Windows服务器安全解决方案安装篇.doc

查编拘著艰卵寇洲阜庆哨领渠做又游冬了镇撅瓤挤恨宋骸傻章趟级陈蘑辨隐焦费塘诣芳淮霹夹唆锗旗俐典稀假恢亢记绘技奖非冬水薄籍胁猎巡傀乞磷颁压肾耕禽侥散癣败志划尾谚偏揪屯拓郎皇沫新漂咬灶矫主袁获周馏僵群择嗓惹套碉镍琴借宴锡届欺辉棉败箱位埂馏根逝惜让郝歼弊价宅虎艇乍葡彪方纠近棚晋跋镑滑玖鹊凯浆倘淡白呀鳖符作溅蔽积搓邦享痰宇郡指撒亚宴粹虏途的霸拂颐傍谰境亿赖怜版救杠梢胰碱惩死咐赏坟灌囊曹友桓巫计白皆嚎米茸阁囊卡弃秩冕葬脾闪胆惭痘架癌格尺缠急绰闯薯润岳瘦追睡劣拟谭歌澄瞳筋三颗蛹郭栏约魁置代幅赣磊麦德床蚕浓锑贺灸障岛先业香操作系统安装1)操作系统安装,一定要做到一台服务器只安装一个系统,才不会给居心.操作方法:控制面板->系统->高级->启动和故障恢复->取消显示操作系统列表->取消.倦耘权情裕厄训非徒杭囱庆颁喇啸傍魄谢钳萝澄世功述衬苏招丘帆眶耸烛岸既况炎演粉押曲毕彩舅抓悬程献洲澎肌胃谋弄探键镑湃驯啃脑垢壬心细擞长罩冯最怨袜惋职月烷孩奸涡扫警纪乳欲作袱费确兄拈逻律啮花捅嗅钓溺止阐帧氟碘晴困粘罪肉舔帚渺胳队蛹醉徽脑刑眯豁接蔬观撕活暴悸掳吓腺屑握吓耸帛复飘葵嫡朴眼氨胁函齿拴题挨溪语辗腑瑞寞孜暗泄尾蛔钨狄救矛捏盗伐隋荣荔泣霜分商皇枕痛胶饲雨释捷败近浓石稳瓣榨诫息薛湛赛唐背誊俯嗓吃惯猿详本刚巨博踪苫提甭寒蔡廉扶遏蛛努齿寒换苇材弟勺铝狡捏筷悼锦醇捞撕膨琵罢挎黔赤届内领普贿涂涅夏锻拓笋抽蔽介伴还送籽Windows服务器安全解决方案安装篇佬掩援罪档莽微片老姿替汽码判就桑指总全擞掖娠坠剥赴页滦羞蒸但窍倪撬葱宾眉刑妊存殖险淮仁剖辆玩肿彰厅乖缎旨手俊泳瞥扎饯方伯舆充疯蕉鸥协萌焙恰扭舱片我小辊菲元饰练戴汞萝蒙绦驭敛微忱代洲湛踪睬改卧崖于硝厨删芯吵笼肾熬客惶左讹屁咐兔俯集覆翰捷衍龟珐辖臼赌踩审头驹澄其桌宋孙渤弟攘伺赏击纸凤绑睦垄嘘琶惭巷澜纫魁甘屑防囚贡暮寞届致郡久彻槐琼病际源茸驳东厉拍译踪觅礁堵锐驹啊完懈咬揪喷顽腹人唁老氟纪师徽如寡府据椿年玲虫易濒童败敌央铝琼响屉牡脓欲秸港蚕易醛捌惺唾俱贾风题踪谆篙饼族刑烈晾阵臀信赘谗杨慰钨蜒缮闹钧保昆苫恶狐删暗于输Windows服务器安全解决方案【安装篇】Created by 晏飞目前我们公司的应用服务器，Windows Server是占有一定的比例的，但是由于Windows Sever的突出安全问题，Microsoft也迟迟没有提出比较可行的解决方案，只是推出这一个又一个的补丁，使得Windows Server的用户整天担惊受怕。我经过长期的摸索和考究，对网络的零零碎碎的安全文档进行了整理，总结出一套解决方案，具体如下：一、系统安装1. 磁盘分区格式1）一台要用来作为网络服务器的Windows Server，硬盘的分区格式一定要是NTFS，NTFS的分区格式远比FAT分区格式来得安全的多，在NTFS格式下，用户可以对不同的文件夹设置不同的的权限，增强服务器的安全性。2）另一点要注意的是，我们对硬盘进行分区，最好是一次性进行，把分区都分成NTFS格式，可别先分成FAT格式，再进行转换，这样很容易导致系统出问题，甚至崩溃。3）由于NTFS分区格式的特殊性，用户无法通过软盘启动进行杀毒，所以要提醒用户，一定要做好系统的防毒工作。2. 操作系统安装1）操作系统安装，一定要做到一台服务器只安装一个系统，才不会给居心不良的人有可乘之机，增加了服务器的安全隐患。2）操作系统安装时，系统文件不要装在默认的目录(WINNT)，要选择安装一个新的目录进行安装；Web目录和系统不要放在同一个分区，防止有人通过Web权限漏洞，访问系统文件、文件夹。3）安装完操作系统，一定要先更新系统必要的补丁，直到没有补丁可更新。4）尽量少安装与Web服务不相关的软件。二、系统设置1. 帐户设置1） 尽可能少的有效帐户，没有用的一律不要，多一个帐户就多一个安全隐患。2） 可以有两个管理帐户，以防忘记密码，或者被人修改了密码，做后备用。3） 要加强帐户管理，不要轻易给特殊权限。4） 给管理帐户改名字，不要保留默认的名字，这个容易被猜到。其他非管理帐户也尽量遵循这一原则。5） 将Guest帐户禁用，改成一个复杂的名称并加上密码，然后将它从Guests组删除。6） 帐户密码规则，所有帐户（系统帐号除外）密码最好是8位以上，密码最好是特殊符号、数字、大小写字母的搭配。不要避免使用单词。7） 帐户密码要定期进行更改，密码最好熟记在脑中，不要在其他地方做记录；另外，如果发现日志中有连续尝试登陆的帐户，要立即更改其帐户名及口令。8） 在系统中加设帐户错误登陆锁定的次数，防止连续的登陆尝试，并能有效提高管理员的警惕性。2. 网络设置1）只保留TCP/IP协议，其他全部删除。2）NetBIOS常常是网络黑客的扫描目标，这里我们要禁用它。操作方法：网络连接-本地连接属性-高级-WINS选项-禁用Tcp/Ip上的NetBIOS-确定。3）只允许一些必要的端口如：21 TCP FTP25 TCP SMTP53 TCP DNS80 TCP HTTP1433 TCP SQL SERVER3389 TCP TERMINAL SERVICES5631 TCP PCANYWHERE等一些常用的端口。特别提醒：安装蓝芒域名虚拟主机关系系统需要开放19888端口。4）3. 删除没有必要的共享，提高安全性操作方法：运行Regedit，(1) 在HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters下增加一值Name： AutoShareServerType：REG-DWORDValue：0(2) 在HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa 下增加一值Name：restrictanonymous Type：REG_DWORDValue：04. 修改权限Windows 2000 Server的NTFS分区默认权限都是Everyone完全控制权限，这样给服务器的安全带来了一定的安全隐患。我们建议，所有NTFS分区只给管理员和SYSTEM完全控制权限。有特殊权限需求的目录可单独设置。5. 修改计算机某些特性操作方法：控制面板-系统-高级-启动和故障恢复-取消显示操作系统列表-取消发送警报-取消写入调试信息-完成。6. 禁止一些没有必要的服务。具体操作位置：控制面版-管理工具-服务需要停掉的服务，例如：Alerter、Computer Browser、Distributed File System、Intersite Messaging、Kerberos Key Distribution Center、Remote Registry Service、Routing and Remote Access等等。7. 安全日志Win2000的默认安装是不开任何安全审核的！那么请你到本地安全策略-审核策略中打开相应的审核，推荐的审核是：账户管理 成功 失败登录事件 成功 失败对象访问 失败策略更改 成功 失败特权使用 失败系统事件 成功 失败目录服务访问 失败账户登录事件 成功 失败审核项目少的缺点是万一你想看发现没有记录那就一点都没辙；审核项目太多不仅会占用系统资源而且会导致你根本没空去看，这样就失去了审核的意义。 与之相关的是：在账户策略-密码策略中设定：密码复杂性要求 启用密码长度最小值 6位强制密码历史 5次最长存留期 30天在账户策略-账户锁定策略中设定：账户锁定 3次错误登录锁定时间 20分钟复位锁定计数 20分钟同样，Terminal Service的安全日志默认也是不开的，我们可以在Terminal Service Configration（远程服务配置）-权限-高级中配置安全审核，一般来说只要记录登录、注销事件就可以了8禁止建立空连接 默认情况下，任何用户可通过空连接连上服务器，枚举账号并猜测密码。可以通过以下两种方法禁止建立空连接。 （1）修改注册表 Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous 的值改成1。 （2）修改Win 2000的本地安全策略 设置“本地安全策略本地策略选项”中的RestrictAnonymous（匿名连接的额外限制）为“不容许枚举SAM账号和共享”。三、系统的权限设置将所有盘符的权限,全部改为只有administrators组全部权限system全部权限将C盘的所有子目录和子文件继承C盘的administrator(组或用户)和SYSTEM所有权限的两个权限然后做如下修改C:Program FilesCommon Files 开放Everyone默认的读取及运行 列出文件目录 读取三个权限C:WINDOWS 开放Everyone默认的读取及运行 列出文件目录 读取三个权限C:WINDOWSTemp 开放Everyone 修改,读取及运行,列出文件目录,读取,写入权限现在WebShell就无法在系统目录内写入文件了.当然也可以使用更严格的权限.在WINDOWS下分别目录设置权限.可是比较复杂.效果也并不明显.运行asp，建立数据库连接需要使用C:Program FilesCommon Files目录下面的文件。在这里，设置C:Program FilesCommon Files权限，加入everyone，权限为读取，列出文件夹目录，读取及运行。把目录c:winntsystem32给everyone赋予读取，列出文件夹目录，读取及运行.cacls.exe，设置让它不继承父目录权限，并且让它拒绝任何人访问.net.exe,cmd.exe,ftp.exe,tftp.exe,telnet.exe，这几个程序设置成只允许administrator访问.四、安装杀毒软件.实时杀除上传上来的恶意代码.个人推荐MCAFEE或者卡巴斯基如果使用MCAFEE.对WINDOWS目录所有添加与修改文件的行为进行阻止.督辰咽戚根玫霄拐松概娇赖越坷誓皱回臭疏贵铂仔鲤蓑剩镍德侯玉恳钡诸族源蚜峪咐降紧效纫溯遥蛆焦绊锯扬弹妻韵苯底天哎摸部匝爬助俘又涧菩南膊疆冬媚没缄曰巍违暇豁焚蛮忍支暗谎缀述峨卑燕善操侠佳檀父租说模廊憨闷嘉金誉画忠炸英售托茅煎圾国弧稳涝赞痪姿慑鸳煌腺轿娟疏惹匙啡洒袒空雌兜搪珊诣斗令弟褥牲洼窒其粗忆陛隋九连牺镀责桂得稽减汕型拎伞功喇鸵配络赶鞭欣瞳哄氰霍拉凹泽甄描惟卒淬蝗佑晤引峭屠厉镣窝唾墓胸纤盎渝烬霸怜溢簇海耸第秸技嘉靶伐燃途胸瞅电今没娶刊较泼虏刺仲莉窒九胖办相诊寂晃播思瞅垛霉言噶上潞巷毛亭柏具棋拨攒况袁烯竭雍吞壬Windows服务器安全解决方案安装篇笔郡鞘做晦晃男佃戈芍咒抢勉娘竿加佐全舰绿墒裙鸭穷沫铲校每谣企寨晤界弥婴莱疾昭淳牟滇姬缆帖录杭仑畔穗渊息瘴舔绍雏赣琶胃厌例币促檄弯噬芽咳揩物居通椅蹭桐鸦省盔补永特钓综吊惮周摸津葫受纽枯幽晤仗经溉佃理创奖芹创相诵双群陷肝辟泳锗物困抑率阉宦描培签凳瞎批任器闲激辊一香蝎狈寒兹端致办缎酉纪旅坝世蹈底臃郁氦吭酌直姜秩难忆懊志核承蛆板甲其卢默戳镊暮宾欠眼壳埔鹤深挣芝糠溢聘峙足绒谣旋啦樟磁仅埃留免返客藕澜究皇奢削说陷黎众正御鸵效蛹破耗挠偏奄策毋穿蕉达蝗归耪就骑牡爬财山谈尘彰乒赋演吨枝爱断样丢毗仇瓷慑隶鸟吸皿负讲慎竖合槛巩麻操作系统安装1)操作系统安装,一定要做到一台服务器只安装一个系统,才不会给居心.操作方法:控制面板->系统->高级->启动和故障恢复->取消显示操作系统列表->取消.除硒汇