服务器系统安全操作说明.doc

服务器系统安全操作说明1、 服务器安全设置1. 硬盘权限（1）、硬盘或文件夹: C: D: E: F: 类推 主要权限部分：Administrators完全控制该文件夹，子文件夹及文件CREATOR OWNER完全控制只有子文件夹及文件SYSTEM完全控制该文件夹，子文件夹及文件（2） 、硬盘或文件夹: C:Inetpub 主要权限部分：Administrators完全控制该文件夹，子文件夹及文件CREATOR OWNER完全控制只有子文件夹及文件SYSTEM完全控制该文件夹，子文件夹及文件（3） 、硬盘或文件夹: C:InetpubAdminScripts 主要权限部分：Administrators完全控制该文件夹，子文件夹及文件SYSTEM完全控制该文件夹，子文件夹及文件（4）、硬盘或文件夹: C:Documents and Settings 主要权限部分：Administrators完全控制该文件夹，子文件夹及文件SYSTEM完全控制该文件夹，子文件夹及文件（5） 、硬盘或文件夹: C:Documents and SettingsAll Users 主要权限部分：Administrators完全控制该文件夹，子文件夹及文件SYSTEM完全控制该文件夹，子文件夹及文件其他权限部分：Users读取和运行该文件夹，子文件夹及文件USERS组的权限仅仅限制于读取和运行，绝对不能加上写入权限（6） 、硬盘或文件夹: C:Documents and SettingsAll Users开始菜单 主要权限部分：Administrators完全控制该文件夹，子文件夹及文件SYSTEM完全控制该文件夹，子文件夹及文件2. 用户和密码设置安全（1） 、禁用guest账户在计算机管理的用户里面把Guest账号禁用。为了保险起见，最好给Guest加一个复杂的密码。你可以打开记事本，在里面输入一串包含特殊字符、数字、字母的长字符串，然后把它作为Guest用户的密码拷进去。（2） 、限制不必要的用户 去掉所有的Duplicate User用户、测试用户、共享用户等等。用户组策略设置相应权限，并且经常检查系统的用户，删除已经不再使用的用户。这些用户很多时候都是黑客们入侵系统的突破口。（3） 、创建两个管理员账号 创建一个一般权限用户用来收信以及处理一些日常事物，另一个拥有Administrators 权限的用户只在需要的时候使用，同时帐号名末尾加$符号（4） 、把系统Administrator账号改名 Administrator用户是不能被停用的，这意味着别人可以一遍又一遍地尝试这个用户的密码。尽量把它伪装成普通用户，比如改IIS_admin$。（5） 、创建一个陷阱用户创建一个名为“Administrator”的本地用户，把它的权限设置成最低，什么事也干不了的那种，并且加上一个超过10位的超级复杂密码（6） 、把共享文件的权限从Everyone组改成授权用户任何时候都不要把共享文件的用户设置成“Everyone”组，包括打印共享，默认的属性就是“Everyone”组的，一定不要忘了改。（7） 、开启用户策略使用用户策略，分别设置复位用户锁定计数器时间为20分钟，用户锁定时间为20分钟，用户锁定阈值为3次。（8） 、不让系统显示上次登录的用户名默认情况下，登录对话框中会显示上次登录的用户名。这使得别人可以很容易地得到系统的一些用户名，进而做密码猜测。修改注册表可以不让对话框里显示上次登录的用户名。方法为：打开注册表编辑器并找到注册表项“HKLMSoftwareMicrosoftWindows TCurrentVersionWinlogonDont-DisplayLastUserName”，把REG_SZ的键值改成1。（9） 、开启密码策略注意应用密码策略，如启用密码复杂性要求，设置密码长度最小值为6位 ，设置强制密码历史为5次，时间为42天。3. 服务器安全和性能设置可抵御DDOS攻击2-3万包，提高服务器TCP-IP整体安全性能（效果等于软件防火墙，节约了系统资源脚本如下：Windows Registry Editor Version 5.00HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoRecentDocsMenu=hex:01,00,00,00NoRecentDocsHistory=hex:01,00,00,00HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonDontDisplayLastUserName=1HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsarestrictanonymous=dword:00000001HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverParametersAutoShareServer=dword:00000000AutoShareWks=dword:00000000HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersEnableICMPRedirect=dword:00000000KeepAliveTime=dword:000927c0SynAttackProtect=dword:00000002TcpMaxHalfOpen=dword:000001f4TcpMaxHalfOpenRetried=dword:00000190TcpMaxConnectResponseRetransmissions=dword:00000001TcpMaxDataRetransmissions=dword:00000003TCPMaxPortsExhausted=dword:00000005DisableIPSourceRouting=dword:00000002TcpTimedWaitDelay=dword:0000001eTcpNumConnections=dword:00004e20EnablePMTUDiscovery=dword:00000000NoNameReleaseOnDemand=dword:00000001EnableDeadGWDetect=dword:00000000PerformRouterDiscovery=dword:00000000EnableICMPRedirects=dword:00000000HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetBTParametersBacklogIncrement=dword:00000005MaxConnBackLog=dword:000007d0HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesAFDParametersEnableDynamicBacklog=dword:00000001MinimumDynamicBacklog=dword:00000014MaximumDynamicBacklog=dword:00007530DynamicBacklogGrowthDelta=dword:0000000a4. IP安全策略首先启用ipsec服务，设置成开机自启动，然后在运行里输入gpedit.msc，打开组策略设置步骤：计算机配置-Windows设置-IP安全策略-添加协议IP协议端口源地址目标地址方式ICMP-阻止UDP135任何IP地址我的IP地址阻止UDP136任何IP地址我的IP地址阻止UDP137任何IP地址我的IP地址阻止UDP138任何IP地址我的IP地址阻止UDP139任何IP地址我的IP地址阻止TCP445任何IP地址-从任意端口我的IP地址-445阻止UDP445任何IP地址-从任意端口我的IP地址-445阻止UDP69任何IP地址-从任意端口我的IP地址-69阻止UDP69我的IP地址-69任何IP地址-任意端口阻止TCP1026我的IP地址-1026任何IP地址-任意端口阻止TCP1027我的IP地址-1027任何IP地址-任意端口阻止TCP1028我的IP地址-1028任何IP地址-任意端口阻止UDP1026我的IP地址-1026任何IP地址-任意端口阻止UDP1027我的IP地址-1027任何IP地址-任意端口阻止UDP1028我的IP地址-1028任何IP地址-任意端口阻止TCP21我的IP地址-从任意端口任何IP地址-到21端口阻止TCP99我的IP地址-99任何IP地址-任意端口阻止以上端口只是部分端口策略，实际策略中各种病毒端口都会被阻止5. 本地安全策略开始菜单管理工具本地安全策略A、本地策略审核策略 审核策略更改成功失败 审核登录事件成功失败 审核对象访问失败 审核过程跟踪无审核 审核目录服务访问失败 审核特权使用失败 审核系统事件成功失败 审核账户登录事件成功失败 审核账户管理成功失败 B、本地策略用户权限分配关闭系统：只有Administrators组、其它全部删除。 通过终端服务拒绝登陆：加入Guests、User、ASPNET 、IUSR_ 、IWAM_ 、NETWORK SERVICE 组通过终端服务允许登陆：只加入Administrators组，其他全部删除C、本地策略安全选项交互式登陆：不显示上次的用户名启用 网络访问：不允许SAM帐户和共享的匿名枚举 启用 网络访问：不允许为网络身份验证储存凭证启用 网络访问：可匿名访问的共享全部删除 网络访问：可匿名访问的命全部删除 网络访问：可远程访问的注册表路径全部删除 网络访问：可远程访问的注册表路径和子路径全部删除 网络访问: 不允许存储网络身份验证的凭据或 .NET Passports 更改为已启用 网络访问.限制匿名访问命名管道和共享,更改为已启用 ; 帐户：重命名来宾帐户重命名一个帐户 帐户：重命名系统管理员帐户重命名一个帐户6. 网络服务器安全设置1. 禁止c$、d$、ADMIN$一类的缺省共享步骤：Cmd-Net share-删除相关盘符共享目录2. 关闭139端口解除NetBios与TCP/IP协议的绑定右击网上邻居-属性-右击本地连接-属性-双击Internet协议-高级-Wins-禁用TCP/IP上的NETBIOS彻底关闭139端口，具体步骤如下： 鼠标右键单击“网络邻居”，选择“属性”，进入“网络和拨号连接”，再用鼠标右键单击“本地连接”，选择“属性”，打开“本地连接 属性”页 ，然后去掉“Microsoft网络的文件和打印共享”前面的“”3. 关闭不需要的服务例如：Help and Support、Print Spooler、Remote Registry、TCP/IP NetBIOS Helper 、Windows times等非必要的服务，降低入侵风险 7. 本地其他安全设置1. 打开C:Windows目录 搜索以下DOS命令文件NET.EXE ,NET1.EXE, CMD.EXE, FTP.EXE, ATTRIB.EXE, CACLS.EXE, AT.EXE , FORMAT.COM, TELNET.EXE, COMMAND.COM, NETSTAT.EXE, REGEDIT.EXE, ARP.EXE, NBTSTAT.EXE把以上命令文件通通只给Administrators为完全控制权限，System完全不控制！2. 清空远程可访问的注册表路径将远程可访问的注册表路径设置为空，这样可以有效防止黑客利用扫描器通过远程注册表读取计算机的系统信息及其它信息。打开组策略编辑器，依次展开“计算机配置Windows 设置安全设置安全选项”，在右侧窗口中找到“网络访问：可远程访问的注册表路径”，将可远程访问的注册表路径和子路径内容全部删除3. 禁止使用WScript.Shell组件WScript.Shell可以调用系统内核运行DOS基本命令可以通过修改注册表，将此组件改名，来防止此类木马的危害。HKEY_CLASSES_ROOTWScript.Shell及HKEY_CLASSES_ROOTWScript.Shell.1改名为其它的名字，如：改为WScript.Shell_ChangeName 或 WScript.Shell.1_ChangeName自己以后调用的时候使用这个就可以正常调用此组件了也要将clsid值也改一下HKEY_CLASSES_ROOTWScript.ShellCLSID项目的值HKEY_CLASSES_ROOTWScript.Shell.1CLSID项目的值也可以将其删除，来防止此类木马的危害。 4.调用Cmd.exe禁用Guests组用户调用cmd.exe2003使用命令：cacls C:WINDOWSsystem32Cmd.exe /e /d guests5. 禁止建立空连接HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa新建 “DWORD值”值名为 “RestrictAnonymous” 数据值为“1” 2003默认为1 6.禁止系统自动启动服务器共享HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters 新建 “DWORD值”值名为 “AutoShareServer” 数据值为“0”7.禁止系统自动启动管理共享HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters 新建 “DWORD值”值名为 “AutoShareWks” 数据值为“0”8.通过修改注册表防止小规模DDOS攻击HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters新建 “DWORD值”值名为