windows服務(wù)器安全設置總結
發(fā)布時(shí)間:2021-10-17 11:30
來(lái)源:博客園
閱讀:0
作者:V
欄目: 網(wǎng)絡(luò )安全
歡迎投稿:712375056
Windows服務(wù)器是Microsoft Windows Server System(WSS)的核心�,Windows 的服務(wù)器操作系統�。
每個(gè)Windows服務(wù)器都與其家用(工作站)版對應(2003 R2除外)����。
1)�、系統安全基本設置
1.安裝說(shuō)明:系統全部NTFS格式化��,重新安裝系統(采用原版win2003),安裝殺毒軟件(Mcafee)����,并將殺毒軟件更新�����,安裝sp2補釘��,安裝IIS(只安裝必須的組件),安裝SQL2000�����,安裝.net2.0,開(kāi)啟防火墻�����。并將服務(wù)器打上最新的補釘���。
2)����、關(guān)閉不需要的服務(wù)
Computer Browser:維護網(wǎng)絡(luò )計算機更新�,禁用
Distributed File System: 局域網(wǎng)管理共享文件��,不需要禁用
Distributed linktracking client:用于局域網(wǎng)更新連接信息����,不需要禁用
Error reporting service:禁止發(fā)送錯誤報告
Microsoft Serch:提供快速的單詞搜索����,不需要可禁用
NTLMSecuritysupportprovide:telnet服務(wù)和Microsoft Serch用的��,不需要禁用
PrintSpooler:如果沒(méi)有打印機可禁用
Remote Registry:禁止遠程修改注冊表
Remote Desktop Help Session Manager:禁止遠程協(xié)助 其他服務(wù)有待核查
3)����、設置和管理賬戶(hù)
1�、將Guest賬戶(hù)禁用并更改名稱(chēng)和描述����,然后輸入一個(gè)復雜的密碼
2�����、系統管理員賬戶(hù)最好少建�����,更改默認的管理員帳戶(hù)名(Administrator)和描述�����,密碼最好采用數字加大小寫(xiě)字母加數字的上檔鍵組合����,長(cháng)度最好不少于10位
3����、新建一個(gè)名為Administrator的陷阱帳號��,為其設置最小的權限���,然后隨便輸入組合的最好不低于20位的密碼
4�、計算機配置-Windows設置-安全設置-賬戶(hù)策略-賬戶(hù)鎖定策略�,將賬戶(hù)設為“三次登陸無(wú)效 時(shí)間為30分鐘
5��、在安全設置-本地策略-安全選項中將“不顯示上次的用戶(hù)名”設為啟用
6��、 在安全設置-本地策略-用戶(hù)權利分配中將“從網(wǎng)絡(luò )訪(fǎng)問(wèn)此計算機”中只保留Internet來(lái)賓賬戶(hù)����、啟動(dòng)IIS進(jìn)程賬戶(hù),Aspnet賬戶(hù)
7��、創(chuàng )建一個(gè)User賬戶(hù)�,運行系統���,如果要運行特權命令使用Runas命令�����。
4)���、打開(kāi)相應的審核策略
審核策略更改:成功
審核登錄事件:成功,失敗
審核對象訪(fǎng)問(wèn):失敗
審核對象追蹤:成功,失敗
審核目錄服務(wù)訪(fǎng)問(wèn):失敗
審核特權使用:失敗
審核系統事件:成功,失敗
審核賬戶(hù)登錄事件:成功,失敗
審核賬戶(hù)管理:成功,失敗
5)����、 其它安全相關(guān)設置
1����、禁止C$�����、D$����、ADMIN$一類(lèi)的缺省共享
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters���,在右邊的 窗口中新建Dword值����,名稱(chēng)設為AutoShareServer值設為0
2��、解除NetBios與TCP/IP協(xié)議的綁定
右擊網(wǎng)上鄰居-屬性-右擊本地連接-屬性-雙擊Internet協(xié)議-高級-Wins-禁用TCP/IP上的 NETBIOS
3�、隱藏重要文件/目錄
可以修改注冊表實(shí)現完全隱藏: “HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrent-VersionExplorerAdvancedFol derHi-ddenSHOWALL”�����,鼠標右擊“CheckedValue”��,選擇修改��,把數值由1改為0
4���、防止SYN洪水攻擊
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 新建DWORD 值�����,名為SynAttackProtect����,值為2
5����、 禁止響應ICMP路由通告報文
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfacesinterface 新建DWORD值���,名為PerformRouterDiscovery 值為0
6. 防止ICMP重定向報文的攻擊
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 將EnableICMPRedirects 值設為0
7�����、 不支持IGMP協(xié)議
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 新建DWORD 值�����,名為IGMPLevel 值為0
8�、禁用DCOM:運行中輸入 Dcomcnfg.exe��。 回車(chē)�, 單擊“控制臺根節點(diǎn)”下的“組件服務(wù)”���。 打開(kāi)“計算機”子 文件夾����?�! ?/p>
對于本地計算機�����,請以右鍵單擊“我的電腦”�����,然后選擇“屬 性”����。選擇“默認屬性”選項卡���。清除“在這臺計算機上啟用分布式 COM”復選框�����。
9���、終端服務(wù)的默認端口為3389��,可考慮修改為別的端口��。
修改方法為: 服務(wù)器端:打開(kāi)注冊表��,在“HKLM\SYSTEM\Current ControlSet\Control\Terminal Server\Win Stations” 處找到類(lèi)似RDP-TCP的子鍵�����,修改PortNumber值�。 客戶(hù)端:按正常步驟建一個(gè)客戶(hù)端連接��,選中這個(gè)連接���,在“文件”菜單中選擇導出�,在指定位置會(huì ) 生成一個(gè)后綴為.cns的文件����。打開(kāi)該文件����,修改“Server Port”值為與服務(wù)器端的PortNumber對應的 值�。然后再導入該文件(方法:菜單→文件→導入)����,這樣客戶(hù)端就修改了端口�。
6)��、配置 IIS 服務(wù)
1����、不使用默認的Web站點(diǎn)�,如果使用也要將 將IIS目錄與系統磁盤(pán)分開(kāi)�?�! ?/p>
2����、刪除IIS默認創(chuàng )建的Inetpub目錄(在安裝系統的盤(pán)上)�����?����! ?/p>
3�����、刪除系統盤(pán)下的虛擬目錄����,如:_vti_bin�����、IISSamples�����、Scripts�、IIShelp�、IISAdmin����、IIShelp���、 MSADC�?���! ?/p>
4�����、刪除不必要的IIS擴展名映射���?����! ∮益I單擊“默認Web站點(diǎn)→屬性→主目錄→配置”����,打開(kāi)應用程序窗口�����,去掉不必要的應用程序映 射��。主要為.shtml, .shtm, .stm
5����、更改IIS日志的路徑 右鍵單擊“默認Web站點(diǎn)→屬性-網(wǎng)站-在啟用日志記錄下點(diǎn)擊屬性
6����、如果使用的是2000可以使用iislockdown來(lái)保護IIS����,在2003運行的IE6.0的版本不需要��。
7��、使用UrlScan
UrlScan是一個(gè)ISAPI篩選器��,它對傳入的HTTP數據包進(jìn)行分析并可以拒絕任何可疑的通信量�����。 目前最新的版本是2.5���,如果是2000Server需要先安裝1.0或2.0的版本�?��! ∪绻麤](méi)有特殊的要求采用UrlScan默認配置就可以了���?�! 〉绻阍诜?wù)器運行ASP.NET程序���,并要進(jìn)行調試你需打開(kāi)要 %WINDIR%System32InetsrvURLscan��,文件夾中的URLScan.ini 文件����,然后在UserAllowVerbs節添 加debug謂詞����,注意此節是區分大小寫(xiě)的���?��! ∪绻愕木W(wǎng)頁(yè)是.asp網(wǎng)頁(yè)你需要在DenyExtensions刪除.asp相關(guān)的內容���?����! ∪绻愕木W(wǎng)頁(yè)使用了非ASCII代碼����,你需要在Option節中將AllowHighBitCharacters的值設為1 在對URLScan.ini 文件做了更改后���,你需要重啟IIS服務(wù)才能生效����,快速方法運行中輸入iisreset 如果你在配置后出現什么問(wèn)題����,你可以通過(guò)添加/刪除程序刪除UrlScan��?�! ?/p>
8�����、利用WIS (Web Injection Scanner)工具對整個(gè)網(wǎng)站進(jìn)行SQL Injection 脆弱性?huà)呙?
7)���、配置Sql服務(wù)器
1�����、System Administrators 角色最好不要超過(guò)兩個(gè)
3��、不要使用Sa賬戶(hù)���,為其配置一個(gè)超級復雜的密碼
4�����、刪除以下的擴展存儲過(guò)程格式為:
use master sp_dropextendedproc '擴展存儲過(guò)程名'
xp_cmdshell:是進(jìn)入操作系統的最佳捷徑�,刪除 訪(fǎng)問(wèn)注冊表的存儲過(guò)程����,
刪除
Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvalues Xp_regread Xp_regwrite Xp_regremovemultistring
OLE自動(dòng)存儲過(guò)程���,不需要刪除
Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty Sp_OAMethod Sp_OASetProperty Sp_OAStop
5��、隱藏 SQL Server�����、更改默認的1433端口
右擊實(shí)例選屬性-常規-網(wǎng)絡(luò )配置中選擇TCP/IP協(xié)議的屬性��,選擇隱藏 SQL Server 實(shí)例����,并改原默 認的1433端口��。
8)�、修改系統日志保存地址 默認位置為 應用程序日志�����、安全日志����、系統日志�����、DNS日志默認位置:%systemroot%\system32\config����,默認 文件大小512KB��,管理員都會(huì )改變這個(gè)默認大小���。
安全日志文件:%systemroot%\system32\config\SecEvent.EVT 系統日志文件:%systemroot%\system32\config\SysEvent.EVT 應用程序日志文件:%systemroot%\system32\config\AppEvent.EVT Internet信息服務(wù)FTP日志默認位置:%systemroot%\system32\logfiles\msftpsvc1\����,默認每天一個(gè)日 志 Internet信息服務(wù)WWW日志默認位置:%systemroot%\system32\logfiles\w3svc1\����,默認每天一個(gè)日 志 Scheduler(任務(wù)計劃)服務(wù)日志默認位置:%systemroot%\schedlgu.txt 應用程序日志����,安全日志���,系統日志����,DNS服務(wù)器日志��,它們這些LOG文件在注冊表中的: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog Schedluler(任務(wù)計劃)服務(wù)日志在注冊表中 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent SQL 刪掉或改名xplog70.dll [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters] "AutoShareServer"=dword:00000000 "AutoShareWks"=dword:00000000 // AutoShareWks 對pro版本 // AutoShareServer 對server版本 // 0
禁止管理共享admin$,c$,d$之類(lèi)默認共享 [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA] "restrictanonymous"=dword:00000001 //0x1 匿名用戶(hù)無(wú)法列舉本機用戶(hù)列表 //0x2 匿名用戶(hù)無(wú)法連接本機IPC$共享(可能sql server不能夠啟動(dòng)
9)�����、本地安全策略
1.只開(kāi)放服務(wù)需要的端口與協(xié)議�����。 具體方法為:按順序打開(kāi)“網(wǎng)上鄰居→屬性→本地連接→屬性→Internet 協(xié)議→屬性→高級→選項→ TCP/IP篩選→屬性”���,添加需要的TCP�����、UDP端口以及IP協(xié)議即可����。根據服務(wù)開(kāi)設口���,常用的TCP 口有:80口用于Web服務(wù)���;21用于FTP服務(wù)���;25口用于SMTP�����;23口用于Telnet服務(wù)�����;110口 用于POP3�。常用的UDP端口有:53口-DNS域名解析服務(wù)�����;161口-snmp簡(jiǎn)單的網(wǎng)絡(luò )管理協(xié)議���。 8000��、4000用于OICQ�,服務(wù)器用8000來(lái)接收信息����,客戶(hù)端用4000發(fā)送信息���。 封TCP端口: 21(FTP,換FTP端口)23(TELNET),53(DNS),135,136,137,138,139,443,445,1028,1433,3389 可封TCP端口:1080,3128,6588,8080(
