windows服務器(qì)詳細安全設置

發表日期：2014-11-08 文章編輯：浏覽次數(shù)：18 标簽：

1)、系統安全基本設置

1.安裝說明(míng)：系統全部NTFS格式化，重新安裝系統（采用原版win2003）,安裝殺毒軟件(Mcafee)，并将殺毒軟件更新，安裝sp2補釘，安裝IIS（隻安裝必須的組件）,安裝SQL2000，安裝.net2.0,開(kāi)啓防火(huǒ)牆。并将服務器(qì)打上(shàng)最新的補釘。

2)、關閉不需要的服務

Computer Browser:維護網絡計(jì)算(suàn)機更新，禁用　　

Distributed File System: 局域網管理(lǐ)共享文件，不需要禁用　　

Distributed linktracking client：用于局域網更新連接信息，不需要禁用　　

Error reporting service：禁止發送錯誤報告　　

Microsoft Serch：提供快速的單詞搜索，不需要可(kě)禁用　　

NTLMSecuritysupportprovide：telnet服務和(hé)Microsoft Serch用的，不需要禁用　　

PrintSpooler：如果沒有(yǒu)打印機可(kě)禁用　　

Remote Registry：禁止遠程修改注冊表　　

Remote Desktop Help Session Manager：禁止遠程協助其他服務有(yǒu)待核查

3)、設置和(hé)管理(lǐ)賬戶

1、将Guest賬戶禁用并更改名稱和(hé)描述，然後輸入一個(gè)複雜的密碼

2、系統管理(lǐ)員賬戶最好少(shǎo)建，更改默認的管理(lǐ)員帳戶名(Administrator)和(hé)描述，密碼最好采用數(shù)字加大(dà)小(xiǎo)寫字母加數(shù)字的上(shàng)檔鍵組合，長度最好不少(shǎo)于10位

3、新建一個(gè)名為(wèi)Administrator的陷阱帳号，為(wèi)其設置最小(xiǎo)的權限，然後随便輸入組合的最好不低(dī)于20位的密碼

4、計(jì)算(suàn)機配置-Windows設置-安全設置-賬戶策略-賬戶鎖定策略，将賬戶設為(wèi)“三次登陸無效時(shí)間(jiān)為(wèi)30分鍾

5、在安全設置-本地策略-安全選項中将“不顯示上(shàng)次的用戶名”設為(wèi)啓用

6、在安全設置-本地策略-用戶權利分配中将“從網絡訪問此計(jì)算(suàn)機”中隻保留Internet來(lái)賓賬戶、啓動IIS進程賬戶,Aspnet賬戶

7、創建一個(gè)User賬戶，運行(xíng)系統，如果要運行(xíng)特權命令使用Runas命令。

4）、打開(kāi)相應的審核策略

審核策略更改:成功

審核登錄事件:成功,失敗

審核對象訪問:失敗

審核對象追蹤:成功,失敗

審核目錄服務訪問:失敗

審核特權使用:失敗

審核系統事件:成功,失敗

審核賬戶登錄事件:成功,失敗

審核賬戶管理(lǐ):成功,失敗

5）、其它安全相關設置

1、禁止C$、D$、ADMIN$一類的缺省共享　　

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters，在右邊的窗口中新建Dword值，名稱設為(wèi)AutoShareServer值設為(wèi)0

2、解除NetBios與TCP/IP協議的綁定　

右擊網上(shàng)鄰居-屬性-右擊本地連接-屬性-雙擊Internet協議-高(gāo)級-Wins-禁用TCP/IP上(shàng)的 NETBIOS

3、隐藏重要文件/目錄　　

可(kě)以修改注冊表實現完全隐藏： “HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrent-VersionExplorerAdvancedFol derHi-ddenSHOWALL”，鼠标右擊“CheckedValue”，選擇修改，把數(shù)值由1改為(wèi)0

4、防止SYN洪水(shuǐ)攻擊　　

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 新建DWORD 值，名為(wèi)SynAttackProtect，值為(wèi)2

5、禁止響應ICMP路由通(tōng)告報文

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfacesinterface 新建DWORD值，名為(wèi)PerformRouterDiscovery 值為(wèi)0

6. 防止ICMP重定向報文的攻擊

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 将EnableICMPRedirects 值設為(wèi)0

7、不支持IGMP協議

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 新建DWORD 值，名為(wèi)IGMPLevel 值為(wèi)0

8、禁用DCOM：運行(xíng)中輸入 Dcomcnfg.exe。回車(chē)，單擊“控制(zhì)台根節點”下的“組件服務”。打開(kāi)“計(jì)算(suàn)機”子文件夾。　　

對于本地計(jì)算(suàn)機，請(qǐng)以右鍵單擊“我的電(diàn)腦(nǎo)”，然後選擇“屬性”。選擇“默認屬性”選項卡。清除“在這台計(jì)算(suàn)機上(shàng)啓用分布式 COM”複選框。

9、終端服務的默認端口為(wèi)3389，可(kě)考慮修改為(wèi)别的端口。

修改方法為(wèi)：服務器(qì)端：打開(kāi)注冊表，在“HKLM\SYSTEM\Current ControlSet\Control\Terminal Server\Win Stations” 處找到類似RDP-TCP的子鍵，修改PortNumber值。客戶端：按正常步驟建一個(gè)客戶端連接，選中這個(gè)連接，在“文件”菜單中選擇導出，在指定位置會(huì) 生(shēng)成一個(gè)後綴為(wèi).cns的文件。打開(kāi)該文件，修改“Server Port”值為(wèi)與服務器(qì)端的PortNumber對應的值。然後再導入該文件（方法：菜單→文件→導入），這樣客戶端就修改了端口。

6）、配置 IIS 服務　　

1、不使用默認的Web站(zhàn)點，如果使用也要将将IIS目錄與系統磁盤分開(kāi)。　　

2、删除IIS默認創建的Inetpub目錄（在安裝系統的盤上(shàng)）。　　

3、删除系統盤下的虛拟目錄，如：_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、 MSADC。　　

4、删除不必要的IIS擴展名映射。　　右鍵單擊“默認Web站(zhàn)點→屬性→主目錄→配置”，打開(kāi)應用程序窗口，去掉不必要的應用程序映射。主要為(wèi).shtml, .shtm, .stm 　　

5、更改IIS日志(zhì)的路徑　右鍵單擊“默認Web站(zhàn)點→屬性-網站(zhàn)-在啓用日志(zhì)記錄下點擊屬性　　

6、如果使用的是2000可(kě)以使用iislockdown來(lái)保護IIS，在2003運行(xíng)的IE6.0的版本不需要。

7、使用UrlScan 　　

UrlScan是一個(gè)ISAPI篩選器(qì)，它對傳入的HTTP數(shù)據包進行(xíng)分析并可(kě)以拒絕任何可(kě)疑的通(tōng)信量。目前最新的版本是2.5，如果是2000Server需要先安裝1.0或2.0的版本。　　如果沒有(yǒu)特殊的要求采用UrlScan默認配置就可(kě)以了。　　但(dàn)如果你(nǐ)在服務器(qì)運行(xíng)ASP.NET程序，并要進行(xíng)調試你(nǐ)需打開(kāi)要 %WINDIR%System32InetsrvURLscan，文件夾中的URLScan.ini 文件，然後在UserAllowVerbs節添加debug謂詞，注意此節是區(qū)分大(dà)小(xiǎo)寫的。　　如果你(nǐ)的網頁是.asp網頁你(nǐ)需要在DenyExtensions删除.asp相關的內(nèi)容。　　如果你(nǐ)的網頁使用了非ASCII代碼，你(nǐ)需要在Option節中将AllowHighBitCharacters的值設為(wèi)1 　　在對URLScan.ini 文件做(zuò)了更改後，你(nǐ)需要重啓IIS服務才能生(shēng)效，快速方法運行(xíng)中輸入iisreset 　　如果你(nǐ)在配置後出現什麽問題，你(nǐ)可(kě)以通(tōng)過添加/删除程序删除UrlScan。　　

8、利用WIS (Web Injection Scanner)工具對整個(gè)網站(zhàn)進行(xíng)SQL Injection 脆弱性掃描.

7）、配置Sql服務器(qì)　　

1、System Administrators 角色最好不要超過兩個(gè)　　

3、不要使用Sa賬戶，為(wèi)其配置一個(gè)超級複雜的密碼　　

4、删除以下的擴展存儲過程格式為(wèi)：　　

use master 　　sp_dropextendedproc '擴展存儲過程名' 　　

xp_cmdshell：是進入操作(zuò)系統的最佳捷徑，删除　　訪問注冊表的存儲過程，

删除　　

Xp_regaddmultistring　　Xp_regdeletekey　　Xp_regdeletevalue　　Xp_regenumvalues 　　Xp_regread　　　　　 Xp_regwrite　　　 Xp_regremovemultistring 　　

OLE自動存儲過程，不需要删除　　

Sp_OACreate　　Sp_OADestroy　　　　Sp_OAGetErrorInfo　　Sp_OAGetProperty 　　Sp_OAMethod　　Sp_OASetProperty　　Sp_OAStop

5、隐藏 SQL Server、更改默認的1433端口　　

右擊實例選屬性-常規-網絡配置中選擇TCP/IP協議的屬性，選擇隐藏 SQL Server 實例，并改原默認的1433端口。

8）、修改系統日志(zhì)保存地址默認位置為(wèi) 應用程序日志(zhì)、安全日志(zhì)、系統日志(zhì)、DNS日志(zhì)默認位置：%systemroot%\system32\config，默認文件大(dà)小(xiǎo)512KB，管理(lǐ)員都會(huì)改變這個(gè)默認大(dà)小(xiǎo)。

安全日志(zhì)文件：%systemroot%\system32\config\SecEvent.EVT 系統日志(zhì)文件：%systemroot%\system32\config\SysEvent.EVT 應用程序日志(zhì)文件：%systemroot%\system32\config\AppEvent.EVT Internet信息服務FTP日志(zhì)默認位置：%systemroot%\system32\logfiles\msftpsvc1\，默認每天一個(gè)日志(zhì) Internet信息服務WWW日志(zhì)默認位置：%systemroot%\system32\logfiles\w3svc1\，默認每天一個(gè)日志(zhì) Scheduler(任務計(jì)劃)服務日志(zhì)默認位置：%systemroot%\schedlgu.txt 應用程序日志(zhì)，安全日志(zhì)，系統日志(zhì)，DNS服務器(qì)日志(zhì)，它們這些(xiē)LOG文件在注冊表中的： HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog Schedluler(任務計(jì)劃)服務日志(zhì)在注冊表中 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent SQL 删掉或改名xplog70.dll [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters] "AutoShareServer"=dword:00000000 "AutoShareWks"=dword:00000000 // AutoShareWks 對pro版本 // AutoShareServer 對server版本 // 0

禁止管理(lǐ)共享admin$,c$,d$之類默認共享 [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA] "restrictanonymous"=dword:00000001 //0x1 匿名用戶無法列舉本機用戶列表 //0x2 匿名用戶無法連接本機IPC$共享(可(kě)能sql server不能夠啓動

9）、本地安全策略

1．隻開(kāi)放服務需要的端口與協議。具體(tǐ)方法為(wèi)：按順序打開(kāi)“網上(shàng)鄰居→屬性→本地連接→屬性→Internet 協議→屬性→高(gāo)級→選項→ TCP/IP篩選→屬性”，添加需要的TCP、UDP端口以及IP協議即可(kě)。根據服務開(kāi)設口，常用的TCP 口有(yǒu)：80口用于Web服務；21用于FTP服務；25口用于SMTP；23口用于Telnet服務；110口用于POP3。常用的UDP端口有(yǒu)：53口－DNS域名解析服務；161口－snmp簡單的網絡管理(lǐ)協議。 8000、4000用于OICQ，服務器(qì)用8000來(lái)接收信息，客戶端用4000發送信息。封TCP端口: 21(FTP,換FTP端口)23(TELNET),53(DNS),135,136,137,138,139,443,445,1028,1433,3389 可(kě)封TCP端口:1080,3128,6588,8080(以上(shàng)為(wèi)代理(lǐ)端口).25(SMTP),161(SNMP),67(引導) 封UDP端口:1434(這個(gè)就不用說了吧(ba)) 封所有(yǒu)ICMP,即封PING 以上(shàng)是最常被掃的端口,有(yǒu)别的同樣也封,當然因為(wèi)80是做(zuò)WEB用的

2、禁止建立空(kōng)連接默認情況下，任何用戶可(kě)通(tōng)過空(kōng)連接連上(shàng)服務器(qì)，枚舉賬号并猜測密碼。空(kōng)連接用的端口是139，通(tōng)過空(kōng)連接，可(kě)以複制(zhì)文件到遠端服務器(qì)，計(jì)劃執行(xíng)一個(gè)任務，這就是一個(gè)漏洞。可(kě)以通(tōng)過以下兩種方法禁止建立空(kōng)連接：

（1）修改注冊表中　Local_Machine\System\ CurrentControlSet\Control\LSA-RestrictAnonymous 的值為(wèi)1。

（2）修改Windows 2000的本地安全策略。設置“本地安全策略→本地策略→選項”中的 RestrictAnonymous（匿名連接的額外限制(zhì)）為(wèi)“不容許枚舉SAM賬号和(hé)共享”。首先，Windows 2000的默認安裝允許任何用戶通(tōng)過空(kōng)連接得(de)到系統所有(yǒu)賬号和(hé)共享列表，這本來(lái) 是為(wèi)了方便局域網用戶共享資源和(hé)文件的，但(dàn)是，同時(shí)任何一個(gè)遠程用戶也可(kě)以通(tōng)過同樣的方法得(de) 到您的用戶列表，并可(kě)能使用暴力法破解用戶密碼給整個(gè)網絡帶來(lái)破壞。很(hěn)多(duō)人(rén)都隻知道(dào)更改注冊表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous = 1來(lái)禁止空(kōng)用戶連接，實際上(shàng)Windows 2000的本地安全策略裏（如果是域服務器(qì)就是在域服務器(qì)安全和(hé)域安全策略裏）就有(yǒu)RestrictAnonymous選項，其中有(yǒu)三個(gè)值：“0”這個(gè)值是系統默認的，沒有(yǒu)任何限制(zhì)，遠程用戶可(kě)以知道(dào)您機器(qì)上(shàng)所有(yǒu)的賬号、組信息、共享目錄、網絡傳輸列表(NetServerTransportEnum)等；“1” 這個(gè)值是隻允許非NULL用戶存取SAM賬号信息和(hé)共享信息；“2”這個(gè)值隻有(yǒu)Windows 2000才支持，需要注意的是，如果使用了這個(gè)值，就不能再共享資源了，所以還(hái)是推薦把數(shù)值設為(wèi)“1”比較好。

10)、防止asp木馬

1、基于FileSystemObject組件的asp木馬

cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用 regsvr32 scrrun.dll /u /s //删除

2．基于shell.application組件的asp木馬

cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用 regsvr32 shell32.dll /u /s //删除

3．将圖片文件夾的權限設置為(wèi)不允許運行(xíng)。

4.如果網站(zhàn)中不存在有(yǒu)asp的話(huà)，禁用asp

11）、防止SQL注入

1．盡量使用參數(shù)化語句

2．無法使用參數(shù)化的SQL使用過濾。

3．網站(zhàn)設置為(wèi)不顯示詳細錯誤信息，頁面出錯時(shí)一律跳(tiào)轉到錯誤頁面。

4.不要使用sa用戶連接數(shù)據庫