說明:網上跟多關於win 2000 服務器系統的安全配置文章,但是都很零星,於是今天總結了一下,並且詳細測試經過以下配置的機器,已經完全符合一個高安全級別網站的要求。希望對大家在服務器配置過程中有個引導作用。
一、 Windows 系統配置
1.將所有磁盤分區爲NTFS分區
只安裝TCP/IP協議
安裝Service Pack 4
安裝最新的hotfix(到2004年8月30日爲止共有25個補丁)
2. 關閉所有不需要的服務
* Alerter (disable)
* ClipBook Server (disable)
* Computer Browser (disable)
* DHCP Client (disable)
* License Logging Service (disable)
* Messenger (disable)
* Netlogon (disable)
* Network DDE (disable)
* Network DDE DSDM (disable)
* Plug and Play (disable after all hardware configuration)
* Remote Procedure Call (RPC) locater (disable)
* Schedule (disable)
* Server (disable)
* Simple Services (disable)
* Spooler (disable)
* TCP/IP Netbios Helper (disable)
3.保護文件和目錄
將C:/winnt, C:/winnt/config, C:/限做限制,限制everyone的寫權限,限制winnt/system32, C:/winnt/system等目錄的訪問權,users組的讀寫權限。
4.註冊表一些條目的安全修改
1) 隱藏上次登陸的用戶名
將HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/Current Version/Winlogon/中
DontDisplayLastUserName REG_SZ 值設爲1
2)限制LSA匿名訪問
將HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/LSA中
RestricAnonymous REG_DWord 值設爲1
3) 去除所有網絡共享
將HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/LanManServer/Parameters/中
AutoShareServer REG_DWord 值設爲0
5. 移動部分重要文件並加訪問控制:
創建一個只有系統管理員能夠訪問的目錄,將system32目錄下的一些重要文件移動到此目錄
xcopy.exe, wscript.exe, CScript.exe, net.exe, ftp.exe, telnet.exe,arp.exe, edlin.exe,ping.exe,route.exe,
at.exe,finger.exe,posix.exe,rsh.exe,atsvc.exe, qbasic.exe,runonce.exe,syskey.exe,cacls.exe,
ipconfig.exe, rcp.exe, secfixup.exe, nbtstat.exe, rdisk.exe, debug.exe, regedt32.exe, regedit.exe,
edit.com, netstat.exe, tracert.exe, nslookup.exe, rexec.exe, cmd.exe
6. 使用Hisecweb.inf安全模板來配置
該模板配置基本的 Windows 2000 系統安全策略將該模板複製到 %windir%/security
/templates 目錄。
打開“安全模板”工具,查看這些設置。
打開“安全配置和分析”工具,然後裝載該模板。
右鍵單擊“安全配置和分析”工具,然後從上下文菜單中選擇“立即分析計算機”。
等候操作完成。
查看結果,如有必要就更新該模板。
右鍵單擊“安全配置和分析”工具,然後從上下文菜單中選擇“立即配置計算機”。
7.安全日誌的設置:“審覈策略更改”的9個項目,在“成功、失敗”的選框上進行選擇。
名稱XML:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
成功
失敗
審覈策略更改
YES
YES
審覈登陸事件
YES
YES
審覈對象訪問
YES
審覈過程跟蹤
YES
YES
審覈目錄服務訪問
YES
審覈特權使用
YES
審覈系統事件
YES
YES
審覈帳戶登陸事件
YES
YES
審覈帳戶管理
YES
YES
8. 禁止 Windows tftp 客戶端的使用:
使用文本編輯工具打開%systemroot%/system32/drivers/etc下的service文件找到對應的tftp那一行, 將 69/udp 替換成 0/udp。保存退出.
9. 刪掉guest帳號:
C:/>regedt32
找到HKEY_LOCAL_MACHINE窗口,選中SAM/SAM,更改Administrators權限爲全部控制,這樣我們就可以訪問SAM下的信息了。再次運行regedit:
HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users/000001F5
和 HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users/Names/Guest
刪除000001F5和Guest,然後退出regedit,再次運行regedt32,恢復Administrators對sam的權限。
10.終端服務的安全:
更改連接端口:
[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/TerminalServer/Wds/rdpwd/Tds/tcp]
PortNumber值,默認是3389,修改成所希望的端口
還有個地方:
[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Terminal Server/WinStations/RDP-Tcp]
PortNumber值,默認是3389,修改成所希望的端口
二、IIS的安全配置
1. 刪除不必要的虛擬目錄
包括IISHelp、IISAdmin、IISSamples、MSADC等,這些目錄都沒有什麼實際的作用,直接刪除。
2. 刪除危險的IIS組件
默認安裝後的有些IIS組件可能會造成安全威脅,例如 Internet服務管理器(HTML)、SMTP Service和NNTP Service、樣本頁面和腳本。
3. 爲IIS中的文件分類設置權限
除了在操作系統裏爲IIS的文件設置必要的權限外,還要在IIS管理器中爲它們設置權限。一個好的設置策略是:爲Web 站點上不同類型的文件都建立目錄,然後給它們分配適當權限。靜態文件文件夾允許讀、拒絕寫,ASP腳本文件夾允許執行、拒絕寫和讀取,EXE等可執行程序允許執行、拒絕讀寫。
4. 刪除不必要的應用程序映射
ISS中默認存在很多種應用程序映射,除了ASP的這個程序映射,其他的文件在網站上都很少用到。
5. 修改IIS日誌的設置
默認情況下,IIS的日誌存放在%WinDir%/System32/LogFiles,修改一下其存放路徑。修改日誌訪問權限,設置只有管理員才能訪問。
6.打開“應用程序調試”,將“腳本錯誤消息”改爲“發送文本”,再定義一個錯誤信息頁面。
三、Serv-U FTP Server的配置
1. 使用最新版的,避免舊版的緩衝區溢出漏洞。
2.設置用戶的 “最大上傳速度、最大下載速度(KB/秒)”的選項。把“空閒超時、任務超時、最大用戶數”的選項設置默認10分鐘。而最大用戶數限制在1~2個用戶,不必要採取無限制用戶的做法。
3. 設置 “允許MDTM命令來更改文件的日期/時間”的選項取消,目的是不允許用戶更改文件的修改日期和時防止觸發緩衝區溢出。
四.MSSQL服務器配置
1. 刪除存儲過程:
刪除XP_cmdshell 存儲過程,sp_dropextendproc ‘XP_cmdshell’,最好直接刪除XPlog70.dll
還有:XP_regenumvalues, XP_regread, XP_regwrite, XP_regdeletevalue,
XP_regdeletekey,XP_regaddmultistring,XP_regremovemutilstring,
XP_instance_regaddmutistring,XP_instance_regdeletevalue,XP-instance_regnumkeys,XP_instance_regread,
XP_instance_regremovemultistring,
XP_dirtree,XP_subdirs,XP_fileexit,XP_getfiledetails,
sp_OACreate,sp_Oageterrorinfo,sp_OAMethod,sp_getproperty,sp_Oamethod,sp_setproperty,sp_Oastop,
XP_makecab,XP_makewebtask,XP_runwebtask,XP_readerrorlog,
2.用戶權限設置:
只賦予連接數據庫用戶:db_reader,db_writer權限。
注:以上是詳細總結的安全配置過程,按照以上的配置一步一步實施,在不加載第三方軟件防火牆的情況下,你的系統基本上是很安全的了,當然對於DDOS等攻擊,如果在服務器前,還有硬件防火牆的情況下,可以稱作堡壘機了。)
文章來自: 站長網(www.admin5.com) 詳文參考:http://www.admin5.com/article/20070331/39106.shtml
