WIN2003服务器端安全配置的一点简单经验
2008-02-23 04:57:52来源:互联网 阅读 ()
如下的一些配置主要是 针对 WIN2003和NTFS格式的,而且是提供网络服务的,不是客户端电脑(客户端电脑自己去安装一些防木马间谍病毒或防火墙或其他,注意跟踪目前的较新的反弹式木马技术,简单的木马的隐蔽无非就是注册表、Win.ini、System.ini、Autoexec.bat、Congfig.sys、Winstart.bat、Wininit.ini、启动组等地方,仔细点一般可找出)。
(1) 系统升级、打操作系统补丁,尤其是IIS 6.0补丁、SQL SP3a补丁,甚至IE 6.0补丁也要打。到教科网计算机安全网上下载,也可以自己到微软升级网站或用瑞星的最新版扫描或其他,工具很多。要早点下载下来。其实,服务器端,把不要的东西删除,如Telnet、Wins等一般禁用或删除。不要直接在服务器端运行和访问其他网站(至少可以防止jpeg、vbs病毒等,当然也要打上JPEG漏洞补丁)。基本这些问题就不大了。运行 netstat –an 一目了然。漏洞的通知速度,我倒建议除了微软外,到瑞星网站看看:http://it.rising.com.cn/newSite/Channels/Safety/LatestHole/index.htm
(2) 将FSO、WSH、Ado..Stream、Ditction..、shell.application等禁止(如:Regsvr32 /u scrrun.dll)或修改注册表中名称(推荐后者!)。方法在后面会说明。地球人都知道。
(3) 停掉Guest 帐号、并给guest 加一个异常复杂的密码(反正不用,乱敲一通)。
(4) 把Adm…改名或伪装(比如改为guest6,那么最好同时创建10来个如guest1――guest10等不同的帐号,但权限都极低,密码超级复杂,在帐号安全策略中,甚至都不允许他们进行本极登录,干扰视线),创建陷阱帐号(假的Administrator帐号,实际权限非常低),并在试图尝试的login scripts上做点手脚。当然,真正的帐号密码必须设置特殊字符和足够强度。
(5) 关闭不必要的端口,在\\system32\\drivers\\etc\\services中有列表。网上邻居>属性>本地连接>属性>internet 协议(tcp/ip)>属性>高级>选项>tcp/ip筛选>属性 打开tcp/ip筛选,添加需要的tcp,udp,协议即可。
(6) 如果懒惰的话,最简单的方法是启用WIN2003的自身带的网络防火墙,并进行端口的改变。功能还可以!Internet 连接防火墙可以有效地拦截对Windows 2003服务器的非法入侵,防止非法远程主机对服务器的扫描,提高Windows 2003服务器的安全性。同时,也可以有效拦截利用操作系统漏洞进行端口攻击的病毒,如冲击波等蠕虫病毒。如果在用Windows 2003构造的虚拟路由器上启用此防火墙功能,能够对整个内部网络起到很好的保护作用。
网络->本地链接状态->高级->通过限制或阻止….来保护我的计算机,选中,并进行设置。剩下的就简单了。开必要的端口,如80、25、110等,要注意做安全日志。上面也有设置。但最好手工修改注册表。比如,把3389注册表中修改为××××端口,然后再通过防火墙映射为外部端口××××,内部端口××××。这样基本可以了。注册表中至少要修改4个地方,不过主要与PortNumber这个参数值有关,也方便找。我等会做个reg文件,运行一下就好了。
远程桌面端口:3389->××××->××××(这个肯定是要改变的)
SQL SERVER:1434->×××× 同时隐藏SQL 实例
FTP端口21->××××
(7) 打开审核策略!这个也非常重要,必须开启。当有人尝试入侵时,都会被安全审核记录下来。比如下表:
策略 设置
审核系统登陆事件 成功,失败
审核帐户管理 成功,失败
审核登陆事件 成功,失败
审核对象访问 成功
审核策略更改 成功,失败
审核特权使用 成功,失败
审核系统事件 成功,失败
(8)禁止建立空连接。可视化修改是这样:在管理工具->本地安全策略->选择本地策略->选择安全选项->网络访问:不允许SAM帐号和共享的匿名枚举(改成已启用)!
或者修改注册表来禁止建立空连接(等同上面):
Local_Machine\\System\\CurrentControlSet\\Control\\LSA-RestrictAnonymous 的值改成”1”即
可。
另外,本地安全策略一定要仔细看,有些功能要开启。反正,服务器端只运行必要的就可以了。
(9)关闭默认共享,编写一个deletenetshare.bat文件(如下表)
net share ipc$ /delete
net share admin$ /delete
net share C$ /delete
net share D$ /delete
net share E$ /delete
net share F$ /delete
net share print$ /delete
编写一个deletenetshare.reg 文件,把上面的bat写入启动项:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices]
"deletenetshare"="c:\\\\deletenetshare.bat"
[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run]
"deletenetshare"="c:\\\\deletenetshare.bat"
(10)设置system32/cmd.exe访问权限!这个比较容易,自己尝试一下吧。
(11)模糊服务器的Banner信息,如修改IIS的Banner实现操作系统版本的隐藏,一般把IIS->APACHE。这个也比较容易,但高手还是容易看出来的。方法如下:利用资源修改工具来修改DLL,如exescope、ultraedit等(另外一种方法更专业,我在下面会讲)。存放IIS BANNER 的DLL 文件都是放在C:\\WINDOWS\\SYSTEM32\\INETSRV\\ 目录里,在IIS 5.0中的对应关系如下:
WEB 是:C:\\WINNT\\SYSTEM32\\INETSRV\\W3SVC.DLL
FTP 是: C:\\WINNT\\SYSTEM32\\INETSRV\\FTPSVC2.DLL
SMTP 是:C:\\WINNT\\SYSTEM32\\INETSRV\\SMTPSVC.DLL
例如用UltraEdit打开,查找Microsoft-IIS/5.0,修改为:Apache/1.3.29(Unix)或其它。
注意的地方就是:
1 在修改的时候请停止IIS 的服务,可以用iisreset /stop (当然,iisreset /start是启动)。
2 由于2000 系统后台的文件保护机制的作用,当系统一旦发现重要的DLL 文件被修改后就会尝试用%SYSTEMROOT%\\system32\\dllcache 目录下的备份文件来进行恢复,所以在修改前我们还需要事先删除或改名:%SYSTEMROOT%\\system32\\dllcache 目录下的同名文件。完成后WINDOWS 会出来一个对话框:系统文件被更改需要安装光盘恢复,不用理会点取消就好了。不过,想要完全隐藏还是不太现实,因为IIS 和APACHE 返回的代码格式还是相差较大的。
标签:
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有
IDC资讯: 主机资讯 注册资讯 托管资讯 vps资讯 网站建设
网站运营: 建站经验 策划盈利 搜索优化 网站推广 免费资源
网络编程: Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它
服务器技术: Web服务器 Ftp服务器 Mail服务器 Dns服务器 安全防护
软件技巧: 其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷
网页制作: FrontPages Dreamweaver Javascript css photoshop fireworks Flash