windowsxx网络服务器安全攻略

WindowsXXWindowsXX 网络服务器安全攻略网络服务器安全攻略 一、Windows ServerXX 的安装 1、安装系统最少两需要个分区，分区格式都采用 NTFS 格式 2、在断开网络的情况安装好 XX 系统 3、安装 IIS，仅安装必要的 IIS 组件(禁用不需要的 如 FTP 和 SMTP 服务)。默认情况下，IIS 服务没有安装， 在添加/删除 Win 组件中选择“应用程序服务器” ，然后点 击“详细信息” ，双击 Internet 信息服务(iis)，勾选以下 选项： Internet 信息服务管理器； 公用文件； 后台智能传输服务 (BITS) 服务器扩展； 万维网服务。 如果你使用 FrontPage 扩展的 Web 站点再勾选： FrontPage XX Server Extensions 4、安装 MSSQL 及其它所需要的软件然后进行 Update。 5、使用 Microsoft 提供的 MBSA(Microsoft Baseline Security Analyzer) 工具分析计算机的安全配置，并标识 缺少的修补程序和更新。下载地址：见页末的链接 二、设置和管理账户 1、系统管理员账户最好少建，更改默认的管理员帐户 名(Administrator)和描述，密码最好采用数字加大小写字 母加数字的上档键组合，长度最好不少于 14 位。 2、新建一个名为 Administrator 的陷阱帐号，为其设 置最小的权限，然后随便输入组合的最好不低于 20 位的密 码 3、将 Guest 账户禁用并更改名称和描述，然后输入一 个复杂的密码，当然现在也有一个 DelGuest 的工具，也许 你也可以利用它来删除 Guest 账户，但我没有试过。 4、在运行中输入回车，打开组策略编辑器，选择计算 机配置-Windows 设置-安全设置-账户策略-账户锁定策略， 将账户设为“三次登陆无效” ， “锁定时渖栉?0 分钟” ， “复 位锁定计数设为 30 分钟” 。 5、在安全设置-本地策略-安全选项中将“不显示上次 的用户名”设为启用 6、在安全设置-本地策略-用户权利分配中将“从网络 访问此计算机”中只保留 Internet 来宾账户、启动 IIS 进 程账户。如果你使用了还要保留 Aspnet 账户。 7、创建一个 User 账户，运行系统，如果要运行特权 命令使用 Runas 命令。 三、网络服务安全管理 1、禁止 C$、D$、ADMIN$一类的缺省共享 打开注册表， HKEY_LOCAL_MACHINESYSTEMCurrentControlSetService slanmanserverparameters，在右边的窗口中新建 Dword 值，名称设为 AutoShareServer 值设为 0 2、 解除 NetBios 与 TCP/IP 协议的绑定 右击网上邻居-属性-右击本地连接-属性-双击 Internet 协议-高级-Wins-禁用 TCP/IP 上的 NETBIOS 3、关闭不需要的服务，以下为建议选项 Computer Browser:维护网络计算机更新，禁用 Distributed File System: 局域网管理共享文件，不 需要禁用 Distributed linktracking client：用于局域网更新 连接信息，不需要禁用 Error reporting service：禁止发送错误报告 Microsoft Serch：提供快速的单词搜索，不需要可禁 用 NTLMSecuritysupportprovide：telnet 服务和 Microsoft Serch 用的，不需要禁用 PrintSpooler：如果没有打印机可禁用 Remote Registry：禁止远程修改注册表 Remote Desktop Help Session Manager：禁止远程协 助 四、打开相应的审核策略 在运行中输入回车，打开组策略编辑器，选择计算机 配置-Windows 设置-安全设置-审核策略在创建审核项目时 需要注意的是如果审核的项目太多，生成的事件也就越多， 那么要想发现严重的事件也越难当然如果审核的太少也会 影响你发现严重的事件，你需要根据情况在这二者之间做 出选择。 推荐的要审核的项目是： 登录事件 成功 失败 账户登录事件 成功 失败 系统事件 成功 失败 策略更改 成功 失败 对象访问 失败 目录服务访问 失败 特权使用 失败 五、其它安全相关设置 1、隐藏重要文件/目录 可以修改注册表实现完全隐藏： “HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCur rent-VersionExplorerAdvancedFolderHi- ddenSHOWALL” ，鼠标右击“CheckedValue” ，选择修改， 把数值由 1 改为 0 2、启动系统自带的 Internet 连接防火墙，在设置服 务选项中勾选 Web 服务器。 3、防止 SYN 洪水攻击 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetService sTcpipParameters 新建 DWORD 值，名为 SynAttackProtect，值为 2 4. 禁止响应 ICMP 路由通告报文 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetService sTcpipParameters Interfacesinterface 新建 DWORD 值，名为 PerformRouterDiscovery 值为 0 5. 防止 ICMP 重定向报文的攻击 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetService sTcpipParameters 将 EnableICMPRedirects 值设为 0 6. 不支持 IGMP 协议 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetService sTcpipParameters 新建 DWORD 值，名为 IGMPLevel 值为 0 7、禁用 DCOM： 运行中输入 。 回车， 单击“控制台根节点”下的 “组件服务” 。 打开“计算机”子文件夹。 对于本地计算机，请以右键单击“我的电脑” ，然后选 择“属性” 。选择“默认属性”选项卡。 清除“在这台计算机上启用分布式 COM”复选框。 注：3-6 项内容我采用的是 ServerXX 设置，没有测试 过对 XX 是否起作用。但有一点可以肯定我用了一段的时间 没有发现其它副面的影响。 六、配置 IIS 服务： 1、不使用默认的 Web 站点，如果使用也要将 将 IIS 目录与系统磁盘分开。 2、删除 IIS 默认创建的 Inetpub 目录（在安装系统的 盘上） 。 3、删除系统盘下的虚拟目录，如： _vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、I IShelp、MSADC。 4、删除不必要的 IIS 扩展名映射。 右键单击“默认 Web 站点属性主目录配置” ，打 开应用程序窗口，去掉不必要的应用程序映射。主要为. shtml, .shtm, .stm 5、更改 IIS 日志的路径 右键单击“默认 Web 站点属性-网站-在启用日志记 录下点击属性 6、如果使用的是 XX 可以使用 iislockdown 来保护 IIS，在 XX 运行的的版本不需要。 7、使用 UrlScan UrlScan 是一个 ISAPI 筛选器，它对传入的 HTTP 数据 包进行分析并可以拒绝任何可疑的通信量。目前最新的版 本是，如果是 XXServer 需要先安装或的版本。下载地址见 页未的链接 如果没有特殊的要求采用 UrlScan 默认配置就可以了。 但如果你在服务器运行程序，并要进行调试你需打开 要%WINDIR%System32InetsrvURLscan 文件夹中的 文件，然后在 UserAllowVerbs 节添加 debug 谓词，注意此节是区分大小写的。 如果你的网页是.asp 网页你需要在 DenyExtensions 删 除.asp 相关的内容。 如果你的网页使用了非 ASCII 代码，你需要在 Option 节中将 AllowHighBitCharacters 的值设为 1 在对 文件做了更改后，你需要重启 IIS 服务才能生效， 快速方法运行中输入 iisreset 如果你在配置后出现什么问题，你可以通过添加/删除 程序删除 UrlScan。 8、利用 WIS (Web Injection Scanner)工具对整个网 站进行 SQL Injection 脆弱性扫描. 下载地址：爱好者 七、配置 Sql 服务器 1、System Administrators 角色最好不要超过两个 2、如果是在本机最好将身份验证配置为 Win 登陆 3、不要使用 Sa 账户，为其配置一个超级复杂的密码 4、删除以下的扩展存储过程格式为： use master sp_dropextendedproc 扩展存储过程名 xp_cmdshell：是进入操作系统的最佳捷径，删除 访问注册表的存储过程，删除 Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvalues Xp_regread Xp_regwrite Xp_regremovemultistring OLE 自动存储过程，不需要删除 Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty Sp_OAMethod Sp_OASetProperty Sp_OAStop 5、隐藏 SQL Server、更改默认的 1433 端口 右击实例选属性-常规-网络配置中选择 TCP/IP 协议的 属性，选择隐藏 SQL Server 实例，并改原默认的 1433 端 口。 八、如果只做服务器，不进行其它操作，使用 IPSec 1、管理工具本地安全策略右击 IP 安全策略管 理 IP 筛选器表和筛选器操作在管理 IP 筛选器表选项下 点击 添加名称设为 Web 筛选器点击添加在描述中输 入 Web 服务器将源地址设为任何 IP 地址将目标地址 设为我的 IP 地址协议类型设为 TcpIP 协议端口第 一项设为从任意端口，第二项到此端口 80点击完成 点击确定。 2、再在管理 IP 筛选器表选项下点击 添加名称设为所有入站筛选器点击添加在描述 中输入所有入站筛选将源地址设为任何 IP 地址将目 标地址设为我的 IP 地址协议类型设为任意点击下 一步完成点击确定。 3、在管理筛选器操作选项下点击添加下一步 名称中输入阻止下一步选择阻止下一步 完成关闭管理 IP 筛选器表和筛选器操作窗口 4、右击 IP 安全策略创建 IP 安全策略下一步 名称输入数据包筛选器下一步取消默认激活 响应原则下一步完成 5、在打开的新 IP 安全策略属性窗口选择添加下 一步不指定隧道下一步所有网络连接下 一步在 IP 筛选器列表中选择新建的 Web 筛选器下 一步在筛选器操作中选择许可下一步完成 在 IP 筛选器列表中选择新建的阻止筛选器下一步 在筛选器操作中选择阻止下一步完成确定 6、在 IP 安全策略的右边窗口中