Windows2003 Server安全配置.doc

硬盘目录权限设置和删除不需要的目录1C盘只给administrators 和system权限，其他的权限不给，其他的盘也可以这样设置，这里给的system权限也不一定需要给，只是由于某些第三方应用程序是以服务形式启动的，需要加上这个用户，否则造成启动不了2Windows目录要加上给users的默认权限，删除everyone即可。否则ASP和ASPX等应用程序就无法运行。c:/Documents and Settings/All Users/Application Data目录不能出现everyone用户有完全控制权限，在用做web/ftp服务器的系统里，建议是将这些目录都设置的锁死。其他每个盘的目录都按照这样设置，每个盘都只给adinistrators权限。3删除C:WINDOWSWebprinters目录，此目录的存在会造成IIS里加入一个.printers的扩展名，可溢出攻击4打开C:Windows 搜索net.exe;cmd.exe;tftp.exe;netstat.exe;regedit.exe;at.exe;attrib.exe;cacls.exe;;regsvr32.exe;xcopy.exe;wscrpt.exe;cscrpt.exe;ftp.exe;telnet.exe;arp.exe;edlin.exe;ping.exe;route.exe;finger.exe;posix.exe;rsh.exe;atsvc.exe;qbasic.exe;runonce.exe;syskey.exe修改权限，删除所有的用户只保存Administrators 和SYSTEM为所有权限禁用不必要的服务Remote Registry服务 禁止远程连接注册表 命令：sc config RemoteRegistry start= disabledtask schedule服务 禁止自动运行程序命令：sc config Schedule start= disabledserver服务 禁止默认共享命令：sc config lanmanserver start= disabledTelnet服务 禁止telnet远程登陆命令：sc config TlntSvr start= disabledworkstation服务 防止一些漏洞和系统敏感信息获取命令：sc config lanmanworkstation start= disabledError Reporting Service服务禁止收集、存储和向 Microsoft 报告异常应用程序命令：sc config ERSvc start= disabledMessenger服务禁止传输客户端和服务器之间的 NET SEND 和 警报器服务消息命令：sc config Messenger start= disabledHelp and Support服务禁止在此计算机上运行帮助和支持中心命令：sc config helpsvc start= disabledNetwork Location Awareness (NLA)服务禁止收集并保存网络配置和位置信息命令：sc config Nla start= disabledSERV-U FTP 服务器的设置1.选中“Block FTP_bounceattack and FXP”。 FXP，也称跨服务器攻击。 恶意用户可以通过FTP服务器作为中介，能够最终实现与目标服务器的连接。选中后就可以防止发生此种情况2.选中”Block anti time-out schemes,其次，在“Advanced”选项卡中，检查“Enable security”是否被选中，如果没有，选择它们IIS的安全与性能：1.删掉c:/inetpub目录（还是不要删除），删除iis不必要的映射首先是每一个web站点使用单独的IIS用户，譬如这里，新建立了一个名为，权限为guest的。2. 在IIS里的站点属性里“目录安全性”-“身份验证和访问控制“里设置匿名访问使用下列Windows 用户帐户”的用户名密码都使用 这个用户的信息.在这个站点相对应的web目录文件，默认的只给IIS用户的读取和写入权限3. 在应用程序配置里，设置调试为向客户端发送自定义的文本信息，这样能对于有ASP注入漏洞的站点，可以不反馈程序报错的信息，能够避免一定程度的攻击。4. 在自定义HTTP错误选项里，有必要定义下譬如404,500等错误，不过有有时候为了调试程序，好知道程序出错在什么地方，建议只设置404就可以了。5. IIS6.0由于运行机制的不同，出现了应用程序池的概念。一般建议10个左右的站点共用一个应用程序池，应用程序池对于一般站点可以采用默认设置6. 可以在每天凌晨的时候回收一下工作进程。新建立一个站，采用默认向导，在设置中注意以下几个地方：一、 在应用程序设置里：执行权限为默认的纯脚本，应用程序池使用独立的名为：315safe的程序池。二、 名为hellows的应用程序池(专用程序池)可以适当设置下“内存回收”：这里的最大虚拟内存为：1000M，最大使用的物理内存为256M，这样的设置几乎是没限制这个站点的性能的。三、 在应用程序池里有个“标识”选项，可以选择应用程序池的安全性帐户，默认才用网络服务这个帐户，大家就不要动它，能尽量以最低权限去运行，隐患也就更小些。在一个站点的某些目录里，譬如这个“uploadfile目录，不需要在里面运行asp程序或其他脚本的，就去掉这个目录的执行脚本程序权限，在“应用程序设置”的“执行权限”这里，默认的是“纯脚本”，我们改成“无”，这样就只能使用静态页面了。依次类推，大凡是不需要asp运行的目录，譬如数据库目录，图片目录等等里都可以这样做，这样主要是能避免在站点应用程序脚本出现bug的时候，譬如出现从前流行的upfile漏洞，而能够在一定程度上对漏洞有扼制的作用。四、 在默认情况下，我们一般给每个站点的web目录的权限为IIS用户的读取和写入五、 调整IIS高速缓存HKEY_LOCAL_MACHINESystemCurrentControlSetServicesInetInfoParametersMemoryCacheSize，MemoryCacheSize的范围是从0道4GB，缺省值为3072000（3MB）。一般来说此值最小应设为服务器内存的10%.IIS通过高速缓存系统句柄、目录列表以及其他常用数据的值来提高系统的性能。这个参数指明了分配给高速缓存的内存大小。如果该值为0，那就意味着“不进行任何高速缓存”。在这种情况下系统的性能可能会降低。如果你的服务器网络通讯繁忙，并且有足够的内存空间，可以考虑增大该值。必须注意的是修改注册表后，需要重新启动才能使新值生效。六、 不要关闭系统服务： “Protected Storage”7 删除系统盘下的虚拟目录，如:_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC8 更改IIS日志的路径，右键单击“默认Web站点属性-网站-在启用日志记录下点击属性9 优化IIS6应用程序池 1、取消“在空闲此段时间后关闭工作进程（分钟）” 2、勾选“回收工作进程（请求数目）” 3、取消“快速失败保护”为了将SQL注入，上传漏洞全部都赶走，我们可以采取手动的方式进行细节性的策略设置一、 给web根目录的IIS用户只给读权限二、 然后我们对响应的uploadfiles/或其他需要存在上传文件的目录额外给写的权限，并且在IIS里给这个目录无脚本运行权限，这样即使网站程序出现漏洞，入侵者也无法将asp木马写进目录里去，呵呵， 不过没这么简单就防止住了攻击，还有很多工作要完成。如果是MS-SQL数据库的，就这样也就OK了，但是Access的数据库的话，其数据库所在的目录，或数据库文件也得给写权限，然后数据库文件没必要改成.asp的。这样的后果大家也都知道了把，一旦你的数据库路径被暴露了，这个数据库就是一个大木马，够可怕的。其实完全还是规矩点只用mdb后缀，这个目录在IIS里不给执行脚本权限。然后在IIS里加设置一个映射规律，这里用任意一个dll文件来解析.mdb后缀名的映射，只要不用asp.dll来解析就可以了，这样别人即使获得了数据库路径也无法下载。这个方法可以说是防止数据库被下载的终极解决办法了。三、 防止ASP的FSO木马：右击C盘，点击“共享与安全”，在出现在对话框中选择“安全”选项卡，将Everyone、Users组删除，删除后如果你的网站连ASP程序都不能运行，请添加IIS_WPG组，并重启计算机下面以实例来介绍ASP的FSO访问（假设在E盘Abc文件夹下设A站点）1. 打开“计算机管理本地用户和组用户”，创建Abc用户，并设置密码，并将“用户下次登录时须更改密码”前的对号去掉，选中“用户不能更改密码”和“密码永不过期”，并把用户设置为隶属于Guests组。 2. 右击E:/Abc，选择“属性安全”选项卡，此时可以看到该文件夹的默认安全设置是“Everyone”完全控制（视不同情况显示的内容不完全一样），删除Everyone的完全控制（如果不能删除，请点击高级按钮，将“允许父项的继承权限传播”前面的对号去掉，并删除所有），添加Administrators及Abc用户对本网站目录的所有安全权限。 3. 打开IIS管理器，右击A主机名，在弹出的菜单中选择“属性目录安全性”选项卡，点击身份验证和访问控制的编辑，匿名访问用户默认的就是“IUSR_机器名”，点击浏览，在“选择用户”对话框中找到前面创建的Abc账户，确定后重复输入密码经过这样设置，访问网站的用户就以Abc账户匿名身份访问E:/Abc文件夹的站点，因为Abc账户只对此文件夹有安全权限，所以他只能在本文件夹下使用FSO卸载下面的命令行执行组件运行(打开)Wscript运行：regsvr32 /u %windir%system32wshom.ocx卸载Wscrpt.Shell 组件运行：regsvr32 /u %windir%system32shell32.dll卸载Shell.application 组件卸载：regsvr32 /u %windir%System32wshext.dll如果有条件可以不使用FSO的.通过 regsvr32 /u c:windowssystem32scrrun.dll来注销掉相关的DLL.关闭不需要的端口以及注册表的设置关闭445端口HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetBTParameters新建 “DWORD值”值名为 “SMBDeviceEnabled” 数据为默认值“0”禁止建立空连接HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa新建 “DWORD值”值名为 “RestrictAnonymous” 数据值为“1” 2003默认为1禁止系统自动启动管理共享HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters新建 “DWORD值”值名为 “AutoShareWks” 数据值为“0通过修改注册表防止小规模DDOS攻击HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters新建 “DWORD值”值名为 “SynAttackProtect” 数据值为“1”禁止dump file的产生dump文件在系统崩溃和蓝屏的时候是一份很有用的查找问题的资料。然而，它也能够给黑客提供一些敏感信息比如一些应用程序的密码等。控制面板系统属性高级启动和故障恢复把 写入调试信息 改成无。防止SYN洪水攻击HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 新建DWORD值EnablePMTUDiscovery REG_DWORD 0 NoNameReleaseOnDemand REG_DWORD 1 EnableDeadGWDetect REG_DWORD 0 KeepAliveTime REG_DWORD 300,000 PerformRouterDiscovery REG_DWORD 0 EnableICMPRedirects REG_DWORD 0禁止响应ICMP路由通告报文 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfacesinterface（没有就新建项） 新建DWORD值，名为PerformRouterDiscovery 值为0防止ICMP重定向报文的攻击 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 将EnableICMPRedirects 值设为0不支持IGMP协议 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 新建DWORD值，名为IGMPLevel 值为0修改终端服务端口 （3389 十进制）修改两个地方HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminalServerWdsrdpwdTdstcp，看到右边的PortNumber，在十进制状态下改成你想要的端口号吧，比如7126之类的，只要不与其它冲突即可。HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminalServerWinStationsRDP-Tcp 修改成和上面一样的即可电脑重启生效！远程访问的时候就带上这个端口！注意的是：防火墙允许这个端口，关闭3389的端口删除默认共享HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters AutoShareServer类型是REG_DWORD把值改为0即可Cmd命令删除net share admin$ /del （删除共享管理员号） net share C$ /del（删除C盘共享）关闭华医生Dr.Watson在开始-运行中输入“drwtsn32”，或者开始-程序-附件-系统工具-系统信息-工具-Dr Watson，调出系统里的华医生Dr.Watson ，只保留“转储全部线程上下文”选项，否则一旦程序出错，硬盘会读很久，并占用大量空间。如果以前有此情况，请查找user.dmp文件，删除后可节省几十MB空间。删除一些危险组件注册表HKEY_CLASSES_ROOT下面的Script.NetworkWScript.Network.1WScript.ShellWScript.Shell.1Shell.ApplicationShell.Application.1键值改名或删除本地安全策略配置开始 程序 管理工具 本地安全策略账户策略 密码策略 密码最短使用期限 改成0天即密码不过期 账户策略 账户锁定策略 账户锁定阈值 5 次 账户锁定时间 10分钟 个人推荐配置本地策略 安全选项 关机：清除虚拟内存页面文件 更改为已启用 交互式登录：不显示上次的用户名 更改为已启用 交互式登录：不需要按CTRL+ALT+DEL 更改为已启用 网络访问：不允许 SAM 账户的匿名枚举 更改为已启用 网络访问：不允许 SAM 账户和共享的匿名枚举 更改为已启用 帐户：重命名来宾账户 更改成一个复杂的账户名 帐户：重命名系统管理员账号 更改一个自己用的账号 同时可建立一个无用户组的Administrator账户Microsoft网络服务器:在挂起会话之前所需的空闲时间，默认为:15分钟,改为自己所需要的时间(就是登陆后无动作空闲超过多少时间后自动断开)网络安全:在超过登录时间后强制注销。默认为:已禁用,一定要改为:已启用net user q /times:Monday-Sunday,9 :00-10:00限制q用户在9到10点有登录的权限网络访问：可匿名访问的共享全部删除网络访问：可匿名访问的命名管道全部删除网络访问：可远程访问的注册表路径全部删除 网络访问：可远程访问的注册表路径和子路径全部删除网络访问：不允许存储网络身份验证的凭据或 .NET Passports启用网络访问：限制对命名管道和共享的匿名访问启用本地安全策略-审核策略（从上往下设置）审核策略更改 成功 失败审核登录事件 成功 失败审核对象访问 失败审核过程跟踪 无审核审核目录服务访问 失败审核特权使用 失败审核系统事件 成功 失败审核账户登录事件 成功 失败审核账户管理 成功 失败 本地策略-用户权限分配“关闭系统” 只留下Administrators组、其它全部删除“通过终端服务允许登陆” 加入Administrators,Remote Desktop Users组，其他全部删除“通过终端服务拒绝登陆”，加入以下组ASPNET IUSR_ IWAM_ NETWORK SERVICE (注意不要添加进user组和administrators组 添加进去以后就没有办法远程登陆了)其他安全措施禁用TCP/IP上的NetBIOS 网上邻居-属性-本地连接-属性-Internet协议（TCP/IP）属性-高级-WINS面板-NetBIOS设置-禁用TCP/IP上的NetBIOS。这样cracker就无法用nbtstat命令来读取你的NetBIOS信息和网卡MAC地址了。Windows日志的移动HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesEventlogApplication 子项：应用程序日志Security 子项：安全日志System 子项：系统日志分别更改子项的File键值，再把System32config目录下的AppEvent.Evt、SecEvent.Evt、SysEvent.Evt复制到目标文件夹，重启Windows日志的保护1、移动日志后的文件夹属性安全高级去掉允许父系的继承权限复制确定2、保留System账户和User组，System账户保留除完全控制和修改之外的权限，User组仅保留只读权限3、AppEvent.Evt、SysEvent.Evt保留Administrator、System账户和User组，Administrator、System账户保留除完全控制和修改之外的权 限，User组仅保留只读权限；DnsEvent.Evt、SecEvent.Evt保留System账户和User组，System账户保留除完全控制和修改之外的权限，User组仅保留只读权限安全知识小结1.不要装PCanywhere或Radmin因为它们本身就存在安全问题，可以直接用windows2003自带的3389，它比任何远程控制软件都安全。 2.不要在服务器上双击运行任何程序，不然你中了木马都不知道。 3.不要在服务器上用IE打开用户的硬盘中的网页，这是危险的行为。 4.不要在服务器上浏览图片，以前windows就出过GDI 的安全漏洞5.确保你自己的电脑安全，如果你自己的电脑不安全，服务器也不可能安全。6.网站目录也要用普通用户运行，附件和头像目录不能有执行权限7. 在网上邻居 右键属性 把打印和共享卸载掉8更改默认SA空密码.数据库链接不要使用SA帐户.单数据库单独设使用帐户.只给public和db_owner权限，数据库不要放在默认的位置，SQL不要安装在PROGRAM FILE目录下面9关闭不常用端口，在TCP/IP属性高级筛选，只打开一些常用的端口就可以了！例如：80 3389 1433 43958 21等 ，根据各人需求吧10将System32cmd.exe转移到其他目录或更名11在IIS中将HTTP404 Object Not Found出错页面通过URL重定向到一个定制HTM文件12运行中输入 Dcomcnfg.exe。单击“控制台根节点”下的“组件服务”。 打开“计算机”子文件夹。 对于本地计算机，请以右键单击“我的电脑”，然后选择“属性”。选择“默认属性”选项卡。取消“在这台计算机上启用分布式 COM”的选框。13修改CMD.EXE以及NET.EXE权限，只让管理员有权限14及时更新软件，查找漏洞，更新杀毒软件 MSSQL的一些提权的扩展存储过程use master EXEC sp_dropextendedproc xp_cmdshell EXEC sp_dropextendedproc Sp_OA