服务器安全设置,服务器安全配置_百度文库

1、Sine 安全官方 -专业做安全Windows 2003 服务器安全设置一、先关闭不需要的端口我比较小心, 先关了端口。 只开了 3389、 21、 80、 1433, 有些人一直说什么默认的 3389不安全,对此我不否认, 但是利用的途径也只能一个一个的穷举爆破,你把帐号改了密码设置为 十五六位,我估计他要破上好几年,哈哈!办法:本地连接 -属性 -Internet 协议(TCP/IP -高级 -选项 -TCP/IP筛选 -属性 -把勾打上,然后添加你需要的端口即可。 PS 一句:设置完 端口需要重新启动!当然大家也可以更改远程连接端口方法:Windows Registry Editor V

2、ersion 5.00HKEY_LOCAL_MACHINE SYSTEM Current ControlSet Control Terminal ServerWinStationsRDP-Tcp"PortNumber"=dword:00002683保存为 .REG 文件双击即可!更改为 9859,当然大家也可以换别的端口,直接打开以上注 册表的地址,把值改为十进制的输入你想要的端口即可!重启生效还有一点,在 2003系统里,用 TCP/IP筛选里的端口过滤功能,使用 FTP 服务器的时候, 只开放 21端口,在进行 FTP 传输的时候, FTP 特有的 Port 模式和 P

3、assive 模式,在进行数 据传输的时候, 需要动态的打开高端口, 所以在使用 TCP/IP过滤的情况下,经常会出现连接上 后无法列出目录和数据传输的问题。 所以在 2003系统上增加的 Windows 连接防火墙能很好的 解决这个问题,不推荐使用网卡的 TCP/IP过滤功能。二 . 关闭不需要的服务打开相应的审核策略我关闭了以下的服务Computer Browser 维护网络上计算机的最新列表以及提供这个列表Task scheduler 允许程序在指定时间运行Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息Distributed File System:

4、局域网管理共享文件,不需要禁用Distributed linktracking client:用于局域网更新连接信息,不需要禁用Error reporting service:禁止发送错误报告Microsoft Serch:提供快速的单词搜索,不需要可禁用NTLMSecuritysupportprovide :telnet 服务和 Microsoft Serch用的,不需要禁用 PrintSpooler :如果没有打印机可禁用Remote Registry:禁止远程修改注册表Remote Desktop Help Session Manager:禁止远程协助Workstation 关闭的话远程

5、 NET 命令列不出用户组把不必要的服务都禁止掉, 尽管这些不一定能被攻击者利用得上, 但是按照安全规则和标准 上来说,多余的东西就没必要开启,减少一份隐患。在 " 网络连接 " 里, 把不需要的协议和服务都删掉, 这里只安装了基本的 Internet 协议 (TCP/IP , 由于要控制带宽流量服务, 额外安装了 Qos 数据包计划程序。 在高级 tcp/ip设置里 -"Net BIOS" 设置 " 禁用 tcp/IP上的 Net BIOS (S " 。在高级选项里,使用 "Internet 连接防火墙 " ,这

6、是 windows 2003 自带的防火墙,在 2000系统里没有的功能,虽然没什么功能,但可以屏蔽端 口,这样已经基本达到了一个 IPSec 的功能。在运行中输入 gpedit.m sc 回车,打开组策略编辑器,选择计算机配置 -Windows 设置 -安全设 置 -审核策略在创建审核项目时需要注意的是如果审核的项目太多,生成的事件也就越多,那么 要想发现严重的事件也越难当然如果审核的太少也会影响你发现严重的事件, 你需要根据情况在 这二者之间做出选择。推荐的要审核的项目是:登录事件账户登录事件系统事件策略更改对象访问目录服务访问特权使用三、关闭默认共享的空连接地球人都知道,我就不多说了!四

7、、磁盘权限设置C 盘只给 administrators 和 system 权限,其他的权限不给,其他的盘也可以这样设置, 这里给的 system 权限也不一定需要给,只是由于某些第三方应用程序是以服务形式启动的, 需要加上这个用户,否则造成启动不了。Windows 目录要加上给 users 的默认权限,否则 ASP 和 ASPX 等应用程序就无法运行。 以前有朋友单独设置 Instsrv 和 temp 等目录权限,其实没有这个必要的。另外在 c:/Documents and Settings/这里相当重要,后面的目录里的权限根本不会继承 从前的设置,如果仅仅只是设置了 C 盘给 adminis

8、trators 权限,而在 All Users/Application Data 目录下会出现 everyone 用户有完全控制权限,这样入侵这可以跳转到这个目录,写入脚 本或只文件,再结合其他漏洞来提升权限;譬如利用 serv-u 的本地溢出提升权限,或系统遗漏 有补丁,数据库的弱点,甚至社会工程学等等 N 多方法,从前不是有牛人发飑说:" 只要给我一 个 webshell ,我就能拿到 system" ,这也的确是有可能的。在用做 web/ftp服务器的系统里, 建议是将这些目录都设置的锁死。其他每个盘的目录都按照这样设置,每个盘都只给 adinistrators 权限

9、。另外,还将:net.exe NET命令c m d.exe CMD 懂电脑的都知道咯 tftp.exenetstat.exeregedit.exe 注册表啦大家都知道at.exeattrib.execacls.exe ACL 用户组权限设置,此命令可以在 NTFS 下设置任何文件夹的任何权限!偶 入侵的时候没少用这个 . (:format.exe 不说了,大家都知道是做嘛的大家都知道 ASP 木马吧,有个 CMD 运行这个的,这些如果都可以在 CMD 下运行 .55, 估计别的没啥, format 下估计就哭料 (:这些文件都设置只允许 administrator 访问。 五、防火墙、杀毒软件

10、的安装关于这个东西的安装其实我也说不来, 反正安装什么的都有, 建议使用卡巴, 卖咖啡。用系 统自带的防火墙,这个我不专业,不说了!大家凑合!六、 SQL2000 SERV-U FTP安全设置SQL 安全方面1、 System Administrators 角色最好不要超过两个2、如果是在本机最好将身份验证配置为 Win 登陆3、不要使用 Sa 账户,为其配置一个超级复杂的密码或修改 sa 用户名:update sysxlogins set name='xxxx' where sid=0x01update sysxlogins set sid=0xE765555BD44F054

11、F89CD0076A06EA823 where name='xxxx'4、删除以下的扩展存储过程格式为:use mastersp_dropextendedproc '扩展存储过程名 'xp_cmdshell :是进入操作系统的最佳捷径,删除访问注册表的存储过程,删除Xp_regaddmultistringXp_regdeletekeyXp_regdeletevalueXp_regenumvalues Xp_regread Xp_regwrite Xp_regremovemultistringOLE 自动存储过程,不需要,删除Sp_OACreate Sp_OADe

12、stroySp_OAGetErrorInfoSp_OAGetPropertySp_OAMethodSp_OASetPropertySp_OAStop5、隐藏 SQL Server、更改默认的 1433端口。右击实例选属性 -常规 -网络配置中选择 TCP/IP协议的属性, 选择隐藏 SQL Server 实例, 并改原默认的 1433端口。6.为数据库建立一个新的角色,禁止改角色对系统表的的 select 等权限,防止 sql 注 入时利用系统表。serv-u 的几点常规安全需要设置下:选中 "Block "FTP_bounce"attack and FXP&qu

13、ot;。什么是 FXP 呢?通常,当使用 FTP 协议 进行文件传输时,客户端首先向 FTP 服务器发出一个 "PORT " 命令,该命令中包含此用户的 IP 地址和将被用来进行数据传输的端口号, 服务器收到后, 利用命令所提供的用户地址信息建立与 用户的连接。大多数情况下,上述过程不会出现任何问题, 但当客户端是一名恶意用户时,可能 会通过在 PORT 命令中加入特定的地址信息,使 FTP 服务器与其它非客户端的机器建立连接。 虽然这名恶意用户可能本身无权直接访问某一特定机器,但是如果 FTP 服务器有权访问该机器 的话,那么恶意用户就可以通过 FTP 服务器作为中介,

14、仍然能够最终实现与目标服务器的连接。 这就是 FXP ,也称跨服务器攻击。选中后就可以防止发生此种情况。七、 IIS 安全设置IIS 的安全:1、不使用默认的 Web 站点,如果使用也要将 IIS 目录与系统磁盘分开。2、删除 IIS 默认创建的 Inetpub 目录(在安装系统的盘上。3、 删除系统盘下的虚拟目录, 如:_vti_bin、 IISSamples 、 Scripts 、 IIShelp 、 IISAdmin 、 IIShelp 、 MSADC 。4、删除不必要的 IIS 扩展名映射。右键单击 “ 默认 Web 站点属性主目录配置 ” ,打开应用程序窗口,去掉不必要的应用 程序映射。主要为 .sht ml 、 .sht m 、 .stm 。5、更改 IIS 日志的路径右键单击 “ 默认 Web 站点属性 -网站 -在启用日志记录下点击属性6、 如果使用的是 2000可以使用 iislockdown 来保护 II