服务器安全性.doc

安装2003系统，所有磁盘选择NTFS分区。 打sp1补丁，修补系统漏洞（推荐使用【瑞星卡卡上网安全助手】扫描系统漏洞）。 IIS6.0的安装开始菜单控制面板添加或删除程序添加/删除Windows组件应用程序 ASP.NET（必选）|启用网络 COM+ 访问（必选）|Internet 信息服务(IIS)Internet 信息服务管理器（必选）|公用文件（必选）|万维网服务Active Server pages（如果发布asp程序，必选）|Internet 数据连接器（可选） |WebDAV 发布（可选）|万维网服务（必选）|在服务器端的包含文件（可选） 关闭不需要的端口在网络连接里，把不需要的协议和服务都删掉，安装基本的Internet协议（TCP/IP）。卸载【Microsoft 网络客户端】与【Microsoft网络的文件和打印机共享】两个协议后，重启服务器。如果服务器上已经安装sql server数据库，服务器会报一个系统错误，在事件查看器中找到该错误来源为MSSQLServer，事件ID为19011。产生这个错误的原因是随服务器启动的sql server的服务（除SQL Server服务外的三个），如果这三个服务不需要，可以停止它们随服务器自动启动。在高级tcp/ip设置里-NetBIOS设置禁用tcp/IP上的NetBIOS（S）。开启windows2003自带防火墙。修改3389远程连接端口。开始-运行regedit，依次展开 HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/WDS/RDPWD/TDS/TCP，右边键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 9358 )。HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/WINSTATIONS/RDP-TCP/，右边键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 9358)。重新启动服务器，设置生效。注意：开放新设置的端口，如9358。开放需要的端口。Windows2003防火墙高级本地连接设置中，添加开放的端口。我的电脑属性远程启用这台计算机上的远程桌面。 用户安全设置帐号密码。下面涉及到的帐号密码均设置成强密码，即由大小写字母、数字、特殊符号等组成的无规律的20位以上（推荐）密码。测试密码强度，访问页面/protect/yourself/password/checker.mspx。禁用Guest帐号。在计算机管理的用户里面把Guest账号禁用。为了保险起见，最好给Guest加一个复杂的密码。把系统Administrator账号改名，并创建一个陷阱用户。在运行中输入gpedit.msc，如图：修改Administrator账号名称。然后创建一个没有任何权限的帐号Administrator，设置复杂密码，加入到Guests组。禁止用户更改密码。不让系统显示上次登录的用户名。默认情况下，登录对话框中会显示上次登录的用户名。这使得别人可以很容易地得到系统的一些用户名，进而做密码猜测。 系统权限的设置。系统盘及所有磁盘只给 Administrators 组和 SYSTEM 的完全控制权限系统盘Documents and Settings 目录只给 Administrators 组和 SYSTEM 的完全控制权限系统盘Documents and SettingsAll Users 目录只给 Administrators 组和 SYSTEM 的完全控制权限系统盘WindowsSystem32cacls.exe、cmd.exe、net.exe、net1.exe、ftp.exe、tftp.exe、telnet.exe 、netstat.exe、regedit.exe、at.exe、attrib.exe、文件只给 Administrators 组和SYSTEM 的完全 控制权限 删除c:inetpub目录。 本地安全策略设置。本地策略审核策略。本地策略用户权限分配。关闭系统：只有Administrators组其它全部删除，通过终端服务允许登陆：只加入Administrators,Remote Desktop Users组，其他全部删除。通过终端服务拒绝登陆：加入ASPNET、IUSR_ 、IWAM_、 NETWORK SERVICE。开启用户策略。使用用户策略，分别设置复位用户锁定计数器时间为20分钟，用户锁定时间为20分钟，用户锁定阈值为3次。本地策略安全选项。交互式登陆：不显示上次的用户名启用网络访问：不允许SAM帐户和共享的匿名枚举 启用网络访问：不允许为网络身份验证储存凭证启用网络访问：可匿名访问的共享全部删除网络访问：可匿名访问的命名管道 全部删除网络访问：可远程访问的注册表路径 全部删除 网络访问：可远程访问的注册表路径和子路径 全部删除禁用不必要的服务。TCP/IPNetBIOS Helper、Server、Computer Browser、Task scheduler、Messenger、Distributed File System、Distributed linktracking client、Error reporting service、Microsoft Serch、NTLMSecuritysupportprovide、NTLMSecuritysupportprovide、PrintSpooler、Remote Registry、Remote Desktop Help Session Manager、Workstation。以上是在Windows Server 2003 系统上面默认启动的服务中禁用的，默认禁用的服务如没特别需要的话不要启动。 修改注册表隐藏重要文件/目录。HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows Current-VersionExplorerAdvancedFolderHi-ddenSHOWALL，鼠标右击 “CheckedValue”，选择修改，把数值由1改为0。防止SYN洪水攻击，HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 新建DWORD值，名为SynAttackProtect，值为2 新建EnablePMTUDiscovery， REG_DWORD， 0 新建NoNameReleaseOnDemand， REG_DWORD， 1 新建EnableDeadGWDetect REG，_DWORD， 0 新建KeepAliveTime， REG_DWORD， 300000 新建PerformRouterDiscovery， REG_DWORD， 0 新建EnableICMPRedirects， REG_DWORD， 0禁止响应ICMP路由通告报文，HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfaces，新建DWORD值，名为PerformRouterDiscovery 值为0。防止ICMP重定向报文的攻击，HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters ，将EnableICMPRedirects 值设为0。不支持IGMP协议，HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters，新建DWORD值，名为IGMPLevel 值为0。禁止IPC空连接，Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous 把这个值改成”1”即可。更改TTL值。cracker可以根据ping回的TTL值来大致判断你的操作系统，如：TTL=107(WINNT); TTL=108(win2000); TTL=127或128(win9x); TTL=240或241(linux); TTL=252(solaris); TTL=240(Irix); 实际上可以自己改：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpip Parameters：新建DefaultTTL， REG_DWORD， 0-0xff(0-255 十进制,默认值128)改成一个莫名其妙的数字如238。删除默认共享。HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters：AutoShareServer类型是REG_DWORD把值改为0。如果没有键，创建即可。重启。在cmd中输入net share命令，查看当前共享文件夹。 卸载不安全组件（如果服务器上发布asp程序，这几个组件不能删除）regsvr32 u C:WINDOWSSystem32wshom.ocxregsvr32 u C:WINDOWSSystem32 shell32.dllregsvr32 u C:WINDOWSSystem32 scrrun.dll IIS的安全设置。删除IIS站点中不必要的映射。站点属性主目录配置。删除.shtm，.shtml，.stm即可。自定义HTTP错误。把所有的http 错误都映射到自定义的错误页。采用服务器上的绝对url就行，如/err/err.htm。Web站点权限设定。在主站点上，【读】权限允许，其他权限全部钩掉。执行权限选择【纯脚本】。建议使用W3C扩充日志文件格式，每天记录客户IP地址，用户名，服务器端口，方法，URI字根，HTTP状态，用户代理等。不要使用缺省的目录，更换一个记日志的路径，如在system32下建立一个rizhi目录，同时设置日志的访问权限，只允许管理员和system为完全控制。在站点的某些目录里，如这个files、images目录，不需要在里面运行asp程序或其他脚本的，就去掉这个目录的执行脚本程序权限，在应用程序设置的执行权限这里，默认的是纯脚本，改成无，只给【读取】权限，这样就只能使用静态页面了，依次类推。对站点的所有目