WIN服务器安全配置终极技巧1Word文件下载.docx
- 文档编号:3734391
- 上传时间:2023-05-02
- 格式:DOCX
- 页数:27
- 大小:842.45KB
WIN服务器安全配置终极技巧1Word文件下载.docx
《WIN服务器安全配置终极技巧1Word文件下载.docx》由会员分享,可在线阅读,更多相关《WIN服务器安全配置终极技巧1Word文件下载.docx(27页珍藏版)》请在冰点文库上搜索。
在用做web/ftp服务器的系统里,建议是将这些目录都设置的锁死。
其他每个盘的目录都按照这样设置,没个盘都只给adinistrators权限。
另外,还将:
net.exe,cmd.exe,tftp.exe,netstat.exe,regedit.exe,at.exe,attrib.exe,cacls.exe,这些文件都设置只允许administrators访问。
把不必要的服务都禁止掉,尽管这些不一定能被攻击者利用得上,但是按照安全规则和标准上来说,多余的东西就没必要开启,减少一份隐患。
在"
网络连接"
里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP),由于要控制带宽流量服务,额外安装了Qos数据包计划程序。
在高级tcp/ip设置里--"
NetBIOS"
设置"
禁用tcp/IP上的NetBIOS(S)"
。
在高级选项里,使用"
Internet连接防火墙"
,这是windows2003自带的防火墙,在2000系统里没有的功能,虽然没什么功能,但可以屏蔽端口,这样已经基本达到了一个IPSec的功能。
IIS的安全:
删掉c:
/inetpub目录,删除iis不必要的映射
首先是每一个web站点使用单独的IIS用户,譬如这里,新建立了一个名为,权限为guest的。
在IIS里的站点属性里“目录安全性”---“身份验证和访问控制”里设置“匿名访问使用下列Windows用户帐户”的用户名密码都使用这个用户的信息。
在这个站点相对应的web目录文件,默认的只给IIS用户的读取和写入权限(后面有更BT的设置要介绍)。
应用程序配置"
里,我们给必要的几种脚本执行权限:
ASP.ASPX、PHP
ASP,ASPX默认都提供映射支持了的,对于PHP,需要新添加响应的映射脚本,然后在web服务扩展将ASP,ASPX都设置为允许,对于php以及CGI的支持,需要新建web服务扩展,在扩展名(X):
下输入php,再在要求的文件(E):
里添加地址C:
/php/sapi/php4isapi.dll,并勾选设置状态为允许(S)。
然后点击确定,这样IIS就支持PHP了。
支持CGI同样也是如此。
要支持ASPX,还需要给web根目录给上users用户的默认权限,才能使ASPX能执行。
另外在应用程序配置里,设置调试为向客户端发送自定义的文本信息,这样能对于有ASP注入漏洞的站点,可以不反馈程序报错的信息,能够避免一定程度的攻击。
在自定义HTTP错误选项里,有必要定义下譬如404,500等错误,不过有有时候为了调试程序,好知道程序出错在什么地方,建议只设置404就可以了。
IIS6.0由于运行机制的不同,出现了应用程序池的概念。
一般建议10个左右的站点共用一个应用程序池,应用程序池对于一般站点可以采用默认设置,
可以在每天凌晨的时候回收一下工作进程。
新建立一个站,采用默认向导,在设置中注意以下在应用程序设置里:
执行权限为默认的纯脚本,应用程序池使用独立的名为:
315safe的程序池。
名为315safe的应用程序池可以适当设置下"
内存回收"
:
这里的最大虚拟内存为:
1000M,最大使用的物理内存为256M,这样的设置几乎是没限制这个站点的性能的。
在应用程序池里有个"
标识"
选项,可以选择应用程序池的安全性帐户,默认才用网络服务这个帐户,大家就不要动它,能尽量以最低权限去运行大,隐患也就更小些。
在一个站点的某些目录里,譬如这个"
uploadfile"
目录,不需要在里面运行asp程序或其他脚本的,就去掉这个目录的执行脚本程序权限,在"
应用程序设置"
的"
执行权限"
这里,默认的是"
纯脚本"
,我们改成"
无"
,这样就只能使用静态页面了。
依次类推,大凡是不需要asp运行的目录,譬如数据库目录,图片目录等等里都可以这样做,这样主要是能避免在站点应用程序脚本出现bug的时候,譬如出现从前流行的upfile漏洞,而能够在一定程度上对漏洞有扼制的作用。
在默认情况下,我们一般给每个站点的web目录的权限为IIS用户的读取和写入,如图:
但是我们现在为了将SQL注入,上传漏洞全部都赶走,我们可以采取手动的方式进行细节性的策略设置。
1、给web根目录的IIS用户只给读权限。
如图:
然后我们对响应的uploadfiles/或其他需要存在上传文件的目录额外给写的权限,并且在IIS里给这个目录无脚本运行权限,这样即使网站程序出现漏洞,入侵者也无法将asp木马写进目录里去,呵呵,不过没这么简单就防止住了攻击,还有很多工作要完成。
如果是MS-SQL数据库的,就这样也就OK了,但是Access的数据库的话,其数据库所在的目录,或数据库文件也得给写权限,然后数据库文件没必要改成.asp的。
这样的后果大家也都知道了把,一旦你的数据库路径被暴露了,这个数据库就是一个大木马,够可怕的。
其实完全还是规矩点只用mdb后缀,这个目录在IIS里不给执行脚本权限。
然后在IIS里加设置一个映射规律,如图:
这里用任意一个dll文件来解析.mdb后缀名的映射,只要不用asp.dll来解析就可以了,这样别人即使获得了数据库路径也无法下载。
这个方法可以说是防止数据库被下载的终极解决办法了。
服务器安全设置
1.系统盘和站点放置盘必须设置为NTFS格式,方便设置权限.
2.系统盘和站点放置盘除administrators和system的用户权限全部去除.
3.启用windows自带防火墙,只保留有用的端口,比如远程和Web,Ftp(3389,80,21)等等,有邮件服务器的还要打开25和130端口.
4.安装好SQL后进入目录搜索xplog70然后将找到的三个文件改名或者删除.
5.更改sa密码为你都不知道的超长密码,在任何情况下都不要用sa这个帐户.
6.改名系统默认帐户名并新建一个Administrator帐户作为陷阱帐户,设置超长密码,并去掉所有用户组.(就是在用户组那里设置为空即可.让这个帐号不属于任何用户组)同样改名禁用掉Guest用户.
7.配置帐户锁定策略(在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略,将账户设为“三次登陆无效”,“锁定时间30分钟”,“复位锁定计数设为30分钟”。
)
8.在安全设置里本地策略-安全选项将
网络访问:
可匿名访问的共享;
网络访问:
可匿名访问的命名管道;
可远程访问的注册表路径;
可远程访问的注册表路径和子路径;
以上四项清空.
9.在安全设置里本地策略-安全选项通过终端服务拒绝登陆加入
ASPNET
Guest
IUSR_*****
IWAM_*****
NETWORKSERVICE
SQLDebugger
(****表示你的机器名,具体查找可以点击添加用户或组选高级选立即查找在底下列出的用户列表里选择.注意不要添加进user组和administrators组添加进去以后就没有办法远程登陆了.)
10.去掉默认共享,将以下文件存为reg后缀,然后执行导入即可.
WindowsRegistryEditorVersion5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
AutoShareServer"
=dword:
00000000
AutoSharewks"
11.禁用不需要的和危险的服务,以下列出服务都需要禁用.
Alerter发送管理警报和通知
ComputerBrowser:
维护网络计算机更新
DistributedFileSystem:
局域网管理共享文件
Distributedlinktrackingclient用于局域网更新连接信息
Errorreportingservice发送错误报告
RemoteProcedureCall(RPC)LocatorRpcNs*远程过程调用(RPC)
RemoteRegistry远程修改注册表
Removablestorage管理可移动媒体、驱动程序和库
RemoteDesktopHelpSessionManager远程协助
RoutingandRemoteAccess在局域网以及广域网环境中为企业提供路由服务
Messenger消息文件传输服务
NetLogon域控制器通道管理
NTLMSecuritysupportprovidetelnet服务和MicrosoftSerch用的
PrintSpooler打印服务
telnettelnet服务
Workstation泄漏系统用户名列表
12.更改本地安全策略的审核策略
账户管理成功失败
登录事件成功失败
对象访问失败
策略更改成功失败
特权使用失败
系统事件成功失败
目录服务访问失败
账户登录事件成功失败
13.更改有可能会被提权利用的文件运行权限,找到以下文件,将其安全设置里除administrators用户组全部删除,重要的是连system也不要留.
net.exe
net1.exe
cmd.exe
tftp.exe
netstat.exe
regedit.exe
at.exe
attrib.exe
cacls.exe
c.exe特殊文件有可能在你的计算机上找不到此文件.
在搜索框里输入
net.exe"
"
net1.exe"
cmd.exe"
tftp.exe"
netstat.exe"
regedit.exe"
at.exe"
attrib.exe"
cacls.exe"
c.exe"
点击搜索然后全选右键属性安全
以上这点是最最重要的一点了,也是最最方便减少被提权和被破坏的可能的防御方法了.
14.后备工作,将当前服务器的进程抓图或记录下来,将其保存,方便以后对照查看是否有不明的程序。
将当前开放的端口抓图或记录下来,保存,方便以后对照查看是否开放了不明的端口。
当然如果你能分辨每一个进程,和端口这一步可以省略。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- WIN 服务器 安全 配置 终极 技巧