计算机客
副版主
帖子
2198
精华
3
无忧币 6225
积分 3758
阅读权限 140
来自 (保密)
|
发表于:2008-6-23 12:41
标题:win2003服务器安全配置问题
<上一帖 |
下一帖>
一、操作系统配置 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|�{�R0D�]�u6S�R
1.安装操作系统(NTFS分区)后,装杀毒软件,我选用的是卡巴。
�f�[�p�O
q�S�K&[51CTO技术论坛2.安装系统补丁。扫描漏洞全面杀毒 -@ O
~
h�\
3.删除Windows Server 2003默认共享 7O�H+J�V�c�A(M�H
首先编写如下内容的批处理文件: 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|6d4M,h2d�^�Q1}:i
@echo off
6]�Z5~�{ b�^�k.P�C-S"anet share C$ /del
-L�I
o�W�]�]�v�m6F�o�V51CTO技术论坛net share D$ /del
�_�S:w:@0w�B6O g�Z!}/d)Tnet share E$ /del
�G�x:H$q.@�T&B$i�a51CTO技术论坛net share F$ /del
�w�}�r�e3G�M�R4i�Lnet share admin$ /del
�b
b�m*G�Q#` }51CTO技术论坛文件名为delshare.bat,放到启动项中,每次开机时会自动删除共享。
*Y�j�t�@#S'j�?4.禁用IPC连接 �B�{�B�Z�Q&q4v�f�R�p-_8q
打开CMD后输入如下命令即可进行连接:net use\\ip\ipc$ "password" /user:"usernqme"。我们可以通过修改注册表来禁用IPC连接。打开注册表编辑器。找到如下组建HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa中的restrictanonymous子键,将其值改为1即可禁用IPC连接。
�c�t�p�c#fbbs.51cto.com5.删除"网络连接"里的协议和服务
�|�l�d-u�S6S/r在"网络连接"里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP),同时在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS(S)"。
#g6s#S�?�k0H51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|6.启用windows连接防火墙,只开放web服务(80端口)。 bbs.51cto.com�g�\2p�j(~�t�H
注:在2003系统里,不推荐用TCP/IP筛选里的端口过滤功能,譬如在使用FTP服务器的时候,如果仅仅只开放21端口,由于FTP协议的特殊性,在进行FTP传输的时候,由于FTP 特有的Port模式和Passive模式,在进行数据传输的时候,需要动态的打开高端口,所以在使用TCP/IP过滤的情况下,经常会出现连接上后无法列出目录和数据传输的问题。所以在2003系统上增加的windows连接防火墙能很好的解决这个问题,所以都不推荐使用网卡的TCP/IP过滤功能。
5_![.h�l�i1D!f�}�k�m7.磁盘权限
�};g2{/y
G5n'S�w�_系统盘只给 Administrators 和 SYSTEM 权限 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|�}3{#q't+b
系统盘\Documents and Settings 目录只给 Administrators 和 SYSTEM 权限;
�R�v�u�G5s3j�y3J6}51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|系统盘\Documents and Settings\All Users 目录只给 Administrators 和 SYSTEM 权限; 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|�M$y�P
g.o+H�s�L#K:F�}�F
系统盘\Documents and Settings\All Users\Application Data目录只给 Administrators 和 SYSTEM 权限;
�B$}/p�w�I�l2k51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|系统盘\Windows 目录只给 Administrators 、 SYSTEM 和 users 权限; 51CTO技术论坛�~"?�V�D�X2o
R(O
系统盘\Windows\System32\net.exe,net1.exe,cmd.exe,command.exe,ftp.exe,netstat.exe,regedit.exe,at.exe,attrib.exe,cacls.exe 文件只给 Administrators 权限(如果觉得没用就删了它,比如我删了cmd.exe,command.exe,嘿嘿。);
/J-V6`�O+c�qbbs.51cto.com其它盘,有安装程序运行的(我的sql server 2000 在D盘)给 Administrators 和 SYSTEM 权限,无只给 Administrators 权限。
2G)^(s�B�u+G�|;cbbs.51cto.com8.本地安全策略设置 51CTO技术论坛2V"O(Q0d C�x!F
开始菜单—>管理工具—>本地安全策略 51CTO技术论坛�T9O�i4k k1x
A、本地策略——>审核策略 (可选用) �z$K�[�l�b�W�K�Z
审核策略更改 成功 失败
�^�t(^*w�P�b51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|审核登录事件 成功 失败 bbs.51cto.com�S0x�d�P7h"F�J
审核对象访问 失败 bbs.51cto.com!R�U�o:A�|0Q
审核过程跟踪 无审核
�p�]1K#l5U�z,] {51CTO技术论坛审核目录服务访问 失败
�v�T�^�N;K�P�S2M5o审核特权使用 失败
�L�d�o�a�^,]$m�\�g审核系统事件 成功 失败 51CTO技术论坛
I�t�v3l�{
审核账户登录事件 成功 失败
�F�`$f�x)Z�o�w审核账户管理 成功 失败
�t.g"D6k+y9fbbs.51cto.comB、本地策略——>用户权限分配
�u�c�Z�y�l�~�X'fbbs.51cto.com关闭系统:只有Administrators组、其它全部删除。
�W�R&B)m�M P0H51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|通过终端服务拒绝登陆:加入Guests、Users组
�O�[�@1G6Z�_通过终端服务允许登陆:只加入Administrators组,其他全部删除 �n-r�X�u�T�v;B�L
C、本地策略——>安全选项
8x-z-]�b9U#L�J51CTO技术论坛交互式登陆:不显示上次的用户名 启用 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|�w�Q�{�a V#n
网络访问:可匿名访问的共享 全部删除 bbs.51cto.com0z#?4|0O!P$~�z N�K
网络访问:可匿名访问的命名管道 全部删除
�d�T�{�T+H�p3i�f�m$I51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|**网络访问:可远程访问的注册表路径 全部删除 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|&}9`(k
B�~�w&P&W6u�w�T
**网络访问:可远程访问的注册表路径和子路径 全部删除 51CTO技术论坛�F�h�E�u!Q"m�x�{�[
帐户:重命名来宾帐户 重命名一个帐户
�e*T�v�l�|51CTO技术论坛(下面一项更改可能导致sqlserver不能使用) .]�y�b�L�v/^
帐户:重命名系统管理员帐户 重命名一个帐户 51CTO技术论坛$s5Q'^�`�|,G�j4h
.q,a*b�\3j0R51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|二、iis配置(包括网站所在目录)
#F D(P7[/_�w�C+B�U r1.新建自己的网站(*注意:在应用程序设置中执行权限设为无,在需要的目录里再更改),目录不在系统盘
3]�G�m4z%[�H5G�T
Zbbs.51cto.com注:为支持asp.net,将系统盘\Inetpub\wwwroot中的aspnet_client文件夹复制到web根目录下,并给web根目录加上users权限。
7[�w�Y#Z
s Q51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|2.删掉系统盘\inetpub目录 51CTO技术论坛5y0B�@ z:V�y3f
3.删除不用的映射
�f'q&c:_ lbbs.51cto.com在"应用程序配置"里,只给必要的脚本执行权限:ASP、ASPX。
�u�v*u�n�P�W3v4.为网站创建系统用户
.z�?�`�X�OA.例如:网站为yushan43436.net,新建用户yushan43436.net权限为guests。然后在web站点属性里"目录安全性"---"身份验证和访问控制"里设置匿名访问使用下列Windows 用户帐户"的用户名和密码都使用yushan43436.net这个用户的信息。(用户名:主机名\yushan43436.net) 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|7N J�|!G'l�a+O
B.给网站所在的磁盘目录添加用户yushan43436.net,只给读取和写入的权限。
]7h4q�D3j�q,d
5.设置应用程及子目录的执行权限 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|�A�d�i(A�b5K�f
n�H�V�B
A.主应用程序目录中的"属性--应用程序设置--执行权限"设为纯脚本
/e�`�K�`�G�N�O%h�G51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|B.在不需要执行asp、asp.net的子目录中,例如上传文件目录,执行权限设为无 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|&J4{�Z;Y�b�u�z
6.应用程序池设置 %C�Z!F�U!J�x%o�g
L
我的网站使用的是默认应用程序池。设置"内存回收":这里的最大虚拟内存为:1000M,最大使用的物理内存为256M,这样的设置几乎是没限制这个站点的性能的。
&d�e�}�t#x�T�@�c51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|回收工作进程(分钟):1440
;Q*[7G�[5L9P51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|在下列时间回收工作进程:06:00 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|
w0K�S
p
t�S�\8q�H
51CTO技术论坛0@�B9c5k9L�i
三、sql server 2000 配置
;F�e-q�B#e�z�X51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|1.密码设置
�E�J0@(t�N�e6L;I51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|我编的程序用了sa用户,密码设置超复杂(自己记不住,保存在手机里,嘿嘿)。 ;H�k�g0X�a�a
2.删除危险的扩展存储过程和相关.dll。 2@�f�j�J�y
Xp_cmdshell(这个肯定首当其冲,不用说了)、Xp_regaddmultistring、Xp_regdeletekey、Xp_regdeletevalue、Xp_regenumvalues、Xp_regread、Xp_regwrite、Xp_regremovemultistring 9t.S�f#j�c&d�A�n0y
�u�z�f�R#M.a51CTO技术论坛四、其它设置(可选用,本人可不负责) bbs.51cto.com7n�Q�P8l�b�p
1.任何用户密码都要复杂,不需要的用户---删。
3{�j+Y�R6O�H�@�H�s51CTO技术论坛2.防止SYN洪水攻击
C0r�K9y!c+S�zbbs.51cto.comHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters �Z�_
^�e�O6V9`
新建DWORD值,名为SynAttackProtect,值为2 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|�g�G�^/@;Z1B8E$M%T
3.禁止响应ICMP路由通告报文
�V/N�j�^�E
~
lHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface
3k�I�i:~$?,~$i%o�M51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|新建DWORD值,名为PerformRouterDiscovery 值为0
/v,D:q2I�i�\�~)G)e�x51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|4.防止ICMP重定向报文的攻击
�u�P!?!O6[bbs.51cto.comHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 51CTO技术论坛&f0_2[9d e�|�{4~&P4S
将EnableICMPRedirects 值设为0 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|&O�R*B�Z.G2Q9R�N
5.不支持IGMP协议
�A:J3Y�r�G�o;M
Dbbs.51cto.comHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|4z�@�n'J�w7N's
新建DWORD值,名为IGMPLevel 值为0
!o3p�q.E�{9W�U�Hbbs.51cto.com6.禁用DCOM:
*q�w,X�_'L-F�w�z*F6L�g8\51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|运行中输入 Dcomcnfg.exe。 回车, 单击“控制台根节点”下的“组件服务”。 打开“计算机”子文件夹。
6t.Y�B�f w4c�O!j%X51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|对于本地计算机,请以右键单击“我的电脑”,然后选择“属性”。选择“默认属性”选项卡。 5w0U7S�`�D�^�P�R
清除“在这台计算机上启用分布式 COM”复选框。
�`�P�x�N�w本篇文章来源于 无忧源码网 原文链接:http://www.5uym.com/edu/edu_247.shtml
|
技术不是一辈子,管理不是每一个人都可以,Come On 2008 改变自己!!! |
|
| 诚征版主 | 版主堂 | 意见建议 | 大史记 | 论坛地图