win2003服务器安全设置教程
9 y2 l3 `2 A0 h; E9 y8 T服务器安全设置
7 z2 P% |% x1 c1、系统盘和站点放置盘必须设置为NTFS格式,方便设置权限。 ' N; W- k( o* r4 m% A& M
2、系统盘和站点放置盘除administrators 和system的用户权限全部去除。
8 l6 m# @2 R9 A 6 Z0 F; Y/ P1 f! [
3、启用windows自带防火墙,只保留有用的端口,比如远程和Web、Ftp(3389、80、21)等等,有邮件服务器的还要打开25和130端口。 % e+ s9 z9 z9 g2 q) O
6 c1 a2 g. Q) i. ^7 H9 r5 P+ X
" g6 H1 T% s2 h% G J, e* O, p/ m$ S
8 l4 m- x3 S- s" j4、安装好SQL后进入目录搜索 xplog70 然后将找到的三个文件改名或者删除。
4 f& ^/ r D- S $ H# p: e9 j- a, u8 j: H9 i0 E
5、更改sa密码为你都不知道的超长密码,在任何情况下都不要用sa这个帐户。
# B$ r6 t N& I. ]+ f& O 3 D: k/ g5 K; w
6、改名系统默认帐户名并新建一个Administrator帐户作为陷阱帐户,设置超长密码,并去掉所有用户组。(就是在用户组那里设置为空即可。让这个帐号不属于任何用户组—样)同样改名禁用掉Guest用户。
6 _7 F1 U. k8 q& _# r6 S 9 N* k2 ]) W$ @
7、配置帐户锁定策略(在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略,将账户设为“三次登陆无效”,“锁定时间30分钟”,“复位锁定计数设为30分钟”。)
9 j U3 n7 U& ?" ?" ^
2 n7 a" D1 t* c, y1 p8、在安全设置里本地策略-安全选项将
" d7 o" I+ J( ~, y0 O" ?: v网络访问:可匿名访问的共享; + o2 n0 M9 `) J
网络访问:可匿名访问的命名管道;
) A) v/ g. M, m1 z7 C$ @网络访问:可远程访问的注册表路径;
# ~. _& @# p9 H' a! \" Y$ x0 k8 @网络访问:可远程访问的注册表路径和子路径;
" Y' @7 S0 R% Z! m' Q以上四项清空。
* M* I$ I; x j9 ?1 |2 L1 p9 E * Q* c$ c B5 D5 c$ R
9、在安全设置里 本地策略-安全选项 通过终端服务拒绝登陆 加入
+ j0 }6 Y1 u8 w; i" u5 L' d1 C3 c/ _$ n7 O4 t
( u+ e6 {9 K4 A3 ]! V
7 H& P' o, s7 ~' k1 v5 h% h, d0 Q" y& k' `$ r1 I+ q p2 c$ D
以下为引用的内容: ASPNET Guest IUSR_***** IWAM_***** NETWORK SERVICE SQLDebugger |
1 i* S3 a' u9 Z' [. Q: l% Z/ v
/ P( T4 Q2 P% R7 Z. z; l: |6 G(****表示你的机器名,具体查找可以点击 添加用户或组 选 高级 选 立即查找 在底下列出的用户列表里选择. 注意不要添加进user组和administrators组 添加进去以后就没有办法远程登陆了。)
. X; K$ D" {* i, Y
" S" C* l" Z; I10、去掉默认共享,将以下文件存为reg后缀,然后执行导入即可。
, D/ P5 r! l7 B6 H, e4 O( Q1 g7 E0 rWindows Registry Editor Version 5.00
4 k6 e0 ?! }2 V2 _ S8 }$ i: w[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters] 9 w2 w9 `0 `) e
"AutoShareServer"=dword:00000000
" h# Y' ^8 A7 [6 H"AutoSharewks"=dword:00000000
7 _8 x4 L4 u8 _1 {8 ~8 Z3 F0 { ; N2 F$ @/ n# k2 N! b* c q
11、 禁用不需要的和危险的服务,以下列出服务都需要禁用。
$ X1 p/ j7 F- J! UAlerter 发送管理警报和通知 1 y+ ~. B. l: A- U2 F# l* O4 y0 ~
Computer Browser:维护网络计算机更新 5 M# l5 N3 o6 d$ T9 x' e* \+ K
Distributed File System: 局域网管理共享文件
' X6 H \( p3 A {Distributed linktracking client 用于局域网更新连接信息 ' C: m- _5 j5 u# L, E
Error reporting service 发送错误报告 7 G" r7 O, K* e+ q
Remote Procedure Call (RPC) Locator RpcNs*远程过程调用 (RPC)
# W* o& R' f$ n) @" bRemote Registry 远程修改注册表
: }$ {" i, c yRemovable storage 管理可移动媒体、驱动程序和库
: b, T0 X, f: {* d; LRemote Desktop Help Session Manager 远程协助 ' J3 p# \1 A6 x6 I! F' W5 W4 J
Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务
' W; F' z0 U) h1 ZMessenger 消息文件传输服务 9 ~$ d: t+ Z+ u% V( w2 u
Net Logon 域控制器通道管理 # j8 B, D+ X- x, t) U
NTLMSecuritysupportprovide telnet服务和Microsoft Serch用的 2 p- ^8 x: x3 i. p! p, y
PrintSpooler 打印服务 ; H7 X8 v& F. B
telnet telnet服务 7 `3 D: u8 r$ b2 a" W) Z
Workstation 泄漏系统用户名列表
) H8 f; w9 s+ g- ?12、更改本地安全策略的审核策略 ; j& `" V- v4 l% [
账户管理 成功 失败 , M4 n- _; ?' I [) z' ]
登录事件 成功 失败
- C* z/ Y+ D+ t! i; p对象访问 失败
. Q6 q2 ~ b( {策略更改 成功 失败 9 M: a! V ?& g* N2 c
特权使用 失败 $ U8 a% n3 Q$ @5 ^( w
系统事件 成功 失败
0 K& } w) X c! H- V5 U目录服务访问 失败
5 f" B% h" Z* B% `8 I账户登录事件 成功 失败 , j( p2 }% v) s. j1 ]
13、更改有可能会被提权利用的文件运行权限,找到以下文件,将其安全设置里除administrators用户组全部删除,重要的是连system也不要留。
" @2 S( O& O4 C8 l" \2 P* Pnet.exe , L6 |* n! n8 \, U+ x/ o
net1.exe
1 Y( U6 S q$ p9 Q) u9 B6 ocmd.exe + L( ~ [8 s- A6 a7 S* U+ |& ~1 P
tftp.exe
; u( ~3 ]5 q3 ~3 i7 ynetstat.exe 2 T4 n+ f. i" Q: M$ {, c
regedit.exe ( J+ K& _' z b6 p, O6 M c
at.exe
Y' S m9 A8 p3 j3 n; eattrib.exe
1 q0 ^/ J |1 H4 {, A: @- X, ^cacls.exe
- z: {; q+ T5 _$ Oformat.com 5 @8 L# u4 q% Y( C: M
c.exe 特殊文件 有可能在你的计算机上找不到此文件。 $ A! B t: J- Y4 ^
在搜索框里输入 ( M+ X1 `( d7 x1 b' J5 x& ?. X; D
"net.exe","net1.exe","cmd.exe","tftp.exe","netstat.exe","regedit.exe","at.exe","attrib.exe","cacls.exe","format.com","c.exe"
: U3 ]3 v% C+ E6 i点击搜索 然后全选 右键 属性 安全 % M, k8 a: n. [* z/ h0 E$ R
8 C9 m* a/ ^$ I0 ?/ |% g
以上这点是最最重要的一点了,也是最最方便减少被提权和被破坏的可能的防御方法了。 # d1 a: @, _( C& Z' e/ N
14、后备工作,将当前服务器的进程抓图或记录下来,将其保存,方便以后对照查看是否有不明的程序。将当前开放的端口抓图或记录下来,保存,方便以后对照查看是否开放了不明的端口。当然如果你能分辨每一个进程,和端口这一步可以省略。 |