网管程序员论坛

 找回密码
 注册

QQ登录

只需一步,快速开始

查看: 7341|回复: 10

[windows系统] win2003 服务器设置 完全版

[复制链接]
发表于 2007-8-26 10:11:42 | 显示全部楼层 |阅读模式
第一步:
一、先关闭不需要的端口
  我比较小心,先关了端口。只开了3389 21 80 1433(MYSQL)有些人一直说什么默认的3389不安全,对此我不否认,但是利用的途径也只能一个一个的穷举爆破,你把帐号改

了密码设置为十五六位,我估计他要破上好几年,哈哈!办法:本地连接--属性--Internet协议(TCP/IP)--高级--选项--TCP/IP筛选--属性--把勾打上 然后添加你需要的端口即可。PS一句:设置完端口需要重新启动!
  当然大家也可以更改远程连接端口方法:
  Windows Registry Editor Version 5.00
  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]
  "PortNumber"=dword:00002683
  保存为.REG文件双击即可!更改为9859,当然大家也可以换别的端口, 直接打开以上注册表的地址,把值改为十进制的输入你想要的端口即可!重启生效!
  还有一点,在2003系统里,用TCP/IP筛选里的端口过滤功能,使用FTP服务器的时候,只开放21端口,在进行FTP传输的时候,FTP 特有的Port模式和Passive模式,在进行数据传输的时候,需要动态的打开高端口,所以在使用TCP/IP过滤的情况下,经常会出现连接上后无法列出目录和数据传输的问题。所以在2003系统上增加的windows连接防火墙能很好的解决这个问题,所以都不推荐使用网卡的TCP/IP过滤功能。所做FTP下载的用户看仔细点,表怪俺说俺写文章是垃圾...如果要关闭不必要的端口,在\\system32\\drivers\\etc\\services中有列表,记事本就可以打开的。如果懒惰的话,最简单的方法是启用WIN2003的自身带的网络防火墙,并进行端口的改变。功能还可以!Internet 连接防火墙可以有效地拦截对Windows 2003服务器的非法入侵,防止非法远程主机对服务器的扫描,提高Windows 2003服务器的安全性。同时,也可以有效拦截利用操作系统漏洞进行端口攻击的病毒,如冲击波等蠕虫病毒。如果在用Windows 2003构造的虚拟路由器上启用此防火墙功能,能够对整个内部网络起到很好的保护作用。
  二、关闭不需要的服务 打开相应的审核策略
  我关闭了以下的服务
Computer Browser 维护网络上计算机的最新列表以及提供这个列表
Task scheduler 允许程序在指定时间运行
Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务
Removable storage 管理可移动媒体、驱动程序和库
Remote Registry Service 允许远程注册表操作
Print Spooler 将文件加载到内存中以便以后打印。要用打印机的朋友不能禁用这项
IPSEC Policy Agent 管理IP安全策略以及启动ISAKMP/OakleyIKE)和IP安全驱动程序
Distributed Link Tracking Client 当文件在网络域的NTFS卷中移动时发送通知
Com+ Event System 提供事件的自动发布到订阅COM组件
Alerter 通知选定的用户和计算机管理警报
Error Reporting Service 收集、存储和向 Microsoft 报告异常应用程序
Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息
Telnet 允许远程用户登录到此计算机并运行程序
  把不必要的服务都禁止掉,尽管这些不一定能被攻击者利用得上,但是按照安全规则和标准上来说,多余的东西就没必要开启,减少一份隐患。
  在"网络连接"里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP),由于要控制带宽流量服务,额外安装了Qos数据包计划程序。在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS(S)"。在高级选项里,使用"Internet连接防火墙",这是windows 2003 自带的防火墙,在2000系统里没有的功能,虽然没什么功能,但可以屏蔽端口,这样已经基本达到了一个IPSec的功能。
  在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-审核策略在创建审核项目时需要注意的是如果审核的项目太多,生成的事件也就越多,那么要想发现严重的事件也越难当然如果审核的太少也会影响你发现严重的事件,你需要根据情况在这二者之间做出选择。
  推荐的要审核的项目是:
  登录事件 成功 失败
  账户登录事件 成功 失败
  系统事件 成功 失败
  策略更改 成功 失败
  对象访问 失败
  目录服务访问 失败
  特权使用 失败
  三、磁盘权限设置
1.系统盘权限设置
C:分区部分:
c:\
administrators 全部(该文件夹,子文件夹及文件)
CREATOR OWNER  全部(只有子文件来及文件)
system 全部(该文件夹,子文件夹及文件)
IIS_WPG 创建文件/写入数据(只有该文件夹)
IIS_WPG(该文件夹,子文件夹及文件)
遍历文件夹/运行文件
列出文件夹/读取数据
读取属性
创建文件夹/附加数据
读取权限
c:\Documents and Settings
administrators 全部(该文件夹,子文件夹及文件)
Power Users (该文件夹,子文件夹及文件)
读取和运行
列出文件夹目录
读取
SYSTEM全部(该文件夹,子文件夹及文件)
C:\Program Files
administrators 全部(该文件夹,子文件夹及文件)
CREATOR OWNER全部(只有子文件来及文件)
IIS_WPG (该文件夹,子文件夹及文件)
读取和运行
列出文件夹目录
读取
Power Users(该文件夹,子文件夹及文件)
修改权限
SYSTEM全部(该文件夹,子文件夹及文件)
TERMINAL SERVER USER (该文件夹,子文件夹及文件)
修改权限
2.网站及虚拟机权限设置(比如网站在E盘)
说明:我们假设网站全部在E盘wwwsite目录下,并且为每一个虚拟机创建了一个guest用户,用户名为vhost1...vhostn并且创建了一个webuser组,把所有的vhost用户全部加入这个webuser组里面方便管理。
E:\
Administrators全部(该文件夹,子文件夹及文件)
E:\wwwsite
Administrators全部(该文件夹,子文件夹及文件)
system全部(该文件夹,子文件夹及文件)
service全部(该文件夹,子文件夹及文件)
E:\wwwsite\vhost1
Administrators全部(该文件夹,子文件夹及文件)
system全部(该文件夹,子文件夹及文件)
vhost1全部(该文件夹,子文件夹及文件)
3.数据备份盘
数据备份盘最好只指定一个特定的用户对它有完全操作的权限。比如F盘为数据备份盘,我们只指定一个管理员对它有完全操作的权限。
4.其它地方的权限设置
请找到c盘的这些文件,把安全性设置只有特定的管理员有完全操作权限。
下列这些文件只允许administrators访问
net.exe
net1.exet
cmd.exe
tftp.exe
netstat.exe
regedit.exe
at.exe
attrib.exe
cacls.exe
format.com
5.删除c:\inetpub目录,删除iis不必要的映射,建立陷阱帐号,更改描述。
四、防火墙、杀毒软件的安装
我见过的Win2000/Nt服务器从来没有见到有安装了防毒软件的,其实这一点非常重要。一些好的杀毒软件不仅能杀掉一些著名的病毒,还能查杀大量木马和后门程序。这样的话,“黑客”们使用的那些有名的木马就毫无用武之地了。不要忘了经常升级病毒库,我们推荐mcafree杀毒软件+blackice防火墙
五、SQL2000 SERV-U FTP安全设置
  SQL安全方面
  1.System Administrators 角色最好不要超过两个
  2.如果是在本机最好将身份验证配置为Win登陆
  3.不要使用Sa账户,为其配置一个超级复杂的密码
  4.删除以下的扩展存储过程格式为:
  use master
  sp_dropextendedproc '扩展存储过程名'
  xp_cmdshell:是进入操作系统的最佳捷径,删除
  访问注册表的存储过程,删除
  Xp_regaddmultistring  Xp_regdeletekey  Xp_regdeletevalue  Xp_regenumvalues
  Xp_regread      Xp_regwrite    Xp_regremovemultistring
  OLE自动存储过程,不需要删除
  Sp_OACreate   Sp_OADestroy    Sp_OAGetErrorInfo  Sp_OAGetProperty
  Sp_OAMethod  Sp_OASetProperty  Sp_OAStop
  5.隐藏 SQL Server、更改默认的1433端口
  右击实例选属性-常规-网络配置中选择TCP/IP协议的属性,选择隐藏 SQL Server 实例,并改原默认的1433端口
  serv-u的几点常规安全需要设置下:
  选中"Block "FTP_bounce"attack and FXP"。什么是FXP呢?通常,当使用FTP协议进行文件传输时,客户端首先向FTP服务器发出一个"PORT"命令,该命令中包含此用户的IP地址和将被用来进行数据传输的端口号,服务器收到后,利用命令所提供的用户地址信息建立与用户的连接。大多数情况下,上述过程不会出现任何问题,但当客户端是一名恶意用户时,可能会通过在PORT命令中加入特定的地址信息,使FTP服务器与其它非客户端的机器建立连接。虽然这名恶意用户可能本身无权直接访问某一特定机器,但是如果FTP服务器有权访问该机器的话,那么恶意用户就可以通过FTP服务器作为中介,仍然能够最终实现与目标服务器的连接。这就是FXP,也称跨服务器攻击。选中后就可以防止发生此种情况。
  六、IIS安全设置
IIS的相关设置:
    删除默认建立的站点的虚拟目录,停止默认web站点,删除对应的文件目录c:inetpub,配置所有站点的公共设置,设置好相关的连接数限制,带宽设置以及性能设置等其他设置。配置应用程序映射,删除所有不必要的应用程序扩展,只保留asp,php,cgi,pl,aspx应用程序扩展。对于php和cgi,推荐使用isapi方式解析,用exe解析对安全和性能有所影响。用户程序调试设置发送文本错误信息给户。对于数据库,尽量采用mdb后缀,不需要更改为asp,可在IIS中设置一个mdb的扩展映射,将这个映射使用一个无关的dll文件如C:WINNTsystem32inetsrvssinc.dll来防止数据库被下载。设置IIS的日志保存目录,调整日志记录信息。设置为发送文本错误信息。修改403错误页面,将其转向到其他页,可防止一些扫描器的探测。另外为隐藏系统信息,防止telnet到80端口所泄露的系统版本信息可修改IIS的banner信息,可以使用winhex手工修改或者使用相关软件如banneredit修改。
    对于用户站点所在的目录,在此说明一下,用户的FTP根目录下对应三个文件佳,wwwroot,database,logfiles,分别存放站点文件,数据库备份和该站点的日志。如果一旦发生入侵事件可对该用户站点所在目录设置具体的权限,图片所在的目录只给予列目录的权限,程序所在目录如果不需要生成文件(如生成html的程序)不给予写入权限。因为是虚拟主机平常对脚本安全没办法做到细致入微的地步,更多的只能在方法用户从脚本提升权限:
    ASP的安全设置:
    设置过权限和服务之后,防范asp木马还需要做以下工作,在cmd窗口运行以下命令:
    regsvr32/u C:\WINNT\System32\wshom.ocx
    del C:\WINNT\System32\wshom.ocx
    regsvr32/u C:\WINNT\system32\shell32.dll
    del C:\WINNT\system32\shell32.dll
    即可将WScript.Shell, Shell.application, WScript.Network组件卸载,可有效防止asp木马通过wscript或shell.application执行命令以及使用木马查看一些系统敏感信息。另法:可取消以上文件的users用户的权限,重新启动IIS即可生效。但不推荐该方法。
    另外,对于FSO由于用户程序需要使用,服务器上可以不注销掉该组件,这里只提一下FSO的防范,但并不需要在自动开通空间的虚拟商服务器上使用,只适合于手工开通的站点。可以针对需要FSO和不需要FSO的站点设置两个组,对于需要FSO的用户组给予c:winntsystem32scrrun.dll文件的执行权限,不需要的不给权限。重新启动服务器即可生效。
    对于这样的设置结合上面的权限设置,你会发现海阳木马已经在这里失去了作用!
    PHP的安全设置:
    默认安装的php需要有以下几个注意的问题:
    C:\winnt\php.ini只给予users读权限即可。在php.ini里需要做如下设置:
    Safe_mode=on
    register_globals = Off
    allow_url_fopen = Off
    display_errors = Off
    magic_quotes_gpc = On [默认是on,但需检查一遍]
    open_basedir =web目录
    disable_functions =passthru,exec,shell_exec,system,phpinfo,get_cfg_var,popen,chmod
    默认设置com.allow_dcom = true修改为false[修改前要取消掉前面的;]
    MySQL安全设置:
    如果服务器上启用MySQL数据库,MySQL数据库需要注意的安全设置为:
    删除mysql中的所有默认用户,只保留本地root帐户,为root用户加上一个复杂的密码。赋予普通用户updatedeletealertcreatedrop权限的时候,并限定到特定的数据库,尤其要避免普通客户拥有对mysql数据库操作的权限。检查mysql.user表,取消不必要用户的shutdown_priv,relo
    ad_priv,process_priv和File_priv权限,这些权限可能泄漏更多的服务器信息包括非mysql的其它信息出去。可以为mysql设置一个启动用户,该用户只对mysql目录有权限。设置安装目录的data数据库的权限(此目录存放了mysql数据库的数据信息)。对于mysql安装目录给users加上读取、列目录和执行权限。
 楼主| 发表于 2007-8-26 10:12:06 | 显示全部楼层
Serv-u安全问题:
    安装程序尽量采用最新版本,避免采用默认安装目录,设置好serv-u目录所在的权限,设置一个复杂的管理员密码。修改serv-u的banner信息,设置被动模式端口范围(4001—4003)在本地服务器中设置中做好相关安全设置:包括检查匿名密码,禁用反超时调度,拦截“FTP bounce”攻击和FXP,对于在30秒内连接超过3次的用户拦截10分钟。域中的设置为:要求复杂密码,目录只使用小写字母,高级中设置取消允许使用MDTM命令更改文件的日期。
    更改serv-u的启动用户:在系统中新建一个用户,设置一个复杂点的密码,不属于任何组。将servu的安装目录给予该用户完全控制权限。建立一个FTP根目录,需要给予这个用户该目录完全控制权限,因为所有的ftp用户上传,删除,更改文件都是继承了该用户的权限,否则无法操作文件。另外需要给该目录以上的上级目录给该用户的读取权限,否则会在连接的时候出现530 Not logged in, home directory does not exist.比如在测试的时候ftp根目录为d:soft,必须给d盘该用户的读取权限,为了安全取消d盘其他文件夹的继承权限。而一般的使用默认的system启动就没有这些问题,因为system一般都拥有这些权限的。
  七、其它
1.隐藏重要文件/目录可以修改注册表实现完全隐藏:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”,鼠标右击 “CheckedValue”,选择修改,把数值由1改为0
2.启动系统自带的Internet连接防火墙,在设置服务选项中勾选Web服务器;
3.防止SYN洪水攻击:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名为SynAttackProtect,值为2
EnablePMTUDiscovery REG_DWORD 0
NoNameReleaseOnDemand REG_DWORD 1
EnableDeadGWDetect REG_DWORD 0
KeepAliveTime REG_DWORD 300,000
PerformRouterDiscovery REG_DWORD 0
EnableICMPRedirects REG_DWORD 0
4. 禁止响应ICMP路由通告报文:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface
新建DWORD值,名为PerformRouterDiscovery 值为0
5. 防止ICMP重定向报文的攻击:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
将EnableICMPRedirects 值设为0
6. 不支持IGMP协议:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名为IGMPLevel 值为0
7.修改终端服务端口:
运行regedit,找到[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ Wds \ rdpwd \ Tds \ tcp],看到右边的PortNumber了吗?在十进制状态下改成你想要的端口号吧,比如7126之类的,只要不与其它冲突即可。
第二处HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp,方法同上,记得改的端口号和上面改的一样就行了。
8.禁止IPC空连接:
cracker可以利用net use命令建立空连接,进而入侵,还有net view,nbtstat这些都是基于空连接的,禁止空连接就好了。打开注册表,找到Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 把这个值改成”1”即可。
9.更改TTL值:
cracker可以根据ping回的TTL值来大致判断你的操作系统,如:
TTL=107(WINNT);
TTL=108(win2000);
TTL=127或128(win9x);
TTL=240或241(linux);
TTL=252(solaris);
TTL=240(Irix);
实际上你可以自己更改的:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters:DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)改成一个莫名其妙的数字如258,起码让那些小菜鸟晕上半天,就此放弃入侵你也不一定哦。
10. 删除默认共享:
有人问过我一开机就共享所有盘,改回来以后,重启又变成了共享是怎么回事,这是2K为管理而设置的默认共享,必须通过修改注册表的方式取消它:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters:AutoShareServer类型是REG_DWORD把值改为0即可
11. 禁止建立空连接:
默认情况下,任何用户通过通过空连接连上服务器,进而枚举出帐号,猜测密码。我们可以通过修改注册表来禁止建立空连接:
Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成”1”即可。
12.禁用TCP/IP上的NetBIOS
网上邻居-属性-本地连接-属性-Internet协议(TCP/IP)属性-高级-WINS面板-NetBIOS设置-禁用TCP/IP上的NetBIOS。这样cracker就无法用nbtstat命令来读取你的NetBIOS信息和网卡MAC地址了。
13. 账户安全
首先禁止一切账户,除了你自己,呵呵。然后把Administrator改名。我呢就顺手又建了个Administrator账户,不过是什么权限都没有的那种,然后打开记事本,一阵乱敲,复制,粘贴到“密码”里去,呵呵,来破密码吧~!破完了才发现是个低级账户,看你崩溃不?
创建2个管理员用帐号
虽然这点看上去和上面这点有些矛盾,但事实上是服从上面的规则的。 创建一个一般权限帐号用来收信以及处理一些日常事物,另一个拥有Administrators 权限的帐户只在需要的时候使用。可以让管理员使用 “ RunAS” 命令来执行一些需要特权才能作的一些工作,以方便管理
14.更改C:\WINDOWS\Help\iisHelp\common\404b.htm内容改为这样,出错了自动转到首页。
15.本地安全策略和组策略的设置,如果你在设置本地安全策略时设置错了,可以这样恢复成它的默认值
打开 %SystemRoot%\Security文件夹,创建一个 "OldSecurity"子目录,将%SystemRoot%\Security下所有的.log文件移到这个新建的子文件夹中
在%SystemRoot%\Security\database\下找到"Secedit.sdb"安全数据库并将其改名,如改为"Secedit.old"
启动"安全配置和分析"MMC管理单元:"开始"->"运行"->"MMC",启动管理控制台,"添加/删除管理单元",将"安全配置和分析"管理单元添加上
右击"安全配置和分析"->"打开数据库",浏览"C:\WINNT\security\Database"文件夹,输入文件名"secedit.sdb",单击"打开"
当系统提示输入一个模板时,选择"Setup Security.inf",单击"打开",如果系统提示"拒绝访问数据库",不管他,你会发现在"C:\WINNT\security\Database"子文件夹中重新生成了新的安全数据库,在"C:\WINNT\security"子文件夹下重新生成了log文件,安全数据库重建成功。
16.禁用DCOM:
运行中输入 Dcomcnfg.exe。 回车, 单击“控制台根节点”下的“组件服务”。 打开“计算机”子文件夹。对于本地计算机,请以右键单击“我的电脑”,然后选择“属性”。选择“默认属性”选项卡。清除“在这台计算机上启用分布式 COM”复选框。



第二步:
尽管Windows 2003的功能在不断增强,但是由于先天性的原因,它还存在不少安全隐患,要是不将这些隐患“堵住”,可能会给整个系统带来不必要的麻烦;下面笔者就介绍Windows2003中不常见的安全隐患的防堵方法,希望能对各位带来帮助!
堵住自动保存隐患

  Windows 2003操作系统在调用应用程序出错时,系统中的Dr. Watson会自动将一些重要的调试信息保存起来,以便日后维护系统时查看,不过这些信息很有可能被黑客“瞄上”,一旦瞄上的话,各种重要的调试信息就会暴露无疑,为了堵住Dr. Watson自动保存调试信息的隐患,我们可以按如下步骤来实现:

  1、打开开始菜单,选中“运行”命令,在随后打开的运行对话框中,输入注册表编辑命令“ergedit”命令,打开一个注册表编辑窗口;

  2、在该窗口中,用鼠标依次展开HKEY_local_machine\software\Microsoft\WindowsdowsNT\CurrentVersion\AeDebug分支,在对应AeDebug键值的右边子窗口中,用鼠标双击Auto值,在弹出的参数设置窗口中,将其数值重新设置为“0”,

  3、打开系统的Windows资源管理器窗口,并在其中依次展开Documents and Settings文件夹、All Users文件夹、Shared Documents文件夹、DrWatson文件夹,最后将对应DrWatson中的User.dmp文件、Drwtsn32.log文件删除掉。

  完成上面的设置后,重新启动一下系统,就可以堵住自动保存隐患了。

堵住资源共享隐患

  为了给局域网用户相互之间传输信息带来方便,Windows Server 2003系统很是“善解人意”地为各位提供了文件和打印共享功能,不过我们在享受该功能带来便利的同时,共享功能也会“引狼入室”,“大度”地向黑客们敞开了不少漏洞,给服务器系统造成了很大的不安全性;所以,在用完文件或打印共享功能时,大家千万要随时将功能关闭哟,以便堵住资源共享隐患,下面就是关闭共享功能的具体步骤:

  1、执行控制面板菜单项下面的“网络连接”命令,在随后出现的窗口中,用鼠标右键单击一下“本地连接”图标;

  2、在打开的快捷菜单中,单击“属性”命令,这样就能打开一个“Internet协议(TCP/IP)”属性设置对话框;

  3、在该界面中取消“Microsoft网络的文件和打印机共享”这个选项;

  4、如此一来,本地计算机就没有办法对外提供文件与打印共享服务了,这样黑客自然也就少了攻击系统的“通道”。

堵住远程访问隐患

  在Windows2003系统下,要进行远程网络访问连接时,该系统下的远程桌面功能可以将进行网络连接时输入的用户名以及密码,通过普通明文内容方式传输给对应连接端的客户端程序;在明文帐号传输过程中,实现“安插”在网络通道上的各种嗅探工具,会自动进入“嗅探”状态,这个明文帐号就很容易被“俘虏”了;明文帐号内容一旦被黑客或其他攻击者另谋他用的话,呵呵,小心自己的系统被“疯狂”攻击吧!为了杜绝这种安全隐患,我们可以按下面的方法来为系统“加固”:

  1、点击系统桌面上的“开始”按钮,打开开始菜单;

  2、从中执行控制面板命令,从弹出的下拉菜单中,选中“系统”命令,打开一个系统属性设置界面;

  3、在该界面中,用鼠标单击“远程”标签;

  4、在随后出现的标签页面中,将“允许用户远程连接到这台计算机”选项取消掉,这样就可以将远程访问连接功能屏蔽掉,从而堵住远程访问隐患了。

堵住用户切换隐患

  Windows 2003系统为我们提供了快速用户切换功能,利用该功能我们可以很轻松地登录到系统中;不过在享受这种轻松时,系统也存在安装隐患,例如我们要是执行系统“开始”菜单中的“注销”命令来,快速“切换用户”时,再用传统的方式来登录系统的话,系统很有可能会本次登录,错误地当作是对计算机系统的一次暴力“袭击”,这样Windows2003系统就可能将当前登录的帐号当作非法帐号,将它锁定起来,这显然不是我们所需要的;不过,我们可以按如下步骤来堵住用户切换时,产生的安全隐患:

  在Windows 2003系统桌面中,打开开始菜单下面的控制面板命令,找到下面的“管理工具”命令,再执行下级菜单中的“计算机管理”命令,找到“用户帐户”图标,并在随后出现的窗口中单击“更改用户登录或注销的方式”;在打开的设置窗口中,将“使用快速用户切换”选项取消掉就可以了。

堵住页面交换隐患

  Windows 2003操作系统即使在正常工作的情况下,也有可能会向黑客或者其他访问者泄漏重要的机密信息,特别是一些重要的帐号信息。也许我们永远不会想到要查看一下,那些可能会泄漏隐私信息的文件,不过黑客对它们倒是很关心的哟!Windows 2003操作系统中的页面交换文件中,其实就隐藏了不少重要隐私信息,这些信息都是在动态中产生的,要是不及时将它们清除,就很有可能成为黑客的入侵突破口;为此,我们必须按照下面的方法,来让Windows 2003操作系统在关闭系统时,自动将系统工作时产生的页面文件全部删除掉:

  1、在Windows 2003的“开始”菜单中,执行“运行”命令,打开运行对话框,并在其中输入“Regedit”命令,来打开注册表窗口;

  2、在该窗口的左边区域中,用鼠标依次单击HKEY_local_machine\system\currentcontrolset\control\sessionmanager\memory management键值,找到右边区域中的ClearPageFileAtShutdown键值,并用鼠标双击之,在随后打开的数值设置窗口中,将该DWORD值重新修改为“1”;

  3、完成设置后,退出注册表编辑窗口,并重新启动计算机系统,就能让上面的设置生效了。
发表于 2007-8-29 09:48:01 | 显示全部楼层
厉害.正好最近在找相关的东西.
发表于 2007-9-27 10:52:15 | 显示全部楼层
如下的一些配置主要是 针对 WIN2003和NTFS格式的,而且是提供网络服务的,不是客户端电脑(客户端电脑自己去安装一些防木马间谍病毒或防火墙或其他,注意跟踪目前的较新的反弹式木马技术,简单的木马的隐蔽无非就是注册表、Win.ini、System.ini、Autoexec.bat、Congfig.sys、Winstart.bat、Wininit.ini、启动组等地方,仔细点一般可找出)。

(1)系统升级、打操作系统补丁,尤其是IIS 6.0补丁、SQL SP3a补丁,甚至IE 6.0补丁也要打。到教科网计算机安全网上下载,也可以自己到微软升级网站或用瑞星的最新版扫描或其他,工具很多。要早点下载下来。其实,服务器端,把不要的东西删除,如Telnet、Wins等一般禁用或删除。不要直接在服务器端运行和访问其他网站(至少可以防止jpeg、vbs病毒等,当然也要打上JPEG漏洞补丁)。基本这些问题就不大了。运行 netstat –an 一目了然。漏洞的通知速度,我倒建议除了微软外,到瑞星网站看看:http://it.rising.com.cn/newSite/ ... atestHole/index.htm

(2)将FSO、WSH、Ado..Stream、Ditction..、shell.application等禁止(如:Regsvr32 /u scrrun.dll)或修改注册表中名称(推荐后者!)。方法在后面会说明。地球人都知道。

(3)停掉Guest 帐号、并给guest 加一个异常复杂的密码(反正不用,乱敲一通)。

(4)把Adm…改名或伪装(比如改为guest6,那么最好同时创建10来个如guest1――guest10等不同的帐号,但权限都极低,密码超级复杂,在帐号安全策略中,甚至都不允许他们进行本极登录,干扰视线),创建陷阱帐号(假的Administrator帐号,实际权限非常低),并在试图尝试的login scripts上做点手脚。当然,真正的帐号密码必须设置特殊字符和足够强度。

(5)关闭不必要的端口,在\system32\drivers\etc\services中有列表。网上邻居>属性>本地连接>属性>internet 协议(tcp/ip)>属性>高级>选项>tcp/ip筛选>属性 打开tcp/ip筛选,添加需要的tcp,udp,协议即可。

(6)如果懒惰的话,最简单的方法是启用WIN2003的自身带的网络防火墙,并进行端口的改变。功能还可以!Internet 连接防火墙可以有效地拦截对Windows 2003服务器的非法入侵,防止非法远程主机对服务器的扫描,提高Windows 2003服务器的安全性。同时,也可以有效拦截利用操作系统漏洞进行端口攻击的病毒,如冲击波等蠕虫病毒。如果在用Windows 2003构造的虚拟路由器上启用此防火墙功能,能够对整个内部网络起到很好的保护作用。

网络->本地链接状态->高级->通过限制或阻止….来保护我的计算机,选中,并进行设置。剩下的就简单了。开必要的端口,如80、25、110等,要注意做安全日志。上面也有设置。但最好手工修改注册表。比如,把3389注册表中修改为××××端口,然后再通过防火墙映射为外部端口××××,内部端口××××。这样基本可以了。注册表中至少要修改4个地方,不过主要与PortNumber这个参数值有关,也方便找。我等会做个reg文件,运行一下就好了。

远程桌面端口:3389->××××->××××(这个肯定是要改变的)

SQL SERVER:1434->×××  同时隐藏SQL 实例

FTP端口21->××××

(7)打开审核策略!这个也非常重要,必须开启。当有人尝试入侵时,都会被安全审核记录下来。比如下表:

       策略 设置

审核系统登陆事件 成功,失败

审核帐户管理 成功,失败

审核登陆事件 成功,失败

审核对象访问 成功

审核策略更改 成功,失败

审核特权使用 成功,失败

审核系统事件 成功,失败

(8)禁止建立空连接。可视化修改是这样:在管理工具->本地安全策略->选择本地策略->选择安全选项->网络访问:不允许SAM帐号和共享的匿名枚举(改成已启用)!

     或者修改注册表来禁止建立空连接(等同上面):

Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成”1”即

可。

另外,本地安全策略一定要仔细看,有些功能要开启。反正,服务器端只运行必要的就可以了。

(9)关闭默认共享,编写一个deletenetshare.bat文件(如下表)

net share ipc$ /delete

net share admin$ /delete

net share C$ /delete

net share D$ /delete

net share E$ /delete

net share F$ /delete

net share print$ /delete

编写一个deletenetshare.reg 文件,把上面的bat写入启动项:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

"deletenetshare"="c:\\deletenetshare.bat"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"deletenetshare"="c:\\deletenetshare.bat"
发表于 2007-9-27 10:53:54 | 显示全部楼层
(10)设置system32/cmd.exe访问权限!这个比较容易,自己尝试一下吧。

(11)模糊服务器的Banner信息,如修改IIS的Banner实现操作系统版本的隐藏,一般把IIS->APACHE。这个也比较容易,但高手还是容易看出来的。方法如下:利用资源修改工具来修改DLL,如exescope、ultraedit等(另外一种方法更专业,我在下面会讲)。存放IIS BANNER 的DLL 文件都是放在C:\WINDOWS\SYSTEM32\INETSRV\ 目录里,在IIS 5.0中的对应关系如下:

WEB 是:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL

FTP 是: C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL

SMTP 是:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL

例如用UltraEdit打开,查找Microsoft-IIS/5.0,修改为:Apache/1.3.29(Unix)或其它。




注意的地方就是:

1 在修改的时候请停止IIS 的服务,可以用iisreset /stop (当然,iisreset /start是启动)。

2 由于2000 系统后台的文件保护机制的作用,当系统一旦发现重要的DLL 文件被修改后就会尝试用%SYSTEMROOT%\system32\dllcache 目录下的备份文件来进行恢复,所以在修改前我们还需要事先删除或改名:%SYSTEMROOT%\system32\dllcache 目录下的同名文件。完成后WINDOWS 会出来一个对话框:系统文件被更改需要安装光盘恢复,不用理会点取消就好了。不过,想要完全隐藏还是不太现实,因为IIS 和APACHE 返回的代码格式还是相差较大的。



另一种模糊Banner信息的方法是使用插件,这些插件可以提供自定义的Http应答信息.比如ServerMask这个商业软件就可以提供这样的功能,它是IIS服务器的一个插件,ServerMask不仅模糊了Banner信息,而且会对Http应答头信息里的项的序列进行重新组合,从而来模仿Apache这样的服务器,它甚至有能力扮演成任何一个Http服务器来处理每一个请求.这个软件可以在以下地址找到:Http://www.port80software.com/products/servermask

目前的最新版本是ServerMask 2.2 for IIS 4/5/6 (Web Server Anonymization and Obfuscation),如下图。我的试用30天的下载地址如下:

http://www.port80software.com/pr ... 1d8fdd46a3765a87972
尽管大家可以用ServerMask这样的软件来模糊指纹,但是仍然可以被Httprint这样利用统计学原理进行识别的的软件打败,具体知识请自己查阅相关资料。略。



(12)删除附件,删除“我的文档”所在的目录!如删除【C:\Documents and Settings\Default User\「开始」菜单\程序\附件】IIS禁用未知CGI扩展和WebDev(这个的扫描器很多),如不用asp.net则也禁用掉,紧用WINS服务,删除传真服务、删除不必要的映射,删除IIS中的不用的程序映射,如htw, htr, idq, ida等等。

(13)SQL Server 2000安全配置,如修改1433端口监听、隐藏 SQL Server 实例(配置方法:SQL SERVER属性->网络配置->TCP/IP协议->默认端口,将1433改为你想要的数值,并点击隐藏实例)、禁止其他RPC连接到本地SQL SERVER等(配置方法:在远程服务链接处,取消RPC连接本机SQL即可)。这样可以禁止对试图枚举网络上现有的 SQL Server 实例的客户端所发出的广播作出响应,一定要打上最新的SP3补丁!(可以向本人索取)。在编程时一定要对编写的程序,尤其是ASP程序进行SQL 脚本注入攻击的防护!具体,看关于SQL 脚本注入攻击的相关参考文章。

(14)对SQL SERVER使用安全的帐号策略。

对sa配置一个健壮的密码,不要把sa的密码写在应用程序或者代码脚本中。如果数据库管理员不希望操作系统管理员通过登录来接触数据库的话,可以在帐号管理中把系统帐号“BUILTIN\Administrators”删除。如我们的设置不采用sa帐号,而是创建YoursLikeNamesoft标准帐号,对KYCMIS/KYCBBS权限为Public+Dbowner。同时,加强数据库日志记录。审核数据库登录事件的“失败和成功”,在实例属性中选择“安全性”,将其中的审核级别选定为全部,这样在数据库系统和操作系统日志里面,就详细记录了所有帐号的登录事件。并定期查看SQL Server日志检查是否有可疑的登录事件发生,或者使用DOS命令。

findstr /C:"登录" d:\Microsoft SQL Server\MSSQL\LOG\*.*   


    管理扩展存储过程:对存储过程进行大手术,并且对帐号调用扩展存储过程的权限要慎重。其实在多数应用中根本用不到多少系统的存储过程,而SQL Server的这么多系统存储过程只是用来适应广大用户需求的,所以请删除不必要的存储过程,因为有些系统的存储过程能很容易地被人利用起来提升权限或进行破坏。如果你不需要扩展存储过程xp_cmdshell请把它去掉。使用这个SQL语句:

USE master
EXEC sp_dropextendedproc 'xp_cmdshell'
xp_cmdshell是进入操作系统的一个捷径,是数据库留给操作系统的一个大后门。

如果你需要这个存储过程,请用这个语句也可以恢复过来。

EXEC sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
在处理存储过程的时候,请确认一下,避免造成对数据库或应用程序的伤害。

强制协议加密(在实例属性->TCP/IP协议中或SQL服务器网络工具中),启用协议加密。加密是通过将数据更改为不可读形式而使敏感数据得以保密的方法。加密通过对每个人都隐藏信息而确保数据安全,即使有人直接查看加密数据。当然要有证书,如果没有,可能启动不了了。不过不必担心,进入企业管理器中修改属性即可。

(15)充分利用和配置好WINDOWS提供的IPSec!“Internet 协议安全性 (IPSec)”是一种开放标准的框架结构,通过使用加密安全服务以确保在 Internet 协议 (IP) 网络上进行保密而安全的通信。详细信息,请参阅WIN帮助。在管理工具->本地系统策略->IP安全策略在本地!使用操作系统自己的IPSec可以实现IP数据包的安全性。请对IP连接进行限制,只保证自己的IP能够访问,也拒绝其他IP进行的端口连接,把来自网络上的安全威胁进行有效的控制。

如:对SQL网络连接进行IP限制、拒绝来自1434、3389端口的探测等等(实现:在IPSec过滤拒绝掉1434端口的UDP通讯即可了)。所有IP通讯->源地址(任何IP),目标地址(我的IP),UDP协议,端口1434筛选,进行安全措施->请求安全->阻止即可等。

关于IPSec的使用请参看:http://www.microsoft.com/china/technet/security/ipsecloc.asp

(15)对于IIS的404等错误提示的一些代码脚本进行跳转。

比如在iishelp\common\404b.htm中头部增加<META HTTP-EQUIV=REFRESH CONTENT="0;URL=../Error.html;">

并用系统漏洞检测、网站漏洞检测工具、SQL注入攻击检测工具等对自己的服务器进行检测测试。。。。!这个也非常重要。

(16)  防止Content-Location标头暴露web服务器内部IP地址的方法是执行 cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True (需重启IIS)

  (17) IIS HTTP500内部错误大部分原因 是由于iwam账号的密码不同步造成的。只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题(降低IIS权限为最低也可解决)。执行 cscript c:\inetpub\adminscripts\synciwam.vbs –v

   (18)增强IIS防御SYN Flood的能力。

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]

启动SynAttackProtect攻击保护,设成2。

其它,如"TcpMaxConnectResponseRetransmissions"、"TcpMaxDataRetransmissions"、"TCPMaxPortsExhausted"、"DisableIPSourceRouting"、"TcpTimedWaitDelay"等请参考相关资料。微软一般都有推荐的安全值。需手工添加修改。
(19)可以充分利用NFTS的安全性,将不同的虚拟目录设计成不同的权限。尤其bbs等公开源码的,这类往往有漏洞,那么入侵者即使上传了FSO,结果匿名访问的这个帐号权限只能对当前目录操作,一般也破坏不大了(假设FSO等还未禁止和修改的话)。

(20)SERV-U存在着几个安全隐患,如:远程溢出、默认账号LocalAdministrator的默认密码#l@$ak#.lk;0@P的本地提升权限的漏洞等等。如何防止,请参考相关资料。此略。

(21)禁止“WSH”提高系统安全性能,VBScript病毒,主要是由于Windows 中内嵌的 Windows Scripting Host (WSH),WSH 为 Visual Basic 脚本语言的自动运行提供了方便。

     禁用 WSH 的步骤:对于Windows 2000 和2003,第一步:打开“我的电脑(My Computer)”;第二步:选择“工具(Tools)”菜单中的“文件夹选项(Folder Options)”;第三步:点击“文件类型(File Types)”项;第四步:找到“VBScript 脚本文件(VBScript Script File)”;第五步:选择“删除(Delete)”;第六步:点击“OK”确定。

(22)Inetpub默认目录要修改或者删除。时常关注微软网站关于DDOS/DOS等分布式拒绝服务攻击的新补丁。

如:

http://www.microsoft.com/technet/security/bulletin/MS04-030.mspx

选择中文或其他语言,当然,建议采用英文操作系统。英文的sp补丁快一些

微软在线更新

http://v4.windowsupdate.microsoft.com/zhcn/default.asp


(23)删除或禁止guests使用shell.application。

防范基于shell.application组件的asp木马

cacls为显示或者修改文件的访问控制列表(ACL)的命令。

  cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用

  regsvr32 shell32.dll /u /s //删除(推荐,毕竟一般编程用这个的很少)

  cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用

  regsvr32 scrrun.dll /u /s //删除(不推荐,删除后,自己也没得用了,建议修改)

(24)修改FSO等的FSOSTREAMDICTION安全注册表.reg

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Scripting.YoursLikeNameFileSystemObject]

@="FileSystem Object"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Scripting.YoursLikeNameFSO\CLSID]

@="{0D43FE01-F093-11CF-8940-00A0C9054228}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ADODB.YoursLikeNameStream]

@="ADODB.YoursLikeNameStream"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ADODB.YoursLikeNameStream\CLSID]

@="{00000566-0000-0010-8000-00AA006D2EA4}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ADODB.YoursLikeNameStream\CurVer]

@="ADODB.YoursLikeNameStream.2.80"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ADODB.YoursLikeNameStream.2.5]

@="ADODB.YoursLikeNameStream"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ADODB.YoursLikeNameStream.2.5\CLSID]

@="{00000566-0000-0010-8000-00AA006D2EA4}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ADODB.YoursLikeNameStream.2.80]

@="ADODB.YoursLikeNameStream"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ADODB.YoursLikeNameStream.2.80\CLSID]

@="{00000566-0000-0010-8000-00AA006D2EA4}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Scripting.YoursLikeNameDictionary]

@="Scripting.YoursLikeNameDictionary"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Scripting.YoursLikeNameDictionary\CLSID]

@="{EE09B103-97E0-11CF-978F-00A02463E06F}"

ASP代码中调用示例:Set TempFSO = CreateObject("Scripting.YoursLikeNameFSO")

(25)修改3389远程控制PortNumber

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]

"PortNumber"=dword:00001f90

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]

………………….略。查找PortNumber把值改为10进制的相关值即可
发表于 2007-9-27 11:05:07 | 显示全部楼层
一、系统的安装  
1、按照Windows2003安装光盘的提示安装,默认情况下2003没有把IIS6.0安装在系统里面。
2、IIS6.0的安装
  开始菜单—>控制面板—>添加或删除程序—>添加/删除Windows组件
  应用程序 ———ASP.NET(可选)
       |——启用网络 COM+ 访问(必选)
       |——Internet 信息服务(IIS)———Internet 信息服务管理器(必选) 
                      |——公用文件(必选)
                      |——万维网服务———Active Server pages(必选)
                              |——Internet 数据连接器(可选)
                              |——WebDAV 发布(可选)
                              |——万维网服务(必选)
                              |——在服务器端的包含文件(可选)
  然后点击确定—>下一步安装。(具体见本文附件1)

3、系统补丁的更新
  点击开始菜单—>所有程序—>Windows Update
  按照提示进行补丁的安装。

4、备份系统
  用GHOST备份系统。

5、安装常用的软件
  例如:杀毒软件、解压缩软件等;安装完毕后,配置杀毒软件,扫描系统漏洞,安装之后用GHOST再次备份系统。

6、先关闭不需要的端口 开启防火墙 导入IPSEC策略
在”网络连接”里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP),由于要控制带宽流量服务,额外安装了Qos数据包计划程序。在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS(S)"。在高级选项里,使用"Internet连接防火墙",这是windows 2003 自带的防火墙,在2000系统里没有的功能,虽然没什么功能,但可以屏蔽端口,这样已经基本达到了一个IPSec的功能。

修改3389远程连接端口
修改注册表.
开始--运行--regedit
依次展开 HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/
TERMINAL SERVER/WDS/RDPWD/TDS/TCP
右边键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 10000 )

HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/
WINSTATIONS/RDP-TCP/
右边键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 10000 )
注意:别忘了在WINDOWS2003自带的防火墙给+上10000端口
修改完毕.重新启动服务器.设置生效.

二、用户安全设置
1、禁用Guest账号
在计算机管理的用户里面把Guest账号禁用。为了保险起见,最好给Guest加一个复杂的密码。你可以打开记事本,在里面输入一串包含特殊字符、数字、字母的长字符串,然后把它作为Guest用户的密码拷进去。
2、限制不必要的用户
去掉所有的Duplicate User用户、测试用户、共享用户等等。用户组策略设置相应权限,并且经常检查系统的用户,删除已经不再使用的用户。这些用户很多时候都是黑客们入侵系统的突破口。
3、把系统Administrator账号改名
大家都知道,Windows 2003 的Administrator用户是不能被停用的,这意味着别人可以一遍又一遍地尝试这个用户的密码。尽量把它伪装成普通用户,比如改成Guesycludx。
4、创建一个陷阱用户
什么是陷阱用户?即创建一个名为“Administrator”的本地用户,把它的权限设置成最低,什么事也干不了的那种,并且加上一个超过10位的超级复杂密码。这样可以让那些 Hacker们忙上一段时间,借此发现它们的入侵企图。
5、把共享文件的权限从Everyone组改成授权用户
任何时候都不要把共享文件的用户设置成“Everyone”组,包括打印共享,默认的属性就是“Everyone”组的,一定不要忘了改。
6、开启用户策略
使用用户策略,分别设置复位用户锁定计数器时间为20分钟,用户锁定时间为20分钟,用户锁定阈值为3次。 (该项为可选)
7、不让系统显示上次登录的用户名
默认情况下,登录对话框中会显示上次登录的用户名。这使得别人可以很容易地得到系统的一些用户名,进而做密码猜测。修改注册表可以不让对话框里显示上次登录的用户名。方法为:打开注册表编辑器并找到注册表“HKLM\Software\Microsoft\Windows T\CurrentVersion\Winlogon\Dont-DisplayLastUserName”,把REG_SZ的键值改成1。
密码安全设置
1、使用安全密码
一些公司的管理员创建账号的时候往往用公司名、计算机名做用户名,然后又把这些用户的密码设置得太简单,比如“welcome”等等。因此,要注意密码的复杂性,还要记住经常改密码。
2、设置屏幕保护密码
这是一个很简单也很有必要的操作。设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。
3、开启密码策略
注意应用密码策略,如启用密码复杂性要求,设置密码长度最小值为6位 ,设置强制密码历史为5次,时间为42天。
4、考虑使用智能卡来代替密码
对于密码,总是使安全管理员进退两难,密码设置简单容易受到黑客的攻击,密码设置复杂又容易忘记。如果条件允许,用智能卡来代替复杂的密码是一个很好的解决方法。
三、系统权限的设置
1、磁盘权限
  系统盘及所有磁盘只给 Administrators 组和 SYSTEM 的完全控制权限
  系统盘\Documents and Settings 目录只给 Administrators 组和 SYSTEM 的完全控制权限
  系统盘\Documents and Settings\All Users 目录只给 Administrators 组和 SYSTEM 的完全控制权限
  系统盘\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe、ftp.exe、tftp.exe、telnet.exe 、     netstat.exe、regedit.exe、at.exe、attrib.exe、format.com、del文件只给 Administrators 组和SYSTEM 的完全 控制权限
另将<systemroot>\System32\cmd.exe、format.com、ftp.exe转移到其他目录或更名
  Documents and Settings下所有些目录都设置只给adinistrators权限。并且要一个一个目录查看,包括下面的所有子目录。
删除c:\inetpub目录

2、本地安全策略设置
  开始菜单—>管理工具—>本地安全策略
  A、本地策略——>审核策略
  审核策略更改   成功 失败  
  审核登录事件   成功 失败
  审核对象访问      失败
  审核过程跟踪   无审核
  审核目录服务访问    失败
  审核特权使用      失败
  审核系统事件   成功 失败
  审核账户登录事件 成功 失败
  审核账户管理   成功 失败

  B、本地策略——>用户权限分配
  关闭系统:只有Administrators组、其它全部删除。
  通过终端服务允许登陆:只加入Administrators,Remote Desktop Users组,其他全部删除

  C、本地策略——>安全选项
  交互式登陆:不显示上次的用户名       启用
  网络访问:不允许SAM帐户和共享的匿名枚举  启用
  网络访问:不允许为网络身份验证储存凭证   启用
  网络访问:可匿名访问的共享         全部删除
  网络访问:可匿名访问的命          全部删除
  网络访问:可远程访问的注册表路径      全部删除
  网络访问:可远程访问的注册表路径和子路径  全部删除
  帐户:重命名来宾帐户            重命名一个帐户
  帐户:重命名系统管理员帐户         重命名一个帐户

3、禁用不必要的服务 开始-运行-services.msc
    TCP/IPNetBIOS Helper提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持而使用户能够共享
    文件、打印和登录到网络
    Server支持此计算机通过网络的文件、打印、和命名管道共享
  Computer Browser 维护网络上计算机的最新列表以及提供这个列表
    Task scheduler 允许程序在指定时间运行
    Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息
  Distributed File System: 局域网管理共享文件,不需要可禁用
  Distributed linktracking client:用于局域网更新连接信息,不需要可禁用
  Error reporting service:禁止发送错误报告
  Microsoft Serch:提供快速的单词搜索,不需要可禁用
  NTLMSecuritysupportprovide:telnet服务和Microsoft Serch用的,不需要可禁用
  PrintSpooler:如果没有打印机可禁用
  Remote Registry:禁止远程修改注册表
  Remote Desktop Help Session Manager:禁止远程协助
    Workstation   关闭的话远程NET命令列不出用户组
  以上是在Windows Server 2003 系统上面默认启动的服务中禁用的,默认禁用的服务如没特别需要的话不要启动。

4、修改注册表
修改注册表,让系统更强壮
1、隐藏重要文件/目录可以修改注册表实现完全隐藏
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”,鼠标右击 “CheckedValue”,选择修改,把数值由1改为0

2、防止SYN洪水攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名为SynAttackProtect,值为2
新建EnablePMTUDiscovery REG_DWORD 0
新建NoNameReleaseOnDemand REG_DWORD 1
新建EnableDeadGWDetect REG_DWORD 0
新建KeepAliveTime REG_DWORD 300,000
新建PerformRouterDiscovery REG_DWORD 0
新建EnableICMPRedirects REG_DWORD 0

3. 禁止响应ICMP路由通告报文
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface
新建DWORD值,名为PerformRouterDiscovery 值为0

4. 防止ICMP重定向报文的攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
将EnableICMPRedirects 值设为0

5. 不支持IGMP协议
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名为IGMPLevel 值为0
6、禁止IPC空连接:
cracker可以利用net use命令建立空连接,进而入侵,还有net view,nbtstat这些都是基于空连接的,禁止空连接就好了。
Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 把这个值改成”1”即可。

7、更改TTL值
cracker可以根据ping回的TTL值来大致判断你的操作系统,如:
TTL=107(WINNT);
TTL=108(win2000);
TTL=127或128(win9x);
TTL=240或241(linux);
TTL=252(solaris);
TTL=240(Irix);
实际上你可以自己改的:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters:DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)改成一个莫名其妙的数字如258,起码让那些小菜鸟晕上半天,就此放弃入侵你也不一定哦

8. 删除默认共享
  有人问过我一开机就共享所有盘,改回来以后,重启又变成了共享是怎么回事,这是2K为管理而设置的默认共享,HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters:AutoShareServer类型是REG_DWORD把值改为0即可

9. 禁止建立空连接
默认情况下,任何用户通过通过空连接连上服务器,进而枚举出帐号,猜测密码。我们可以通过修改注册表来禁止建立空连接:
Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成”1”即可。

10、建立一个记事本,填上以下代码。保存为*.bat并加到启动项目中
net share c$ /del
net share d$ /del
net share e$ /del
net share f$ /del
net share ipc$ /del
net share admin$ /del

5、IIS站点设置:
1、将IIS目录&数据与系统磁盘分开,保存在专用磁盘空间内。
2、启用父级路径
3、在IIS管理器中删除必须之外的任何没有用到的映射(保留asp等必要映射即可)
4、在IIS中将HTTP404 Object Not Found出错页面通过URL重定向到一个定制HTM文件
5、Web站点权限设定(建议)
读           允许
写           不允许
脚本源访问     不允许
目录浏览     建议关闭
日志访问     建议关闭
索引资源     建议关闭
执行         推荐选择 “仅限于脚本”
6、建议使用W3C扩充日志文件格式,每天记录客户IP地址,用户名,服务器端口,方法,URI字根,HTTP状态,用户代理,而且每天均要审查日志。(最好不要使用缺省的目录,建议更换一个记日志的路径,同时设置日志的访问权限,只允许管理员和system为Full Control)。
7、程序安全:
1) 涉及用户名与口令的程序最好封装在服务器端,尽量少的在ASP文件里出现,涉及到与数据库连接地用户名与口令应给予最小的权限;
2) 需要经过验证的ASP页面,可跟踪上一个页面的文件名,只有从上一页面转进来的会话才能读取这个页面。
3) 防止ASP主页.inc文件泄露问题;
4) 防止UE等编辑器生成some.asp.bak文件泄露问题。

6、IIS权限设置的思路
?要为每个独立的要保护的个体(比如一个网站或者一个虚拟目录)创建一个系统用户,让这个站点在系统中具有惟一的可以设置权限的身份。
?在IIS的【站点属性或者虚拟目录属性→目录安全性→匿名访问和验证控制→编辑→匿名访问→编辑】填写刚刚创建的那个用户名。
?设置所有的分区禁止这个用户访问,而刚才这个站点的主目录对应的那个文件夹设置允许这个用户访问(要去掉继承父权限,并且要加上超管组和SYSTEM组)。

7、卸载最不安全的组件
最简单的办法是直接卸载后删除相应的程序文件。将下面的代码保存为一个.BAT文件,( 以下均以 WIN2000 为例,如果使用2003,则系统文件夹应该是 C:\WINDOWS\ )
regsvr32/u C:\WINDOWS\System32\wshom.ocx
del C:\WINDOWS\System32\wshom.ocx
regsvr32/u C:\WINDOWS\system32\shell32.dll
del C:\WINNT\WINDOWS\shell32.dll

然后运行一下,WScript.Shell, Shell.application, WScript.Network就会被卸载了。可能会提示无法删除文件,不用管它,重启一下服务器,你会发现这三个都提示“×安全”了。

下载阿江的探针查看相关安全设置情况

阿江ASP探针 V1-20060602aspcheck.zip

13.11 KB, 下载次数: 74

发表于 2007-9-27 11:07:52 | 显示全部楼层
3、服务器安全设置之--组件安全设置篇 (非常重要!!!)
A、卸载WScript.Shell 和 Shell.application 组件,将下面的代码保存为一个.BAT文件执行(分2000和2003系统)
windows2000.bat regsvr32/u C:\WINNT\System32\wshom.ocx
del C:\WINNT\System32\wshom.ocx
regsvr32/u C:\WINNT\system32\shell32.dll
del C:\WINNT\system32\shell32.dll
windows2003.bat regsvr32/u C:\WINDOWS\System32\wshom.ocx
del C:\WINDOWS\System32\wshom.ocx
regsvr32/u C:\WINDOWS\system32\shell32.dll
del C:\WINDOWS\system32\shell32.dll
B、改名不安全组件,需要注意的是组件的名称和Clsid都要改,并且要改彻底了,不要照抄,要自己改

【开始→运行→regedit→回车】打开注册表编辑器

然后【编辑→查找→填写Shell.application→查找下一个】

用这个方法能找到两个注册表项:

{13709620-C279-11CE-A49E-444553540000} 和 Shell.application 。

第一步:为了确保万无一失,把这两个注册表项导出来,保存为xxxx.reg 文件。

第二步:比如我们想做这样的更改

13709620-C279-11CE-A49E-444553540000 改名为 13709620-C279-11CE-A49E-444553540001

Shell.application 改名为 Shell.application_nohack

第三步:那么,就把刚才导出的.reg文件里的内容按上面的对应关系替换掉,然后把修改好的.reg文件导入到注册表中(双击即可),导入了改名后的注册表项之后,别忘记了删除原有的那两个项目。这里需要注意一点,Clsid中只能是十个数字和ABCDEF六个字母。

其实,只要把对应注册表项导出来备份,然后直接改键名就可以了,

改好的例子建议自己改应该可一次成功
Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}]
@="Shell Automation Service"

[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\InProcServer32]
@="C:\\WINNT\\system32\\shell32.dll"
"ThreadingModel"="Apartment"

[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\ProgID]
@="Shell.Application_nohack.1"

[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\TypeLib]
@="{50a7e9b0-70ef-11d1-b75a-00a0c90564fe}"

[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\Version]
@="1.1"

[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\VersionIndependentProgID]
@="Shell.Application_nohack"

[HKEY_CLASSES_ROOT\Shell.Application_nohack]
@="Shell Automation Service"

[HKEY_CLASSES_ROOT\Shell.Application_nohack\CLSID]
@="{13709620-C279-11CE-A49E-444553540001}"

[HKEY_CLASSES_ROOT\Shell.Application_nohack\CurVer]
@="Shell.Application_nohack.1"

老杜评论: WScript.Shell 和 Shell.application 组件是 脚本入侵过程中,提升权限的重要环节,这两个组件的卸载和修改对应注册键名,可以很大程度的提高虚拟主机的脚本安全性能,一般来说,ASP和php类脚本提升权限的功能是无法实现了,再加上一些系统服务、硬盘访问权限、端口过滤、本地安全策略的设置,虚拟主机因该说,安全性能有非常大的提高,黑客入侵的可能性是非常低了。注销了Shell组件之后,侵入者运行提升工具的可能性就很小了,但是prel等别的脚本语言也有shell能力,为防万一,还是设置一下为好。下面是另外一种设置,大同小异。

一、禁止使用FileSystemObject组件
  FileSystemObject可以对文件进行常规操作,可以通过修改注册表,将此组件改名,来防止此类木马的危害。

  HKEY_CLASSES_ROOT\Scripting.FileSystemObject\

  改名为其它的名字,如:改为 FileSystemObject_ChangeName

  自己以后调用的时候使用这个就可以正常调用此组件了

  也要将clsid值也改一下

  HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值

  也可以将其删除,来防止此类木马的危害。

  2000注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll

  2003注销此组件命令:RegSrv32 /u C:\WINDOWS\SYSTEM\scrrun.dll

  如何禁止Guest用户使用scrrun.dll来防止调用此组件?

  使用这个命令:cacls C:\WINNT\system32\scrrun.dll /e /d guests

  二、禁止使用WScript.Shell组件

  WScript.Shell可以调用系统内核运行DOS基本命令

  可以通过修改注册表,将此组件改名,来防止此类木马的危害。

  HKEY_CLASSES_ROOT\WScript.Shell\及HKEY_CLASSES_ROOT\WScript.Shell.1\

  改名为其它的名字,如:改为WScript.Shell_ChangeName 或 WScript.Shell.1_ChangeName

  自己以后调用的时候使用这个就可以正常调用此组件了

  也要将clsid值也改一下

  HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值

  HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值

  也可以将其删除,来防止此类木马的危害。

  三、禁止使用Shell.Application组件

  Shell.Application可以调用系统内核运行DOS基本命令

  可以通过修改注册表,将此组件改名,来防止此类木马的危害。

  HKEY_CLASSES_ROOT\Shell.Application\

  及

  HKEY_CLASSES_ROOT\Shell.Application.1\

  改名为其它的名字,如:改为Shell.Application_ChangeName 或 Shell.Application.1_ChangeName

  自己以后调用的时候使用这个就可以正常调用此组件了

  也要将clsid值也改一下

  HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值

  HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值

  也可以将其删除,来防止此类木马的危害。

  禁止Guest用户使用shell32.dll来防止调用此组件。

  2000使用命令:cacls C:\WINNT\system32\shell32.dll /e /d guests
  2003使用命令:cacls C:\WINDOWS\system32\shell32.dll /e /d guests

  注:操作均需要重新启动WEB服务后才会生效。

  四、调用Cmd.exe

  禁用Guests组用户调用cmd.exe

  2000使用命令:cacls C:\WINNT\system32\Cmd.exe /e /d guests
  2003使用命令:cacls C:\WINDOWS\system32\Cmd.exe /e /d guests

  通过以上四步的设置基本可以防范目前比较流行的几种木马,但最有效的办法还是通过综合安全设置,将服务器、程序安全都达到一定标准,才可能将安全等级设置较高,防范更多非法入侵。



C、防止Serv-U权限提升 (适用于 Serv-U6.0 以前版本,之后可以直接设置密码)
先停掉Serv-U服务

用Ultraedit打开ServUDaemon.exe

查找 Ascii:LocalAdministrator 和 #l@$ak#.lk;0@P

修改成等长度的其它字符就可以了,ServUAdmin.exe也一样处理。

另外注意设置Serv-U所在的文件夹的权限,不要让IIS匿名用户有读取的权限,否则人家下走你修改过的文件,照样可以分析出你的管理员名和密码。

阿江ASP探针 http://www.ajiang.net/products/aspcheck/ (可以测试组件安全性)
发表于 2007-9-27 11:08:27 | 显示全部楼层
服务器安全设置之--本地安全策略设置

安全策略自动更新命令:GPUpdate /force (应用组策略自动生效不需重新启动)


   开始菜单—>管理工具—>本地安全策略

   A、本地策略——>审核策略

   审核策略更改   成功 失败  
   审核登录事件   成功 失败
   审核对象访问      失败
   审核过程跟踪   无审核
   审核目录服务访问    失败
   审核特权使用      失败
   审核系统事件   成功 失败
   审核账户登录事件 成功 失败
   审核账户管理   成功 失败
  B、本地策略——>用户权限分配

   关闭系统:只有Administrators组、其它全部删除。
   通过终端服务拒绝登陆:加入Guests、User组
   通过终端服务允许登陆:只加入Administrators组,其他全部删除

  C、本地策略——>安全选项

   交互式登陆:不显示上次的用户名       启用
   网络访问:不允许SAM帐户和共享的匿名枚举   启用
   网络访问:不允许为网络身份验证储存凭证   启用
   网络访问:可匿名访问的共享         全部删除
   网络访问:可匿名访问的命          全部删除
   网络访问:可远程访问的注册表路径      全部删除
   网络访问:可远程访问的注册表路径和子路径  全部删除
   帐户:重命名来宾帐户            重命名一个帐户
   帐户:重命名系统管理员帐户         重命名一个帐户


UI 中的设置名称 企业客户端台式计算机 企业客户端便携式计算机 高安全级台式计算机 高安全级便携式计算机
帐户: 使用空白密码的本地帐户只允许进行控制台登录
已启用
已启用
已启用
已启用

帐户: 重命名系统管理员帐户
推荐
推荐
推荐
推荐

帐户: 重命名来宾帐户
推荐
推荐
推荐
推荐

设备: 允许不登录移除
已禁用
已启用
已禁用
已禁用

设备: 允许格式化和弹出可移动媒体
Administrators, Interactive Users
Administrators, Interactive Users
Administrators
Administrators

设备: 防止用户安装打印机驱动程序
已启用
已禁用
已启用
已禁用

设备: 只有本地登录的用户才能访问 CD-ROM
已禁用
已禁用
已启用
已启用

设备: 只有本地登录的用户才能访问软盘
已启用
已启用
已启用
已启用

设备: 未签名驱动程序的安装操作
允许安装但发出警告
允许安装但发出警告
禁止安装
禁止安装

域成员: 需要强 (Windows 2000 或以上版本) 会话密钥
已启用
已启用
已启用
已启用

交互式登录: 不显示上次的用户名
已启用
已启用
已启用
已启用

交互式登录: 不需要按 CTRL+ALT+DEL
已禁用
已禁用
已禁用
已禁用

交互式登录: 用户试图登录时消息文字
此系统限制为仅授权用户。尝试进行未经授权访问的个人将受到起诉。
此系统限制为仅授权用户。尝试进行未经授权访问的个人将受到起诉。
此系统限制为仅授权用户。尝试进行未经授权访问的个人将受到起诉。
此系统限制为仅授权用户。尝试进行未经授权访问的个人将受到起诉。

交互式登录: 用户试图登录时消息标题
继续在没有适当授权的情况下使用是违法行为。
继续在没有适当授权的情况下使用是违法行为。
继续在没有适当授权的情况下使用是违法行为。
继续在没有适当授权的情况下使用是违法行为。

交互式登录: 可被缓存的前次登录个数 (在域控制器不可用的情况下)
2
2
0
1

交互式登录: 在密码到期前提示用户更改密码
14 天
14 天
14 天
14 天

交互式登录: 要求域控制器身份验证以解锁工作站
已禁用
已禁用
已启用
已禁用

交互式登录: 智能卡移除操作
锁定工作站
锁定工作站
锁定工作站
锁定工作站

Microsoft 网络客户: 数字签名的通信(若服务器同意)
已启用
已启用
已启用
已启用

Microsoft 网络客户: 发送未加密的密码到第三方 SMB 服务器。
已禁用
已禁用
已禁用
已禁用

Microsoft 网络服务器: 在挂起会话之前所需的空闲时间
15 分钟
15 分钟
15 分钟
15 分钟

Microsoft 网络服务器: 数字签名的通信(总是)
已启用
已启用
已启用
已启用

Microsoft 网络服务器: 数字签名的通信(若客户同意)
已启用
已启用
已启用
已启用

Microsoft 网络服务器: 当登录时间用完时自动注销用户
已启用
已禁用
已启用
已禁用

网络访问: 允许匿名 SID/名称 转换
已禁用
已禁用
已禁用
已禁用

网络访问: 不允许 SAM 帐户和共享的匿名枚举
已启用
已启用
已启用
已启用

网络访问: 不允许 SAM 帐户和共享的匿名枚举
已启用
已启用
已启用
已启用

网络访问: 不允许为网络身份验证储存凭据或 .NET Passports
已启用
已启用
已启用
已启用

网络访问: 限制匿名访问命名管道和共享
已启用
已启用
已启用
已启用

网络访问: 本地帐户的共享和安全模式
经典 - 本地用户以自己的身份验证
经典 - 本地用户以自己的身份验证
经典 - 本地用户以自己的身份验证
经典 - 本地用户以自己的身份验证

网络安全: 不要在下次更改密码时存储 LAN Manager 的哈希值
已启用
已启用
已启用
已启用

网络安全: 在超过登录时间后强制注销
已启用
已禁用
已启用
已禁用

网络安全: LAN Manager 身份验证级别
仅发送 NTLMv2 响应
仅发送 NTLMv2 响应
仅发送 NTLMv2 响应\拒绝 LM & NTLM
仅发送 NTLMv2 响应\拒绝 LM & NTLM

网络安全: 基于 NTLM SSP(包括安全 RPC)客户的最小会话安全
没有最小
没有最小
要求 NTLMv2 会话安全 要求 128-位加密
要求 NTLMv2 会话安全 要求 128-位加密

网络安全: 基于 NTLM SSP(包括安全 RPC)服务器的最小会话安全
没有最小
没有最小
要求 NTLMv2 会话安全 要求 128-位加密
要求 NTLMv2 会话安全 要求 128-位加密

故障恢复控制台: 允许自动系统管理级登录
已禁用
已禁用
已禁用
已禁用

故障恢复控制台: 允许对所有驱动器和文件夹进行软盘复制和访问
已启用
已启用
已禁用
已禁用

关机: 允许在未登录前关机
已禁用
已禁用
已禁用
已禁用

关机: 清理虚拟内存页面文件
已禁用
已禁用
已启用
已启用

系统加密: 使用 FIPS 兼容的算法来加密,哈希和签名
已禁用
已禁用
已禁用
已禁用

系统对象: 由管理员 (Administrators) 组成员所创建的对象默认所有者
对象创建者
对象创建者
对象创建者
对象创建者

系统设置: 为软件限制策略对 Windows 可执行文件使用证书规则
已禁用
已禁用
已禁用
已禁用
发表于 2007-9-27 11:20:02 | 显示全部楼层
服务器安全设置之--IP安全策略
6、服务器安全设置之--IP安全策略 (仅仅列出需要屏蔽或阻止的端口或协议)

协议 IP协议端口 源地址 目标地址 描述 方式
ICMP -- -- -- ICMP 阻止
UDP 135 任何IP地址 我的IP地址 135-UDP 阻止
UDP 136 任何IP地址 我的IP地址 136-UDP 阻止
UDP 137 任何IP地址 我的IP地址 137-UDP 阻止
UDP 138 任何IP地址 我的IP地址 138-UDP 阻止
UDP 139 任何IP地址 我的IP地址 139-UDP 阻止
TCP 445 任何IP地址-从任意端口 我的IP地址-445 445-TCP 阻止
UDP 445 任何IP地址-从任意端口 我的IP地址-445 445-UDP 阻止
UDP 69 任何IP地址-从任意端口 我的IP地址-69 69-入 阻止
UDP 69 我的IP地址-69 任何IP地址-任意端口 69-出 阻止
TCP 4444 任何IP地址-从任意端口 我的IP地址-4444 4444-TCP 阻止
TCP 1026 我的IP地址-1026 任何IP地址-任意端口 灰鸽子-1026 阻止
TCP 1027 我的IP地址-1027 任何IP地址-任意端口 灰鸽子-1027 阻止
TCP 1028 我的IP地址-1028 任何IP地址-任意端口 灰鸽子-1028 阻止
UDP 1026 我的IP地址-1026 任何IP地址-任意端口 灰鸽子-1026 阻止
UDP 1027 我的IP地址-1027 任何IP地址-任意端口 灰鸽子-1027 阻止
UDP 1028 我的IP地址-1028 任何IP地址-任意端口 灰鸽子-1028 阻止
TCP 21 我的IP地址-从任意端口 任何IP地址-到21端口 阻止tftp出站 阻止
TCP 99 我的IP地址-99 任何IP地址-任意端口 阻止99shell 阻止

以上是IP安全策略里的设置,可以根据实际情况,增加或删除端口
发表于 2007-9-27 11:22:14 | 显示全部楼层
服务器安全设置之--服务器安全和性能配置
把下面文本保存为: windows2000-2003服务器安全和性能注册表自动配置文件.reg 运行即可。

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoRecentDocsMenu"=hex:01,00,00,00
"NoRecentDocsHistory"=hex:01,00,00,00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"DontDisplayLastUserName"="1"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"restrictanonymous"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\Parameters]
"AutoShareServer"=dword:00000000
"AutoShareWks"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"EnableICMPRedirect"=dword:00000000
"KeepAliveTime"=dword:000927c0
"SynAttackProtect"=dword:00000002
"TcpMaxHalfOpen"=dword:000001f4
"TcpMaxHalfOpenRetried"=dword:00000190
"TcpMaxConnectResponseRetransmissions"=dword:00000001
"TcpMaxDataRetransmissions"=dword:00000003
"TCPMaxPortsExhausted"=dword:00000005
"DisableIPSourceRouting"=dword:00000002
"TcpTimedWaitDelay"=dword:0000001e
"TcpNumConnections"=dword:00004e20
"EnablePMTUDiscovery"=dword:00000000
"NoNameReleaseOnDemand"=dword:00000001
"EnableDeadGWDetect"=dword:00000000
"PerformRouterDiscovery"=dword:00000000
"EnableICMPRedirects"=dword:00000000



[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters]
"BacklogIncrement"=dword:00000005
"MaxConnBackLog"=dword:000007d0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AFD\Parameters]
"EnableDynamicBacklog"=dword:00000001
"MinimumDynamicBacklog"=dword:00000014
"MaximumDynamicBacklog"=dword:00007530
"DynamicBacklogGrowthDelta"=dword:0000000a

功能:可抵御DDOS攻击2-3万包,提高服务器TCP-IP整体安全性能(效果等于软件防火墙,节约了系统资源)
服务器安全设置之--IIS用户设置方法

IIS安全访问的例子

IIS基本设置   




这里举例4个不同类型脚本的虚拟主机 权限设置例子


主机头 主机脚本 硬盘目录 IIS用户名 硬盘权限 应用程序池 主目录 应用程序配置
www.1.com HTM D:\www.1.com\ IUSR_1.com Administrators(完全控制)
IUSR_1.com(读)
可共用 读取/纯脚本 启用父路径
www.2.com ASP D:\www.2.com\ IUSR_1.com Administrators(完全控制)
IUSR_2.com(读/写) 可共用 读取/纯脚本 启用父路径
www.3.com NET D:\www.3.com\ IUSR_1.com Administrators(完全控制)
IWAM_3.com(读/写)
IUSR_3.com(读/写) 独立池 读取/纯脚本 启用父路径
www.4.com PHP D:\www.4.com\ IUSR_1.com Administrators(完全控制)
IWAM_4.com(读/写)
IUSR_4.com(读/写) 独立池 读取/纯脚本 启用父路径
其中 IWAM_3.com 和 IWAM_4.com 分别是各自独立应用程序池标识中的启动帐户

主机脚本类型 应用程序扩展名 (就是文件后缀名)对应主机脚本,只需要加载以下的应用程序扩展
HTM STM | SHTM | SHTML | MDB
ASP ASP | ASA | MDB
NET ASPX | ASAX | ASCX| ASHX | ASMX | AXD | VSDISCO | REM | SOAP | CONFIG |
CS |CSPROJ | VB | VBPROJ | WEBINFO | LICX | RESX | RESOURCES | MDB
PHP PHP | PHP3 | PHP4

MDB是共用映射,下面用红色表示

应用程序扩展 映射文件 执行动作
STM=.stm C:\WINDOWS\system32\inetsrv\ssinc.dll GET,POST
SHTM=.shtm C:\WINDOWS\system32\inetsrv\ssinc.dll GET,POST
SHTML=.shtml C:\WINDOWS\system32\inetsrv\ssinc.dll GET,POST
ASP=.asp C:\WINDOWS\system32\inetsrv\asp.dll GET,HEAD,POST,TRACE
ASA=.asa C:\WINDOWS\system32\inetsrv\asp.dll GET,HEAD,POST,TRACE
ASPX=.aspx C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
ASAX=.asax C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
ASCX=.ascx C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
ASHX=.ashx C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
ASMX=.asmx C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
AXD=.axd C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
VSDISCO=.vsdisco C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
REM=.rem C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
SOAP=.soap C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
CONFIG=.config C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
CS=.cs C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
CSPROJ=.csproj C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
VB=.vb C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
VBPROJ=.vbproj C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
WEBINFO=.webinfo C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
LICX=.licx C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
RESX=.resx C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
RESOURCES=.resources C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
PHP=.php C:\php5\php5isapi.dll GET,HEAD,POST
PHP3=.php3 C:\php5\php5isapi.dll GET,HEAD,POST
PHP4=.php4 C:\php5\php5isapi.dll GET,HEAD,POST
MDB=.mdb C:\WINDOWS\system32\inetsrv\ssinc.dll GET,POST

ASP.NET 进程帐户所需的 NTFS 权限

目录 所需权限
Temporary ASP.NET Files%windir%\Microsoft.NET\Framework\{版本}Temporary ASP.NET Files
进程帐户和模拟标识:
完全控制

临时目录 (%temp%)
进程帐户
完全控制

.NET Framework 目录%windir%\Microsoft.NET\Framework\{版本}
进程帐户和模拟标识:
读取和执行
列出文件夹内容
读取

.NET Framework 配置目录%windir%\Microsoft.NET\Framework\{版本}\CONFIG
进程帐户和模拟标识:
读取和执行
列出文件夹内容
读取

网站根目录
C:\inetpub\wwwroot
或默认网站指向的路径
进程帐户:
读取

系统根目录
%windir%\system32
进程帐户:
读取

全局程序集高速缓存
%windir%\assembly
进程帐户和模拟标识:
读取

内容目录
C:\inetpub\wwwroot\YourWebApp
(一般来说不用默认目录,管理员可根据实际情况调整比如D:\wwwroot)
进程帐户:
读取和执行
列出文件夹内容
读取
注意 对于 .NET Framework 1.0,直到文件系统根目录的所有父目录也都需要上述权限。父目录包括:
C:\
C:\inetpub\
C:\inetpub\wwwroot\
您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|小黑屋|手机版|Archiver|最新更新|网管程序员社区 鄂ICP备11008024号-3

GMT+8, 2019-11-20 04:16 , Processed in 0.140400 second(s), 26 queries .

Powered by 网管论坛

© 2001-2018 www.027safe.com Inc.

快速回复 返回顶部 返回列表