保存。
最後,啓動上面被停止的服務,就完成了!
注:可能會碰到metabase.xml 文件不能被保存,原因是你的服務未停乾淨,建議重啓以後再進行上面的操作。
第三節 FTP服務器架設
一、推薦使用Serv-U.FTP.Server.Corporate.v6.0.0.2
1.Serv-U最好不要使用默認安裝路徑,設置Serv-U的目錄權限,只有管理員才能訪問;
2、啓用Serv-U中的安全,serv-u的幾點常規安全設置:
選中"Block "FTP_bounce"attack and FXP"。什麼是FXP呢?通常,當使用FTP協議進行文件傳輸時,客戶端首先向FTP服務器發出一個"PORT"命令,該命令中包含此用戶的IP地址和將被用來進行數據傳輸的端口號,服務器收到後,利用命令所提供的用戶地址信息建立與用戶的連接。大多數情況下,上述過程不會出現任何問題,但當客戶端是一名惡意用戶時,可能會通過在PORT命令中加入特定的地址信息,使FTP服務器與其它非客戶端的機器建立連接。雖然這名惡意用戶可能本身無權直接訪問某一特定機器,但是如果FTP服務器有權訪問該機器的話,那麼惡意用戶就可以通過FTP服務器作爲中介,仍然能夠最終實現與目標服務器的連接。這就是FXP,也稱跨服務器攻擊。選中後就可以防止發生此種情況。
另外在"Block anti time-out schemes"也可以選中。其次,在"Advanced"選項卡中,檢查 "Enable security"是否被選中,如果沒有,選擇它們。
3.可修改Serv-U的默認管理員名字和密碼,默認端口也可以修改,詳情見附錄。
第四節 win2003系統安全設置
1、將一些危險的服務禁止,特別是遠程控制註冊表服務及無用和可疑的服務。
2、關閉機器上開啓的共享文件,設置一個批處理文件刪除默認共享。
3、封鎖端口
黑客大多通過端口進行入侵,所以你的服務器只能開放你需要的端口以下是常用端口:
80爲Web網站服務;21爲FTP服務;25 爲E-mail SMTP服務;110爲Email POP3服務。其他還有SQL Server的端口1433等,不用的端口一定要關閉!
關閉這些端口,我們可以通過Windows 2003的IP安全策略進行。
藉助它的安全策略,完全可以阻止入侵者的攻擊。你可以通過“管理工具→本地安全策略”進入,右擊“IP安全策略”,選擇“創建IP安全策略”,點[下一步]。輸入安全策略的名稱,點[下一步],一直到完成,你就創建了一個安全策略:
接着你要做的是右擊“IP安全策略”,進入管理IP篩選器和篩選器操作,在管理IP篩選器列表中,你可以添加要封鎖的端口,這裏以關閉ICMP和139端口爲例說明。
關閉了ICMP,黑客軟件如果沒有強制掃描功能就不能掃描到你的機器,也Ping不到你的機器。關閉ICMP的具體操作如下:點[添加],然後在名稱中輸入“關閉ICMP”,點右邊的[添加],再點[下一步]。在源地址中選“任何IP地址”,點[下一步]。在目標地址中選擇“我的IP地址”,點[下一步]。在協議中選擇“ICMP”,點[下一步]。回到關閉ICMP屬性窗口,即關閉了ICMP。
下面我們再設置關閉139,同樣在管理IP篩選器列表中點“添加”,名稱設置爲“關閉139”,點右邊的“添加”,點[下一步]。在源地址中選擇“任何IP地址”,點[下一步]。在目標地址中選擇“我的IP地址”,點[下一步]。在協議中選擇“TCP”,點[下一步]。在設置IP協議端口中選擇從任意端口到此端口,在此端口中輸入139,點[下一步]。即完成關閉139端口,其他的端口也同樣設置
然後進入設置管理篩選器操作,點“添加”,點[下一步],在名稱中輸入“拒絕”,點[下一步]。選擇“阻止”,點[下一步]。
然後關閉該屬性頁,右擊新建的IP安全策略“安全”,打開屬性頁。在規則中選擇“添加”,點[下一步]。選擇“此規則不指定隧道”,點[下一步]。在選擇網絡類型中選擇“所有網絡連接”,點[下一步]。在IP篩選器列表中選擇“關閉ICMP”,點[下一步]。在篩選器操作中選擇“拒絕”,點[下一步]。這樣你就將“關閉ICMP”的篩選器加入到名爲“安全”的IP安全策略中。同樣的方法,你可以將“關閉139”等其他篩選器加入進來。
最後要做的是指派該策略,只有指派後,它才起作用。方法是右擊“安全”,在菜單中選擇“所有任務”,選擇“指派”。IP安全設置到此結束,你可根據自己的情況,設置相應的策略。
第五節 IIS安全設置
1、刪掉c:/inetpub目錄,刪除iis不必要的映射。
2、使用虛擬主機的每個web站點都應該新建單獨的IIS來賓用戶。
3、 IIS爲每個虛擬主機設置來賓帳號,這樣即使一個網站由於後臺漏洞被入侵也不會波及整臺服務器,整個服務器管理權限不會淪陷。
4、IIS管理後臺設置限定IP地址訪問,僅僅開放需要進入後臺的IP。
5、IIS管理器內一些文件夾內只有圖片並沒有程序(例如image、pic),可將其運行權限設置爲無(默認可運行腳本)。
6、將IIS日誌默認保存位置修改至其它分區,防止黑客入侵後刪除安全事件及web日誌。
7、防止ASP木馬程序入侵的三種辦法:
1)上傳目錄的權限選擇無執行權限,即使上傳木馬也會因無執行權限而入侵失敗。
訪問時可執行文件的ASP顯示:
2)上傳的文件加上IP地址限制,只允許信息員機器IP地址訪問。
a.目錄限定:
b.文件限定:
3) 在上傳文件中增加驗證程序,比如:
<!--#include FILE="../admin/check.asp"-->
這樣打開頁面即提示:
4) 加入防注入代碼,在上傳文件入口處或關鍵程序中增加一行代碼調用防注入程序,可以登陸後臺對防注入程序進行管理,查看入侵掃描信息。代碼不要放在首頁,這樣影響網站打開速度,網站首頁的ASP代碼要儘可能少,最好已經是HTML,調用數據庫內容太多會影響網站速度。
登陸後臺頁面
入侵信息記錄
在防注入系統後臺系統設置中推薦採用“直接關閉網頁”。鎖定IP可以封掃描IP,但不推薦使用,以防誤操作一個局域網段的internet出口地址全部被封。這個自己在使用中可以慢慢體會。
5)使用從網上摘抄的源代碼後臺需要對其進行改動,尤其是上傳文件名,比如upfile.asp改爲jxic-upfile.asp。
第六節 設置安全的虛擬主機訪問權限
由於公網IP數量緊張,多個站點在一臺服務器已經很普遍,對於擁有虛擬站點的主機,我們要設置好用戶的訪問權,同時對於有子網站的用戶,單列出一個主機頭,使用自己的虛擬目錄,這樣在子網站存在漏洞被黑客入侵時也很難跨站入侵。
一、 新建web網站訪問用戶組和用戶。
原理涉及到用戶權限和組的權限,我們的目的的是新建一個組,這個組的權限是由用戶的權限來決定。只給予用戶必要的權限即可。同時也爲了避免網站訪問出現500內部錯誤問題,這個是由於IUSER帳號(默認的web訪問用戶)的三個系統文件內部時間不協調引起的。
1、 首先右鍵點擊“我的電腦”圖標-“管理”-“本地用戶和組”。
2、 左邊欄目中選擇“組”,點擊右鍵,選擇“新建組”,新建一個組名,加上描述。
3、 左邊欄目中選擇“用戶”,點擊右鍵,選擇“新建用戶”,新建一個用戶名,加上描述,設置密碼(後面IIS設置中需要此密碼),將用戶下次登陸時需更改密碼前的勾去除,同時勾選用戶不能更改密碼和密碼永不過期。
4、 在右邊欄目中選中剛創建的用戶“jxdpc-webguest”,右鍵選擇“屬性”-“隸屬於”,選擇 “Users”組後點擊“刪除”,在點擊“添加”。
5、 點擊“高級”,再點擊“立即查找”。
6、雙擊新建的組“webguestgroup”,添加到下圖所示方框後-點擊確定完成。
二、設置目錄的權限,我們把web網站放在D盤jxjw文件夾(基於安全考慮).
1、進入網站所在目錄,點右鍵選擇“屬性”。
2、選擇“安全”,將除Administrators,CREATOR OWNER,SYSTEMS的用戶組刪除。有些組提示不能刪除,是因爲繼承權限的原因,可以點擊上圖中的“高級”,將“允許父項的繼承項傳播到該對象和所有子對象”勾去除-選擇“應用”。
3、添加新建的用戶”jxdpc-webguest”。
4、給予“用戶修改、讀取和運行、列出文件夾目錄、讀取、寫入”這些權限,去除 “完全控制”權限。
三、IIS設置。
1、依次打開“開始”-“設置”-“控制面板”-“管理工具-Internet 信息服務(IIS)管理器”。
2、左邊欄目中選擇網站,點右鍵選擇“屬性”-“目錄安全性”。
3、身份驗證和訪問機制中選擇“編輯”。
4、選擇“瀏覽”-“選擇用戶”-“高級”-“立即查找”-選擇“jxdpc-webguest”用戶。
5、輸入網站訪問用戶密碼,需要輸入兩次,選擇“確定”。
四、修改所有盤符的權限,將除Administrators, SYSTEM的用戶組刪除,尤其是刪除Users組、Everyone組。刪除了EVERYONE用戶組,含義是使普通用戶不能越權,而且ASP還可以正常使用。
總結:
疑問一、有些人認爲只需要建立新用戶,將新用戶放在guest組下即可,我自己認爲建立一個單獨的組很有必要,這個組的權限是由用戶的權限的集合,guest組仍然具有一定的權限。
疑問二、完全控權限與下面所有的權限勾上是否相等,完全控制權限包括下面所有權限,我們只需要給予必要的權限,因此網站訪問來賓用戶不需要勾上完全控制權限。