Win2003 Server安全配置完整篇

一 先关闭不需要的端口一 先关闭不需要的端口 我比较小心 先关了端口 只开了 3389 21 80 1433 有些人一直说什么默认的 3389 不安全 对此我不否认 但是利用的途径也只能一个一个的穷举爆破 你把帐号改了 密码设置为十五六位 我估计他要破上好几年 哈哈 办法 本地连接 属性 Internet 协议 TCP IP 高级 选项 TCP IP 筛选 属性 把勾打上 然后添加你需要的端口即 可 PS 一句 设置完端口需要重新启动 当然大家也可以更改远程连接端口方法 Windows Registry Editor Version 5 00 HKEY LOCAL MACHINE SYSTEM Current ControlSet Control Terminal Server WinStations RDP Tcp PortNumber dword 00002683 保存为 REG 文件双击即可 更改为 9859 当然大家也可以换别的端口 直接打开以上 注册表的地址 把值改为十进制的输入你想要的端口即可 重启生效 还有一点 在 2003 系统里 用 TCP IP 筛选里的端口过滤功能 使用 FTP 服务器的时 候 只开放 21 端口 在进行 FTP 传输的时候 FTP 特有的 Port 模式和 Passive 模式 在 进行数据传输的时候 需要动态的打开高端口 所以在使用 TCP IP 过滤的情况下 经常会 出现连接上后无法列出目录和数据传输的问题 所以在 2003 系统上增加的 Windows 连接防 火墙能很好的解决这个问题 不推荐使用网卡的 TCP IP 过滤功能 做 FTP 下载的用户看仔细 如果要关闭不必要的端口 在 system32 drivers etc services 中有列表 记事本就可以打开的 如果懒的话 最简单 的方法是启用 WIN2003 的自身带的网络防火墙 并进行端口的改变 功能还可以 Internet 连接防火墙可以有效地拦截对 Windows 2003 服务器的非法入侵 防止非法 远程主机对服务器的扫描 提高 Windows 2003 服务器的安全性 同时 也可以有效拦截利 用操作系统漏洞进行端口攻击的病毒 如冲击波等蠕虫病毒 如果在用 Windows 2003 构造 的虚拟路由器上启用此防火墙功能 能够对整个内部网络起到很好的保护作用 二二 关闭不需要的服务关闭不需要的服务 打开相应的审核策略打开相应的审核策略 我关闭了以下的服务 Computer Browser 维护网络上计算机的最新列表以及提供这个列表 Task scheduler 允许程序在指定时间运行 Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息 Distributed File System 局域网管理共享文件 不需要禁用 Distributed linktracking client 用于局域网更新连接信息 不需要禁用 Error reporting service 禁止发送错误报告 Microsoft Serch 提供快速的单词搜索 不需要可禁用 NTLMSecuritysupportprovide telnet 服务和 Microsoft Serch 用的 不需要禁用 PrintSpooler 如果没有打印机可禁用 Remote Registry 禁止远程修改注册表 Remote Desktop Help Session Manager 禁止远程协助 Workstation 关闭的话远程 NET 命令列不出用户组 把不必要的服务都禁止掉 尽管这些不一定能被攻击者利用得上 但是按照安全规则 和标准上来说 多余的东西就没必要开启 减少一份隐患 在 网络连接 里 把不需要的协议和服务都删掉 这里只安装了基本的 Internet 协议 TCP IP 由于要控制带宽流量服务 额外安装了 Qos 数据包计划程序 在高级 tcp ip 设置里 NetBIOS 设置 禁用 tcp IP 上的 NetBIOS S 在高级选项里 使用 Internet 连接防火墙 这是 windows 2003 自带的防火墙 在 2000 系统里没有的功能 虽然没什么功能 但可以屏蔽端口 这样已经基本达到了一个 IPSec 的功能 在运行中输入 gpedit msc 回车 打开组策略编辑器 选择计算机配置 Windows 设置 安全设置 审核策略在创建审核项目时需要注意的是如果审核的项目太多 生成的事件也就 越多 那么要想发现严重的事件也越难当然如果审核的太少也会影响你发现严重的事件 你需要根据情况在这二者之间做出选择 推荐的要审核的项目是 登录事件 账户登录事件 系统事件 策略更改 对象访问 目录服务访问 特权使用 三 关闭默认共享的空连接三 关闭默认共享的空连接 地球人都知道 我就不多说了 四 磁盘权限设置四 磁盘权限设置 C 盘只给 administrators 和 system 权限 其他的权限不给 其他的盘也可以这样设 置 这里给的 system 权限也不一定需要给 只是由于某些第三方应用程序是以服务形式启 动的 需要加上这个用户 否则造成启动不了 Windows 目录要加上给 users 的默认权限 否则 ASP 和 ASPX 等应用程序就无法运行 以前有朋友单独设置 Instsrv 和 temp 等目录权限 其实没有这个必要的 另外在 c Documents and Settings 这里相当重要 后面的目录里的权限根本不会继 承从前的设置 如果仅仅只是设置了 C 盘给 administrators 权限 而在 All Users Application Data 目录下会 出现 everyone 用户有完全控制权限 这样入侵这可以 跳转到这个目录 写入脚本或只文件 再结合其他漏洞来提升权限 譬如利用 serv u 的本 地溢出提升权限 或系统遗漏有补丁 数据库的弱点 甚至社会工程学等等 N 多方法 从 前不是有牛人发飑说 只要给我一个 webshell 我就能拿到 system 这也的确是有可能 的 在用做 web ftp 服务器的系统里 建议是将这些目录都设置的锁死 其他每个盘的目 录都按照这样设置 每个盘都只给 adinistrators 权限 另外 还将 net exe NET 命令 cmd exe CMD 懂电脑的都知道咯 tftp exe netstat exe regedit exe 注册表啦 大家都知道 at exe attrib exe cacls exe ACL 用户组权限设置 此命令可以在 NTFS 下设置任何文件夹的任何权限 偶入侵的时候没少用这个 format exe 不说了 大家都知道是做嘛的 大家都知道 ASP 木马吧 有个 CMD 运行这个的 这些如果都可以在 CMD 下运行 55 估计别的没啥 format 下估计就哭料 这些文件都设置只允许 administrator 访问 五 防火墙 杀毒软件的安装五 防火墙 杀毒软件的安装 关于这个东西的安装其实我也说不来 反正安装什么的都有 建议使用卡巴 卖咖啡 用系统自带的防火墙 这个我不专业 不说了 大家凑合 六 六 SQL2000SQL2000 SERV USERV U FTPFTP 安全设置安全设置 SQL 安全方面 1 System Administrators 角色最好不要超过两个 2 如果是在本机最好将身份验证配置为 Win 登陆 3 不要使用 Sa 账户 为其配置一个超级复杂的密码 4 删除以下的扩展存储过程格式为 use master sp dropextendedproc 扩展存储过程名 xp cmdshell 是进入操作系统的最佳捷径 删除 访问注册表的存储过程 删除 Xp regaddmultistringXp regdeletekeyXp regdeletevalueXp regenumvalues Xp regread Xp regwrite Xp regremovemultistring OLE 自动存储过程 不需要 删除 Sp OACreate Sp OADestroySp OAGetErrorInfoSp OAGetProperty Sp OAMethodSp OASetPropertySp OAStop 5 隐藏 SQL Server 更改默认的 1433 端口 右击实例选属性 常规 网络配置中选择 TCP IP 协议的属性 选择隐藏 SQL Server 实 例 并改原默认的 1433 端口 serv u 的几点常规安全需要设置下 选中 Block FTP bounce attack and FXP 什么是 FXP 呢 通常 当使用 FTP 协议 进行文件传输时 客户端首先向 FTP 服务器发出一个 PORT 命令 该命令中包含此用户的 IP 地址和将被用来进行数据传输的端口号 服务器收到后 利用命令所提供的用户地址信 息建立与用户的连接 大多数情况下 上述过程不会出现任何问题 但当客户端是一名恶 意用户时 可能会通过在 PORT 命令中加入特定的地址信息 使 FTP 服务器与其它非客户端 的机器建立连接 虽然这名恶意用户可能本身无权直接访问某一特定机器 但是如果 FTP 服务器有权访问该机器的话 那么恶意用户就可以通过 FTP 服务器作为中介 仍然能够最 终实现与目标服务器的连接 这就是 FXP 也称跨服务器攻击 选中后就可以防止发生此 种情况 七 七 IISIIS 安全设置安全设置 IIS 的安全 1 不使用默认的 Web 站点 如果使用也要将 IIS 目录与系统磁盘分开 2 删除 IIS 默认创建的 Inetpub 目录 在安装系统的盘上 3 删除系统盘下的虚拟目录 如 vti bin IISSamples Scripts IIShelp IISAdmin IIShelp MSADC 4 删除不必要的 IIS 扩展名映射 右键单击 默认 Web 站点 属性 主目录 配置 打开应用程序窗口 去掉不必要 的应用程序映射 主要为 shtml shtm stm 5 更改 IIS 日志的路径 右键单击 默认 Web 站点 属性 网站 在启用日志记录下点击属性 6 如果使用的是 2000 可以使用 iislockdown 来保护 IIS 在 2003 运行的 IE6 0 的版 本不需要 八 其它八 其它 1 系统升级 打操作系统补丁 尤其是 IIS 6 0 补丁 SQL SP3a 补丁 甚至 IE 6 0 补丁也要打 同时及时跟踪最新漏洞补丁 2 停掉 Guest 帐号 并给 guest 加一个异常复杂的密码 把 Administrator 改名或 伪装 3 隐藏重要文件 目录 可以修改注册表实现完全隐藏 HKEY LOCAL MACHINE SOFTWARE Microsoft Windows Current Version Explorer Advanced Folder Hi dden SHOWALL 鼠标右击 CheckedValue 选择修改 把数值由 1 改为 0 4 启动系统自带的 Internet 连接防火墙 在设置服务选项中勾选 Web 服务器 5 防止 SYN 洪水攻击 HKEY LOCAL MACHINE SYSTEM CurrentControlSet Services Tcpip Parameters 新建 DWORD 值 名为 SynAttackProtect 值为 2 6 禁止响应 ICMP 路由通告报文 HKEY LOCAL MACHINE SYSTEM CurrentControlSet Services Tcpip Parameters Interfaces interface 新建 DWORD 值 名为 PerformRouterDiscovery 值为 0 7 防止 ICMP 重定向报文的攻击 HKEY LOCAL MACHINE SYSTEM CurrentControlSet Services Tcpip Parameters 将 EnableICMPRedirects 值设为 0 8 不支持 IGMP 协议 HKEY LOCAL MACHINE S