端口限制通常是網絡管理的基本手段之一,具體端口的開放與關閉,需要根據實際情況來考慮。關閉端口操作:本地連接--屬性--Internet協議(TCP/IP)--高級--選項--TCP/IP篩選--屬性--把勾打上,然後添加你需要的端口,重新啓動即可。
當然也可以更改遠程連接端口方法:
我們可以寫一個.REG文件,如下:
| Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE / SYSTEM/ Current ControlSet / Control / Terminal Server/WinStations/RDP-Tcp] "PortNumber"=dword:00002683 |
雙擊我們生成的文件,更改數據值,確認重啓即可生效。
在2003系統裏,用TCP/IP篩選裏的端口過濾功能,使用FTP服務器的時候,只需開放21端口,在進行FTP傳輸的時候,FTP 特有的Port模式和Passive模式,在進行數據傳輸的時候,需要動態的打開高端口,所以在使用TCP/IP過濾的情況下,經常會出現連接上後無法列 出目錄和數據傳輸的問題。所以2003系統上增加的Windows連接防火牆能很好的解決這個問題,筆者不推薦使用網卡的TCP/IP過濾功能。
如果要關閉不必要的端口,在/system32/drivers/etc/services用記事本打開修改。另外還有一中更簡單的方法,啓用WIN2003的自身帶的網絡防火牆,並進行端口的改變。
Internet 連接防火牆可以有效地攔截對Windows 2003服務器的非法入侵,防止非法遠程主機對服務器的掃描,提高Windows 2003服務器的安全性。同時,也可以有效攔截利用操作系統漏洞進行端口攻擊的病毒。合理配置利用Windows 2003的防火牆功能,能夠對整個內部網絡起到很好的保護作用。
二.服務與審覈策略管理
是系統就必然需要服務,然而不是每一個服務都適用於所有用戶的,合理的關閉一些服務,可以減輕系統很多的負擔。通常情況下,如下服務可以關閉:
| Computer Browser 維護網絡上計算機的最新列表以及提供這個列表 Task scheduler 允許程序在指定時間運行 Messenger 傳輸客戶端和服務器之間的 NET SEND 和 警報器服務消息 Distributed File System: 局域網管理共享文件,不需要禁用 Distributed linktracking client:用於局域網更新連接信息,不需要禁用 Error reporting service:禁止發送錯誤報告 Microsoft Serch:提供快速的單詞搜索,不需要可禁用 NTLMSecuritysupportprovide:telnet服務和Microsoft Serch用的,不需要禁用 PrintSpooler:如果沒有打印機可禁用 Remote Registry:禁止遠程修改註冊表 Remote Desktop Help Session Manager:禁止遠程協助 Workstation關閉的話遠程NET命令列不出用戶組。 |
在"網絡連接"裏,把不需要的協議和服務都刪掉,這裏只安裝了基本的Internet協議(TCP/IP),由於要控制帶寬流量服務,額外安裝 了Qos數據包計劃程序。在高級tcp/ip設置裏--"NetBIOS"設置"禁用tcp/IP上的NetBIOS(S)"。在高級選項裏,使用 "Internet連接防火牆",這是windows 2003 自帶的防火牆,在2000系統裏沒有的功能,雖然沒什麼功能,但可以屏蔽端口,這樣已經基本達到了一個IPSec的功能。
在運行中輸入gpedit.msc回車,打開組策略編輯器,選擇計算機配置-Windows設置-安全設置-審覈策略在創建審覈項目時需要注意 的是如果審覈的項目過多,那麼要想發現嚴重的事件也越難,當然如果審覈的太少也會影響你發現嚴重的事件,你需要根據情況在這二者之間做出選擇。
推薦的要審覈的項目主要有:
| 登錄事件 賬戶登錄事件 系統事件 策略更改 對象訪問 目錄服務訪問 特權使用 |
三、關閉默認共享的空連接
這個就不必多說了,敞開門讓別人拿,用戶一定不會幹!
四、磁盤權限設置
C盤只給administrators和system權限,其他的盤也可以這樣設置。Windows目錄要加上給users的默認權限,否則ASP和ASPX等應用程序就無法運行。以前有朋友單獨設置Instsrv和temp等目錄權限,其實沒有這個必要的。
另外在c:/Documents and Settings/這裏相當重要,後面的目錄裏的權限根本不會繼承從前的設置,如果僅僅只是設置了C盤給administrators權限,而在All Users/Application Data目錄下會 出現everyone用戶有完全控制權限,這樣入侵這可以跳轉到這個目錄,寫入腳本或只文件,再結合其他漏洞來提升權限;譬如利用serv-u的本地溢出 提升權限,或系統遺漏有補丁,數據庫的弱點,甚至社會工程學等等N多方法。曾經有牛人云:"只要給我一個webshell,我就能拿到system",防 微杜漸還是塌實些。在用做web/ftp服務器的系統裏,建議是將這些目錄都設置的鎖死,每個盤都只給adimistrators權限。
另外,還需要將:
| net.exe NET命令 cmd.exe tftp.exe netstat.exe regedit.exe 註冊表啦 用電腦的人都知道 at.exe attrib.exe cacls.exe ACL用戶組權限設置,此命令可以在NTFS下設置任何文件夾的任何權限。 format.exe 超級強悍,還是不說了 |
這些文件都設置只允許administrator訪問。
五、防火牆、殺毒軟件的安裝
曾經還有人炫耀自己的裸機,但如今真的沒多少人敢如此忽視殺毒軟件的存在。由於對殺毒軟件各方看法不一,這裏就迎各位的喜好了!
六、SQL2000 SERV-U FTP安全設置
SQL安全方面
1、System Administrators 角色最好不要超過兩個
2、如果是在本機最好將身份驗證配置爲Win登陸
3、不要使用Sa賬戶,或爲其配置一個超級複雜的密碼
4、刪除以下的擴展存儲過程格式爲:
| use master sp_dropextendedproc '擴展存儲過程名' xp_cmdshell:是進入操作系統的最佳捷徑,刪除 訪問註冊表的存儲過程,刪除 Xp_regaddmultistringXp_regdeletekeyXp_regdeletevalueXp_regenumvalues Xp_regread Xp_regwrite Xp_regremovemultistring OLE自動存儲過程,不需要,刪除 Sp_OACreate Sp_OADestroySp_OAGetErrorInfoSp_OAGetProperty Sp_OAMethodSp_OASetPropertySp_OAStop |
5、隱藏 SQL Server、更改默認的1433端口。
右擊選屬性-常規-網絡配置中選擇TCP/IP協議的屬性,選擇隱藏 SQL Server 實例,並改原默認的1433端口。
serv-u的幾點常規安全需要設置下:
選中"Block "FTP_bounce"attack and FXP"。什麼是FXP呢?通常,當使用FTP協議進行文件傳輸時,客戶端首先向FTP服務器發出一個"PORT"命令,該命令中包含此用戶的IP地址和 將被用來進行數據傳輸的端口號,服務器收到後,利用命令所提供的用戶地址信息建立與用戶的連接。大多數情況下,上述過程不會出現任何問題,但當客戶端是一 名惡意用戶時,可能會通過在PORT命令中加入特定的地址信息,使FTP服務器與其它非客戶端的機器建立連接。雖然這名惡意用戶可能本身無權直接訪問某一 特定機器,但是如果FTP服務器有權訪問該機器的話,那麼惡意用戶就可以通過FTP服務器作爲中介,仍然能夠最終實現與目標服務器的連接。這就是FXP, 也稱跨服務器攻擊。選中後就可以防止發生此種情況。
七、IIS安全設置
IIS的安全:
1、不使用默認的Web站點,如果使用也要將IIS目錄與系統磁盤分開。
2、刪除IIS默認創建的Inetpub目錄(在安裝系統的盤上)。
3、刪除系統盤下的虛擬目錄,如:_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。
4、刪除不必要的IIS擴展名映射。
右鍵單擊“默認Web站點→屬性→主目錄→配置”,打開應用程序窗口,去掉不必要的應用程序映射。主要爲.shtml、.shtm、 .stm。
5、更改IIS日誌的路徑
右鍵單擊“默認Web站點→屬性-網站-在啓用日誌記錄下點擊屬性
6、如果使用的是2000可以使用iislockdown來保護IIS,在2003運行的IE6.0的版本不需要。
八、其它
1、系統升級、打操作系統補丁,尤其是IIS 6.0補丁、SQL SP3a補丁,甚至IE 6.0補丁也要打。同時及時跟蹤最新漏洞補丁;
2、停掉Guest 帳號、並給guest 加一個異常複雜的密碼,把Administrator改名或僞裝!
3、隱藏重要文件/目錄
可以修改註冊表實現完全隱藏:
“HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/ Current-Version/Explorer/Advanced/Folder/Hi-dden/SHOWALL”,鼠標右擊 “CheckedValue”,選擇修改,把數值由1改爲0。
4、啓動系統自帶的Internet連接防火牆,在設置服務選項中勾選Web服務器。
5、防止SYN洪水攻擊。
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters
新建DWORD值,名爲SynAttackProtect,值爲2
6. 禁止響應ICMP路由通告報文
HKEY_LOCAL_MACHINE / SYSTEM / CurrentControlSet/ Services/Tcpip/Parameters/Interfaces/interface
新建DWORD值,名爲PerformRouterDiscovery 值爲0。
7. 防止ICMP重定向報文的攻擊
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters
將EnableICMPRedirects 值設爲0
8. 不支持IGMP協議
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters
新建DWORD值,名爲IGMPLevel 值爲0。
9、禁用DCOM:
運行中輸入Dcomcnfg.exe。回車,單擊“控制檯根節點”下的“組件服務”。 打開“計算機”子文件夾。
對於本地計算機,請以右鍵單擊“我的電腦”,然後選擇“屬性”。選擇“默認屬性”選項卡。
清除“在這臺計算機上啓用分佈式 COM”複選框。
最後,建議用戶在配置每一步時,需要進行相關的測試,避免意外的發生。