以前做過一些windows服務器的管理工作,收集了一些網上常提到的安全設置。我自己採用了一些,實踐中確實比以前安全管理好很多了,常見的***到沒怎麼能夠破壞系統了。
剛好一個朋友需要這方面的資料,那我就寫下吧,其實都是網上能找到的文章,只是說有些部分我沒有用,只是記錄下我實際環境中設置的。
主要分爲三個部分:
第一部分 主機安全
1.磁盤安全配置,一般有四個盤符,C: SYSTEM D: WEB E:MSSQL F: BACKUP
C盤權限最上層權限就保留 administrators system 默認權限,其他權限可以不要。
D盤權限 保留 administrators
E盤權限 保留 administraors 增加 mssql獨立啓動賬戶讀取權限(後面MSSQL啓動使用,2000和2005設置都差不多)
F盤權限 保留 administrators 只是做備份的暫時只保留了這個權限
細化一下C盤,將Documents and Settings裏面的everyone權限刪除了,子目錄下的all users也有個everyone權限也可以刪除,這兩個位置刪除了我還沒發現有什麼影響。
2.關閉不需要的服務,我到是關的不多,一般就下面幾個:
我做這步到是習慣了,也要不了幾下就設置完了,有時候當然也不需要。
TCP/IP NetBIOS help
Task Scheduler(計劃任務有時候要運行一些shell,可以不關,前期我到是關閉了的)
Print Spooler
DNS Client
DHCP Client
Wireless Configuration
Help and Support
Remote Registry
3.設置本地安全策略
安全在管理工具裏面可以直接找到
主要設置本地策略裏面的三個策略子集
審覈策略,也就是一些日誌記錄功能,排錯能用上。
除了過程追蹤服務訪問,其他的我都設置了成功和失敗選擇審計
用戶權限分配
這個我以前設置過一些,後面就沒怎麼設置了
安全選項
設置重命名管理員賬戶和guest賬戶名字。
可遠程訪問的註冊表路徑 刪除值
可遠程訪問的註冊表路徑和子路徑 刪除值
LAN 管理器身份驗證級別 設置僅發送 NTLMv2 響應\拒絕 LM & NTLM,如果你服務器是***服務器就不要設置成最高級了
接下來設置下端口管理,在IP安全策略裏面,創建一個新的訪問策略,將一些不需要的端口關閉,445,139,135等等端口。
4.設置IIS服務器
這裏可能要簡單的說明一下,這個地方要設置的原因,有可能存在幾個網站,IIS默認是使用Internet 來賓帳戶這個IUSR賬戶來訪問網頁的,最好是將網站獨立開,使用獨立賬戶,對ASP比較有效,.net他用的是另外的賬戶。
例如:
創建一個web用戶,將該用戶users組刪除並加入到guests組裏面去,接着設置IIS權限,先刪除IIS默認站點,在D盤創建一個web的文件夾(我這裏以一個網站爲例),先設置訪問該目錄權限,給予讀取和寫入權限(如果嚴格的話,可以分析網站程序結構,最上層給予讀取權限,某個寫入目錄給予讀取和寫入權限),在這裏設置權限最好用高級功能細化權限,有些程序要求還有修改權限,所以在這裏有個原則就是,只要不給予運行權限,更改權限,取得所有權權限也可以,具體問題要具體分析,大體原則是這樣。設置好權限以後,再點擊網站屬性,選擇目錄安全性,設置身份驗證用戶爲web用戶。對於一個要運行的網站,也需要設置主目錄位置腳本選擇和VB的父路徑,首頁文件等,配置網站運行的我就不細說了。如果是.net的用戶這裏要設置一下network service這個用戶對這個目錄有讀取和寫入權限(權限和web用戶一樣要看實際情況來,當然運行權限這裏也也不需要),我一般選用的是這個賬戶,以前設置過iis_wpg這個組也可以,這個組裏有network service這個用戶。
第二部分 數據庫安全
常見服務器上的數據庫就是mssql和mysql,都需要設置獨立賬戶啓動,這裏就只說下mssql的設置。
我們在前面已經給予了E盤mssql讀取權限,在安裝mssql的時候在選擇安裝數據庫路徑位置的時候,選擇放到E盤。我一般定義一個mssql的目錄,對於2000他的結構在這裏很簡單,mssql下面就是應用目錄了,2005下面可能還有多層目錄,設置都差不多,只是說目錄深就多檢查下目錄權限。這裏設置給mssql用戶權限完全控制。權限設置好後,使用數據庫的管理工具,設置這個用戶權限啓動數據庫,這裏一定要設置使用工具來,手動設置服務啓動,需要設置註冊表,有點麻煩。
數據庫有agent這個服務,主要是用來自動備份,如果可以當然也可以使用mssql用戶來啓動。這裏設置mssql服務啓動,最好自己能先自己實踐一下,在測試環境自己測試好了,再使用到服務器上,這裏注意下agent服務,這個有可能設置問題導致備份不能完成,注意權限的問題。
第三部分 額外應用
一般服務器上都有FTP軟件,iis的FTP就不用設置了,沒什麼設置參數。注意如果你使用serv-u,也要啓動獨立賬戶啓動這個服務,用這個來***的太多了,所以要控制好權限。
例如
serv-u 我一般用的比較老的綠色版(6.3還是什麼的,有點忘記了,把裏面的隱藏用戶密碼改下,網上很多這樣的說明),設置三個地方就行了,serv-u軟件目錄權限爲ser-u這個獨立賬戶,對D盤web設置ser-u用戶權限(最上層D盤根也要給予serv-u用戶讀取權限),最後設置服務啓動使用serv-u,這個在服務管理器裏修改就行。
基本上我常用的就這麼多,也沒什麼技術含量,都是以前在網上找到的。
注:在給予D盤這樣的最上層根的讀取權限,只用使用高級裏面的對這個目錄有讀取權限,不用涉及到權限的子目錄,特定的子目錄使用具體的權限即可。
一般網站***後,都會有寫入權限留有後門,按時間搜索可以找到異常文件,有時候還可以使用殺毒軟件控制對文件的修改和寫入,防止再掛馬,而且還可以起到監控的作用,查到是什麼文件在修改操作,mcafee有這個功能。