windows 2003 sever 的安全设定(1)_在线艺术字制作_百度空间
windows 2003 sever 的安全设定

每次设置完服务器后必须设置的其他项目:
***首先导入Mcafee的规则备份***然后禁用Mcafee的访问保护功能再进行下面的设置。
1、【数据库】d:\Program Files\Microsoft SQL Server\MSSQL\binn\sqlagent.exe 通用{zd0}保护:禁止将程序注册为服务 (解除禁止)
2、【数据库】把(local)(Windows NT)属性--在操作系统启动时自动启动策略,3个全部开启。
3、【数据库】(local)(Windows NT)属性--内存 设置为动态配置 最小值0 {zd0}值1024 为SQL Server保留物理内存不勾选 下面的最小查询内存 1024 最下面是选择 配置值
4、【数据库】把管理--SQL Server代理的属性--高级--重新启动服务2个都开启。
5、【数据库】设置sql server的作业调度来建立自动备份。
6、运行卸载最不安全的组件.bat。
7、运行改名不安全组件.reg。
8、运行改名不安全组件.reg。
9、运行2003服务器安全和性能注册表自动配置文件.reg。
10、【数据库】安装好SQL后搜索 xplog70 注意, 查找范围必须选择安装目录的 Binn 然后将找到的三个文件改名或者删

secpol.msc

本地安全策略设置
开始菜单—>管理工具—>本地安全策略
本地策略——>审核策略
审核策略更改    成功 失败
审核登录事件    成功 失败
审核对象访问       失败
审核过程跟踪       失败
审核目录服务访问     失败
审核特权使用       失败
审核系统事件    成功 失败
审核账户登录事件  成功 失败
审核账户管理    成功 失败

我的电脑-右键-管理-事件查看器-右边的每一个事件鼠标右键-属性
调整日至文件大小:1048576KB=1G 覆盖时间超过30天的事件

帐户策略——>帐户锁定策略 设置为3次无效登陆

本地策略——>用户权限分配
   关闭系统:只有Administrators组、其它全部删除。
   通过终端服务允许登陆:只加入Administrators,Remote Desktop Users组
   用户权利分配:将“从网络访问此计算机”中只保留(Administrators)、使用Asp.net还要保留Aspnet账户。 (ASPNET)、启动IIS进程账户(IUSR)、(IWAM)(Everyone)
(Administrators)(ASPNET)(IUSR)(IWAM)(Everyone)

本地策略——>安全选项
   交互式登陆:不显示上次的用户名       启用
   网络访问:不允许SAM帐户和共享的匿名枚举   启用
   网络访问:不允许为网络身份验证储存凭证   启用
   网络访问:可匿名访问的共享         全部删除
   网络访问:可匿名访问的命名通道       全部删除
   网络访问:可远程访问的注册表路径      全部删除
   网络访问:可远程访问的注册表路径和子路径  全部删除
   帐户:重命名来宾帐户            重命名一个帐户(例如Gu2#edst@1)


请找到c盘的这些文件,把安全性设置只有特定的管理员有xx操作权限

下列这些文件只允许Administrators和SYSTEM访问


net.exe
net1.exe
cmd.exe
ftp.exe
tftp.exe
telnet.exe
netstat.exe
regedit.exe
at.exe
attrib.exe
cacls.exe
format.com

另外将系统盘C:\WINDOWS\system32下 cmd.exe、format.com、ftp.exe转移到其他目录或更名

快捷方式:在搜索框里输入
"net.exe","net1.exe","cmd.exe","tftp.exe","netstat.exe","regedit.exe","at.exe","attrib.exe","cacls.exe","format.com","c.exe"
点击搜索 然后全选 右键 属性 安全

磁盘权限

磁盘(C、D、E、F盘全部) Administrators和SYSTEM
xx控制权限
<不是继承的>
该文件夹,子文件夹及文件
C:\WINDOWS Administrators和SYSTEM
xx控制权限
Users (用户默认权限不作修改“读取和运行、列出文件夹目录、读取”)
<不是继承的>
该文件夹,子文件夹及文件
CREATOR OWNERxx控制 <不是继承的>
只有子文件夹及文件
C:\Program Files Administrators和SYSTEM
xx控制权限
<不是继承的>
该文件夹,子文件夹及文件
CREATOR OWNERxx控制权限 <不是继承的>
只有子文件夹及文件
Users读取和运行 <不是继承的>
该文件夹,子文件夹及文件
C:\Documents and Settings Administrators和SYSTEM
xx控制权限
<不是继承的>
该文件夹,子文件夹及文件
C:\Documents and Settings\All Users Administrators和SYSTEM
xx控制权限
<不是继承的>
该文件夹,子文件夹及文件
Users组的权限仅xx制于读取和运行,{jd1}不能加上写入权限(默认为“读取和运行、列出文件夹目录、读取”)
C:\Documents and Settings\All Users\Application Data Administrators和SYSTEM
xx控制权限
<不是继承的>
该文件夹,子文件夹及文件
CREATOR OWNERxx控制 <不是继承的>
只有子文件夹及文件
Users读取和运行 <不是继承的>
该文件夹,子文件夹及文件
Users写入 <不是继承的>
该文件夹及子文件夹
两个并列权限同用户组需要在高级里分开添加,分开列权限

Users读取和运行的权限:选择 2345项和倒数第3项
Users写入的权限:选择6789项
C:\Program Files\Microsoft SQL Server\MSSQL
(程序部分默认装在C:盘)

D:\Program Files\Microsoft SQL Server\MSSQL
(本人的在D盘)
Administratorsxx控制权限 <不是继承的>
该文件夹,子文件夹及文件
D:\Program Files\Microsoft SQL Server (数据库部分装在D:盘的情况) Administrators和SYSTEM
xx控制权限
<不是继承的>
该文件夹,子文件夹及文件
CREATOR OWNERxx控制权限 <不是继承的>
只有子文件夹及文件
C:\Program Files\Internet Explorer\iexplore.exe Administratorsxx控制权限 <不是继承的>
该文件夹,子文件夹及文件
C:\Program Files\Serv-U (如果装了Serv-U服务器的话)

D:\Program Files\Serv-U (本人的在D盘)

这里常是提权入侵的一个比较大的漏洞点一定要按这个方法设置目录名字根据Serv-U版本也可能是
C:\Program Files\RhinoSoft.com\Serv-U
Administrators和SYSTEM
xx控制权限
<不是继承的>
该文件夹,子文件夹及文件
CREATOR OWNERxx控制权限 <不是继承的>
只有子文件夹及文件
删除c:\inetpub目录

如果服务器上有.NET网站运行,aspnet_client文件夹的权限设置为
Administrators、SYSTEM<xx控制><不是继承的><该文件夹,子文件夹及文件>
Users <读取><不是继承的><该文件夹,子文件夹及文件>

{zh1}:C\WINDOWS\TEMP设置添加Everyone的读写属性,NetWork Servicexx控制属性。(不然ASP网站链接数据库会出错,.NET网站也会出错。)


禁用Guest账号
运行compmgmt.msc打开计算机管理,用户里面把Guest账号改名并禁用,为了保险起见,{zh0}给Guest加一个复杂的密码。


禁用TCP/IP上的NetBIOS

 网上邻居-属性-本地连接-属性-Internet协议(TCP/IP)属性-高级-WINS面板-NetBIOS设置-禁用TCP/IP上的NetBIOS。这样cracker就无法用nbtstat命令来读取你的NetBIOS信息和网卡 MAC地址了


services.msc

禁用不必要的服务,提高安全性和系统效率

开始菜单—>管理工具—>服务

Application Layer Gateway Service 为应用程序级协议插件提供支持并启用网络/协议连接。如果此服务被禁用,任何依赖它的服务将无法启动。

Background Intelligent Transfer Service 利用空闲的网络带宽在后台传输文件。如果服务被停用,例如 Windows Update 和 MSN Explorer 的功能将无法自动下载程序和其他信息。

Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务

Computer Browser 维护网络上计算机的更新列表,并将列表提供给计算机指定浏览。如果服务停止,列表不会被更新或维护。

Distributed File System 将分散的文件共享合并成一个逻辑名称空间并在局域网或广域网上管理这些逻辑卷。

Distributed Link Tracking Client 用于局域网更新连接信息

Error reporting service 发送错误报告

Remote Procedure Call (RPC) Locator RpcNs*远程过程调用 (RPC)

Remote Desktop Help Session Manager 远程协助

Net Logon 域控制器通道管理

NT LM Security Support Provider 为使用传输协议而不是命名管道的远程过程调用(RPC)程序提供安全机制。

Microsoft Serch 基于结构化和半结构化数据的内容以及属性生成全文索引,以便可以对数据进行快速的单词搜索。

Help and Support 启用在此计算机上运行帮助和支持中心。如果停止服务,帮助和支持中心将不可用。

Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息。此服务与 Windows Messenger 无关。

NetMeeting Remote Desktop Sharing 允许经过授权的用户用 NetMeeting 在公司 intranet 上远程访问这台计算机。如果服务被停止,远程桌面共享将不可用。

Workstation 创建和维护到远程服务的客户端网络连接。

Removable storage 管理可移动媒体、驱动程序和库

Print Spooler 管理所有本地和网络打印队列及控制所有打印工作。如果此服务被停用,本地计算机上的打印将不可用

Remote Registry 使远程用户能修改此计算机上的注册表设置。如果此服务被终止,只有此计算机上的用户才能修改注册表

TCP/IP NetBIOS Helper 提供 TCP/IP (NetBT) 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持,从而使用户能够共享文件、打印和登录到网络

Server 支持此计算机通过网络的文件、打印、和命名管道共享

Com+ Event System 提供事件的自动发布到订阅COM组件

Alerter 通知选定的用户和计算机管理警报

Telnet 允许远程用户登录到此计算机并运行程序,并支持多种 TCP/IP Telnet 客户端,包括基于 UNIX 和 Windows 的计算机。


设置应用程及子目录的执行权限
A.网站主应用程序目录中的"属性--应用程序设置--执行权限"设为纯脚本
B.在不需要执行asp、asp.net的子目录中执行权限设为无,上传文件目录执行权限设为无,图片或其他不需要程序访问的目录都一样设置


应用程序池设置

回收工作进程(分钟):1440 (1440分钟=24小时)
在下列时间回收工作进程:06:00
{zd0}虚拟内存为,{zd0}使用的物理内存不用钩选


安装有MSsql2000数据库的请把SA密码设置的超复杂


从下面开始就可以导入已经准备好的了

下面3个修改如果没有其他特殊需要可以直接打开services.msc禁用Server服务来关闭。(本人服务器就是直接采用禁用)
6.禁止建立空连接
默认情况下,任何用户通过通过空连接连上服务器,进而枚举出帐号,猜测密码。我们可以通过修改注册表来禁止建立空连接:
Local_Machine\System\CurrentControlSet\Control\LSA将restrictAnonymous 值为1

7.删除默认共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters新建DWORD值,名称设为AutoShareServer值设为0

8.禁止ADMIN$缺省共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters项,添加键值AutoShareWKs、REG_DWORD设置值为0


卸载最不安全的组件

最简单的办法是直接卸载后删除相应的程序文件。将下面的代码保存为一个.BAT文件

regsvr32/u C:\WINDOWS\System32\wshom.ocx
del C:\WINDOWS\System32\wshom.ocx
regsvr32/u C:\WINDOWS\system32\shell32.dll
del C:\WINDOWS\system32\shell32.dll

然后运行一下探针,WScript.Shell, Shell.application, WScript.Network就会被卸载了。可能会提示无法删除文件,不用管它,重启一下服务器,你会发现这三个都提示“×安全”了。


{zh1}:
1、在服务器IIS上设置 Uploadfiles 等等上传图片的文件夹 执行权限 无
2、设置conn.asp之类的文件 重定向到指定页面
3、数据库也要做重定向
4、修改复杂数据库名(前面加#)和后缀默认.mdb
添加数据库名的如MDB的扩展映射
这个方法就是通过修改IIS设置来实现,适合有IIS控制权的朋友,不适合购买虚拟主机用户(除非管理员已经设置了)。这个方法我认为是目前{zh0}的。只要修改一处,整个站点的数据库都可以防止被下载。无须修改代码即使暴露目标地址也可以防止下载。
我们在IIS属性---主目录---配置---映射---应用程序扩展那里添加.mdb文件的应用解析。注意这里的选择的DLL(或EXE等)似乎也不是任意的,选择不当,这个MDB文件还是可以被下载的,注意{zh0}不要选择选择asp.dll等。你可以自己多测试下
这样修改后下载数据库如:http://www.test.com/data/dvbbs6.mdb。就出现(404或500等错误)

5、开启服务器自带的Windows防火墙,如果有程序需要例外的单独设置例外。
6、改名网站后台地址,防止黑客的恶意猜解

解决eWdbEditor编辑器安全隐患
1、修改该编辑器的默认数据库路径和后缀名,防止数据库被黑客非法下载。
默认登陆路径admin_login.asp(或Edit/admin_login.asp)
默认数据库db/ewebeditor.mdb
2、修改编辑器后台登陆路径和默认的登陆用户名和密码,防止黑客进入后台管理界面。
默认帐号admin
默认密码admin或admin888
3、对Upload.asp文件语句进行修改,防止黑客利用其上传ASP木马从而获得WEB权限。

对上传语句限制进行修改:
将原来的:
sAllowExt = Replace(UCase(sAllowExt), "ASP", "")
修改为(增加上传限制):
sAllowExt = Replace(Replace(Replace(Replace(Replace(UCase(sAllowExt), "ASP", ""), "CER", ""), "ASA", ""), "CDX", ""), "HTR", "")


更改此功能会导致部分网站使用不正常。(本人服务器没有关闭)
关闭FSO组件,运行 regsvr32 /u scrrun.dll
开启FSO组件,运行 regsvr32 scrrun.dll


改名不安全组件

【开始→运行→regedit→回车】打开注册表编辑器

然后【编辑→查找→填写Shell.application→查找下一个】

用这个方法能找到两个注册表项:

{13709620-C279-11CE-A49E-444553540000} 和 Shell.application

{dy}步:为了确保万无一失,把这两个注册表项导出来,保存为xxxx.reg 文件。

第二步:比如我们想做这样的更改

13709620-C279-11CE-A49E-444553540000 改名为 13709620-C279-11CE-A49E-444553540001

Shell.application 改名为 Shell.application_nohack

第三步:那么,就把刚才导出的.reg文件里的内容按上面的对应关系替换掉,然后把修改好的.reg文件导入到注册表中(双击即可),导入了改名后的注册表项之后,别忘记了删除原有的那两个项目。这里需要注意一点,Clsid中只能是十个数字和ABCDEF六个字母。

其实,只要把对应注册表项导出来备份,然后直接改键名就可以了,

下面是我修改后的代码(两个文件我合到一起了):

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}]
@="Shell Automation Service"

[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\InProcServer32]
@="C:\\WINNT\\system32\\shell32.dll"
"ThreadingModel"="Apartment"

[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\ProgID]
@="Shell.Application_ajiang.1"

[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\TypeLib]
@="{50a7e9b0-70ef-11d1-b75a-00a0c90564fe}"

[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\Version]
@="1.1"

[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\VersionIndependentProgID]
@="Shell.Application_ajiang"

[HKEY_CLASSES_ROOT\Shell.Application_ajiang]
@="Shell Automation Service"

[HKEY_CLASSES_ROOT\Shell.Application_ajiang\CLSID]
@="{13709620-C279-11CE-A49E-444553540001}"

[HKEY_CLASSES_ROOT\Shell.Application_ajiang\CurVer]
@="Shell.Application_ajiang.1"

你可以把这个保存为一个.reg文件运行试一下,但是可别就此了事,因为万一黑客也看了我的这篇文章,他会试验我改出来的这个名字的。




郑重声明:资讯 【windows 2003 sever 的安全设定(1)_在线艺术字制作_百度空间】由 发布,版权归原作者及其所在单位,其原创性以及文中陈述文字和内容未经(企业库qiyeku.com)证实,请读者仅作参考,并请自行核实相关内容。若本文有侵犯到您的版权, 请你提供相关证明及申请并与我们联系(qiyeku # qq.com)或【在线投诉】,我们审核后将会尽快处理。
—— 相关资讯 ——