行業資(zī)訊
   
配置安全的windows2003服務器技術
發布時間:2012-4-20
浏覽人數:2213

先關閉不需要的端口

    隻開(kāi)了3389 21 80 1433 3306

    修改3389端口:

    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp]

    "PortNumber"=dword:00002683

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\wds\rdpwd\tds\tcp]

    "PortNumber"=dword:00002683

    二、關閉不需要的服務 打開(kāi)相應的審核策略

    Computer Browser 維護網絡上計算機的最新列表以及提供這個列表

    Task scheduler 允許程序在指定時間運行

    Routing and Remote Access 在局域網以及廣域網環境中(zhōng)爲企業提供路由服務

    Removable storage 管理可移動媒體(tǐ)、驅動程序和庫

    Remote Registry Service 允許遠程注冊表操作

    Print Spooler 将文件加載到内存中(zhōng)以便以後打印。要用打印機的朋友不能禁用這項

    IPSEC Policy Agent 管理IP安全策略以及啓動ISAKMP/OakleyIKE)和IP安全驅動程序

    Distributed Link Tracking Client 當文件在網絡域的NTFS卷中(zhōng)移動時發送通知(zhī)

    Com+ Event System 提供事件的自動發布到訂閱COM組件

    Alerter 通知(zhī)選定的用戶和計算機管理警報

    Error Reporting Service 收集、存儲和向 Microsoft 報告異常應用程序

    Messenger 傳輸客戶端和服務器之間的 NET SEND 和 警報器服務消息

    Telnet 允許遠程用戶登錄到此計算機并運行程序

    在"網絡連接"裏,把不需要的協議和服務都删掉,這裏隻安裝了基本的Internet協議(TCP/IP),由于要控制帶寬流量服務,額外(wài)安裝了Qos數據包計劃程序。在高級tcp/ip設置裏--"NetBIOS"設置"禁用tcp/IP上的NetBIOS(S)"。在高級選項裏,使用"Internet連接防火(huǒ)牆",這是windows 2003 自帶的防火(huǒ)牆,在2000系統裏沒有的功能,雖然沒什麽功能,但可以屏蔽端口,這樣已經基本達到了一(yī)個IPSec的功能。

    三、權限設置

    C盤隻給administrators 和system權限,其他的權限不給,其他的盤也可以這樣設置,這裏給的system權限也不一(yī)定需要給,隻是由于某些第三方應用程序是以服務形式啓動的,需要加上這個用戶,否則造成啓動不了。

    先給C:\Windows\目錄加上IIS_WPG用戶組的默認權限

    然後再去(qù)分(fēn)别給個别目錄加 先去(qù)C:\Program Files\Common Files\上Guests默認權限

    然後再去(qù) C:\WINNT\Temp 加上Guests的讀寫兩個權限 其他的去(qù)小(xiǎo)

    然後就是C:\WINDOWS\system32目錄裏的了

    最後還要C:\WINNT\system32\inetsrv目錄要加上Guests默認權限

    這下(xià)就好了 我(wǒ)用ASP馬試了一(yī)下(xià) 權限加好了 沒問題

    要是想開(kāi)WEB的話(huà) 就給WEB所在目錄加上 administrator(組或用戶)和SYSTEM所有權限和新建立的 Guest組用戶 這個用戶隻給 讀寫權限就可以了。

    若要配置運行。Net程序則還要設置:

    C:\WINDOWS\Microsoft.Net\ IIS_WPG 默認的讀取及運行 列出文件目錄 讀取三個權限

    網站程序目錄 IIS_WPG 默認的讀取及運行 列出文件目錄 讀取三個權限

    如果。Net程序使用Access數據庫則還要配置:

    網站程序目錄 ASPNET 默認的讀取及運行 列出文件目錄 讀取和修改四個權限

    注意:所有目錄除後加上的權限外(wài)本身還有administrator(組或用戶)和SYSTEM所有權限

    Windows目錄要加上給users的默認權限,否則ASP和ASPX等應用程序就無法運行。以前有朋友單獨設置Instsrv和temp等目錄權限,其實沒有這個必要的。

    另外(wài)在c:/Documents and Settings/這裏相當重要,後面的目錄裏的權限根本不會繼承從前的設置,如果僅僅隻是設置了C盤給administrators權限,而在All Users\Application Data目錄下(xià)會 出現everyone用戶有完全控制權限,這樣入侵這可以跳轉到這個目錄,寫入腳本或隻文件,再結合其他漏洞來提升權限;譬如利用serv-u的本地溢出提升權限,或系統遺漏有補丁,數據庫的弱點,甚至社會工(gōng)程學等等N多方法,從前不是有牛人發飑說:“隻要給我(wǒ)一(yī)個webshell,我(wǒ)就能拿到system",這也的确是有可能的。在用做web\ftp服務器的系統裏,建議是将這些目錄都設置的鎖死。其他每個盤的目錄都按照這樣設置,沒個盤都隻給adinistrators權限。

    另外(wài),還将:net.exe,cmd.exe,tftp.exe,netstat.exe,regedit.exe,at.exe,attrib.exe,cacls.exe,format.com這些文件都設置隻允許administrators訪問。

    把不必要的服務都禁止掉,盡管這些不一(yī)定能被攻擊者利用得上,但是按照安全規則和标準上來說,多餘的東西就沒必要開(kāi)啓,減少一(yī)份隐患。

    在“網絡連接”裏,把不需要的協議和服務都删掉,這裏隻安裝了基本的Internet協議(TCP/IP),由于要控制帶寬流量服務,額外(wài)安裝了Qos數據包計劃程序。在高級tcp/ip設置裏--“NetBIOS”設置“禁用tcp/IP上的NetBIOS(S)”。在高級選項裏,使用“Internet連接防火(huǒ)牆”,這是windows 2003 自帶的防火(huǒ)牆,在2000系統裏沒有的功能,雖然沒什麽功能,但可以屏蔽端口,這樣已經基本達到了一(yī)個IPSec的功能。

    IIS的安全:

    删掉c:/inetpub目錄,删除iis不必要的映射

    首先是每一(yī)個web站點使用單獨的IIS用戶,譬如這裏,新建立了一(yī)個名爲[url]/[/url] ,權限爲guest的。

    在IIS裏的站點屬性裏“目錄安全性”---“身份驗證和訪問控制“裏設置匿名訪問使用下(xià)列Windows 用戶帳戶”的用戶名密碼都使用[url]/[/url] 這個用戶的信息。在這個站點相對應的web目錄文件,默認的隻給IIS用戶的讀取和寫入權限(後面有更BT的設置要介紹)。

    在“應用程序配置”裏,我(wǒ)們給必要的幾種腳本執行權限:ASP.ASPX,PHP,

    ASP,ASPX默認都提供映射支持了的,對于PHP,需要新添加響應的映射腳本,然後在web服務擴展将ASP,ASPX都設置爲允許,對于php以及CGI的支持,需要新建web服務擴展,在擴展名(X):下(xià)輸入 php ,再在要求的文件(E):裏添加地址 C:\php\sapi\php4isapi.dll ,并勾選設置狀态爲允許(S)。然後點擊确定,這樣IIS就支持PHP了。支持CGI同樣也是如此。

    要支持ASPX,還需要給web根目錄給上users用戶的默認權限,才能使ASPX能執行。

    另外(wài)在應用程序配置裏,設置調試爲向客戶端發送自定義的文本信息,這樣能對于有ASP注入漏洞的站點,可以不反饋程序報錯的信息,能夠避免一(yī)定程度的攻擊。

    在自定義HTTP錯誤選項裏,有必要定義下(xià)譬如404,500等錯誤,不過有有時候爲了調試程序,好知(zhī)道程序出錯在什麽地方,建議隻設置404就可以了。

    IIS6.0由于運行機制的不同,出現了應用程序池的概念。一(yī)般建議10個左右的站點共用一(yī)個應用程序池,應用程序池對于一(yī)般站點可以采用默認設置,

    可以在每天淩晨的時候回收一(yī)下(xià)工(gōng)作進程。

    新建立一(yī)個站,采用默認向導,在設置中(zhōng)注意以下(xià)幾個地方:在應用程序設置裏:執行權限爲默認的純腳本,應用程序池使用獨立的名爲:315safe的程序池。

    名爲315safe的應用程序池可以适當設置下(xià)“内存回收”:這裏的最大(dà)虛拟内存爲:1000M,最大(dà)使用的物(wù)理内存爲256M,這樣的設置幾乎是沒限制這個站點的性能的。

    在應用程序池裏有個“标識”選項,可以選擇應用程序池的安全性帳戶,默認才用網絡服務這個帳戶,大(dà)家就不要動它,能盡量以最低權限去(qù)運行大(dà),隐患也就更小(xiǎo)些。在一(yī)個站點的某些目錄裏,譬如這個“uploadfile"目錄,不需要在裏面運行asp程序或其他腳本的,就去(qù)掉這個目錄的執行腳本程序權限,在“應用程序設置”的“執行權限”這裏,默認的是“純腳本”,我(wǒ)們改成“無”,這樣就隻能使用靜态頁面了。依次類推,大(dà)凡是不需要asp運行的目錄,譬如數據庫目錄,圖片目錄等等裏都可以這樣做,這樣主要是能避免在站點應用程序腳本出現bug的時候,譬如出現從前流行的upfile漏洞,而能夠在一(yī)定程度上對漏洞有扼制的作用。

    在默認情況下(xià),我(wǒ)們一(yī)般給每個站點的web目錄的權限爲IIS用戶的讀取和寫入,如圖:

    但是我(wǒ)們現在爲了将SQL注入,上傳漏洞全部都趕走,我(wǒ)們可以采取手動的方式進行細節性的策略設置。

    1. 給web根目錄的IIS用戶隻給讀權限。如圖:

    然後我(wǒ)們對響應的uploadfiles/或其他需要存在上傳文件的目錄額外(wài)給寫的權限,并且在IIS裏給這個目錄無腳本運行權限,這樣即使網站程序出現漏洞,入侵者也無法将asp木馬寫進目錄裏去(qù),呵呵,不過沒這麽簡單就防止住了攻擊,還有很多工(gōng)作要完成。如果是MS-SQL數據庫的,就這樣也就OK了,但是Access的數據庫的話(huà),其數據庫所在的目錄,或數據庫文件也得給寫權限,然後數據庫文件沒必要改成。asp的。這樣的後果大(dà)家也都知(zhī)道了把,一(yī)旦你的數據庫路徑被暴露了,這個數據庫就是一(yī)個大(dà)木馬,夠可怕的。其實完全還是規矩點隻用mdb後綴,這個目錄在IIS裏不給執行腳本權限。然後在IIS裏加設置一(yī)個映射規律,如圖:

    這裏用任意一(yī)個dll文件來解析。mdb後綴名的映射,隻要不用asp.dll來解析就可以了,這樣别人即使獲得了數據庫路徑也無法下(xià)載。這個方法可以說是防止數據庫被下(xià)載的終極解決辦法了。

    改名或卸載不安全組件

    比如,FSO和XML是非常常用的組件之一(yī),很多程序會用到他們。WSH組件會被一(yī)部分(fēn)主機管理程序用到,也有的打包程序也會用到。

    卸載最不安全的組件

    最簡單的辦法是直接卸載後删除相應的程序文件。将下(xià)面的代碼保存爲一(yī)個。BAT文件,

    regsvr32/u C:\Windows\System32\wshom.ocx

    del C:\Windows\System32\wshom.ocx

    regsvr32/u C:\Windows\system32\shell32.dll

    del C:\Windows\system32\shell32.dll

    然後運行一(yī)下(xià),WScript.Shell, Shell.application, WScript.Network就會被卸載了。可能會提示無法删除文件,不用管它,重啓一(yī)下(xià)服務器,你會發現這三個都提示“×安全”了。

四、注冊表設置

    1. 隐藏重要文件/目錄可以修改注冊表實現完全隐藏:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL],鼠标右擊 “CheckedValue”,選擇修改,把數值由1改爲0

    2. 3.防止SYN洪水攻擊: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters] 新建DWORD值,名爲SynAttackProtect,值爲2 EnablePMTUDiscovery REG_DWORD 0 NoNameReleaseOnDemand REG_DWORD 1 KeepAliveTime REG_DWORD 300000 TcpMaxConnectResponseRetransmissions 2

    TcpMaxHalfOpen 500 TcpMaxHalfOpenRetried 400

    TcpMaxPort***hausted 5 TcpMaxDataRetransmissions 2

    3. 防止ICMP重定向報文的攻擊: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters] 将EnableICMPRedirects 值設爲0

    4. 抵禦 SNMP 攻擊 [HKLM\System\CurrentControlSet\Services\Tcpip\Parameters] EnableDeadGWDetect 0

    5. 不支持IGMP協議: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters] 新建DWORD值,名爲IGMPLevel 值爲0

    6. 禁止IPC空連接: [HKEY_LOCAL_MACHINE\SYSTEM \CurrentControlSet\Control\LSA] RestrictAnonymous 把這個值改成”1”即可。

    7. 更改TTL值:[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]:DefaultTTL REG_DWORD 0-0xff(0-255 十進制,默認值128)改成一(yī)個莫名其妙的數字如258

    8. 删除默認共享: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]:AutoShareServer類型是REG_DWORD把值改爲0即可

    五、組策略

    1、系統管理員(yuán)賬戶最好少建,更改默認的管理員(yuán)帳戶名(Administrator)和描述,密碼最好采用數字加大(dà)小(xiǎo)寫字母加數字的上檔鍵組合,長度最好不少于14位。

    2、新建一(yī)個名爲Administrator的陷阱帳号,爲其設置最小(xiǎo)的權限,然後随便輸入組合的最好不低于20位的密碼

    3、将Guest賬戶禁用并更改名稱和描述,然後輸入一(yī)個複雜(zá)的密碼,當然現在也有一(yī)個DelGuest的工(gōng)具,也許你也可以利用它來删除Guest賬戶,但我(wǒ)沒有試過。

    4、在運行中(zhōng)輸入gpedit.msc回車(chē),打開(kāi)組策略編輯器,選擇計算機配置-Windows設置-安全設置-賬戶策略-賬戶鎖定策略,将賬戶設爲“三次登陸無效”,“鎖定時間爲30分(fēn)鍾”,“複位鎖定計數設爲30分(fēn)鍾”。

    5、在安全設置-本地策略-安全選項中(zhōng)将“不顯示上次的用戶名”設爲啓用

    6、在安全設置-本地策略-用戶權利分(fēn)配中(zhōng)将“從網絡訪問此計算機”中(zhōng)隻保留Internet來賓賬戶、啓動IIS進程賬戶。如果你使用了Asp.net還要保留Aspnet賬戶。

    7、啓用 不允許匿名訪問SAM帳号和共享

    8、啓用 不允許爲網絡驗證存儲憑據或Passport

    9、啓用 在下(xià)一(yī)次密碼變更時不存儲LANMAN哈希值

    10、啓用 清除虛拟内存頁面文件

    11、禁止IIS匿名用戶在本地登陸

    12、從文件共享中(zhōng)删除允許匿名登陸的DFS$和COMCFG

    推薦的要審核的項目是:

    登錄事件 成功 失敗

    賬戶登錄事件 成功 失敗

    系統事件 成功 失敗

    策略更改 成功 失敗

    對象訪問 失敗

    目錄服務訪問 失敗

    特權使用 失敗

    13、IP安全策略

    禁用以下(xià)端口

    TCP 1025 137 139 445 593 2745 3127 6129 3389

    UDP 135 139 445

    七、配置Sql服務器

    1、System Administrators 角色最好不要超過兩個

    2、如果是在本機最好将身份驗證配置爲Win登陸

    3、不要使用Sa賬戶,爲其配置一(yī)個超級複雜(zá)的密碼,數據庫鍵接不使用SA帳戶,單數據庫單獨設使用帳戶。隻給public和db_owner權限。

    4、删除以下(xià)的擴展存儲過程格式爲:

    use master

    sp_dropextendedproc '擴展存儲過程名'

    xp_cmdshell:是進入操作系統的最佳捷徑,删除

    訪問注冊表的存儲過程,删除

    Xp_regaddmultistring  Xp_regdeletekey  Xp_regdeletevalue  Xp_regenumvalues

    Xp_regread      Xp_regwrite    Xp_regremovemultistring

    OLE自動存儲過程,不需要删除

    Sp_OACreate   Sp_OADestroy    Sp_OAGetErrorInfo  Sp_OAGetProperty

    Sp_OAMethod  Sp_OASetProperty  Sp_OAStop

    use master

    EXEC sp_dropextendedproc 'xp_cmdshell'

    EXEC sp_dropextendedproc 'Sp_OACreate'

    EXEC sp_dropextendedproc 'Sp_OADestroy'

    EXEC sp_dropextendedproc 'Sp_OAGetErrorInfo'

    EXEC sp_dropextendedproc 'Sp_OAGetProperty'

    EXEC sp_dropextendedproc 'Sp_OAMethod'

    EXEC sp_dropextendedproc 'Sp_OASetProperty'

    EXEC sp_dropextendedproc 'Sp_OAStop'

    EXEC sp_dropextendedproc 'Xp_regaddmultistring'

    EXEC sp_dropextendedproc 'Xp_regdeletekey'

    EXEC sp_dropextendedproc 'Xp_regdeletevalue'

    EXEC sp_dropextendedproc 'Xp_regenumvalues'

    EXEC sp_dropextendedproc 'Xp_regread'

    EXEC sp_dropextendedproc 'Xp_regremovemultistring'

    EXEC sp_dropextendedproc 'Xp_regwrite'

    drop procedure sp_makewebtask

    5、隐藏 SQL Server、更改默認的1433端口

    右擊實例選屬性-常規-網絡配置中(zhōng)選擇TCP/IP協議的屬性,選擇隐藏 SQL Server 實例,并改原默認的1433端口

 

 

新聞資(zī)訊
聯系我(wǒ)們

聯系電話(huà):020-87518715

聯系郵箱:services@picusit.com

公司名稱:鄭州易科計算機服務有限公司

公司地址:廣州市天河區龍口西路100号中(zhōng)明大(dà)廈1601

熱線咨詢電話(huà):

020-87518715

公司地址:
廣州市天河區龍口西路100号中(zhōng)明大(dà)廈1601
手機掃碼查看更多
如有問題咨詢請及時與我(wǒ)們溝通,我(wǒ)們會爲您詳細解答!
Copyright © 鄭州易科計算機服務有限公司 地址:廣州市天河區龍口西路100号中(zhōng)明大(dà)廈1601

網站首頁

公司介紹

服務項目

成功案例

技術動态

聯系方式