時(shí)間:2015-06-28 00:00:00 來(lái)源:IT貓撲網(wǎng) 作者:網(wǎng)管聯(lián)盟 我要評(píng)論(0)
還有一點(diǎn)我想說(shuō)的是,本文內(nèi)容討論的重點(diǎn)是服務(wù)器安全設(shè)置加固,是在有一定安全設(shè)置的基礎(chǔ)上進(jìn)行討論的,并且,對(duì)于基礎(chǔ)的內(nèi)容我在本文最后也列出了標(biāo)題,只是網(wǎng)上的好文章挺多的,我就不想再費(fèi)勁寫了!所以,大家看后不要再說(shuō)一些對(duì)于磁盤之類設(shè)置沒(méi)有做之類的話!
?1、修改管理員帳號(hào)名稱與來(lái)賓帳號(hào)名稱
此步驟主要是為了防止入侵者使用默認(rèn)的系統(tǒng)用戶名或者來(lái)賓帳號(hào)馬上進(jìn)行暴利特別(合法性請(qǐng)自查),在更改完后,不要忘記修改強(qiáng)悍的密碼。
控制面板――管理工具――本地安全策略――本地策略――安全選項(xiàng) 在右邊欄的最下方
?
2、修改遠(yuǎn)程桌面連接端口
運(yùn)行 Regedt32 并轉(zhuǎn)到此項(xiàng):
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
找到"PortNumber"子項(xiàng),您會(huì)看到值 00000D3D,它是 3389 的十六進(jìn)制表示形式。使用十六進(jìn)制數(shù)值修改此端口號(hào),并保存新值。
小巧門:各位,別一看到是十六進(jìn)制就頭疼,在修改鍵值的時(shí)候也同樣支持十進(jìn)制
3、禁止不常用服務(wù)
禁用不必要的服務(wù)不但可以降低服務(wù)器的資源占用減輕負(fù)擔(dān),而且可以增強(qiáng)安全性。下面列出了可以禁用的服務(wù):
Application Experience Lookup Service
Automatic Updates
BITS
Computer Browser
DHCP Client
Error Reporting Service
Help and Support
Network Location Awareness
Print Spooler
Remote Registry
Secondary Logon
Server
Smartcard
TCP/IP NetBIOS Helper
Workstation
Windows Audio
Windows Time
Wireless Configuration
4、設(shè)置組策略,加強(qiáng)系統(tǒng)安全策略
? 設(shè)置帳號(hào)鎖定閥值為5次無(wú)效登錄,鎖定時(shí)間為30分鐘;
? 從通過(guò)網(wǎng)絡(luò)訪問(wèn)此計(jì)算機(jī)中刪除Everyone組;
? 在用戶權(quán)利指派下,從通過(guò)網(wǎng)絡(luò)訪問(wèn)此計(jì)算機(jī)中刪除Power Users和Backup Operators;
? 為交互登錄啟動(dòng)消息文本。
? 啟用 不允許匿名訪問(wèn)SAM帳號(hào)和共享;
? 啟用 不允許為網(wǎng)絡(luò)驗(yàn)證存儲(chǔ)憑據(jù)或Passport;
? 啟用 在下一次密碼變更時(shí)不存儲(chǔ)LANMAN哈希值;
? 啟用 清除虛擬內(nèi)存頁(yè)面文件;
? 禁止IIS匿名用戶在本地登錄;
? 啟用 交互登錄:不顯示上次的用戶名;
? 從文件共享中刪除允許匿名登錄的DFS$和COMCFG;
? 禁用活動(dòng)桌面。
5、強(qiáng)化TCP協(xié)議棧
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"SynAttackProtect"=dword:00000001
"EnablePMTUDiscovery"=dword:00000000
"NoNameReleaseOnDemand"=dword:00000001
"EnableDeadGWDetect"=dword:00000000
"KeepAliveTime"=dword:00300000
"PerformRouterDiscovery"=dword:00000000
"TcpMaxConnectResponseRetransmissions"=dword:00000003
"TcpMaxHalfOpen"=dword:00000100
"TcpMaxHalfOpenRetried"=dword:00000080
"TcpMaxPortsExhausted"=dword:00000005
6、加固IIS
進(jìn)入Windows組件安裝,找到應(yīng)用程序服務(wù)器,進(jìn)入詳細(xì)信息,勾選ASP.NET后,IIS必須的組件就會(huì)被自動(dòng)選擇,如果你的服務(wù)器需要運(yùn)行ASP腳本,那么還需要進(jìn)入Internet信息服務(wù)(IIS)-萬(wàn)維網(wǎng)服務(wù)下勾選Active Server Pages。完成安裝后,應(yīng)當(dāng)在其他邏輯分區(qū)上單獨(dú)建立一個(gè)目錄用來(lái)存儲(chǔ)WEB網(wǎng)站程序及數(shù)據(jù)。
一臺(tái)WEB服務(wù)器上都運(yùn)行著多個(gè)網(wǎng)站,他們之間可能互不相干,所以為了起到隔離和提高安全性,需要建立一個(gè)匿名WEB用戶組,為每一個(gè)站點(diǎn)創(chuàng)建一個(gè)匿名訪問(wèn)賬號(hào),將這些匿名賬號(hào)添加到之前建立的匿名WEB用戶組中,并在本地計(jì)算機(jī)策略中禁止此組有本地登錄權(quán)限。
? 最后優(yōu)化IIS6應(yīng)用程序池設(shè)置:
? 禁用缺省應(yīng)用程序池的空閑超時(shí);
? 禁用緩存ISAPI擴(kuò)展;
? 將應(yīng)用程序池標(biāo)識(shí)從NetworlService改為L(zhǎng)ocalService;
? 禁用快速失敗保護(hù);
? 將關(guān)機(jī)時(shí)間限制從
7、刪除MSSQL無(wú)用組件、注冊(cè)表及調(diào)用的SHELL
? ? ? ?將有安全問(wèn)題的SQL過(guò)程刪除.比較全面.一切為了安全!刪除了調(diào)用shell,注冊(cè)表,COM組件的破壞權(quán)限
use master
EXEC sp_dropextendedproc 'xp_cmdshell'
EXEC sp_dropextendedproc 'Sp_OACreate'
EXEC sp_dropextendedproc 'Sp_OADestroy'
EXEC sp_dropextendedproc 'Sp_OAGetErrorInfo'
EXEC sp_dropextendedproc 'Sp_OAGetProperty'
EXEC sp_dropextendedproc 'Sp_OAMethod'
EXEC sp_dropextendedproc 'Sp_OASetProperty'
EXEC sp_dropextendedproc 'Sp_OAStop'
EXEC sp_dropextendedproc 'Xp_regaddmultistring'
EXEC sp_dropextendedproc 'Xp_regdeletekey'
EXEC sp_dropextendedproc 'Xp_regdeletevalue'
EXEC sp_dropextendedproc 'Xp_regenumvalues'
EXEC sp_dropextendedproc 'Xp_regread'
EXEC sp_dropextendedproc 'Xp_regremovemultistring'
EXEC sp_dropextendedproc 'Xp_regwrite'
drop procedure sp_makewebtask
全部復(fù)制到"SQL查詢分析器"
點(diǎn)擊菜單上的--"查詢"--"執(zhí)行",就會(huì)將有安全問(wèn)題的SQL過(guò)程刪除(以上是7i24的正版用戶的技術(shù)支持)
更改默認(rèn)SA空密碼.數(shù)據(jù)庫(kù)鏈接不要使用SA帳戶.單數(shù)據(jù)庫(kù)單獨(dú)設(shè)使用帳戶.只給public和db_owner權(quán)限.
數(shù)據(jù)庫(kù)不要放在默認(rèn)的位置.
SQL不要安裝在PROGRAM FILE目錄下面.
最近的SQL2000補(bǔ)丁是SP4
8、防ping處理
防ping處理建意大家用防火墻一類的軟件,這樣可以大大降低服務(wù)器被攻擊的可能性,為什么這樣說(shuō)呢?主要是現(xiàn)在大部份的入侵者都是利用軟件掃一個(gè)網(wǎng)段存活的主機(jī),一般判斷主機(jī)是否存活就是看ping的通與不通了!
9、禁止(更改)常用DOS命令
找到%windir%/system32下找到cmd.exe、cmd32.exe net.exe net1.exe ipconfig.exe tftp.exe ftp.exe user.exe reg.exe regedit.exe regedt32.exe regsvr32.exe 這些黑客常用的文件,在"屬性"→"安全"中對(duì)他們進(jìn)行訪問(wèn)的ACLs用戶進(jìn) 行定義,諸如只給administrator有權(quán)訪問(wèn),如果需要防范一些溢出攻擊、以及溢出成功后對(duì)這些文件的非法利用;那么我們只需要將system用戶 在ACLs中進(jìn)行拒絕訪問(wèn)即可。
10、修改server_U默認(rèn)端口(網(wǎng)上有類似的視頻教程及文章,做的比較不錯(cuò)) ?
? ?
11、關(guān)閉不常用端口(哪都有)
? ? ? ?在TCP/IP屬性――高級(jí)――篩選,只打開(kāi)一些常用的端口就可以了!例如:80 3389 1433 等 ,根據(jù)各人需求吧!
12、磁盤(網(wǎng)站目錄)、用戶、IIS權(quán)限設(shè)置(滿大街全是了)
? ? ? ?這類的文章和視頻也很多,不過(guò)在這里我想說(shuō)的是,現(xiàn)在網(wǎng)站很多的文章和視頻在給磁盤基本權(quán)限的時(shí)候,都是給的Administrors組權(quán)限,我個(gè)人建意大家用Administrator權(quán)限,這樣為了防止提權(quán)成功后,入侵者可以完全控制機(jī)器!這樣做后,即使入侵成功了,也只有一點(diǎn)點(diǎn)的瀏覽權(quán)限的!
關(guān)鍵詞標(biāo)簽:安全,設(shè)置,服務(wù)器,如何
相關(guān)閱讀
熱門文章 火絨安全軟件開(kāi)啟懸浮窗的方法-怎么限制和設(shè)置軟件網(wǎng)速 火絨安全軟件怎么攔截廣告-火絨設(shè)置廣告攔截的方法 網(wǎng)絡(luò)安全管理軟件-PCHunter使用教程 騰訊QQ密碼防盜十大建議
人氣排行 火絨安全軟件開(kāi)啟懸浮窗的方法-怎么限制和設(shè)置軟件網(wǎng)速 火絨安全軟件怎么攔截廣告-火絨設(shè)置廣告攔截的方法 網(wǎng)絡(luò)安全管理軟件-PCHunter使用教程 xp系統(tǒng)關(guān)閉445端口方法_ 教你如何關(guān)閉xp系統(tǒng)445端口 什么是IPS(入侵防御系統(tǒng)) 企業(yè)網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)方案 ARP協(xié)議的反向和代理 Windows Server 2008利用組策略的安全設(shè)置