终级Win2003服务器安全配置篇(一)_240

终级终级 Win2003Win2003 服务器安全配置篇服务器安全配置篇 一一 今天演示一下服务器权限的设置 实现目标是系统盘任何一个目录 asp 网马不 可以浏览 事件查看器完全无错 所有程序正常运行 这个不同于之前做的两个演示 此演示基本上保留系统默认的那些权限组不变 保留原味 以免取消不当造成莫名其妙的错误 看过这个演示 之前的 超详细 web 服务器权限设置 精确到每个文件夹 和 超 详细 web 服务器权限设置 事件查看器完全无报错 就不用再看了 这个比原来做 的有所改进 操作系统用的是雨林木风的 ghost 镜像 补丁是打上截止 11 2 号最 新的 Power Users 组是否取消无所谓 具体操作看演示 windows 下根目录的权限设置 C WINDOWS Application Compatibility Scripts 不用做任何修改 包括其下 所有子目录 C WINDOWS AppPatch AcWebSvc dll 已经有 users 组权限 其它文件加上 users 组权限 C WINDOWS Connection Wizard 取消 users 组权限 C WINDOWS Debug users 组的默认不改 C WINDOWS Debug UserMode 默认不修改有写入文件的权限 取消 users 组权限 给 特别的权限 看演示 C WINDOWS Debug WPD 不取消 Authenticated Users 组权限可以写入文件 创 建目录 C WINDOWS Driver Cache 取消 users 组权限 给 i386 文件夹下所有文件加上 users 组权限 C WINDOWS Help 取消 users 组权限 C WINDOWS Help iisHelp common 取消 users 组权限 C WINDOWS IIS Temporary Compressed Files 默认不修改 C WINDOWS ime 不用做任何修改 包括其下所有子目录 C WINDOWS inf 不用做任何修改 包括其下所有子目录 C WINDOWS Installer 删除 everyone 组权限 给目录下的文件加上 everyone 组读取和运行的权限 C WINDOWS java 取消 users 组权限 给子目录下的所有文件加上 users 组权限 C WINDOWS MAGICSET 默认不变 C WINDOWS Media 默认不变 C WINDOWS Microsoft NET 不用做任何修改 包括其下所有子目录 C WINDOWS msagent 取消 users 组权限 给子目录下的所有文件加上 users 组 权限 C WINDOWS msapps 不用做任何修改 包括其下所有子目录 C WINDOWS mui 取消 users 组权限 C WINDOWS PCHEALTH 默认不改 C WINDOWS PCHEALTH ERRORREP QHEADLES 取消 everyone 组的权限 C WINDOWS PCHEALTH ERRORREP QSIGNOFF 取消 everyone 组的权限 C WINDOWS PCHealth UploadLB 删除 everyone 组的权限 其它下级目录不用 管 没有 user 组和 everyone 组权限 C WINDOWS PCHealth HelpCtr 删除 everyone 组的权限 其它下级目录不用管 没有 user 组和 everyone 组权限 这个不用按照演示中的搜索那些文件了 不须 添加 users 组权限就行 C WINDOWS PIF 默认不改 C WINDOWS PolicyBackup 默认不改 给子目录下的所有文件加上 users 组权限 C WINDOWS Prefetch 默认不改 C WINDOWS provisioning 默认不改 给子目录下的所有文件加上 users 组权限 C WINDOWS pss 默认不改 给子目录下的所有文件加上 users 组权限 C WINDOWS RegisteredPackages 默认不改 给子目录下的所有文件加上 users 组权限 C WINDOWS Registration CRMLog 默认不改会有写入的权限 取消 users 组的 权限 C WINDOWS Registration 取消 everyone 组权限 加 NETWORK SERVICE 给子目 录下的文件加 everyone 可读取的权限 C WINDOWS repair 取消 users 组权限 C WINDOWS Resources 取消 users 组权限 C WINDOWS security users 组的默认不改 其下 Database 和 logs 目录默认 不改 取消 templates 目录 users 组权限 给文件加上 users 组 C WINDOWS ServicePackFiles 不用做任何修改 包括其下所有子目录 C WINDOWS SoftwareDistribution 不用做任何修改 包括其下所有子目录 C WINDOWS srchasst 不用做任何修改 包括其下所有子目录 C WINDOWS system 保持默认 C WINDOWS TAPI 取消 users 组权限 其下那个 tsec ini 权限不要改 C WINDOWS twain 32 取消 users 组权限 给目录下的文件加 users 组权限 C WINDOWS vnDrvBas 不用做任何修改 包括其下所有子目录 C WINDOWS Web 取消 users 组权限给其下的所有文件加上 users 组权限 C WINDOWS WinSxS 取消 users 组权限 搜索 tlb policy cat manifest dll 给这些文件加上 everyone 组和 users 权限 给目录加 NETWORK SERVICE 完全控制的权限 C WINDOWS system32 wbem 这个目录有重要作用 如果不给 users 组权限 打 开一些应用软件时会非常慢 并且事件查看器中有时会报出一堆错误 导致一 些程序不能正常运行 但为了不让 webshell 有浏览系统所属目录的权限 给 wbem 目录下所有的 dll 文件 users 组和 everyone 组权限 dll users everyone 我先暂停 你操作时挨个检查就行了 C WINDOWS S WERa 我用的 temp 文件夹路 径 temp 由于必须给写入的权限 所以修改了默认路径和名称 防止 webshell 往此目录中写入 修改路径后要重启生效 至此 系统盘任何一个目录是不可浏览的 唯一一个可写入的 C WINDOWS temp 又修改了默认路径和名称变成 C WINDOWS S WERa 这样配置应该相对安全了些 我先去安装一下几款流行的网站程序 先暂停 几款常用的网站程序在这样的权 限设置下完全正常 还没有装上 sql2000 数据库 无法测试动易 2006SQL 版了 肯定正常 大家可以试试 服务设置 1 设置 win2k 的屏幕保护 用 pcanywhere 的时候 有时候下线时忘记锁定计算机 了 如果别人破解了你的 pcanywhere 密码 就直接可以进入你计算机 如果设 置了屏保 当你几分钟不用后就自动锁定计算机 这样就防止了用 pcanyhwerer 直接进入你计算机的可能 也是防止内部人员破坏服务器的一个 屏障 2 关闭光盘和磁盘的自动播放功能 在组策略里面设 这样可以防止入侵者编辑 恶意的 autorun inf 让你以管理员的身份运行他的木马 来达到提升权限的目 的 可以用 net share 查看默认共享 由于没开 server 服务 等于已经关闭默 认共享了 最好还是禁用 server 服务 附删除默认共享的命令 net share c Content nbsp del net share d Content nbsp del net share e Content nbsp del net share f Content nbsp del net share ipc Content nbsp del net share admin Content nbsp del 3 关闭不需要的端口和服务 在网络连接里 把不需要的协议和服务都删掉 这里只安装了基本的 Internet 协议 TCP IP 由于要控制带宽流量服务 额 外安装了 Qos 数据包计划程序 在高级 tcp ip 设置里 NetBIOS 设置 禁用 tcp IP 上的 NetBIOS 修改 3389 远程连接端口 也可以用工具修改更方便 修改注册表 开始 运行 regedit 依次展开 HKEY LOCAL MACHINE SYSTEM CURRENTCONTROLSET CONTROL TERMINAL SERVER WDS RDPWD TDS TCP 右边键值中 PortNumber 改为你想用的端口号 注意使用十进制 例 1989 HKEY LOCAL MACHINE SYSTEM CURRENTCONTROLSET CONTROL TERMINAL SERVER WINSTATIONS RDP TCP 右边键值中 PortNumber 改为你想用的端口号 注意使用十进制 例 1989 注意 别忘了在 WINDOWS2003 自带的防火墙给 上 10000 端口 修改完毕 重新启动服务器 设置生效 这里就不改了 你可以自己决定是否修改 权限设置的好后 个人感觉改不改无所 谓 4 禁用 Guest 账号 在计算机管理的用户里面把 Guest 账号禁用 为了保险起见 最好给 Guest 加 一个复杂的密码 你可以打开记事本 在里面输入一串包含特殊字符 数字 字母的长字符串 然后把它作为 Guest 用户的密码拷进去 我这里随便复制了一 段文本内容进去 如果设置密码时提示 工作站服务没有启动 先去本地安全策略里把密码策略里 启动密码复杂性给禁用后就可以修改了 5 创建一个陷阱用户 即创建一个名为 Administrator 的本地用户 把它的权限设置成最低 什么 事也干不了的那种 并且加上一个超过 10 位的超级复杂密码 这样可以让那些 Hacker 们忙上一段时间 借此发现它们的入侵企图 6 本地安全策略设置 开始菜单 管理工具 本地安全策略 A 本地策略 审核策略 审核策略更改 成功 失败 审核登录事件 成功 失败 审核对象访问 失败 审核过程跟踪 无审核 审核目录服务访问 失败 审核特权使用 失败 审核系统事件 成功 失败 审核账户登录事件 成功 失败 审核账户管理 成功 失败 B 本地策略 用户权限分配 关闭系统 只有 Administrators 组 其它全部删除 通过终端服务允许登陆 只加入 Administrators Remote Desktop Users 组 其他全部删除 运行 gpedit msc 计算机配置 管理模板 系统 显示 关闭事件跟踪程序 更改为已禁用 用户管理 建立另一个备用管理员账号 防止特殊情况发生 安装有终端服务 与 SQL 服务的服务器停用 TsInternetUser sQLDebugger 这两 个账号 C 本地策略 安全选项 交互式登陆 不显示上次的用户名 启用 网络访问 不允许 SAM 帐户和共享的匿名枚举 启用 网络访问 不允许为网络身份验证储存凭证 启用 网络访问 可匿名访问的共享 全部删除 网络访问 可匿名访问的命 全部删除 网络访问 可远程访问的注册表路径 全部删除 网络访问 可远程访问的注册表路径和子路径 全部删除 帐户 重命名来宾帐户 重命名一个帐户 帐户 重命名系统管理员帐户 重命名一个帐户 7 禁止 dump file 的产生 dump 文件在系统崩溃和蓝屏的时候是一份很有用的查找问题的资料 然而 它 也能够给黑客提供一些敏感 信息比如一些应用程序的密码等 控制面板 系统属性 高级 启动和故障恢复把 写入调试信息 改成无 关闭华医生 Dr Watson 在开始 运行中输入 drwtsn32 或者开始 程序 附件 系统工具 系统信息 工具 Dr Watson 调出系统 里的华医生 Dr Watson 只保留 转储全部线程上下文 选项 否则一旦程序 出错 硬盘会读很久 并占 用大量空间 如果以前有此情况 请查找 user dmp 文件 删除后可节省几十 MB 空间 在命令行运行 drwtsn32 i 可以直接关闭华医生 普通用户没什么用处 8 禁用不必要的服务 开始 运行 services msc TCP IPNetBIOS Helper 提供 TCP IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持而使用户能够共享 文件 打印和登录到网络 Server 支持此计算机通过网络的文件 打印 和命名管道共享 Computer Browser 维护网络上计算机的最新列表以及提供这个列表 Task scheduler 允许程序在指定时间运行 Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息 Distributed File System 局域网管理共享文件 不需要可禁用 Distributed linktracking client 用于局域网更新连接信息 不需要可 禁用 Error reporting service 禁止发送错误报告 Microsoft Serch 提供快速的单词搜索 建议禁用 不禁用移动 msc 文件后启动系统时会报错 禁用后没影响 NTLMSecuritysupportprovide telnet 服务和 Microsoft Serch 用的 不 需要可禁用 PrintSpooler 如果没有打印机可禁用 Remote Registry 禁止远程修改注册表 Remote Desktop Help Session Manager 禁止远程协助 Workstation 关闭的话远程 NET 命令列不出用户组 以上是在 Windows Server 2003 系统上面默认启动的服务中禁用的 默认 禁用的服务如没特别需要的话不要启动 看下我开了些什么服务 大家可以参考设置一下 如果把不该禁用的服务禁了 事件查看器可能会出现一些报错 9 设置 IP 筛选 只开放你所要用到的端口 这样可以防止别人的木马程序连接 因为任何一个网络程序要和你服务器通信 都要通过端口 查看本机所开的端 口是用 netstat na 命令 这儿我们开放了 80 1989 21 1433 sqlserver 5631 pcanywhere 和 ip6 端口 这样设置后 一般的后门程序就无法连接到本机 了 注意要重新启动了才有效果 附常用服务的各个端口 IIS 80 FTP 21 启用后需要 FTP 客户端关闭 PSAV 才能连接 SMTP 25 POP3 110 MS SQL 1433 Mysql 3306 PcAnywhere 5631 Windows 远程客户端 3389 10 修改相关注册表 个人感觉这样的效果不大 没去修改 仅供参考 A 防止 SYN 洪水攻击 HKEY LOCAL MACHINE SYSTEM CurrentControlSet Services Tcpip Parameters 新建 DWORD 值 名为 SynAttackProtect 值为 2 新建 EnablePMTUDiscovery REG DWORD 0 新建 NoNameReleaseOnDemand REG DWORD 1 新建 EnableDeadGWDetect REG DWORD 0 新建 KeepAliveTime REG DWORD 300 000 新建 PerformRouterDiscovery REG DWORD 0 新建 EnableICMPRedirects REG DWORD 03 禁止响应 ICMP 路由通告报文 HKEY LOCAL MACHINE SYSTEM CurrentControlSet Services Tcpip Parameters Interfaces interface 新建 DWORD 值 名为 PerformRouterDiscovery 值为 0 B 防止 ICMP 重定向报文的攻击 HKEY LOCAL MACHINE SYSTEM CurrentControlSet Services Tcpip Parameters 将 EnableICMPRedirects 值设为 0 C 不支持 IGMP 协议 HKEY LOCAL MACHINE SYSTEM CurrentControlSet Services Tcpip Parameters 新建 DWORD 值 名为 IGMPLevel 值为 0 D 禁止 IPC 空连接 cracker 可以利用 net use 命令建立空连接 进而入侵 还有 net view nbtstat 这些都是基于空连接的 禁止空连接就好了 Local Machine System CurrentControlSet Control LSA RestrictAnonymous 把这个值改成 1 即可 E 更改 TTL 值 cracker 可以根据 ping 回的 TTL 值来大致判断你的操作系统 如 TTL 107 WINNT TTL 108 win2000 TTL 127 或 128 win9x TTL 240 或 241 linux TTL 252 solaris TTL 240 Irix 实际上你可以自己改的 HKEY LOCAL MACHINE SYSTEM CurrentControlSet Services Tcpip Parameters DefaultTTL REG DWORD 0 0 xff 0 255 十进制 默认值 128 改成一个莫名其 妙的数字如 250 11 把系统 Administrator 账号改名 我的已经改成了 中央人民政府 可以把 硬盘的其它分区或重要目录设置成仅这个用户可以访问 这样即使入侵者把自 己提升成了超级管理员组成员 也无法访问这些地方 将 Administrators 组 改名为其他 这样即使系统出现了溢出漏洞 但系统盘下的 net exe 程序已被 转移删除 想加入管理员组基本难以实现 何况 Administrators 组已被改名 用那个 net localgroup administrators xxx add 不知道管理员组的名字 会提示指定的本地组不存在 这样即使 net 命令可用也加不上了 最后给你的管理员帐户设定一个非常复杂的密码 设置本地用户帐号 把管理员和来宾帐号重新命名 禁止不必用的帐号 最好 还要建立一个管理员备用帐号 以防万一 提示 养成经常看一看本地用户帐号 属性的习惯 以防后门帐号 12 控制面板的设置 修改 cpl 控制面板文件 的权限为只有管理员可以访问 移动所有 msc 管理控制台文件 到你的一个固定目录 并设置这个目录的访 问权限 只有管理员可以防问 比如上面 11 中说的 把这个目录加上只有中央 人民政府这个用户可以访问 这样就是别人进入你服务器也没办法操作 还有就 是把 net exe 改名或者移动 搜索 net exe net1 exe 只给管理员可以访问的权 限 设置 arp exe attrib exe cmd exe ftp exe tftp exe net exe net1 e xe netstat exe ping exe regedit exe regsvr32 exe telnet exe xcopy exe a t exe 的权限只有管理员权限可以访问 注意 net1 exe 与 net 同样作用 搜索这 些文件时注意选择其它高级选项 勾选搜索隐藏的文件和文件夹 13 卸载 wscript shell 对象 强烈建议卸载 命令行执行组件 可以通过上传 cmd exe 到网站目录下或直接调用服务器上的从而运行相关命令 在 cmd 下运行 regsvr32 WSHom Ocx u 卸载 FSO 对象 不建议卸载 文件操作组件 一般虚拟主机服务提供商都开放着 禁用后一些 asp 程序不能正常运行 在 cmd 下运行 regsvr32 exe scrrun dll u 禁用 Workstation 服务 如果不禁用 asp 网马可以查看系统用户与服务 知道你 的所有用户名称 14 IIS 站点设置 1 将 IIS 目录数据与系统磁盘分开 保存在专用磁盘空间内 2 启用父级路径 3 在 IIS 管理器中删除必须之外的任何没有用到的映射 保留 asp 等必要映射 即可 4 在 IIS 中将 HTTP404 Object Not Found 出错页面通过 URL 重定向到一个定 制 HTM 文件 5 Web