终级Win2003服务器安全配置篇(一)

标签：windows2003学习,windows2003知识,http://www.quxue6.com 终级Win2003服务器安全配置篇(一),
　　审核目录服务访问　　　　失败
　　审核特权使用　　　　　　失败
　　审核系统事件　　　成功　失败
　　审核账户登录事件　成功　失败
　　审核账户管理　　　成功　失败
　　B、本地策略——>用户权限分配
　　关闭系统：只有Administrators组、其它全部删除。  
　　通过终端服务允许登陆：只加入Administrators,Remote Desktop Users组，其他全部删除
  运行 gpedit.msc 计算机配置 > 管理模板 > 系统 显示“关闭事件跟踪程序” 更改为已禁用
  用户管理，建立另一个备用管理员账号，防止特殊情况发生。安装有终端服务与SQL服务的服务器停用TsInternetUser, sQLDebugger这两   个账号
　　C、本地策略——>安全选项
　　交互式登陆：不显示上次的用户名　　　　　　　启用
　　网络访问：不允许SAM帐户和共享的匿名枚举　   启用
　　网络访问：不允许为网络身份验证储存凭证　　　启用
　　网络访问：可匿名访问的共享　　　　　　　　　全部删除
　　网络访问：可匿名访问的命　　　　　　　　　　全部删除
　　网络访问：可远程访问的注册表路径　　　　　　全部删除  
　　网络访问：可远程访问的注册表路径和子路径　　全部删除  
　　帐户：重命名来宾帐户　　　　　　　　　　　　重命名一个帐户  
　　帐户：重命名系统管理员帐户　　　　　　　　　重命名一个帐户
7.禁止dump file的产生
dump文件在系统崩溃和蓝屏的时候是一份很有用的查找问题的资料。然而，它也能够给黑客提供一些敏感
信息比如一些应用程序的密码等。控制面板>系统属性>高级>启动和故障恢复把 写入调试信息 改成无。
关闭华医生Dr.Watson
在开始-运行中输入“drwtsn32”，或者开始-程序-附件-系统工具-系统信息-工具-Dr Watson，调出系统
里的华医生Dr.Watson ，只保留“转储全部线程上下文”选项，否则一旦程序出错，硬盘会读很久，并占
用大量空间。如果以前有此情况，请查找user.dmp文件，删除后可节省几十MB空间。.

在命令行运行drwtsn32 -i 可以直接关闭华医生,普通用户没什么用处
8.禁用不必要的服务 开始-运行-services.msc
  TCP/IPNetBIOS Helper提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持而使用户能够共享
  文件、打印和登录到网络
  Server支持此计算机通过网络的文件、打印、和命名管道共享
　　Computer Browser 维护网络上计算机的最新列表以及提供这个列表  
  Task scheduler 允许程序在指定时间运行  
  Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息  
　　Distributed File System: 局域网管理共享文件，不需要可禁用  
　　Distributed linktracking client：用于局域网更新连接信息，不需要可禁用  
　　Error reporting service：禁止发送错误报告  
　　Microsoft Serch：提供快速的单词搜索，建议禁用****不禁用移动*.msc文件后启动系统时会报错。禁用后没影响  
　　NTLMSecuritysupportprovide：telnet服务和Microsoft Serch用的，不需要可禁用  
　　PrintSpooler：如果没有打印机可禁用 & www.quxue6.com nbsp;
　　Remote Registry：禁止远程修改注册表  
　　Remote Desktop Help Session Manager：禁止远程协助  
  Workstation   关闭的话远程NET命令列不出用户组
　　以上是在Windows Server 2003 系统上面默认启动的服务中禁用的，默认禁用的服务如没特别需要的话不要启动。
看下我开了些什么服务,大家可以参考设置一下.如果把不该禁用的服务禁了，事件查看器可能会出现一些报错.
9.设置IP筛选，只开放你所要用到的端口，这样可以防止别人的木马程序连接，因为任何一个网络程序要和你服务器通信，都要通过端口。查看本机所开的端口是用netstat -na 命令,这儿我们开放了80 1989 21 1433(sqlserver),5631(pcanywhere)和ip6端口,这样设置后，一般的后门程序就无法连接到本机了，注意要重新启动了才有效果
附常用服务的各个端口：
IIS 80
FTP 21 启用后需要FTP客户端关闭PSAV才能连接
SMTP 25
POP3 110
MS SQL 1433
Mysql 3306
PcAnywhere 5631
Windows远程客户端 3389
10.修改相关注册表，个人感觉这样的效果不大。没去修改，仅供参考：
A、防止SYN洪水攻击  
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters  
新建DWORD值，名为SynAttackProtect，值为2  
新建EnablePMTUDiscovery REG_DWORD 0  
新建NoNameReleaseOnDemand REG_DWORD 1  
新建EnableDeadGWDetect REG_DWORD 0  
新建KeepAliveTime REG_DWORD 300,000  
新建PerformRouterDiscovery REG_DWORD 0  
新建EnableICMPRedirects REG_DWORD 03. 禁止响应ICMP路由通告报文  
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface  
新建DWORD值，名为PerformRouterDiscovery 值为0  
B、防止ICMP重定向报文的攻击  
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters  
将EnableICMPRedirects 值设为0  
C、不支持IGMP协议  
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters  
新建DWORD值，名为IGMPLevel 值为0
D、禁止IPC空连接：
cracker可以利用net use命令建立空连接，进而入侵，还有net view，nbtstat这些都是基于空连接的，禁止空连接就好了。
Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 把这个值改成”1”即可。
E、更改TTL值
cracker可以根据ping回的TTL值来大致判断你的操作系统，如：  
TTL=107(WINNT);  
TTL=108(win2000);  
TTL=127或128(win9x);  
TTL=240或241(linux);  
TTL=252(solaris);  
TTL=240(Irix);  
实际上你可以自己改的：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters：DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)改成一个莫名其妙的数字如250
11.把系统Administrator账号改名,我的已经改成了 中央人民政府 。可以把硬盘的其它分区或重要目录设置成仅这个用户可以访问。这样即使入侵者把自己提升成了超级管理员组成员。也无法访问这些地方。 将Administrators组改名为其他，这样即使系统出现了溢出漏洞，但系 www.quxue6.com 统盘下的net.exe程序已被转移删除，想加入管理员组基本难以实现。何况Administrators组已被改名，用那个net localgroup administrators xxx /add，不知道管理员组的名字，会提示指定的本地组不存在。这样即使net命令可用也加不上了。
最后给你的管理员帐户设定一个非常复杂的密码.
设置本地用户帐号，把管理员和来宾帐号重新命名，禁止不必用的帐号，最好还要建立一个管理员备用帐号,以防万一(提示：养成经常看一看本地用户帐号属性的习惯，以防后门帐号)
12.控制面板的设置：
修改*.cpl(控制面板文件)的权限为只有管理员可以访问
移动所有*.msc（管理控制台文件)到你的一个固定目录，并设置这个目录的访问权限(只有管理员可以防问，比如上面11中说的，把这个目录加上只有中央人民政府这个用户可以访问.这样就是别人进入你服务器也没办法操作,还有就是把net.exe改名或者移动.搜索net.exe;net1.exe只给管理员可以访问的权限
设置arp.exe;attrib.exe;cmd.exe;format.com;ftp.exe;tftp.exe;net.exe;net1.exe;netstat.exe;ping.exe;regedit.exe;regsvr32.exe;telnet.exe;xcopy.exe;at.exe的权限只有管理员权限可以访问(注意net1.exe与net同样作用)搜索这些文件时注意选择其它高级选项，勾选搜索隐藏的文件和文件夹。
13.卸载wscript.shell对象(强烈建议卸载.命令行执行组件.可以通过上传cmd.exe到网站目录下或直接调用服务器上的从而运行相关命令)
在cmd下运行：regsvr32 WSHom.Ocx   /u
  卸载FSO对象(不建议卸载.文件操作组件.一般虚拟主机服务提供商都开放着,禁用后一些asp程序不能正常运行)

上一页  [1] [2] [3]  下一页

，终级Win2003服务器安全配置篇(一)