服务器安全设置.docx

Windows2003安全配置一 账号安全设置1、系统管理员账户最好少建，更改默认的管理员帐户名（Administrator）和描述，密码最好采用数字加大小写字母加数字的上档键组合，长度最好不少于14位。 2、新建一个名为Administrator的陷阱帐号，为其设置最小的权限，然后随便输入组合的最好不低于20位的密码。3、将Guest账户禁用并更改名称和描述，然后输入一个复杂的密码，然后禁用。 4、开始-程序-管理工具-本地安全策略，选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略，将账户设为“三次登陆无效”，“锁定时间为30分钟”，“复位锁定计数设为10分钟”。5、在安全设置-本地策略-安全选项中将“不显示上次的用户名”设为启用 。6. 本地策略-安全选项-对匿名连接的额外限制.选择(不允许枚举 SAM 帐号和共享)二. 用户权限设置NTFS系统权限设置实现系统用户最小的权限如何实现在使用之前将每个硬盘加上 Administrators 用户为全部权限(可选加入SYSTEM用户) 删除其它用户（C盘除外），进入系统盘:权限如下 C:WINDOWS Administrators SYSTEM用户全部权限 Users 用户默认权限不作修改 其它目录删除Everyone用户，切记C:Documents and Settings下All UsersDefault User目录及其子目录 除外 删除C:WINDOWSWebprinters目录，此目录的存在会造成IIS里加入一个.printers的扩展名，可溢出攻击 默认IIS错误页面已基本上没多少人使用了。建议删除C:WINDOWSHelpiisHelp目录 打开C:Windows 搜索net.exe;cmd.exe;tftp.exe;netstat.exe;regedit.exe;at.exe;attrib.exe;cacls.exe;; regsvr32.exe;xcopy.exe;wscript.exe;cscript.exe;ftp.exe;telnet.exe;arp.exe;edlin.exe; ping.exe;route.exe;finger.exe;posix.exe;rsh.exe;atsvc.exe;qbasic.exe;runonce.exe;syskey.exe修改权限，删除所有的用户只保存Administrators 和SYSTEM为所有权限 关闭445端口 打开注册表命令：regeditHKEY_LOCAL_MACHINESystemCurrentControlSetServicesnetBTParameters 新建 DWORD值值名为 SMBDeviceEnabled 数据为默认值0禁止建立空连接HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa 新建 DWORD值值名为 RestrictAnonymous 数据值为1 2003默认为1禁止系统自动启动服务器共享HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters 新建 DWORD值值名为 AutoShareServer 数据值为0禁止系统自动启动管理共享HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters 新建 DWORD值值名为 AutoShareWks 数据值为0通过修改注册表防止小规模DDOS攻击HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 新建 DWORD值值名为 SynAttackProtect 数据值为1禁止dump file的产生 dump文件在系统崩溃和蓝屏的时候是一份很有用的查找问题的资料。然而，它也能够给黑客提供一些敏感信息比如一些应用程序的密码等。控制面板系统属性高级启动和故障恢复把 写入调试信息 改成无。关闭华医生Dr.Watson 在开始-运行中输入drwtsn32，或者开始-程序-附件-系统工具-系统信息-工具-Dr Watson，调出系统里的华医生Dr.Watson ，只保留转储全部线程上下文选项，否则一旦程序出错，硬盘会读很久，并占用大量空间。如果以前有此情况，请查找user.dmp文件，删除后可节省几十MB空间。组策略编辑器 运行 gpedit.msc 计算机配置 管理模板 系统 显示关闭事件跟踪程序 更改为已禁用删除不安全组件 WScript.Shell 、Shell.application 这两个组件一般一些ASP木马或一些恶意程序都会使用到。方案一： regsvr32 /u wshom.ocx 卸载WScript.Shell 组件 regsvr32 /u shell32.dll 卸载Shell.application 组件如果按照上面讲到的设置，可不必删除这两个文件 方案二： 删除注册表 HKEY_CLASSES_ROOTCLSID72C24DD5-D70A-438B-8A42-98424B88AFB8 对应 WScript.Shell 删除注册表 HKEY_CLASSES_ROOTCLSID13709620-C279-11CE-A49E-444553540000 对应 Shell.application三 关闭不需要的服务 开始-所有程序-管理工具-服务 Computer Browser:维护网络计算机更新，禁用 Distributed File System: 局域网管理共享文件，不需要的话禁用 Distributed linktracking client：用于局域网更新连接信息，不需要的话禁用 Error reporting service：禁止发送错误报告 Microsoft Serch：提供快速的单词搜索，不需要可禁用 NTLMSecuritysupportprovide：telnet服务和Microsoft Serch用的，不需要禁用 PrintSpooler：如果没有打印机可禁用 Remote Registry：禁止远程修改注册表 Remote Desktop Help Session Manager：禁止远程协助 Messenger:信使服务(windows2000) Task Scheduler: 允许程序在指定时间运行(不用计划任务就禁用掉)四.本地安全策略制定（以关闭Ping命令为例子。具体什么策略按情况而定。需要不断更新。）在黑客入侵寻找对象时，大多都使用Ping命令来检测主机，如果Ping不通，水平差的“黑客”大多就会知难而退。事实上，完全可以造成一种假相，即使我们在线，但对方Ping时也不能相通，这样就能躲避很多攻击。第一步:添加独立管理单元开始-运行，输入:mmc，启动打开“控制台”窗口。再点选“控制台”菜单下的“添加/删除管理单元”，单击“添加”按钮，在弹出的窗口中选择“IP安全策略管理”项，单击“添加”按钮。在打开窗口中选择管理对象为“本地计算机”，单击“完成”按钮，同时关闭“添加/删除管理单元”窗口，返回主控台。(图一)第二步:创建IP安全策略右击刚刚添加的“IP安全策略，在本地机器”(图二)，选择“创建IP安全策略”，单击“下一步”，然后输入一个策略描述，如“noPing”(图三)。单击“下一步”，选中“激活默认响应规则”复选项，单击“下一步”。开始设置身份验证方式，选中“此字符串用来保护密钥交换(预共享密钥)”选项，然后随便输入一些字符(下面还会用到这些字符)(图四)。单击“下一步”，就会提示已完成IP安全策略，确认选中了“编辑属性”复选框，单击“完成”按钮，会打开其属性对话框。(图二)(图三)第三步:配置安全策略单击“添加”按钮，并在打开安全规则向导中单击“下一步”进行隧道终结设置，在这里选择“此规则不指定隧道”。(图六)单击“下一步”，并选择“所有网络连接”以保证所有的计算机都Ping不通。单击“下一步”，设置身份验证方式，与上面一样选择第三个选项“此字符串用来保护密钥交换(预共享密钥)”并填入与刚才相同的内容。单击“下一步”，在打开窗口中单击“添加”按钮，打开“IP筛选器列表”窗口。(图七)单击“添加”，单击“下一步”，设置源地址为“我的IP地址”，单击“下一步”，设置目标地址为“任何IP地址”，单击“下一步”，选择协议为ICMP，现在就可依次单击“完成”和“关闭”按钮返回。此时，可以在IP筛选器列表中看到刚刚创建的筛选器，将其选中之后单击“下一步”，选择筛选器操作为“要求安全设置”选项(图八)，然后依次点击“完成”、“关闭”按钮，保存相关的设置返回管理控制台。(图五)(图六)(图七)(图八)第四步:指派安全策略最后只需在“控制台根节点”中右击配置好的“禁止Ping”策略，选择“指派”命令使配置生效(图九)。经过上面的设置，当其他计算机再Ping该计算机时，就不再相通了。但如果自己Ping本地计算机，仍可相通。此法对于Windows2000/XP均有效。 (图九)四 远程端口修改修改数值的话需要修改注册表的两个地方： 第一个地方： HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControl TerminalServerWdsrdpwdTdstcp PortNumber值，默认是3389，修改成所希望的端口，比如6000。 第二个地方： HKEY_LOCAL_MACHINESYSTEMCurrentControlSet ControlTerminal ServerWinStationsRDP-Tcp PortNumber值，默认是3389，修改成所希望的端口，比如6000。 现在这样就可以了。重启系统就可以了. 如加了防火墙记得修改防火墙远程端口。，不然无法连接了。五 防火墙开启记得先开远程端口服务，不然开启后将不能远程了。六 端口限制先用icp协议自主添加所需端口再用x-scan扫描看看有哪些漏洞端口。逐个关闭。七 远程端口做源IP限制限制远程访问的ip。防火墙里面设置八Tomcat安全设置1.修改默认端口。修改Tomcat端口号步骤：找到Tomcat目录下的conf文件夹进入conf文件夹里面找到server.xml文件打开server.xml文件在server.xml文件里面找到下列信息把port=8080改成port=8888，并且保存2. 删除后台登陆账号我们不需要进行tomcat的用户管理。可将所有账号全部删除。修改后tomcat-users.xml文件为： 3. 添加账号权限默认安装时Tomcat是以系统服务权限运行的，因此缺省情况下几乎所有的Web服务器的管理员都具有Administrator权限这和IIS不同，存在极大的安全隐患，所以我们的安全设置首先从Tomcat服务降权开始。首先创建一个普通用户，为其设置密码，将其密码策略设置为“密码永不过期”，比如我们创建的用户为Tom。1、新建一个tomcat管理用户：2、给tomcat 用户启动tomcat服务：然后修改Tomcat安装文件夹的访问权限，为Tomcat_lw赋予Tomcat文件夹的读、写、执行的访问权限，赋予Tomcat_lw对WebApps文件夹的只读访问权限，如果某些Web应用程序需要写访问权限，单独为其授予对那个文件夹的写访问权限。 “开始运行”，输入services.msc打开服务管理器，找到Apache Tomcat服务，双击打开该服务，在其实属性窗口中点击“登录”选项卡，在登录身份下选中“以此帐户”，然后在文本框中输入Tomcat_lw和密码，最后“确定”并重启服务器。这样Tomcat就以Tomcat_lw这个普通用户的权限运行。 有的时候，我们需要在命令行下运行Tomcat，这时候可以在命令下输入命令runas /user:tomcat_lw cmd.exe回车后并输入密码，这样就开启一个Tomcat_lw权限的命令行。最后定位到Tomcat的bin文件夹下，输入命令tomcat6.exe即以Tomcat_lw在命令行下启动Tomcat。 这样普通