您的位置:新葡亰496net > 服务器网络 > 新葡亰496netWin2003网站服务器的安全配置全攻略,

新葡亰496netWin2003网站服务器的安全配置全攻略,

发布时间:2019-08-10 13:45编辑:服务器网络浏览(140)

    基于Windows平台下IIS运行的网站总给人一种感觉就是脆弱。早期的IIS确实存在很多问题,不过我个人认为自从Windows Server 2003发布后,IIS6及Windows Server 2003新的安全特性、更加完善的管理功能和系统的稳定性都有很大的增强。

    一、系统的安装

    本配置仅适合Win2003,部分内容也适合于Win2000。很多人觉得3389不安全,其实只要设置好,密码够长,攻破3389也不是件容易的事情,我觉得别的远程软件都很慢,还是使用了3389连接。
    经测试,本配置在Win2003 IIS6.0 Serv-U SQL Server 的单服务器多网站中一切正常。以下配置中打勾的为推荐进行配置,打叉的为可选配置。
    一、系统权限的设置
    1、磁盘权限 系统盘只给 Administrators 组和 SYSTEM 的完全控制权限
    其他磁盘只给 Administrators 组完全控制权限
    系统盘Documents and Settings 目录只给 Administrators 组和 SYSTEM 的完全控制权限
    系统盘Documents and SettingsAll Users 目录只给 Administrators 组和 SYSTEM 的完全控制权限
    系统盘windowssystem32config 禁止guests组
    系统盘Documents and SettingsAll Users「开始」菜单程序 禁止guests组
    系统盘windownssystem32inetsrvdata 禁止guests组
    系统盘WindowsSystem32 at.exe、attrib.exe、cacls.exe、net.exe、net1.exe、netstat.exe、regedit.exe 文件只给 Administrators 组和 SYSTEM 的完全控制权限
    系统盘WindowsSystem32 cmd.exe、format.com 仅 Administrators 组完全控制权限
    把所有(Windowssystem32和WindowsServicePackFilesi386) format.com 更名为 format_nowayh.com
    2、本地安全策略设置
    开始菜单->管理工具->本地安全策略
    A、本地策略-->审核策略
    审核策略更改 成功 失败
    审核登录事件 成功 失败
    审核对象访问失败
    审核过程跟踪 无审核
    审核目录服务访问失败
    审核特权使用失败
    审核系统事件 成功 失败
    审核账户登录事件 成功 失败
    审核账户管理 成功 失败
    B、本地策略-->用户权限分配
    关闭系统:只有Administrators组、其它全部删除。
    通过终端服务拒绝登陆:加入Guests组
    通过终端服务允许登陆:加入Administrators、Remote Desktop Users组,其他全部删除
    C、本地策略-->安全选项 交互式登陆:不显示上次的用户名 启用
    网络访问:不允许SAM帐户和共享的匿名枚举 启用
    网络访问:不允许为网络身份验证储存凭证 启用
    网络访问:可匿名访问的共享 全部删除
    网络访问:可匿名访问的命全部删除
    网络访问:可远程访问的注册表路径全部删除
    网络访问:可远程访问的注册表路径和子路径全部删除
    帐户:重命名来宾帐户重命名一个帐户
    帐户:重命名系统管理员帐户 重命名一个帐户
    D、账户策略-->账户锁定策略 将账户设为“5次登陆无效”,“锁定时间为30分钟”,“复位锁定计数设为30分钟”
    二、其他配置
    √·把Administrator账户更改 管理工具→本地安全策略→本地策略→安全选项
    √·新建一无任何权限的假Administrator账户
    管理工具→计算机管理→系统工具→本地用户和组→用户
    更改描述:管理计算机(域)的内置帐户
    ×·重命名IIS来宾账户
    1、管理工具→计算机管理→系统工具→本地用户和组→用户→重命名IUSR_ComputerName
    2、打开 IIS 管理器→本地计算机→属性→允许直接编辑配置数据库
    3、进入Windowssystem32inetsrv文件夹→MetaBase.xml→右键编辑→找到"AnonymousUserName"→写入"IUSR_"新名称→保存
    4、关闭"允许直接编辑配置数据库"
    √·禁止文件共享
    本地连接属性→去掉"Microsoft网络的文件和打印共享"和"Microsoft 网络客户端"前面的"√"
    √·禁止NetBIOS(关闭139端口)
    本地连接属性→TCP/IP属性→高级→WINS→禁用TCP/IP上的NetBIOS
    管理工具→计算机管理→设备管理器→查看→显示隐藏的设备→非即插即用驱动程序→禁用 NetBios over tcpip→重启
    √·防火墙的设置 本地连接属性→高级→Windows防火墙设置→高级→第一个"设置",勾选FTP、HTTP、远程桌面服务
    √·禁止ADMIN$缺省共享、磁盘默认共享、限制IPC$缺省共享(匿名用户无法列举本机用户列表、禁止空连接)
    新建REG文件,导入注册表

    Windows 2003 服务器安全设置

    用的腾讯云最早选购的时候悲催的只有Windows Server 2008 R2的系统,原来一直用的Windows Server 2003对2008用起来还不是非常熟练,对于一些基本设置及基本安全策略,在网上搜了一下,整理大概有以下17个方面,如果有没说到的希望大家踊跃提出哈!

    在Windows Server 2003下,应用程序的级别低中高级变更为了程序池,这样我们就可以对一个池进行设置对内存和CPU进行保护。在 Windows 2000 Server中,目录权限都是Everyone,很多服务都是以SYSTEM权限来运行的,如Serv-U FTP 这款出色的FTP服务器平台曾经害苦了不少人,它的溢出漏洞可以使入侵者轻松的获取系统完全控制权,如果做到呢?就是因为Serv-U FTP服务使用SYSTEM权限来运行,SYSTEM的权利比Administrator的权利可大的多,注册表SAM项它是可以直接访问和修改的,这样入侵者便利用这一特性轻松在注册表中克隆一个超级管理员账号并获取对系统的完全控制权限。

    1、按照Windows2003安装光盘的提示安装,默认情况下2003没有把IIS6.0安装在系统里面。
    2、IIS6.0的安装
    开始菜单—>控制面板—>添加或删除程序—>添加/删除Windows组件
    应用程序 ———ASP.NET(可选)
    |——启用网络 COM 访问(必选)
    |——Internet 信息服务(IIS)———Internet 信息服务管理器(必选)
    |——公用文件(必选)
    |——万维网服务———Active Server pages(必选)
    |——Internet 数据连接器(可选)
    |——WebDAV 发布(可选)
    |——万维网服务(必选)
    |——在服务器端的包含文件(可选)

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters]
    "AutoshareWks"=dword:00000000
    "AutoShareServer"=dword:00000000
    [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa]
    "restrictanonymous"=dword:00000001
    

    一、先关闭不需要的端口

    比较重要的几部

    目标:加固WEB服务器系统,使之提高并完善其稳定性及安全性。

    新葡亰496net 1
    然后点击确定—>下一步安装。

    √·删除以下注册表主键

      我比较小心,先关了端口。只开了3389、21、80、1433,有些人一直说什么默认的3389不安全,对此我不否认,但是利用的途径也只能一个一个的穷举爆破,你把帐号改了密码设置为十五六位,我估计他要破上好几年,哈哈!办法:本地连接--属性--Internet协议(TCP/IP)--高级--选项--TCP/IP筛选--属性--把勾打上,然后添加你需要的端口即可。PS一句:设置完端口需要重新启动!

    1.更改默认administrator用户名,复杂密码
    2.开启防火墙
    3.安装杀毒软件

    系统环境:Windows Server 2003 Enterprise Edition With Service Pack 1以下简称W2k3SP1),WEB平台为IIS6,FTP平台为Serv-U FTP Server

    3、系统补丁的更新(建议使用360或者服务器安全狗进行补丁更新,windows自带的容易出现问题)
    点击开始菜单—>所有程序—>Windows Update
    按照提示进行补丁的安装。
    4、备份系统
    用GHOST备份系统(软件下载//www.jb51.net/softs/54.html这个是绿色软件,很方便,如果不能使用可以使用//www.jb51.net/softs/8860.html)。
    5、安装常用的软件
    例如:杀毒软件mcafee、解压缩软件winrar等;安装之后用GHOST再次备份系统。

    WScript.Network
    WScript.Network.1
    {093FF999-1EA0-4079-9525-9614C3504B74}
    WScript.Shell
    WScript.Shell.1
    {72C24DD5-D70A-438B-8A42-98424B88AFB8}
    Shell.Application
    Shell.Application.1
    {13709620-C279-11CE-A49E-444553540000}
    

      当然大家也可以更改远程连接端口方法:
      Windows Registry Editor Version 5.00
      [HKEY_LOCAL_MACHINE SYSTEM Current ControlSet Control Terminal ServerWinStationsRDP-Tcp]
    "PortNumber"=dword:00002683  

    1)新做系统一定要先打上补丁
    2)安装必要的杀毒软件
    3)删除系统默认共享

    装配置操作系统

    服务器上更多的实用软件可以到s.jb51.net下载。

    √·更改3389端口为12344 这里只介绍如何更改,既然本端口公布出来了,那大家就别用这个了,端口可用windows自带的计算器将10进制转为16进制,16进制数替换下面两个的dword:后面的值(7位数,不够的在前面补0),登陆的时候用10进制,端口更改在服务器重启后生效。新建REG文件,导入注册表

      保存为.REG文件双击即可!更改为9859,当然大家也可以换别的端口,直接打开以上注册表的地址,把值改为十进制的输入你想要的端口即可!重启生效
      还有一点,在2003系统里,用TCP/IP筛选里的端口过滤功能,使用FTP服务器的时候,只开放21端口,在进行FTP传输的时候,FTP 特有的Port模式和Passive模式,在进行数据传输的时候,需要动态的打开高端口,所以在使用TCP/IP过滤的情况下,经常会出现连接上后无法列出目录和数据传输的问题。所以在2003系统上增加的Windows连接防火墙能很好的解决这个问题,不推荐使用网卡的TCP/IP过滤功能。

    4)修改本地策略——>安全选项
    交互式登陆:不显示最后的用户名 启用
    网络访问:不允许SAM 帐户和共享的匿名枚举 启用
    网络访问: 不允许存储网络身份验证的凭据或 .NET Passports 启用
    网络访问:可远程访问的注册表路径和子路径 全部删除
    5)禁用不必要的服务
    TCP/IP NetBIOS Helper、Server、 Distributed Link Tracking Client 、Print Spooler、Remote Registry、Workstation
    6)禁用IPV6

    安装操作系统,在安装前先要先去调整服务器的BIOS设置,关闭不需要的I/O,这样节省资源又可以避免一些硬件驱动问题。务必断开服务器与网络的连接,在系统没有完成安全配置前不要将它接入网络。在安装过程中如果网卡是PNP类型的,那么应当为其网络属性只配置允许使用TCP/IP协议,并关闭在 TCP/IP上的NETBIOS,为了提供更安全的保证,应该启用TCP/IP筛选,并不开放任何TCP端口。完成操作系统的安装后,首次启动 W2K3SP1,会弹出安全警告界面,主要是让你立刻在线升级系统更新补丁,并配置自动更新功能,这个人性化的功能是W2K3SP1所独有的,在没有关闭这个警告窗口前,系统是一个安全运行的状态,这时我们应当尽快完成系统的在线更新。
    修改Administrator和Guest这两个账号的密码使其口令变的复杂,并通过组策略工具为这两个敏感账号更名。修改位置在组策略中Computer Configuration-Windows Settings-Security Setting-Local Policies-Security Options下,这样做可以避免入侵者马上发动对此账号的密码穷举攻击。
    服务器通常都是通过远程进行管理的,所以我使用系统自带的组件 “远程桌面”来对系统进行远程管理。之所以选择它,因为它是系统自带的组件缺省安装只需要去启用它就可以使用,支持驱动器映射、剪切板映射等应用,并且只要客户端是WindowsXP PRO都会自带连接组件非常方便,最主要还有一点它是免费的。当然第三方优秀的软件也有如:PCAnyWhere,使用它可以解决Remote Desktop无法在本地环境模式下工作的缺点。为了防止入侵者轻易地发现此服务并使用穷举攻击手段,可以修改远程桌面的监听端口:

    二、系统权限的设置

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWdsrdpwdTdstcp]
    "PortNumber"=dword:0003038
    [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp]
    "PortNumber"=dword:00003038
    

    二.关闭不需要的服务打开相应的审核策略

    server 2008 r2交互式登录: 不显示最后的用户名

    1. 运行 Regedt32 并转到此项:
      HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp
      注意:上面的注册表项是一个路径;它已换行以便于阅读。
    2. 找到“PortNumber”子项,您会看到值 00000D3D,它是 3389 的十六进制表示形式。使用十六进制数值修改此端口号,并保存新值。
      要更改终端服务器上某个特定连接的端口,请按照下列步骤操作: 运行 Regedt32 并转到此项:
      HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminal ServerWinStationsconnection
      注意:上面的注册表项是一个路径;它已换行以便于阅读。
    3. 找到“PortNumber”子项,您会看到值 00000D3D,它是 3389 的十六进制表示形式。使用十六进制数值修改此端口号,并保存新值。
      注意:由于在终端服务器 4.0 版中尚未完全实现备用端口功能,因此只是“在合理的限度内尽量”提供支持,如果出现任何问题,Microsoft 可能要求您将端口重设为 3389。
      原文来源:微软知识库KB187623。当然为了达到更加安全的访问,还可以采用IPSec来保护远程桌面的连接访问。
      禁用不必要的服务不但可以降低服务器的资源占用减轻负担,而且可以增强安全性。下面列出了可以禁用的服务:
      Application Experience Lookup Service
      Automatic Updates
      BITS
      Computer Browser
      DHCP Client
      Error Reporting Service
      Help and Support
      Network Location Awareness
      Print Spooler
      Remote Registry
      Secondary Logon
      Server
      Smartcard
      TCP/IP NetBIOS Helper
      Workstation
      Windows Audio
      Windows Time
      Wireless Configuration
      打开服务器本地计算机策略gpedit.msc),参考以下选择和修改对服务器进行加固:
      1. 设置帐号锁定阀值为5次无效登录,锁定时间为30分钟;
      2. 从通过网络访问此计算机中删除Everyone组;
      3. 在用户权利指派下,从通过网络访问此计算机中删除Power Users和Backup Operators;
      4. 为交互登录启动消息文本。
      5. 启用 不允许匿名访问SAM帐号和共享;
      6. 启用 不允许为网络验证存储凭据或Passport;
      7. 启用 在下一次密码变更时不存储LANMAN哈希值;
      8. 启用 清除虚拟内存页面文件;
      9. 禁止IIS匿名用户在本地登录;
      10. 启用 交互登录:不显示上次的用户名;
      11. 从文件共享中删除允许匿名登录的DFS$和COMCFG;
      12. 禁用活动桌面。
      强化TCP协议栈:

    1、磁盘权限
    系统盘及所有磁盘只给 Administrators 组和 SYSTEM 的完全控制权限
    系统盘Documents and Settings 目录只给 Administrators 组和 SYSTEM 的完全控制权限
    系统盘Documents and SettingsAll Users 目录只给 Administrators 组和 SYSTEM
    的完全控制权限
    系统盘Inetpub 目录及下面所有目录、文件只给 Administrators 组和 SYSTEM 的完全控制权限
    系统盘WindowsSystem32cacls.exe、cmd.exe、net.exe、net1.exe 文件只给
    Administrators 组和 SYSTEM 的完全控制权限
    2、本地安全策略设置
    开始菜单—>管理工具—>本地安全策略
    A、本地策略——>审核策略
    审核策略更改 成功 失败
    审核登录事件 成功 失败
    审核对象访问 失败
    审核过程跟踪 无审核
    审核目录服务访问 失败
    审核特权使用 失败
    审核系统事件 成功 失败
    审核账户登录事件 成功 失败
    审核账户管理 成功 失败
    B、本地策略——>用户权限分配
    关闭系统:只有Administrators组、其它全部删除。
    通过终端服务拒绝登陆:加入Guests、User组
    通过终端服务允许登陆:只加入Administrators组,其他全部删除
    C、本地策略——>安全选项
    交互式登陆:不显示上次的用户名 启用
    网络访问:不允许SAM帐户和共享的匿名枚举 启用
    网络访问:不允许为网络身份验证储存凭证 启用
    网络访问:可匿名访问的共享 全部删除
    网络访问:可匿名访问的命 全部删除
    网络访问:可远程访问的注册表路径 全部删除
    网络访问:可远程访问的注册表路径和子路径 全部删除
    帐户:重命名来宾帐户 重命名一个帐户
    帐户:重命名系统管理员帐户 重命名一个帐户
    新葡亰496netWin2003网站服务器的安全配置全攻略,R2常规安全设置及基本安全策略。3、禁用不必要的服务
    开始菜单—>管理工具—>服务
    Print Spooler
    Remote Registry
    TCP/IP NetBIOS Helper
    Server
    新葡亰496netWin2003网站服务器的安全配置全攻略,R2常规安全设置及基本安全策略。以上是在Windows Server 2003 系统上面默认启动的服务中禁用的,默认禁用的服务如没特别需要的话不要启动。
    4、启用防火墙
    桌面—>网上邻居—>(右键)属性—>本地连接—>(右键)属性—>高级—>(选中)Internet 连接防火墙—>设置
    把服务器上面要用到的服务端口选中
    例如:一台WEB服务器,要提供WEB(80)、FTP(21)服务及远程桌面管理(3389)
    在“FTP 服务器”、“WEB服务器(HTTP)”、“远程桌面”前面打上对号
    如果你要提供服务的端口不在里面,你也可以点击“添加”铵钮来添加,具体参数可以参照系统里面原有的参数。
    然后点击确定。注意:如果是远程管理这台服务器,请先确定远程管理的端口是否选中或添加。

    最后别忘了Windows防火墙允许12344端口,关闭3389端口
    √·禁止非管理员使用at命令,新建REG文件,导入注册表

      我关闭了以下的服务
      Computer Browser 维护网络上计算机的最新列表以及提供这个列表
      Task scheduler 允许程序在指定时间运行
      Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息
      Distributed File System: 局域网管理共享文件,不需要禁用
      Distributed linktracking client:用于局域网更新连接信息,不需要禁用
      Error reporting service:禁止发送错误报告
      Microsoft Serch:提供快速的单词搜索,不需要可禁用
      NTLMSecuritysupportprovide:telnet服务和Microsoft Serch用的,不需要禁用
      PrintSpooler:如果没有打印机可禁用
      Remote Registry:禁止远程修改注册表
      Remote Desktop Help Session Manager:禁止远程协助
      Workstation关闭的话远程NET命令列不出用户组
      把不必要的服务都禁止掉,尽管这些不一定能被攻击者利用得上,但是按照安全规则和标准上来说,多余的东西就没必要开启,减少一份隐患。

    其实最重要的就是开启防火墙 服务器安全狗(安全狗自带的一些功能基本上都设置的差不多了) mysql(sqlserver)低权限运行基本上就差不多了。3389远程登录,一定要限制ip登录。

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters]
    "SynAttackProtect"=dword:00000001
    "EnablePMTUDiscovery"=dword:00000000
    "NoNameReleaseOnDemand"=dword:00000001
    "EnableDeadGWDetect"=dword:00000000
    "KeepAliveTime"=dword:00300000
    "PerformRouterDiscovery"=dword:00000000
    "TcpMaxConnectResponseRetransmissions"=dword:00000003
    "TcpMaxHalfOpen"=dword:00000100
    "TcpMaxHalfOpenRetried"=dword:00000080
    "TcpMaxPortsExhausted"=dword:00000005
    安装和配置IIS

    Win2003 Server的安全性较之Win2K确实有了很大的提高,但是用Win2003
    Server作为服务器是否就真的安全了?如何才能打造一个安全的个人Web服务器?下面给大家一些建议:

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa]
    "SubmitControl"=dword:00000001
    

    在"网络连接"里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP),由于要控制带宽流量服务,额外安装了Qos数据包计划程序。在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS(S)"。在高级选项里,使用"Internet连接防火墙",这是windows 2003 自带的防火墙,在2000系统里没有的功能,虽然没什么功能,但可以屏蔽端口,这样已经基本达到了一个IPSec的功能。

    一、系统及程序

    进入Windows组件安装,找到应用程序服务器,进入详细信息,勾选ASP.NET后,IIS必须的组件就会被自动选择,如果你的服务器需要运行ASP脚本,那么还需要进入Internet信息服务IIS)-万维网服务下勾选Active Server Pages。完成安装后,应当在其他逻辑分区上单独建立一个目录用来存储WEB网站程序及数据。
    一台WEB服务器上都运行着多个网站,他们之间可能互不相干,所以为了起到隔离和提高安全性,需要建立一个匿名WEB用户组,为每一个站点创建一个匿名访问账号,将这些匿名账号添加到之前建立的匿名WEB用户组中,并在本地计算机策略中禁止此组有本地登录权限。
    最后优化IIS6应用程序池设置:
    1. 禁用缺省应用程序池的空闲超时;
    2. 禁用缓存ISAPI扩展;
    3. 将应用程序池标识从NetworlService改为LocalService;
    4. 禁用快速失败保护;
    5. 将关机时间限制从90秒改为10秒;
    6. 内存回收下最大使用的内存改为300M;
    注:应根据当前服务器运营的业务进行评估并对某些网站配置应用程序池,这样可以降低当机率,并且也保证网站的可访问率,同时在出现故障时可以方便的排查。
    安装和配置Serv-U FTP Server

    一、Windows Server2003的安装
    1、安装系统最少两需要个分区,分区格式都采用NTFS格式
    2、在断开网络的情况安装好2003系统
    3、安装IIS,仅安装必要的 IIS 组件(禁用不需要的如FTP 和 SMTP
    服务)。默认情况下,IIS服务没有安装,在添加/删除Win组件中选择“应用程序服务器”,然后点击“详细信息”,双击Internet信息服务(iis),勾选以下选项:
    Internet 信息服务管理器;
    公用文件;
    后台智能传输服务 (BITS) 服务器扩展;
    万维网服务。
    如果你使用 FrontPage 扩展的 Web 站点再勾选:FrontPage 2002 Server Extensions
    4、安装MSSQL及其它所需要的软件然后进行Update。
    5、使用Microsoft 提供的 MBSA(Microsoft Baseline Security Analyzer)
    工具分析计算机的安全配置,并标识缺少的修补程序和更新。下载地址:见页末的链接

    √·卸载最不安全的组件
    运行"卸载最不安全的组件.bat",重启后更名或删掉WindowsSystem32里的wshom.ocx和shell32.dll

    在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-审核策略在创建审核项目时需要注意的是如果审核的项目太多,生成的事件也就越多,那么要想发现严重的事件也越难当然如果审核的太少也会影响你发现严重的事件,你需要根据情况在这二者之间做出选择。

    1、屏幕保护与电源

    这里之所以要将Serv-U FTP Server作为部署案例,是因为Serv-U使用者之多,操作及管理方便。并且从Serv-U的配置上大家应该能够理解到我开头说提到的服务运行权限。 Serv-U的安装不再复述,很多人在安装后就开始直接使用,自从Serv-U的溢出漏洞出现使我开始重新认识和思考关于服务的运行权限问题,通常 Serv-U是以SYSTEM权限来运行服务的,这样的好处是我们可以轻松的访问系统任何一个角落,包括注册表在Serv-U溢出后,可以直接访问注册表中账号存储设定的关键项SAM),但是后果也是非常可怕的,所以分析了目前的服务器情况,为了方便起见我创建了一个具有管理员身份的账号来运行Serv -U,这样做是为了不需要重复的去设置目录权限,同时解决低级权限所可能造成的兼容性问题。但是为了保证这个账号的安全,需要禁止它具有远程桌面访问权利,禁止有本地登录的权利。
    TCP/IP端口筛选 vs IPSec策略

    二、设置和管理账户

    ----------------卸载最不安全的组件.bat-----------------
    regsvr32/u %SystemRoot%System32wshom.ocx
    regsvr32/u %SystemRoot%System32shell32.dll
    regsvr32/u %SystemRoot%System32wshext.dll
    -------------------------------------------------------
    

      推荐的要审核的项目是:
      登录事件
      账户登录事件
      系统事件
      策略更改
      对象访问
      目录服务访问
      特权使用

    桌面右键--〉个性化--〉屏幕保护程序,屏幕保护程序 选择无,更改电源设置 选择高性能,选择关闭显示器的时间 关闭显示器 选 从不 保存修改

    在确定我们所要开放的服务之后就要去配置端口,是使用TCP/IP筛选 还是 IPSec?其实我很少用到IPSec,因为它是IP安全设置,除了我要禁止一个用户来访问我或配置一个特定的连接访问我几乎不去用IPSec。也去是因为我太懒了,只会记得要开放什么端口。
    在我看来,TCP/IP端口筛选和IPSec是相辅相成的,普通的应用我认为还是用端口来的方便,毕竟它可以做到只开放哪些端口,之后针对其中特定的端口用 IPSec作安全加固,这样我倒是认为更好。一些朋友喜欢在事先做好一个IPSec模板,之后将其应用在其他服务器上,这样做我认为真的不对,毕竟每台服务器的应用都不会完全相同,这样做只会造成更多的故障,我就经常遇到这样的问题,一些客户总是抱怨他们的服务器出现莫名其妙的问题,最后通过我的排查分析发现很多问题都是因为同时使用TCP/IP端口筛选和IPSec造成的,而罪魁祸首则是那些好心人发布的IPSec模板,我没有*意诋毁他们这些好心人的意思,而最终是要痛斥那些不作自身评估,技术意识贫乏的服务器管理员们,我曾经就让这些朋友们搞得哭笑不得,并开始厌*我当前的工作。在当前案例中,我开放的端口是:TCP80、TCP25、TCP20、TCP21、TCP3389、TCP4000~4020。开放4000~4020是为了支持Serv- U的PASV模式同时需要在Serv-U中设置这段被动端口范围),当然你也可以用其他端口,没有特殊要求,记得我之前部署的一台服务器开放的就是这个端口范围,一个自称黑客的朋友联系了我所在的公司经理,并在其QQ上友情提示了服务器的这个所谓的端口漏洞,记得好像是这么说的:“你们的服务器不堪一击,在服务器上还开放了QQ和它的端口。”后来好像还提到如果公司愿意付费可以帮助解决安全问题,现在想起来心里都在暗笑,不过我接到警告信息都会非常重视,因为我明白一个道理:没有绝对的安全!!!不过后来服务器确实受到了攻击,不是被入侵而是被那个黑客小小的DDos了一下。这种一种非常有效的攻击方式,提高TCP/IP协议栈,甚至使用软件、硬件防火墙也只是在相对情况下可以抵御它,所以请各位遵守网络公德,不要使用DDos!!!
    目录权限的分配

    1、系统管理员账户最好少建,更改默认的管理员帐户名(Administrator)和描述,密码最好采用数字加大小写字母加数字的上档键组合,长度最好不少于14位。
    2、新建一个名为Administrator的陷阱帐号,为其设置最小的权限,然后随便输入组合的最好不低于20位的密码
    3、将Guest账户禁用并更改名称和描述,然后输入一个复杂的密码,当然现在也有一个DelGuest的工具,也许你也可以利用它来删除Guest账户,但我没有试过。
    4、在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略,将账户设为“三次登陆无效”,“锁定时间为30分钟”,“复位锁定计数设为30分钟”。
    5、在安全设置-本地策略-安全选项中将“不显示上次的用户名”设为启用
    6、在安全设置-本地策略-用户权利分配中将“从网络访问此计算机”中只保留Internet来宾账户、启动IIS进程账户。如果你使用了Asp.net还要保留Aspnet账户。
    7、创建一个User账户,运行系统,如果要运行特权命令使用Runas命令。

    √·Windows日志的移动

    三、关闭默认共享的空连接

    2、配置IIS7组件、FTP7、php 5.5.7、mysql 5.6.15、phpMyAdmin 4.1.8、phpwind 9.0、ISAPI_Rewrite环境。在这里我给大家可以推荐下阿里云的服务器一键环境配置,全自动安装设置很不错的。点击查看地址

    1. 除系统所在分区之外的所有分区都赋予Administrators和SYSTEM有完全控制权,之后再对其下的子目录作单独的目录权限,如果WEB站点目录,你要为其目录权限分配一个与之对应的匿名访问帐号并赋予它有修改权限,如果你想使网站坚固,可以分配只读权限并对特殊的目录作可写权限,作为一个开放式的服务器,这样的工作量是非常巨大的,所以我认为将威胁控制缩小到在这个网站中就已经够了。
    2. 系统所在分区下的根目录都要设置为不继承父权限,之后为该分区只赋予Administrators和SYSTEM有完全控制权。
    3. 因为服务器只有管理员有本地登录权限,所在要配置Documents and Settings这个目录权限只保留Administrators和SYSTEM有完全控制权,其下的子目录同样。另外别忘记还有一个隐藏目录也需要同样操作。因为如果你安装有PCAnyWhere那么他的的配置信息都保存在其下,使用webshell或FSO可以轻松的调取这个配置文件,那么你的系统就为黑客敞开了大门。
    4. 配置Program files目录,为Common Files目录之外的所有目录赋予Administrators和SYSTEM有完全控制权。
    5. 配置Windows目录,其实这一块主要是根据自身的情况如果使用默认的安全设置也是可行的,不过还是应该进入SYSTEM32目录下,将 cmd.exe、ftp.exe、net.exe、scrrun.dll、shell.dll这些杀手锏程序赋予匿名帐号拒绝访问。

    三、网络服务安全管理

    打开"HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesEventlog"
    

      地球人都知道,我就不多说了!

    二、系统安全配置

    Server 2003发布后,IIS6及...

    1、禁止C$、D$、ADMIN$一类的缺省共享
    打开注册表,HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters,在右边的窗口中新建Dword值,名称设为AutoShareServer值设为0
    2、 解除NetBios与TCP/IP协议的绑定
    右击网上邻居-属性-右击本地连接-属性-双击Internet协议-高级-Wins-禁用TCP/IP上的NETBIOS
    3、关闭不需要的服务,以下为建议选项
    Computer Browser:维护网络计算机更新,禁用
    Distributed File System: 局域网管理共享文件,不需要禁用
    Distributed linktracking client:用于局域网更新连接信息,不需要禁用
    Error reporting service:禁止发送错误报告
    Microsoft Serch:提供快速的单词搜索,不需要可禁用
    NTLMSecuritysupportprovide:telnet服务和Microsoft Serch用的,不需要禁用
    PrintSpooler:如果没有打印机可禁用
    Remote Registry:禁止远程修改注册表
    Remote Desktop Help Session Manager:禁止远程协助
    四、打开相应的审核策略
    在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-审核策略在创建审核项目时需要注意的是如果审核的项目太多,生成的事件也就越多,那么要想发现严重的事件也越难当然如果审核的太少也会影响你发现严重的事件,所以你需要根据情况在这二者之间做出选择。
    推荐的要审核的项目:
    登录事件 成功 失败
    账户登录事件 成功 失败
    系统事件 成功 失败
    策略更改 成功 失败
    对象访问 失败
    目录服务访问 失败
    特权使用 失败

    Application 子项:应用程序日志
    Security 子项:安全日志
    System 子项:系统日志
    分别更改子项的File键值,再把System32config目录下的AppEvent.Evt、SecEvent.Evt、SysEvent.Evt复制到目标文件夹,重启。
    √·Windows日志的保护 1、移动日志后的文件夹→属性→安全→高级→去掉"允许父系的继承权限……"→复制→确定
    2、保留System账户和User组,System账户保留除完全控制和修改之外的权限,User组仅保留只读权限
    3、AppEvent.Evt、SysEvent.Evt保留Administrator、System账户和User组,Administrator、System账户保留除完全控制和修改之外的权 限,User组仅保留只读权限;
    DnsEvent.Evt、SecEvent.Evt保留System账户和User组,System账户保留除完全控制和修改之外的权限,User组仅保留只读权限
    √·要手动停止/禁用的服务:Computer Browser、Error reporting service、Microsoft Serch、Print Spooler、Remote Registry、Server 、TCP/IP NetBIOS Helper、Workstation
    √·解决在 IIS 6.0 中,无法下载超过4M的附件(现改为10M)
    停止IIS服务→打开WINDOWSsystem32inetsrv→记事本打开MetaBase.xml→找到 AspBufferingLimit 项→值改为 10485760
    √·设置Web上传单个文件最大值为10 MB 停止IIS服务→打开WINDOWSsystem32inetsrv→记事本打开MetaBase.xml→找到 AspMaxRequestEntityAllowed 项→值改为 10485760
    ×·重新定位和设置 IIS 日志文件的权限
    1、将 IIS 日志文件的位置移动到非系统分区:在非系统的NTFS分区新建一文件夹→打开 IIS 管理器→右键网站→属性→单击"启用日志 记录"框架中的"属性"→更改到刚才创建的文件夹
    2、设置 IIS 日志文件的权限:浏览至日志文件所在的文件夹→属性→安全→确保Administrators和System的权限设置为"完全控制"
    ×·配置 IIS 元数据库权限 打开 WindowsSystem32InetsrvMetaBase.xml 文件→属性→安全→确认只有 Administrators 组的成员和 LocalSystem 帐户拥有对元 数据库的完全控制访问权,删除所有其他文件权限→确定
    解释 Web 内容的权限
    打开IIS管理器→右键想要配置的网站的文件夹、网站、目录、虚拟目录或文件
    脚本源文件访问,用户可以访问源文件。如果选择"读",则可以读源文件;如果选择"写",则可以写源文件。脚本源访问包括脚本的源代码 。如果"读"或"写"均未选择,则此选项不可用。
    读(默认情况下选择):用户可以查看目录或文件的内容和属性。
    写:用户可以更改目录或文件的内容和属性。
    目录浏览:用户可以查看文件列表和集合。
    日志访问:对网站的每次访问创建日志项。
    检索资源:允许检索服务检索此资源。这允许用户搜索资源。
    √·关闭自动播放
    运行组策略编辑器(gpedit.msc)→计算机配置→管理模板→系统→关闭自动播放→属性→已启用→所有驱动器
    √·禁用DCOM
    运行Dcomcnfg.exe。控制台根节点→组件服务→计算机→右键单击“我的电脑”→属性”→默认属性”选项卡→清除“在这台计算机上启用分布式 COM”复选框。
    √·启用父路径 IIS管理器→右键网站→属性→主目录→配置→选项→启用父路径
    √·IIS 6.0 系统无任何动作超时时间和脚本超时时间
    IIS管理器→右键网站→属性→主目录→配置→选项→分别改为40分钟和180秒
    √·删除不必要的IIS扩展名映射 IIS管理器→右击Web站点→属性→主目录→配置→映射,去掉不必要的应用程序映射,主要为.shtml, .shtm, .stm
    √·增加IIS对MIME文件类型的支持 IIS管理器→选择服务器→右键→属性→MIME类型(或者右键web站点→属性→HTTP头→MIME类型→新建)添加如下表内容,然后重启IIS,扩展名MIME类型

    四、磁盘权限设置

    1、目录权限

    五、其它安全相关设置
    1、隐藏重要文件/目录
    可以修改注册表实现完全隐藏:“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
    Current-VersionExplorerAdvancedFolderHi-ddenSHOWALL”,鼠标右击
    “CheckedValue”,选择修改,把数值由1改为0
    2、启动系统自带的Internet连接防火墙,在设置服务选项中勾选Web服务器。
    3、防止SYN洪水攻击
    HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
    新建DWORD值,名为SynAttackProtect,值为2

    .iso application/octet-stream
    .rmvb application/vnd.rn-realmedia
    

      C盘只给administrators和system权限,其他的权限不给,其他的盘也可以这样设置,这里给的system权限也不一定需要给,只是由于某些第三方应用程序是以服务形式启动的,需要加上这个用户,否则造成启动不了。
      Windows目录要加上给users的默认权限,否则ASP和ASPX等应用程序就无法运行。以前有朋友单独设置Instsrv和temp等目录权限,其实没有这个必要的。

    除系统所在分区之外的所有分区都赋予Administrators和SYSTEM有完全控制权,之后再对其下的子目录作单独的目录权限

    1. 禁止响应ICMP路由通告报文
      HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfacesinterface
      新建DWORD值,名为PerformRouterDiscovery 值为0
    2. 防止ICMP重定向报文的攻击
      HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
      将EnableICMPRedirects 值设为0
    3. 不支持IGMP协议
      HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
      新建DWORD值,名为IGMPLevel 值为0
      7、禁用DCOM:
      运行中输入 Dcomcnfg.exe。 回车, 单击“控制台根节点”下的“组件服务”。 打开“计算机”子文件夹。
      对于本地计算机,请以右键单击“我的电脑”,然后选择“属性”。选择“默认属性”选项卡。
      清除“在这台计算机上启用分布式 COM”复选框。
      注:3-6项内容我采用的是Server2000设置,没有测试过对2003是否起作用。但有一点可以肯定我用了一段的时间没有发现其它副面的影响。
      六、配置 IIS 服务:
      1、不使用默认的Web站点,如果使用也要将 将IIS目录与系统磁盘分开。
      2、删除IIS默认创建的Inetpub目录(在安装系统的盘上)。
      3、删除系统盘下的虚拟目录,如:_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。
      4、删除不必要的IIS扩展名映射。
      右键单击“默认Web站点→属性→主目录→配置”,打开应用程序窗口,去掉不必要的应用程序映射。主要为.shtml, .shtm,
      .stm
      5、更改IIS日志的路径
      右键单击“默认Web站点→属性-网站-在启用日志记录下点击属性
      6、如果使用的是2000可以使用iislockdown来保护IIS,在2003运行的IE6.0的版本不需要。
      7、使用UrlScan
      UrlScan是一个ISAPI筛选器,它对传入的HTTP数据包进行分析并可以拒绝任何可疑的通信量。目前最新的版本是2.5,如果是2000Server需要先安装1.0或2.0的版本。下载地址见页未的链接
      如果没有特殊的要求采用UrlScan默认配置就可以了。
      但如果你在服务器运行ASP.NET程序,并要进行调试你需打开要%WINDIR%System32InetsrvURLscan
      文件夹中的URLScan.ini 文件,然后在UserAllowVerbs节添加debug谓词,注意此节是区分大小写的。
      如果你的网页是.asp网页你需要在DenyExtensions删除.asp相关的内容。
      如果你的网页使用了非ASCII代码,你需要在Option节中将AllowHighBitCharacters的值设为1
      在对URLScan.ini 文件做了更改后,你需要重启IIS服务才能生效,快速方法运行中输入iisreset
      如果你在配置后出现什么问题,你可以通过添加/删除程序删除UrlScan。
      8、利用WIS (Web Injection Scanner)工具对整个网站进行SQL Injection 脆弱性扫描.

    √·禁止dump file的产生
    我的电脑→右键→属性→高级→启动和故障恢复→写入调试信息→无。
    dump文件在系统崩溃和蓝屏的时候是一份很有用的查找问题的资料(不然我就照字面意思翻译成垃圾文件了)。然而,它也能够给黑客提供 一些敏感信息比如一些应用程序的密码等。
    三、Serv-U FTP服务的设置 √·本地服务器→设置→拦截"FTP_bounce"攻击和FXP
    对于60秒内连接超过10次的用户拦截5分钟
    √·本地服务器→域→用户→选中需要设置的账号→右边的"同一IP只允许2个登录"
    √·本地服务器→域→设置→高级→取消"允许MDTM命令来更改文件的日期/时间"
    设置Serv-U程序所在的文件夹的权限,Administrator组完全控制,禁止Guests组和IIS匿名用户有读取权限
    服务器消息,自上而下分别改为:

      另外在c:/Documents and Settings/这里相当重要,后面的目录里的权限根本不会继承从前的设置,如果仅仅只是设置了C盘给administrators权限,而在All Users/Application Data目录下会出现everyone用户有完全控制权限,这样入侵这可以跳转到这个目录,写入脚本或只文件,再结合其他漏洞来提升权限;譬如利用serv-u的本地溢出提升权限,或系统遗漏有补丁,数据库的弱点,甚至社会工程学等等N多方法,从前不是有牛人发飑说:"只要给我一个webshell,我就能拿到system",这也的确是有可能的。在用做web/ftp服务器的系统里,建议是将这些目录都设置的锁死。其他每个盘的目录都按照这样设置,每个盘都只给adinistrators权限。
      另外,还将:
      net.exe NET命令
      cmd.exe  CMD 懂电脑的都知道咯~
      tftp.exe
      netstat.exe
      regedit.exe  注册表啦大家都知道
      at.exe
      attrib.exe
      cacls.exe  ACL用户组权限设置,此命令可以在NTFS下设置任何文件夹的任何权限!偶入侵的时候没少用这个....(:
      format.exe  不说了,大家都知道是做嘛的
      大家都知道ASP木马吧,有个CMD运行这个的,这些如果都可以在CMD下运行..55,,估计别的没啥,format下估计就哭料~~~(:这些文件都设置只允许administrator访问。

    2、远程连接

    七、配置Sql服务器
    1、System Administrators 角色最好不要超过两个
    2、如果是在本机最好将身份验证配置为Win登陆
    3、不要使用Sa账户,为其配置一个超级复杂的密码
    4、删除以下的扩展存储过程格式为:
    use master
    sp_dropextendedproc '扩展存储过程名'
    xp_cmdshell:是进入*作系统的最佳捷径,删除
    访问注册表的存储过程,删除
    Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvalues
    Xp_regread Xp_regwrite Xp_regremovemultistring
    OLE自动存储过程,不需要删除
    Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty
    Sp_OAMethod Sp_OASetProperty Sp_OAStop
    5、隐藏 SQL Server、更改默认的1433端口
    右击实例选属性-常规-网络配置中选择TCP/IP协议的属性,选择隐藏 SQL Server 实例,并改原默认的1433端口。
    八、如果只做服务器,不进行其它*作,使用IPSec 1、管理工具—本地安全策略—右击IP安全策略—管理IP筛选器表和筛选器*作—在管理IP筛选器表选项下点击
    添加—名称设为Web筛选器—点击添加—在描述中输入Web服务器—将源地址设为任何IP地址——将目标地址设为我的IP地址——协议类型设为Tcp——IP协议端口第一项设为从任意端口,第二项到此端口80——点击完成——点击确定。
    2、再在管理IP筛选器表选项下点击
    添加—名称设为所有入站筛选器—点击添加—在描述中输入所有入站筛选—将源地址设为任何IP地址——将目标地址设为我的IP地址——协议类型设为任意——点击下一步——完成——点击确定。
    3、在管理筛选器*作选项下点击添加——下一步——名称中输入阻止——下一步——选择阻止——下一步——完成——关闭管理IP筛选器表和筛选器*作窗口
    4、右击IP安全策略——创建IP安全策略——下一步——名称输入数据包筛选器——下一步——取消默认激活响应原则——下一步——完成
    5、在打开的新IP安全策略属性窗口选择添加——下一步——不指定隧道——下一步——所有网络连接——下一步——在IP筛选器列表中选择新建的
    Web筛选器——下一步——在筛选器*作中选择许可——下一步——完成——在IP筛选器列表中选择新建的阻止筛选器——下一步——在筛选器*作中选择阻止
    ——下一步——完成——确定
    6、在IP安全策略的右边窗口中右击新建的数据包筛选器,点击指派,不需要重启,IPSec就可生效.
    九 严重注意
    如果你按这些去*作,建议每做一项更改就测试一下服务器,如果有问题可以马上撤消更改。而如果更改的项数多,才发现出问题,那就很难判断问题是出在哪一步上了。

    服务器工作正常,现已准备就绪...
    错误!请与管理员联系!
    FTP服务器正在离线维护中,请稍后再试!
    FTP服务器故障,请稍后再试!
    当前账户达到最大用户访问数,请稍后再试!
    很抱歉,服务器不允许匿名访问!
    您上传的东西太少,请上传更多东西后再尝试下载!
    

      **五、防火墙、杀毒软件的安装

    我的电脑属性--〉远程设置--〉远程--〉只允许运行带网络超级身份验证的远程桌面的计算机连接,选择允许运行任意版本远程桌面的计算机连接(较不安全)。备注:方便多种版本Windows远程管理服务器。windows server 2008的远程桌面连接,与2003相比,引入了网络级身份验证(NLA,network level authentication),XP SP3不支持这种网络级的身份验证,vista跟win7支持。然而在XP系统中修改一下注册表,即可让XP SP3支持网络级身份验证。HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa在右窗口中双击Security Pakeages,添加一项“tspkg”。HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProviders,在右窗口中双击SecurityProviders,添加credssp.dll;请注意,在添加这项值时,一定要在原有的值后添加逗号后,别忘了要空一格(英文状态)。然后将XP系统重启一下即可。再查看一下,即可发现XP系统已经支持网络级身份验证

    十、运行服务器记录当前的程序和开放的端口

    四、SQL安全设置
    审核指向SQL Server的连接 企业管理器→展开服务器组→右键→属性→安全性→失败
    修改sa账户密码 企业管理器→展开服务器组→安全性→登录→双击sa账户
    SQL查询分析器

    **  关于这个东西的安装其实我也说不来,反正安装什么的都有,建议使用卡巴,卖咖啡。用系统自带的防火墙,这个我不专业,不说了!大家凑合!

    3、修改远程访问服务端口

    1、将当前服务器的进程抓图或记录下来,将其保存,方便以后对照查看是否有不明的程序。
    2、将当前开放的端口抓图或记录下来,保存,方便以后对照查看是否开放了不明的端口。当然如果你能分辨每一个进程,和端口这一步可以省略。

    use master 
    exec sp_dropextendedproc xp_cmdshell 
    exec sp_dropextendedproc xp_dirtree
    exec sp_dropextendedproc xp_enumgroups
    exec sp_dropextendedproc xp_fixeddrives
    exec sp_dropextendedproc xp_loginconfig
    exec sp_dropextendedproc xp_enumerrorlogs
    exec sp_dropextendedproc xp_getfiledetails
    exec sp_dropextendedproc Sp_OACreate 
    exec sp_dropextendedproc Sp_OADestroy 
    exec sp_dropextendedproc Sp_OAGetErrorInfo 
    exec sp_dropextendedproc Sp_OAGetProperty 
    exec sp_dropextendedproc Sp_OAMethod 
    exec sp_dropextendedproc Sp_OASetProperty 
    exec sp_dropextendedproc Sp_OAStop 
    exec sp_dropextendedproc Xp_regaddmultistring 
    exec sp_dropextendedproc Xp_regdeletekey 
    exec sp_dropextendedproc Xp_regdeletevalue 
    exec sp_dropextendedproc Xp_regenumvalues 
    exec sp_dropextendedproc Xp_regread 
    exec sp_dropextendedproc Xp_regremovemultistring 
    exec sp_dropextendedproc Xp_regwrite 
    drop procedure sp_makewebtask 
    

      六、SQL2000 SERV-U FTP安全设置
      SQL安全方面
      1、System Administrators 角色最好不要超过两个
      2、如果是在本机最好将身份验证配置为Win登陆
      3、不要使用Sa账户,为其配置一个超级复杂的密码
                或修改sa用户名:
                update sysxlogins set name='xxxx' where sid=0x01
                update sysxlogins set sid=0xE765555BD44F054F89CD0076A06EA823 where name='xxxx'
      4、删除以下的扩展存储过程格式为:
      use master
      sp_dropextendedproc '扩展存储过程名'
      xp_cmdshell:是进入操作系统的最佳捷径,删除
      访问注册表的存储过程,删除
      Xp_regaddmultistringXp_regdeletekeyXp_regdeletevalueXp_regenumvalues
      Xp_regread Xp_regwrite Xp_regremovemultistring
      OLE自动存储过程,不需要,删除
      Sp_OACreate Sp_OADestroySp_OAGetErrorInfoSp_OAGetProperty
      Sp_OAMethodSp_OASetPropertySp_OAStop
      5、隐藏 SQL Server、更改默认的1433端口。
      右击实例选属性-常规-网络配置中选择TCP/IP协议的属性,选择隐藏 SQL Server 实例,并改原默认的1433端口。
             6.为数据库建立一个新的角色,禁止改角色对系统表的的select等权限,防止sql注入时利用系统表。
      serv-u的几点常规安全需要设置下:

    更改远程连接端口方法,可用windows自带的计算器将10进制转为16进制。更改3389端口为8208,重启生效!

    建议设置

    【相关文章】

      选中"Block "FTP_bounce"attack and FXP"。什么是FXP呢?通常,当使用FTP协议进行文件传输时,客户端首先向FTP服务器发出一个"PORT"命令,该命令中包含此用户的IP地址和将被用来进行数据传输的端口号,服务器收到后,利用命令所提供的用户地址信息建立与用户的连接。大多数情况下,上述过程不会出现任何问题,但当客户端是一名恶意用户时,可能会通过在PORT命令中加入特定的地址信息,使FTP服务器与其它非客户端的机器建立连接。虽然这名恶意用户可能本身无权直接访问某一特定机器,但是如果FTP服务器有权访问该机器的话,那么恶意用户就可以通过FTP服务器作为中介,仍然能够最终实现与目标服务器的连接。这就是FXP,也称跨服务器攻击。选中后就可以防止发生此种情况。

    Windows Registry Editor Version 5.00

    新葡亰496net 2

    • 专题:打造安全服务器

      七、IIS安全设置
      IIS的安全:
      1、不使用默认的Web站点,如果使用也要将IIS目录与系统磁盘分开。
      2、删除IIS默认创建的Inetpub目录(在安装系统的盘上)。
      3、删除系统盘下的虚拟目录,如:_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。
      4、删除不必要的IIS扩展名映射。
      右键单击“默认Web站点→属性→主目录→配置”,打开应用程序窗口,去掉不必要的应用程序映射。主要为.shtml、.shtm、 .stm。
      5、更改IIS日志的路径
      右键单击“默认Web站点→属性-网站-在启用日志记录下点击属性
      6、如果使用的是2000可以使用iislockdown来保护IIS,在2003运行的IE6.0的版本不需要。

    [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWdsrdpwdTdstcp]
    "PortNumber"=dword:0002010

    新葡亰496net 3

      八、其它
      1、系统升级、打操作系统补丁,尤其是IIS 6.0补丁、SQL SP3a补丁,甚至IE 6.0补丁也要打。同时及时跟踪最新漏洞补丁;
      2、停掉Guest 帐号、并给guest 加一个异常复杂的密码,把Administrator改名或伪装!

    [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp]
    "PortNumber"=dword:00002010

    极限测试
    
    • Windows 2003服务器安全配置终极技巧

    3、隐藏重要文件/目录

    (1)在开始--运行菜单里,输入regedit,进入注册表编辑,按下面的路径进入修改端口的地方
    (2)HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp
    (3)找到右侧的 "PortNumber",用十进制方式显示,默认为3389,改为(例如)6666端口
    (4)HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWdsrdpwdTdstcp
    (5)找到右侧的 "PortNumber",用十进制方式显示,默认为3389,改为同上的端口
    (6)在控制面板--Windows 防火墙--高级设置--入站规则--新建规则
    (7)选择端口--协议和端口--TCP/特定本地端口:同上的端口
    (8)下一步,选择允许连接
    (9)下一步,选择公用
    (10)下一步,名称:远程桌面-新(TCP-In),描述:用于远程桌面服务的入站规则,以允许RDP通信。[TCP 同上的端口]
    (11)删除远程桌面(TCP-In)规则
    (12)重新启动计算机

    在”网络连接”里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP),由于要控制带宽流量服务,额外安装了Qos数据包计划程序。
    新葡亰496net 4

    【责任编辑:赵毅 TEL:(010)68476636-8001】

      可以修改注册表实现完全隐藏:“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows Current-VersionExplorerAdvancedFolderHi-ddenSHOWALL”,鼠标右击 “CheckedValue”,选择修改,把数值由1改为0。
      4、启动系统自带的Internet连接防火墙,在设置服务选项中勾选Web服务器。
      5、防止SYN洪水攻击。
      HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
      新建DWORD值,名为SynAttackProtect,值为2
      6. 禁止响应ICMP路由通告报文
      HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet ServicesTcpipParametersInterfacesinterface
      新建DWORD值,名为PerformRouterDiscovery 值为0。
      7. 防止ICMP重定向报文的攻击
      HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
      将EnableICMPRedirects 值设为0
      8. 不支持IGMP协议
      HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
      新建DWORD值,名为IGMPLevel 值为0。
      9、禁用DCOM:
      运行中输入Dcomcnfg.exe。回车,单击“控制台根节点”下的“组件服务”。打开“计算机”子文件夹。

    4、配置本地连接

    新葡亰496net 5

    原文:Win2003网站服务器的安全配置全攻略 返回网络安全首页

    服务器安全设置

    网络--〉属性--〉管理网络连接--〉本地连接,打开“本地连接”界面,选择“属性”,左键点击“Microsoft网络客户端”,再点击“卸载”,在弹出的对话框中“是”确认卸载。点击“Microsoft网络的文件和打印机共享”,再点击“卸载”,在弹出的对话框中选择“是”确认卸载。

    在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS(S)"。
    
    建议设置
    

    解除Netbios和TCP/IP协议的绑定139端口:打开“本地连接”界面,选择“属性”,在弹出的“属性”框中双击“Internet协议版本(TCP/IPV4)”,点击“属性”,再点击“高级”—“WINS”,选择“禁用TCP/IP上的NETBIOS”,点击“确认”并关闭本地连接属性。

    新葡亰496net 6

    新葡亰496net 7

    禁止默认共享:点击“开始”—“运行”,输入“Regedit”,打开注册表编辑器,打开注册表项“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters”,在右边的窗口中新建Dword值,名称设为AutoShareServer,值设为“0”。

    在2003系统里,不推荐用TCP/IP筛选里的端口过滤功能,譬如在使用FTP服务器的时候,如果仅仅只开放21端口,由于FTP协议的特殊性,在进行FTP传输的时候,由于FTP 特有的Port模式和Passive模式,在进行数据传输的时候,需要动态的打开高端口,所以在使用TCP/IP过滤的情况下,经常会出现连接上后无法列出目录和数据传输的问题。所以在2003系统上增加的windows连接防火墙能很好的解决这个问题,所以都不推荐使用网卡的TCP/IP过滤功能。

    新葡亰496net 8

    关闭 445端口:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetBTParameters,新建 Dword(32位)名称设为SMBDeviceEnabled 值设为“0”

    新葡亰496net 9

    极限测试
    

    5、共享和发现

    在高级选项里,使用”Internet连接防火墙”,这是windows 2003 自带的防火墙,在2000系统里没有的功能,虽然没什么功能,但可以屏蔽端口,这样已经基本达到了一个IPSec的功能。

    在”网络连接”里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP),由于要控制带宽流量服务,额外安装了Qos数据包计划程序。
    新葡亰496net 10

    右键“网络” 属性 网络和共享中心  共享和发现
    关闭,网络共享,文件共享,公用文件共享,打印机共享,显示我正在共享的所有文件和文件夹,显示这台计算机上所有共享的网络文件夹

    新葡亰496net 11

    新葡亰496net 12

    6、用防火墙限制Ping

    新葡亰496net 13

    在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS(S)"。
    

    网上自己查吧,ping还是经常需要用到的

    新葡亰496net 14

    新葡亰496net 15

    7、防火墙的设置

    放开使用到的端口,如果修改了远程桌面的端口,别忘记添加上。如果有邮件服务器的话还要放开SMTP服务器端口25 POP3服务器端口110。对外提供服务的端口都要加上,不然无法访问服务。

    在2003系统里,不推荐用TCP/IP筛选里的端口过滤功能,譬如在使用FTP服务器的时候,如果仅仅只开放21端口,由于FTP协议的特殊性,在进行FTP传输的时候,由于FTP 特有的Port模式和Passive模式,在进行数据传输的时候,需要动态的打开高端口,所以在使用TCP/IP过滤的情况下,经常会出现连接上后无法列出目录和数据传输的问题。所以在2003系统上增加的windows连接防火墙能很好的解决这个问题,所以都不推荐使用网卡的TCP/IP过滤功能。

    控制面板→Windows防火墙设置→更改设置→例外,勾选FTP、HTTP、远程桌面服务 核心网络

    新葡亰496net 16

    新葡亰496net 17

    HTTPS用不到可以不勾

    新葡亰496net 18

    在高级选项里,使用”Internet连接防火墙”,这是windows 2003 自带的防火墙,在2000系统里没有的功能,虽然没什么功能,但可以屏蔽端口,这样已经基本达到了一个IPSec的功能。

    3306:Mysql
    1433:Mssql

    新葡亰496net 19

    新葡亰496net 20

    8、禁用不需要的和危险的服务,以下列出服务都需要禁用。

    新葡亰496net 21

    新葡亰496net 22

    控制面板 管理工具 服务

    修改ICMP设置,建议全部启用,便于网络测试ping等

    新葡亰496net 23

    Distributed linktracking client   用于局域网更新连接信息
    PrintSpooler  打印服务
    Remote Registry  远程修改注册表
    Server 计算机通过网络的文件、打印、和命名管道共享
    TCP/IP NetBIOS Helper  提供
    TCP/IP (NetBT) 服务上的
    NetBIOS 和网络上客户端的
    NetBIOS 名称解析的支持
    Workstation   泄漏系统用户名列表 与Terminal Services Configuration 关联
    Computer Browser 维护网络计算机更新 默认已经禁用
    Net Logon   域控制器通道管理 默认已经手动
    Remote Procedure Call (RPC) Locator   RpcNs*远程过程调用 (RPC) 默认已经手动
    删除服务sc delete MySql

    新葡亰496net 24

    放开使用到的端口,如果修改了远程桌面的端口,别忘记添加上。如果有邮件服务器的话还要放开SMTP服务器端口25 POP3服务器端口110。对外提供服务的端口都要加上,不然无法访问服务。

    9、安全设置-->本地策略-->安全选项

    新葡亰496net 25

    新葡亰496net 26

    在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-->Windows设置-->安全设置-->本地策略-->安全选项

    当然为了安全也防止本机成为肉鸡,有时候需要设置本地不要访问外部的80,22等端口,这里提供一个bat代码,如果需要访问 外部的网站需要把80端口去掉就可以了

    新葡亰496net 27

    交互式登陆:不显示最后的用户名       启用
    网络访问:不允许SAM帐户的匿名枚举       启用 已经启用
    网络访问:不允许SAM帐户和共享的匿名枚举   启用
    网络访问:不允许储存网络身份验证的凭据   启用
    网络访问:可匿名访问的共享         内容全部删除
    网络访问:可匿名访问的命名管道       内容全部删除
    网络访问:可远程访问的注册表路径      内容全部删除
    网络访问:可远程访问的注册表路径和子路径  内容全部删除
    帐户:重命名来宾帐户            这里可以更改guest帐号
    帐户:重命名系统管理员帐户         这里可以更改Administrator帐号

    @rem 配置windows2003系统的IP安全策略
    @rem version 3.0 time:2014-5-12
    
    netsh ipsec static add policy name=drop
    netsh ipsec static add filterlist name=drop_port
    netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=21 protocol=TCP mirrored=no
    netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=22 protocol=TCP mirrored=no
    netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=23 protocol=TCP mirrored=no
    netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=25 protocol=TCP mirrored=no
    netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=53 protocol=TCP mirrored=no
    netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=80 protocol=TCP mirrored=no
    netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=135 protocol=TCP mirrored=no
    netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=139 protocol=TCP mirrored=no
    netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=443 protocol=TCP mirrored=no
    netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=445 protocol=TCP mirrored=no
    netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=1314 protocol=TCP mirrored=no
    netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=1433 protocol=TCP mirrored=no
    netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=1521 protocol=TCP mirrored=no
    netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=2222 protocol=TCP mirrored=no
    netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=3306 protocol=TCP mirrored=no
    netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=3433 protocol=TCP mirrored=no
    netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=3389 protocol=TCP mirrored=no
    netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=4899 protocol=TCP mirrored=no
    netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=8080 protocol=TCP mirrored=no
    netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=18186 protocol=TCP mirrored=no
    netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any protocol=UDP mirrored=no
    netsh ipsec static add filteraction name=denyact action=block
    netsh ipsec static add rule name=kill policy=drop filterlist=drop_port filteraction=denyact
    netsh ipsec static set policy name=drop assign=y
    

    新葡亰496net 28

    10、安全设置-->账户策略-->账户锁定策略

    权限的设置所有磁盘分区的根目录只给Administrators组和SYSTEM 的完全控制权限,注意系统盘不要替换子目录的权限。windows目录和Program Files目录等一些目录并没有继承父目录权限,这些目录还需要其它一些权限才能运行。 C:Documents and Settings 目录只给 Administrators 组和 SYSTEM 的完全控制权限,并应用到子对象的项目替代所有子对象的权限项目。 系统盘Documents and SettingsAll Users 目录只给 Administrators 组和 SYSTEM 的完全控制权限。这里给的system权限也不一定需要给,只是由于某些第三方应用程序是以服务形式启动的,需要加上这个用户,否则造成启动不了。

    新葡亰496net 29

    在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-->Windows设置-->安全设置-->账户策略-->账户锁定策略,将账户锁定阈值设为“三次登陆无效”,“锁定时间为30分钟”,“复位锁定计数设为30分钟”。

    新葡亰496net 30

    修改ICMP设置,建议全部启用,便于网络测试ping等

    11、本地安全设置

    新葡亰496net 31

    新葡亰496net 32

    选择计算机配置-->Windows设置-->安全设置-->本地策略-->用户权限分配
    关闭系统:只有Administrators组、其它全部删除。
    通过终端服务拒绝登陆:加入Guests组、IUSR_*****、IWAM_*****、NETWORK SERVICE、SQLDebugger  
    通过终端服务允许登陆:加入Administrators、Remote Desktop Users组,其他全部删除

    新葡亰496net 33

    新葡亰496net 34

    12、更改Administrator,guest账户,新建一无任何权限的假Administrator账户

    c:/Documents and Settings/这里要注意,后面的目录里的权限根本不会继承从前的设置,如果仅仅只是设置了C盘给administrators权限,而在All Users/Application Data目录下会 出现everyone用户有完全控制权限,这样入侵这可以跳转到这个目录,写入脚本或只文件,再结合其他漏洞来提升权限;譬如利用serv-u的本地溢出提升权限,或系统遗漏有补丁,数据库的弱点等等。在用做web/ftp服务器的系统里,建议设置。

    权限的设置所有磁盘分区的根目录只给Administrators组和SYSTEM 的完全控制权限,注意系统盘不要替换子目录的权限。windows目录和Program Files目录等一些目录并没有继承父目录权限,这些目录还需要其它一些权限才能运行。 C:Documents and Settings 目录只给 Administrators 组和 SYSTEM 的完全控制权限,并应用到子对象的项目替代所有子对象的权限项目。 系统盘Documents and SettingsAll Users 目录只给 Administrators 组和 SYSTEM 的完全控制权限。这里给的system权限也不一定需要给,只是由于某些第三方应用程序是以服务形式启动的,需要加上这个用户,否则造成启动不了。

    管理工具→计算机管理→系统工具→本地用户和组→用户
    新建一个Administrator帐户作为陷阱帐户,设置超长密码,并去掉所有用户组
    更改描述:管理计算机(域)的内置帐户

    新葡亰496net 35

    新葡亰496net 36

    13、密码策略

    Windows目录要加上给users的默认权限,否则ASP和ASPX等应用程序就无法运行。如果修改的话,不要应用到子对象的项目替代所有子对象的权限项目。系统目录权限拿不准的话就不要动了,一般做好根目录和Documents and Settings就比较安全了,asp程序访问不了根目录就访问不了子目录。

    新葡亰496net 37

    选择计算机配置-->Windows设置-->安全设置-->密码策略
    启动 密码必须符合复杂性要求
    最短密码长度

    新葡亰496net 38

    新葡亰496net 39

    14、禁用DCOM ("冲击波"病毒 RPC/DCOM 漏洞)

    另外Documents and Settings目录增加Users用户组的读取运行权限,可以避免出现LoadUserProfile失败,需要注意的是一但有users组读取权限,asp木马就能访问这个目录。为了安全需要接受一些错误日志。(2009年1月13日备注:貌似是没有system完全就出现LoadUserProfile,与users无关。)

    c:/Documents and Settings/这里要注意,后面的目录里的权限根本不会继承从前的设置,如果仅仅只是设置了C盘给administrators权限,而在All Users/Application Data目录下会 出现everyone用户有完全控制权限,这样入侵这可以跳转到这个目录,写入脚本或只文件,再结合其他漏洞来提升权限;譬如利用serv-u的本地溢出提升权限,或系统遗漏有补丁,数据库的弱点等等。在用做web/ftp服务器的系统里,建议设置。

    运行Dcomcnfg.exe。控制台根节点→组件服务→计算机→右键单击“我的电脑”→属性”→默认属性”选项卡→清除“在这台计算机上启用分布式 COM”复选框。

    新葡亰496net 40

    新葡亰496net 41

    15、ASP漏洞

    系统盘
    下 cacls.exe; cmd.exe; net.exe; net1.exe; ftp.exe; tftp.exe; telnet.exe; netstat.exe; regedit.exe; at.exe; attrib.exe; format.com 文件只给 Administrators 组和SYSTEM 的完全控制权限。可查找一下统一设置,或者编辑一份批处理,使用cacls命令处理。

    Windows目录要加上给users的默认权限,否则ASP和ASPX等应用程序就无法运行。如果修改的话,不要应用到子对象的项目替代所有子对象的权限项目。系统目录权限拿不准的话就不要动了,一般做好根目录和Documents and Settings就比较安全了,asp程序访问不了根目录就访问不了子目录。

    主要是卸载WScript.Shell 和 Shell.application 组件,是否删除看是否必要。

    新葡亰496net 42

    新葡亰496net 43

    regsvr32/u C:WINDOWSSystem32wshom.ocx
    regsvr32/u C:WINDOWSsystem32shell32.dll

    本地策略→审核策略

    另外Documents and Settings目录增加Users用户组的读取运行权限,可以避免出现LoadUserProfile失败,需要注意的是一但有users组读取权限,asp木马就能访问这个目录。为了安全需要接受一些错误日志。(2009年1月13日备注:貌似是没有system完全就出现LoadUserProfile,与users无关。)

    删除可能权限不够

      审核策略更改   成功 失败  
      审核登录事件   成功 失败
      审核对象访问      失败
      审核过程跟踪   无审核
      审核目录服务访问    失败
      审核特权使用      失败
      审核系统事件   成功 失败
      审核账户登录事件 成功 失败
      审核账户管理   成功 失败

    新葡亰496net 44

    del C:WINDOWSSystem32wshom.ocx
    del C:WINDOWSsystem32shell32.dll

      本地策略→用户权限分配
      关闭系统:只有Administrators组、其它全部删除。
      通过终端服务允许登陆:只加入Administrators,Remote Desktop Users组,其他全部删除

    系统盘下 cacls.exe; cmd.exe; net.exe; net1.exe; ftp.exe; tftp.exe; telnet.exe; netstat.exe; regedit.exe; at.exe; attrib.exe; format.com 文件只给 Administrators 组和SYSTEM 的完全控制权限。可查找一下统一设置,或者编辑一份批处理,使用cacls命令处理。

    如果确实要使用,或者也可以给它们改个名字。

      本地策略→安全选项
      交互式登陆:不显示上次的用户名       启用
      网络访问:不允许SAM帐户和共享的匿名枚举  启用
      网络访问:不允许为网络身份验证储存凭证   启用
      网络访问:可匿名访问的共享         全部删除
      网络访问:可匿名访问的命          全部删除
      网络访问:可远程访问的注册表路径      全部删除
      网络访问:可远程访问的注册表路径和子路径  全部删除
      帐户:重命名来宾帐户            重命名一个帐户
      帐户:重命名系统管理员帐户         重命名一个帐户

    新葡亰496net 45
    【管理工具-本地安全设置 secpol.msc】
      帐户策略→帐户锁定策略
      用户锁定阈值 3次无效登录
      置复位帐户锁定计数器  30分钟之后
      帐户锁定时间 30分钟

    WScript.Shell可以调用系统内核运行DOS基本命令

    **【禁用不必要的服务 开始-运行-services.msc】

      本地策略→审核策略
      审核策略更改   成功 失败  
      审核登录事件   成功 失败
      审核对象访问      失败
      审核过程跟踪   无审核
      审核目录服务访问    失败
      审核特权使用      失败
      审核系统事件   成功 失败
      审核账户登录事件 成功 失败
      审核账户管理   成功 失败

    可以通过修改注册表,将此组件改名,来防止此类木马的危害。

    **  Computer Browser :维护网络上计算机的最新列表以及提供这个列表
      Distributed File System :局域网管理共享文件,不需要可禁用
      Distributed Link Tracking Client :用于局域网更新连接信息,不需要可禁用
      Error Reporting Service :禁止发送错误报告
      Messenger :传输客户端和服务器之间的 NET SEND 和 警报器服务消息
      Microsoft Serch :提供快速的单词搜索,不需要可禁用
      NT LM Security Support Provider :telnet服务和Microsoft Serch用的,不需要可禁用
      Print Spooler :如果没有打印机可禁用
      Remote Desktop Help Session Manager :禁止远程协助
      Remote Registry:禁止远程修改注册表
      Server :支持此计算机通过网络的文件、打印、和命名管道共享
      Task scheduler :允许程序在指定时间运行
      TCP/IPNetBIOS Helper :提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持而使用户能够共享文
      Workstation :关闭的话远程NET命令列不出用户组
      以上是在Windows Server 2003 系统上面默认启动的服务中禁用的,默认禁用的服务如没特别需要的话不要启动。

      本地策略→用户权限分配
      关闭系统:只有Administrators组、其它全部删除。
      通过终端服务允许登陆:只加入Administrators,Remote Desktop Users组,其他全部删除

    HKEY_CLASSES_ROOTWScript.Shell及HKEY_CLASSES_ROOTWScript.Shell.1

    【卸载最不安全的组件】
      最简单的办法是直接卸载后删除相应的程序文件。

      本地策略→安全选项
      交互式登陆:不显示上次的用户名       启用
      网络访问:不允许SAM帐户和共享的匿名枚举  启用
      网络访问:不允许为网络身份验证储存凭证   启用
      网络访问:可匿名访问的共享         全部删除
      网络访问:可匿名访问的命          全部删除
      网络访问:可远程访问的注册表路径      全部删除
      网络访问:可远程访问的注册表路径和子路径  全部删除
      帐户:重命名来宾帐户            重命名一个帐户
      帐户:重命名系统管理员帐户         重命名一个帐户

    改名为其它的名字,如:改为WScript.Shell_ChangeName 或 WScript.Shell.1_ChangeName

      将下面的代码保存为一个.BAT文件,( 以下以win2003为例系统文件夹应该是 C:WINDOWS )

    【禁用不必要的服务 开始-运行-services.msc】
      Computer Browser :维护网络上计算机的最新列表以及提供这个列表 
      Distributed File System :局域网管理共享文件,不需要可禁用 
      Distributed Link Tracking Client :用于局域网更新连接信息,不需要可禁用 
      Error Reporting Service :禁止发送错误报告 
      Messenger :传输客户端和服务器之间的 NET SEND 和 警报器服务消息 
      Microsoft Serch :提供快速的单词搜索,不需要可禁用 
      NT LM Security Support Provider :telnet服务和Microsoft Serch用的,不需要可禁用 
      Print Spooler :如果没有打印机可禁用 
      Remote Desktop Help Session Manager :禁止远程协助
      Remote Registry:禁止远程修改注册表 
      Server :支持此计算机通过网络的文件、打印、和命名管道共享
      Task scheduler :允许程序在指定时间运行 
      TCP/IPNetBIOS Helper :提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持而使用户能够共享文
      Workstation :关闭的话远程NET命令列不出用户组
      以上是在Windows Server 2003 系统上面默认启动的服务中禁用的,默认禁用的服务如没特别需要的话不要启动。
    
    【卸载最不安全的组件】
      最简单的办法是直接卸载后删除相应的程序文件。
      将下面的代码保存为一个.BAT文件,( 以下以win2003为例系统文件夹应该是 C:WINDOWS )
      regsvr32 /u C:WINDOWSsystem32wshom.ocx
      regsvr32 /u C:windowssystem32wshext.dll
      regsvr32 /u C:WINDOWSsystem32shell32.dll
      如果有可能删除这些组件
      del C:WINDOWSsystem32shell32.dll
      del C:WINDOWSsystem32wshom.ocx
      del C:windowssystem32wshext.dll
      然后运行一下,WScript.Shell, Shell.application, WScript.Network就会被卸载了。
      去http://www.ajiang.net/products/aspcheck/下载阿江的探针查看相关安全设置情况。
      可能会提示无法删除文件,不用管它,重启一下服务器,你会发现这三个都提示“×安全”了。
      恢复的话,去掉/u就行了
    

    自己以后调用的时候使用这个就可以正常调用此组件了

    复制代码 代码如下:

    FSO(FileSystemObject)是微软ASP的一个对文件操作的控件,该控件可以对服务器进行读取、新建、修改、删除目录以及文件的操作。是ASP编程中非常有用的一个控件。但是因为权限控制的问题,很多虚拟主机服务器的FSO反而成为这台服务器的一个公开的后门,因为客户可以在自己的ASP网页里面直接就对该控件编程,从而控制该服务器甚至删除服务器上的文件。因此不少业界的虚拟主机提供商都干脆关掉了这个控件,让客户少了很多灵活性。我们公司的W2K虚拟主机服务器具有高安全性,可以让客户在自己的网站空间中任意使用却有没有办法危害系统或者妨碍其他客户网站的正常运行。

    也要将clsid值也改一下

      regsvr32 /u C:WINDOWSsystem32wshom.ocx
      regsvr32 /u C:windowssystem32wshext.dll
      regsvr32 /u C:WINDOWSsystem32shell32.dll

     FSO的添加
     1、首先在系统盘中查找scrrun.dll,如果存在这个文件,请跳到第三步,如果没有,请执行第二步。
     2、在安装文件目录i386中找到scrrun.dl_,用winrar解压缩后scrrun.dll复制到系统盘:windowssystem32目录。
     3、运行regsvr32 scrrun.dll即可。
    
     FSO删除
     regsvr32 /u scrrun.dll
     建议保留
    
     卸载stream对象
     在cmd下运行:
     regsvr32 /s /u "C:Program FilesCommon FilesSystemadomsado15.dll"
     恢复的话,去掉/u就行了,建议保留
    

    HKEY_CLASSES_ROOTWScript.ShellCLSID项目的值

      如果有可能删除这些组件
      del C:WINDOWSsystem32shell32.dll
      del C:WINDOWSsystem32wshom.ocx
      del C:windowssystem32wshext.dll
      然后运行一下,WScript.Shell, Shell.application, WScript.Network就会被卸载了。
      去

    修改远程桌面连接的3389端口为9874,十六进制2692等于十进制9874,根据需要修改成合适的端口。将下面的内容保存为.reg文件,导入注册表即可。(非必需)

    HKEY_CLASSES_ROOTWScript.Shell.1CLSID项目的值

      可能会提示无法删除文件,不用管它,重启一下服务器,你会发现这三个都提示“×安全”了。

    复制代码 代码如下:

    也可以将其删除,来防止此类木马的危害。

      恢复的话,去掉/u就行了FSO(FileSystemObject)是微软ASP的一个对文件操作的控件,该控件可以对服务器进行读取、新建、修改、删除目录以及文件的操作。是ASP编程中非常有用的一个控件。但是因为权限控制的问题,很多虚拟主机服务器的FSO反而成为这台服务器的一个公开的后门,因为客户可以在自己的ASP网页里面直接就对该控件编程,从而控制该服务器甚至删除服务器上的文件。因此不少业界的虚拟主机提供商都干脆关掉了这个控件,让客户少了很多灵活性。我们公司的W2K虚拟主机服务器具有高安全性,可以让客户在自己的网站空间中任意使用却有没有办法危害系统或者妨碍其他客户网站的正常运行。

    Windows Registry Editor Version 5.00

    Shell.Application可以调用系统内核运行DOS基本命令

    **FSO的添加

    [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWdsrdpwdTdstcp]
    "PortNumber"=dword:00002692

    可以通过修改注册表,将此组件改名,来防止此类木马的危害。

    **1、首先在系统盘中查找scrrun.dll,如果存在这个文件,请跳到第三步,如果没有,请执行第二步。
    2、在安装文件目录i386中找到scrrun.dl_,用winrar解压缩后scrrun.dll复制到系统盘:windowssystem32目录。
    3、运行regsvr32 scrrun.dll即可。

    [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp]
    "PortNumber"=dword:00002692

    HKEY_CLASSES_ROOTShell.Application及HKEY_CLASSES_ROOTShell.Application.1改名为其它的名字,如:改为Shell.Application_ChangeName 或 Shell.Application.1_ChangeName

    FSO删除
    regsvr32 /u scrrun.dll
    建议保留

    服务器杀毒软件这里介绍MCAFEE 8.5i 中文企业版 //www.jb51.net/softs/17178.html

    自己以后调用的时候使用这个就可以正常调用此组件了

    **卸载stream对象

    因为这个版本对于国内的许多恶意代码和木马都能够及时的更新. 比如已经能够检测到海阳顶端2006 而且能够杀除IMAIL等SMTP软件使用的队列中MIME编码的病毒文件而很多人喜欢安装诺顿企业版.而诺顿企业版,对于WEBSHELL.基本都是没有反应的. 而且无法对于MIME编码的文件进行杀毒.
    在MCAFEE中. 我们还能够加入规则.阻止在windows目录建立和修改EXE.DLL文件等我们在软件中加入对WEB目录的杀毒计划. 每天执行一次并且打开实时监控.

    也要将clsid值也改一下

    **在cmd下运行:
    regsvr32 /s /u "C:Program FilesCommon FilesSystemadomsado15.dll"
    恢复的话,去掉/u就行了,建议保留修改远程桌面连接的3389端口为9874,十六进制2692等于十进制9874,根据需要修改成合适的端口。将下面的内容保存为.reg文件,导入注册表即可。(非必需)

    注意:安装一些杀毒软件会影响ASP地执行,是因为禁用了jscript.dll和vbscript.dll组件在dos方式下运行 regsvr32 jscript.dll, regsvr32 vbscript.dll解除限制即可比如出现
    请求的资源在使用中

    HKEY_CLASSES_ROOTShell.ApplicationCLSID项目的值
    HKEY_CLASSES_ROOTShell.ApplicationCLSID项目的值

    复制代码 代码如下:

    regsvr32 %windir%system32jscript.dll
    regsvr32 %windir%system32vbscript.dll

    也可以将其删除,来防止此类木马的危害。

    Windows Registry Editor Version 5.00

    关掉杀毒软件里的script scan

    禁止Guest用户使用shell32.dll来防止调用此组件。

    [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWdsrdpwdTdstcp]
    "PortNumber"=dword:00002692

    有关服务器常用的一些软件可以到s.jb51.net查看,每天有几百人使用。

    2000使用命令:cacls C:WINNTsystem32shell32.dll /e /d guests
    2003使用命令:cacls C:WINDOWSsystem32shell32.dll /e /d guests

    [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp]
    "PortNumber"=dword:00002692

    您可能感兴趣的文章:

    • win2003服务器安全设置教程图文(系统 数据库)
    • win2003 服务器安全设置教程(权限与本地策略)
    • Win2003服务器安装及设置教程 MySQL安全设置图文教程
    • win2003 服务器磁盘权限安全设置批处理
    • 必须要懂的win2003服务器上的asp站点安全设置
    • win2003 服务器 安全设置 技术实例(比较安全的方法)
    • win2003 服务器安全设置教程(权限 防火墙)
    • 又一篇不错的win2003服务器安全设置图文教程
    • Windows 2003 服务器安全设置图文教程
    • win2003服务器安全设置完全版(脚本之家补充)

    禁止使用FileSystemObject组件,FSO是使用率非常高的组件,要小心确定是否卸载。改名后调用就要改程序了,Set FSO = Server.CreateObject("Scripting.FileSystemObject")。

    **杀毒

    FileSystemObject可以对文件进行常规操作,可以通过修改注册表,将此组件改名,来防止此类木马的危害。
    HKEY_CLASSES_ROOTScripting.FileSystemObject
    改名为其它的名字,如:改为 FileSystemObject_ChangeName
    自己以后调用的时候使用这个就可以正常调用此组件了
    也要将clsid值也改一下HKEY_CLASSES_ROOTScripting.FileSystemObjectCLSID项目的值
    也可以将其删除,来防止此类木马的危害。
    2000注销此组件命令:RegSrv32 /u C:WINNTSYSTEMscrrun.dll
    2003注销此组件命令:RegSrv32 /u C:WINDOWSSYSTEMscrrun.dll
    如何禁止Guest用户使用scrrun.dll来防止调用此组件?
    使用这个命令:cacls C:WINNTsystem32scrrun.dll /e /d guests

    **这里介绍MCAFEE 8.5i 中文企业版(s.jb51.net有的下载)
    因为这个版本对于国内的许多恶意代码和木马都能够及时的更新.
    比如已经能够检测到海阳顶端2006
    而且能够杀除IMAIL等SMTP软件使用的队列中MIME编码的病毒文件
    而很多人喜欢安装诺顿企业版.而诺顿企业版,对于WEBSHELL.基本都是没有反应的.
    而且无法对于MIME编码的文件进行杀毒.
    在MCAFEE中.
    我们还能够加入规则.阻止在windows目录建立和修改EXE.DLL文件等
    我们在软件中加入对WEB目录的杀毒计划.
    每天执行一次
    并且打开实时监控.
    注意:安装一些杀毒软件会影响ASP地执行,是因为禁用了jscript.dll和vbscript.dll组件
    在dos方式下运行 regsvr32 jscript.dll, regsvr32 vbscript.dll解除限制即可
    比如出现 请求的资源在使用中

    15、打开UAC

    regsvr32 %windir%system32jscript.dll
    regsvr32 %windir%system32vbscript.dll

    控制面板 用户账户 打开或关闭用户账户控制

    关于ip安全策略可以参考这篇文章:

    16、程序权限

    //www.jb51.net/article/23037.htm

    "net.exe","net1.exe","cmd.exe","tftp.exe","netstat.exe","regedit.exe","at.exe","attrib.exe","cacls.exe","format.com","c.exe"
    或完全禁止上述命令的执行
    gpedit.msc-〉用户配置-〉管理模板-〉系统
    启用 阻止访问命令提示符 同时 也停用命令提示符脚本处理
    启用 阻止访问注册表编辑工具
    启用 不要运行指定的windows应用程序,添加下面的
    at.exe attrib.exe c.exe cacls.exe cmd.exe format.com net.exe net1.exe netstat.exe regedit.exe tftp.exe

    //www.jb51.net/article/30832.htm

    17、Serv-u安全问题(个人建议不是特别高的要求没必要用serv_U可以使用FTP服务器 FileZilla Server

    您可能感兴趣的文章:

    • win2003服务器安全设置教程图文(系统 数据库)
    • win2003 服务器安全设置教程(权限与本地策略)
    • Win2003服务器安装及设置教程 MySQL安全设置图文教程
    • win2003 服务器磁盘权限安全设置批处理
    • win2003 服务器安全设置图文教程
    • 必须要懂的win2003服务器上的asp站点安全设置
    • win2003 服务器 安全设置 技术实例(比较安全的方法)
    • win2003 服务器安全设置教程(权限 防火墙)
    • 又一篇不错的win2003服务器安全设置图文教程
    • win2003服务器安全设置完全版(脚本之家补充)

    安装程序尽量采用最新版本,避免采用默认安装目录,设置好serv-u目录所在的权限,设置一个复杂的管理员密码。修改serv-u的banner信息,设置被动模式端口范围(4001—4003)在本地服务器中设置中做好相关安全设置:包括检查匿名密码,禁用反超时调度,拦截“FTP bounce”攻击和FXP,对于在30秒内连接超过3次的用户拦截10分钟。域中的设置为:要求复杂密码,目录只使用小写字母,高级中设置取消允许使用MDTM命令更改文件的日期。

    更改serv-u的启动用户:在系统中新建一个用户,设置一个复杂点的密码,不属于任何组。将servu的安装目录给予该用户完全控制权限。建立一个FTP根目录,需要给予这个用户该目录完全控制权限,因为所有的ftp用户上传,删除,更改文件都是继承了该用户的权限,否则无法操作文件。另外需要给该目录以上的上级目录给该用户的读取权限,否则会在连接的时候出现530 Not logged in, home directory does not exist。比如在测试的时候ftp根目录为d:soft,必须给d盘该用户的读取权限,为了安全取消d盘其他文件夹的继承权限。而一般的使用默认的system启动就没有这些问题,因为system一般都拥有这些权限的。如果FTP不是必须每天都用,不如就关了吧,要用再打开。

    下面是其它网友的补充:大家可以参考下

    Windows Web Server 2008 R2服务器简单安全设置

    1、新做系统一定要先打上已知补丁,以后也要及时关注微软的漏洞报告。略。
    2、所有盘符根目录只给system和Administrator的权限,其他的删除。
    3、将所有磁盘格式转换为NTFS格式。
    命令:convert c:/fs:ntfs c:代表C盘,其他盘类推。WIN08 r2 C盘一定是ntfs格式的,不然不能安装系统
    4、开启Windows Web Server 2008 R2自带的高级防火墙。
    默认已经开启。
    5、安装必要的杀毒软件如mcafee,安装一款ARP防火墙,安天ARP好像不错。略。
    6、设置屏幕屏保护。
    7、关闭光盘和磁盘的自动播放功能。
    8、删除系统默认共享。
    命令:net share c$ /del 这种方式下次启动后还是会出现,不彻底。也可以做成一个批处理文件,然后设置开机自动执动这个批处理。但是还是推荐下面的方法,直修改注册表的方法。
    HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanserverparameters下面新建AutoShareServer ,值为0 。。重启一下,测试。已经永久生效了。
    9、重命Administrator和Guest帐户,密码必须复杂。GUEST用户我们可以复制一段文本作为密码,你说这个密码谁能破。。。。也只有自己了。...
    重命名管理员用户组Administrators。
    10、创建一个陷阱用户Administrator,权限最低。

    上面二步重命名最好放在安装IIS和SQL之前做好,那我这里就不演示了。

    11、本地策略——>审核策略
    审核策略更改 成功 失败
    审核登录事件 成功 失败
    审核对象访问 失败
    审核过程跟踪 无审核
    审核目录服务访问 失败
    审核特权使用 失败
    审核系统事件 成功 失败
    审核账户登录事件 成功 失败
    审核账户管理 成功 失败

    12、本地策略——>用户权限分配
    关闭系统:只有Administrators 组、其它的全部删除。

    管理模板 > 系统 显示“关闭事件跟踪程序”更改为已禁用。这个看大家喜欢。

    13、本地策略——>安全选项
    交互式登陆:不显示最后的用户名 启用
    网络访问:不允许SAM 帐户和共享的匿名枚举 启用
    网络访问: 不允许存储网络身份验证的凭据或 .NET Passports 启用
    网络访问:可远程访问的注册表路径 全部删除
    网络访问:可远程访问的注册表路径和子路径 全部删除
    14、禁止dump file 的产生。
    系统属性>高级>启动和故障恢复把 写入调试信息 改成“无”
    15、禁用不必要的服务。
    TCP/IP NetBIOS Helper
    Server
    Distributed Link Tracking Client
    Print Spooler
    Remote Registry
    Workstation

    16、站点方件夹安全属性设置
    删除C: inetpub 目录。删不了,不研究了。把权限最低。。。禁用或删除默认站点。我这里不删除了。停止即可。一般给站点目录权限为:
    System 完全控制
    Administrator 完全控制
    Users 读
    IIS_Iusrs 读、写
    在IIS7 中删除不常用的映射 建立站点试一下。一定要选到程序所在的目录,这里是www.postcha.com目录,如果只选择到wwwroot目录的话,站点就变成子目录或虚拟目录安装了,比较麻烦。所以一定要选择站点文件所在的目录,填上主机头。因为我们是在虚拟机上测试,所以对hosts文件修改一下,模拟用域名访问。真实环境中,不需要修改hosts文件,直接解释域名到主机就行。目录权限不够,这个下个教程继续说明。至少,我们的页面已经正常了。

    17、禁用IPV6。看操作。

    在windows server 2008 R2操作系统下部署weblogic web application,部署完成后进行测试,发现测试页的地址使用的是隧道适配器的地址,而不是静态的ip地址,而且所在的网络并没有ipv6接入,因此决定将ipv6和隧道适配器禁用,操作如下:
    禁用ipv6很简单,进入 控制面板网络和 Internet网络和共享中心 单击面板右侧“更改适配器设置”进入网络连接界面,选择要设置的连接,右键选择属性,取消Internet 协议版本 6 (TCP/IPv6) 前面的选择框确定即可。
    新葡亰496net 46
    要禁用隧道适配器需要更改注册表信息,操作如下:
    开始 -> 运行 - > 输入 Regedit 进入注册表编辑器
    定位到:
    [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpip6Parameters]
    右键点击 Parameters,选择新建 -> DWORD (32-位)值
    命名值为 DisabledComponents,然后修改值为 ffffffff (16进制)
    重启后生效
    DisableComponents 值定义:
    0, 启用所有 IPv 6 组件,默认设置
    0xffffffff,禁用所有 IPv 6 组件, 除 IPv 6 环回接口
    0x20, 以前缀策略中使用 IPv 4 而不是 IPv 6
    0x10, 禁用本机 IPv 6 接口
    0x01, 禁用所有隧道 IPv 6 接口
    0x11, 禁用除用于 IPv 6 环回接口所有 IPv 6 接口

    OVER ! 重启下服务器吧

    您可能感兴趣的文章:

    • windows server 2008 服务器安全设置初级配置
    • Win2008 R2 WEB 服务器安全设置指南之禁用不必要的服务和关闭端口
    • Win2008 R2 WEB 服务器安全设置指南之文件夹权限设置技巧
    • win2008 R2 WEB 服务器安全设置指南之组策略与用户设置
    • Win2008 R2 WEB 服务器安全设置指南之修改3389端口与更新补丁
    • Win2008 远程控制安全设置技巧
    • win2008 r2 服务器安全设置之安全狗设置图文教程

    本文由新葡亰496net发布于服务器网络,转载请注明出处:新葡亰496netWin2003网站服务器的安全配置全攻略,

    关键词: