国产午夜男女爽爽爽爽爽_亚洲A∨无码一区二区一二区毛片_蜜桃tv在线二三区_天天摸一摸视频寡妇_国产欧美国产精品第二区_亚洲老司机在线凹凸福利网站_大痉挛中文字幕色视频_欧美日韩性爱第一页_亚洲高清无码在线一区二区_亚洲黄片视频免费看

網(wǎng)站服務(wù)器的安全配置全攻略Win2003

2011-04-02 08:04:22

本配置僅適合Win2003,部分內(nèi)容也適合于Win2000。很多人覺(jué)得3389不安全,其實(shí)只要設(shè)置好,密碼夠長(zhǎng),攻破3389也不是件容易的事情,我覺(jué)得別的遠(yuǎn)程軟件都很慢,還是使用了3389連接。
經(jīng)測(cè)試,本配置在Win2003 + IIS6.0 + Serv-U + SQL Server 的單服務(wù)器多網(wǎng)站中一切正常。以下配置中打勾的為推薦進(jìn)行配置,打叉的為可選配置。
一、系統(tǒng)權(quán)限的設(shè)置
1、磁盤(pán)權(quán)限
系統(tǒng)盤(pán)只給 Administrators 組和 SYSTEM 的完全控制權(quán)限
其他磁盤(pán)只給 Administrators 組完全控制權(quán)限
系統(tǒng)盤(pán)\Documents and Settings 目錄只給 Administrators 組和 SYSTEM 的完全控制權(quán)限
系統(tǒng)盤(pán)\Documents and Settings\All Users 目錄只給 Administrators 組和 SYSTEM 的完全控制權(quán)限
系統(tǒng)盤(pán)\windows\system32\config\ 禁止guests組
系統(tǒng)盤(pán)\Documents and Settings\All Users\「開(kāi)始」菜單\程序\ 禁止guests組
系統(tǒng)盤(pán)\windowns\system32\inetsrv\data\ 禁止guests組
系統(tǒng)盤(pán)\Windows\System32\ at.exe、attrib.exe、cacls.exe、net.exe、net1.exe、netstat.exe、regedit.exe 文件只給 Administrators 組和 SYSTEM 的完全控制權(quán)限
在搜索框里輸入
"net.exe","net1.exe","cmd.exe","tftp.exe","netstat.exe","regedit.exe","at.exe","attrib.exe","cacls.exe","format.com","c.exe" 點(diǎn)擊搜索 然后全選 右鍵 屬性 安全

系統(tǒng)盤(pán)\Windows\System32\ cmd.exe、format.com 僅 Administrators 組完全控制權(quán)限
把所有(Windows\system32和Windows\ServicePackFiles\i386) format.com 更名為 format_nowayh.com
2、本地安全策略設(shè)置
開(kāi)始菜單->管理工具->本地安全策略
A、本地策略-->審核策略
審核策略更改 成功 失敗
審核登錄事件 成功 失敗
審核對(duì)象訪問(wèn)失敗
審核過(guò)程跟蹤 無(wú)審核
審核目錄服務(wù)訪問(wèn)失敗
審核特權(quán)使用失敗
審核系統(tǒng)事件 成功 失敗
審核賬戶(hù)登錄事件 成功 失敗
審核賬戶(hù)管理 成功 失敗
B、本地策略-->用戶(hù)權(quán)限分配
關(guān)閉系統(tǒng):只有Administrators組、其它全部刪除。
通過(guò)終端服務(wù)拒絕登陸:加入Guests組
通過(guò)終端服務(wù)允許登陸:加入Administrators、Remote Desktop Users組,其他全部刪除
C、本地策略-->安全選項(xiàng)
交互式登陸:不顯示上次的用戶(hù)名 啟用
網(wǎng)絡(luò)訪問(wèn):不允許SAM帳戶(hù)和共享的匿名枚舉 啟用
網(wǎng)絡(luò)訪問(wèn):不允許為網(wǎng)絡(luò)身份驗(yàn)證儲(chǔ)存憑證 啟用
網(wǎng)絡(luò)訪問(wèn):可匿名訪問(wèn)的共享 全部刪除
網(wǎng)絡(luò)訪問(wèn):可匿名訪問(wèn)的命全部刪除
網(wǎng)絡(luò)訪問(wèn):可遠(yuǎn)程訪問(wèn)的注冊(cè)表路徑全部刪除
網(wǎng)絡(luò)訪問(wèn):可遠(yuǎn)程訪問(wèn)的注冊(cè)表路徑和子路徑全部刪除
帳戶(hù):重命名來(lái)賓帳戶(hù)重命名一個(gè)帳戶(hù)
帳戶(hù):重命名系統(tǒng)管理員帳戶(hù) 重命名一個(gè)帳戶(hù)
D、賬戶(hù)策略-->賬戶(hù)鎖定策略
將賬戶(hù)設(shè)為“5次登陸無(wú)效”,“鎖定時(shí)間為30分鐘”,“復(fù)位鎖定計(jì)數(shù)設(shè)為30分鐘”
二、其他配置
√·
把Administrator賬戶(hù)更改
管理工具→本地安全策略→本地策略→安全選項(xiàng)
√·新建一無(wú)任何權(quán)限的假Administrator賬戶(hù)
管理工具→計(jì)算機(jī)管理→系統(tǒng)工具→本地用戶(hù)和組→用戶(hù)
更改描述:管理計(jì)算機(jī)(域)的內(nèi)置帳戶(hù)
×·重命名IIS來(lái)賓賬戶(hù)
1、管理工具→計(jì)算機(jī)管理→系統(tǒng)工具→本地用戶(hù)和組→用戶(hù)→重命名IUSR_ComputerName
2、打開(kāi) IIS 管理器→本地計(jì)算機(jī)→屬性→允許直接編輯配置數(shù)據(jù)庫(kù)
3、進(jìn)入Windows\system32\inetsrv文件夾→MetaBase.xml→右鍵編輯→找到"AnonymousUserName"→寫(xiě)入"IUSR_"新名稱(chēng)→保存
4、關(guān)閉"允許直接編輯配置數(shù)據(jù)庫(kù)"
√·禁止文件共享
本地連接屬性→去掉"Microsoft網(wǎng)絡(luò)的文件和打印共享"和"Microsoft 網(wǎng)絡(luò)客戶(hù)端"前面的"√"
√·禁止NetBIOS(關(guān)閉139端口)
本地連接屬性→TCP/IP屬性→高級(jí)→WINS→禁用TCP/IP上的NetBIOS
管理工具→計(jì)算機(jī)管理→設(shè)備管理器→查看→顯示隱藏的設(shè)備→非即插即用驅(qū)動(dòng)程序→禁用 NetBios over tcpip→重啟
√·
防火墻的設(shè)置
本地連接屬性→高級(jí)→Windows防火墻設(shè)置→高級(jí)→第一個(gè)"設(shè)置",勾選FTP、HTTP、遠(yuǎn)程桌面服務(wù)
√·禁止ADMIN$缺省共享、磁盤(pán)默認(rèn)共享、限制IPC$缺省共享(匿名用戶(hù)無(wú)法列舉本機(jī)用戶(hù)列表、禁止空連接)
新建REG文件,導(dǎo)入注冊(cè)表

Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters] "AutoshareWks"=dword:00000000 "AutoShareServer"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa] "restrictanonymous"=dword:00000001
 


√·刪除以下注冊(cè)表主鍵

 

WScript.Network WScript.Network.1 {093FF999-1EA0-4079-9525-9614C3504B74} WScript.Shell WScript.Shell.1 {72C24DD5-D70A-438B-8A42-98424B88AFB8} Shell.Application Shell.Application.1 {13709620-C279-11CE-A49E-444553540000}
 


√· 更改3389端口為12344
這里只介紹如何更改,既然本端口公布出來(lái)了,那大家就別用這個(gè)了,端口可用windows自帶的計(jì)算器將10進(jìn)制轉(zhuǎn)為16進(jìn)制,16進(jìn)制數(shù)替換下面兩個(gè)的dword:后面的值(7位數(shù),不夠的在前面補(bǔ)0),登陸的時(shí)候用10進(jìn)制,端口更改在服務(wù)器重啟后生效。新建REG文件,導(dǎo)入注冊(cè)表

 

Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] "PortNumber"=dword:0003038 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] "PortNumber"=dword:00003038
 


最后別忘了Windows防火墻允許12344端口,關(guān)閉3389端口
√·
禁止非管理員使用at命令,新建REG文件,導(dǎo)入注冊(cè)表

 

Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa] "SubmitControl"=dword:00000001
 


√·卸載最不安全的組件
運(yùn)行"卸載最不安全的組件.bat",重啟后更名或刪掉Windows\System32\里的wshom.ocx和shell32.dll

 

----------------卸載最不安全的組件.bat----------------- regsvr32/u %SystemRoot%\System32\wshom.ocx regsvr32/u %SystemRoot%\System32\shell32.dll regsvr32/u %SystemRoot%\System32\wshext.dll -------------------------------------------------------
 


√·Windows日志的移動(dòng)

 

打開(kāi)"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\"
 


Application 子項(xiàng):應(yīng)用程序日志
Security 子項(xiàng):安全日志
System 子項(xiàng):系統(tǒng)日志
分別更改子項(xiàng)的File鍵值,再把System32\config目錄下的AppEvent.Evt、SecEvent.Evt、SysEvent.Evt復(fù)制到目標(biāo)文件夾,重啟。√·
Windows日志的保護(hù)
1、移動(dòng)日志后的文件夾→屬性→安全→高級(jí)→去掉"允許父系的繼承權(quán)限……"→復(fù)制→確定
2、保留System賬戶(hù)和User組,System賬戶(hù)保留除完全控制和修改之外的權(quán)限,User組僅保留只讀權(quán)限
3、AppEvent.Evt、SysEvent.Evt保留Administrator、System賬戶(hù)和User組,Administrator、System賬戶(hù)保留除完全控制和修改之外的權(quán) 限,User組僅保留只讀權(quán)限;
DnsEvent.Evt、SecEvent.Evt保留System賬戶(hù)和User組,System賬戶(hù)保留除完全控制和修改之外的權(quán)限,User組僅保留只讀權(quán)限
√·要手動(dòng)停止/禁用的服務(wù): Computer Browser、Error reporting service、Microsoft Serch、Print Spooler、Remote Registry、Server 、TCP/IP NetBIOS Helper、Workstation
√·解決在 IIS 6.0 中,無(wú)法下載超過(guò)4M的附件(現(xiàn)改為10M)
停止IIS服務(wù)→打開(kāi)WINDOWS\system32\inetsrv\→記事本打開(kāi)MetaBase.xml→找到 AspBufferingLimit 項(xiàng)→值改為 10485760
√·
設(shè)置Web上傳單個(gè)文件最大值為10 MB
停止IIS服務(wù)→打開(kāi)WINDOWS\system32\inetsrv\→記事本打開(kāi)MetaBase.xml→找到 AspMaxRequestEntityAllowed 項(xiàng)→值改為 10485760
×·重新定位和設(shè)置 IIS 日志文件的權(quán)限
1、將 IIS 日志文件的位置移動(dòng)到非系統(tǒng)分區(qū):在非系統(tǒng)的NTFS分區(qū)新建一文件夾→打開(kāi) IIS 管理器→右鍵網(wǎng)站→屬性→單擊"啟用日志 記錄"框架中的"屬性"→更改到剛才創(chuàng)建的文件夾
2、設(shè)置 IIS 日志文件的權(quán)限:瀏覽至日志文件所在的文件夾→屬性→安全→確保Administrators和System的權(quán)限設(shè)置為"完全控制"
×·
配置 IIS 元數(shù)據(jù)庫(kù)權(quán)限
打開(kāi) Windows\System32\Inetsrv\MetaBase.xml 文件→屬性→安全→確認(rèn)只有 Administrators 組的成員和 LocalSystem 帳戶(hù)擁有對(duì)元 數(shù)據(jù)庫(kù)的完全控制訪問(wèn)權(quán),刪除所有其他文件權(quán)限→確定
解釋 Web 內(nèi)容的權(quán)限
打開(kāi)IIS管理器→右鍵想要配置的網(wǎng)站的文件夾、網(wǎng)站、目錄、虛擬目錄或文件
腳本源文件訪問(wèn),用戶(hù)可以訪問(wèn)源文件。如果選擇"讀",則可以讀源文件;如果選擇"寫(xiě)",則可以寫(xiě)源文件。腳本源訪問(wèn)包括腳本的源代碼 。如果"讀"或"寫(xiě)"均未選擇,則此選項(xiàng)不可用。
讀(默認(rèn)情況下選擇):用戶(hù)可以查看目錄或文件的內(nèi)容和屬性。
寫(xiě):用戶(hù)可以更改目錄或文件的內(nèi)容和屬性。
目錄瀏覽:用戶(hù)可以查看文件列表和集合。
日志訪問(wèn):對(duì)網(wǎng)站的每次訪問(wèn)創(chuàng)建日志項(xiàng)。
檢索資源:允許檢索服務(wù)檢索此資源。這允許用戶(hù)搜索資源。
√·關(guān)閉自動(dòng)播放
運(yùn)行組策略編輯器(gpedit.msc)→計(jì)算機(jī)配置→管理模板→系統(tǒng)→關(guān)閉自動(dòng)播放→屬性→已啟用→所有驅(qū)動(dòng)器
√·禁用DCOM
運(yùn)行Dcomcnfg.exe??刂婆_(tái)根節(jié)點(diǎn)→組件服務(wù)→計(jì)算機(jī)→右鍵單擊“我的電腦”→屬性”→默認(rèn)屬性”選項(xiàng)卡→清除“在這臺(tái)計(jì)算機(jī)上啟用分布式 COM”復(fù)選框。
√·
啟用父路徑
IIS管理器→右鍵網(wǎng)站→屬性→主目錄→配置→選項(xiàng)→啟用父路徑
√·IIS 6.0 系統(tǒng)無(wú)任何動(dòng)作超時(shí)時(shí)間和腳本超時(shí)時(shí)間
IIS管理器→右鍵網(wǎng)站→屬性→主目錄→配置→選項(xiàng)→分別改為40分鐘和180秒
√·
刪除不必要的IIS擴(kuò)展名映射
IIS管理器→右擊Web站點(diǎn)→屬性→主目錄→配置→映射,去掉不必要的應(yīng)用程序映射,主要為.shtml, .shtm, .stm
√·
增加IIS對(duì)MIME文件類(lèi)型的支持
IIS管理器→選擇服務(wù)器→右鍵→屬性→MIME類(lèi)型(或者右鍵web站點(diǎn)→屬性→HTTP頭→MIME類(lèi)型→新建)添加如下表內(nèi)容,然后重啟IIS,擴(kuò)展名MIME類(lèi)型

 

.iso application/octet-stream .rmvb application/vnd.rn-realmedia
 


√·禁止dump file的產(chǎn)生
我的電腦→右鍵→屬性→高級(jí)→啟動(dòng)和故障恢復(fù)→寫(xiě)入調(diào)試信息→無(wú)。
dump文件在系統(tǒng)崩潰和藍(lán)屏的時(shí)候是一份很有用的查找問(wèn)題的資料(不然我就照字面意思翻譯成垃圾文件了)。然而,它也能夠給黑客提供 一些敏感信息比如一些應(yīng)用程序的密碼等。
三、Serv-U FTP服務(wù)的設(shè)置
√·本地服務(wù)器→設(shè)置→攔截"FTP_bounce"攻擊和FXP
對(duì)于60秒內(nèi)連接超過(guò)10次的用戶(hù)攔截5分鐘
√·本地服務(wù)器→域→用戶(hù)→選中需要設(shè)置的賬號(hào)→右邊的"同一IP只允許2個(gè)登錄"
√·本地服務(wù)器→域→設(shè)置→高級(jí)→取消"允許MDTM命令來(lái)更改文件的日期/時(shí)間"
設(shè)置Serv-U程序所在的文件夾的權(quán)限,Administrator組完全控制,禁止Guests組和IIS匿名用戶(hù)有讀取權(quán)限
服務(wù)器消息,自上而下分別改為:

 

服務(wù)器工作正常,現(xiàn)已準(zhǔn)備就緒... 錯(cuò)誤!請(qǐng)與管理員聯(lián)系! FTP服務(wù)器正在離線維護(hù)中,請(qǐng)稍后再試! FTP服務(wù)器故障,請(qǐng)稍后再試!當(dāng)前賬戶(hù)達(dá)到最大用戶(hù)訪問(wèn)數(shù),請(qǐng)稍后再試!很抱歉,服務(wù)器不允許匿名訪問(wèn)!您上傳的東西太少,請(qǐng)上傳更多東西后再?lài)L試下載!
 


四、SQL安全設(shè)置
審核指向SQL Server的連接
企業(yè)管理器→展開(kāi)服務(wù)器組→右鍵→屬性→安全性→失敗
修改sa賬戶(hù)密碼
企業(yè)管理器→展開(kāi)服務(wù)器組→安全性→登錄→雙擊sa賬戶(hù)
SQL查詢(xún)分析器

 

use master go revoke execute on [sp_MSSetServerProperties] to [public] go revoke execute on [sp_MSsetalertinfo] to [public] go sp_dropextendedproc 'xp_cmdshell' go sp_dropextendedproc 'xp_regaddmultistring' go sp_dropextendedproc 'xp_regdeletekey' go sp_dropextendedproc 'xp_regdeletevalue' go sp_dropextendedproc 'xp_regenumvalues' go sp_dropextendedproc 'xp_regremovemultistring' go