伺服器安全配置講座[轉]

來源:互聯網
上載者:User
伺服器|安全

第一.在安裝系統的時候首先需要把磁碟分割全部統一用NTFS格式

  系統安裝好以後,首先更新系統所有補丁,其次是打好ARP補丁,因為ARP漏洞在微軟站上不能下載,駭客可通過此漏洞進行大批量的掛馬

  第二,修改硬碟許可權.

  NTFS系統使用權限設定 在使用之前將每個硬碟根加上 Administrators 使用者為全部許可權(可選加入SYSTEM使用者)刪除其它使用者,

  進入系統硬碟:許可權如下

  C:\WINDOWS Administrators SYSTEM使用者全部許可權 Users 使用者預設許可權不作修改

  其它目錄刪除Everyone使用者,切記C:\Documents and Settings下All Users\Default User目錄及其子目錄

  如C:\Documents and Settings\All Users\Application Data 目錄預設配置保留了Everyone使用者權限

  C:\WINDOWS 目錄下面的許可權也得注意,如 C:\WINDOWS\PCHealth、C:\windows\Installer也是保留了Everyone許可權.

  刪除C:\WINDOWS\Web\printers目錄,此目錄的存在會造成IIS裡加入一個.printers的副檔名,可溢出攻擊

  預設IIS錯誤頁面已基本上沒多少人使用了。建議刪除C:\WINDOWS\Help\iisHelp目錄

  刪除C:\WINDOWS\system32\inetsrv\iisadmpwd,此目錄為管理IIS密碼之用,如一些因密碼不同步造成500

  錯誤的時候使用 OWA 或 Iisadmpwd 修改同步密碼,但在這裡可以刪掉,下面講到的設定將會杜絕因系統

  設定造成的密碼不同步問題。

  開啟C:\Windows 搜尋

  net.exe;cmd.exe;tftp.exe;netstat.exe;regedit.exe;at.exe;attrib.exe;cacls.exe;format.com;

  regsvr32.exe;xcopy.exe;wscript.exe;cscript.exe;ftp.exe;telnet.exe;arp.exe;edlin.exe;

  ping.exe;route.exe;finger.exe;posix.exe;rsh.exe;atsvc.exe;qbasic.exe;runonce.exe;syskey.exe

  修改許可權,刪除所有的使用者只儲存Administrators 和SYSTEM為所有許可權

  這些大家只要知道步驟 具體的操作我在結束後給大家相應的文檔和路徑去按照步驟來設定

  這些使用權限設定好以後 然後開啟本地安全性原則

  設定審核許可權 更改GUSET帳戶名稱字 並設定個很複雜的密碼

  本地安全性原則配置

  開始 > 程式 > 管理工具 > 本地安全性原則

  賬戶策略 > 密碼原則 > 密碼最短使用到期日 改成0天[即密碼不到期,上面我講到不會造成IIS密碼不同步]

  賬戶策略 > 賬戶鎖定策略 > 賬戶鎖定閾值 5 次 賬戶鎖定時間 10分鐘 [個人推薦配置]

  本地策略 > 稽核原則 >

  賬戶管理 成功 失敗

  登入事件 成功 失敗

  對象訪問 失敗

  策略更改 成功 失敗

  特權使用 失敗

  系統事件 成功 失敗

  目錄服務訪問 失敗

  賬戶登入事件 成功 失敗

  地策略 > 安全選項 > 清除虛擬記憶體分頁檔 更改為"已啟用"

  > 不顯示上次的使用者名稱 更改為"已啟用"

  > 不需要按CTRL+ALT+DEL 更改為"已啟用"

  > 不允許 SAM 賬戶的匿名枚舉 更改為"已啟用"

  > 不允許 SAM 賬戶和共用的匿名枚舉 更改為"已啟用"

  > 重新命名來賓賬戶 更改成一個複雜的賬戶名

  > 重新命名系統管理員帳號 更改一個自己用的帳號

  這些都是在本地安全裡設定的

  第三 ,關閉不需要的服務

  IPSEC Services

  Print Spooler

  TCP/IP NetBIOS Helper

  這3個需要停止其服務

  第四開啟註冊表 修改遠程連接埠 關閉預設共用等

  關閉445連接埠

  HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\netBT\Parameters

  建立 “DWORD值”值名為 “SMBDeviceEnabled” 資料為預設值“0”

  禁止建立空串連

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

  建立 “DWORD值”值名為 “RestrictAnonymous” 資料值為“1” [2003預設為1]

  禁止系統自動啟動伺服器共用

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

  建立 “DWORD值”值名為 “AutoShareServer” 資料值為“0”

  禁止系統自動啟動管理共用

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

  建立 “DWORD值”值名為 “AutoShareWks” 資料值為“0”

  通過修改註冊表防止小規模DDOS攻擊

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

  建立 “DWORD值”值名為 “SynAttackProtect” 資料值為“1”

  修改連接埠沒列舉出來 這個可以去搜尋一下

  然後卸載不安全的組件

  主要是駭客用於提權的組件

  這個只需要儲存一個BAT檔案放在啟動裡面即可

  內容為 :

  regsvr32/u C:\WINDOWS\System32\wshom.ocx

  del C:\WINDOWS\System32\wshom.ocx

  regsvr32/u C:\WINDOWS\system32\shell32.dll

  del C:\WINDOWS\system32\shell32.dll

  然後在網卡那裡只開放自己所需要的連接埠

  這樣伺服器基本安全已經設定好

  然後安裝好殺毒軟體

  推薦用MACFFE 或

  NOD32

  MACFFE的殺毒能力不強 但防禦強 NOD32殺毒強

  並設定好自動更新

  然後我們在來看IIS和網站的許可權

  因為很多駭客喜歡用網站漏洞進入提權

  那麼IIS安全也很重要

  首先 更改IIS來賓帳號的名字

  其次 為他設定個複雜的密碼

  第三 在放程式的磁碟裡 把目錄建立兩層

  這樣每個站的程式獨立分開的

  那麼剛才我們設定了卸載許可權 他就無法提到ADMINISTRATR許可權了

  這樣即使一個站有漏洞 也不能影響到其他的站

  然後我們安裝好SQL以後在使用者裡面會出現個SQLDUBEG這個使用者 把他刪除

  最後開啟防火牆,注意開放自己所需要的連接埠 即可,如果你伺服器不只放網站 那記得開放所需要的連接埠

 



相關文章

Cloud Intelligence Leading the Digital Future

Alibaba Cloud ACtivate Online Conference, Nov. 20th & 21st, 2019 (UTC+08)

Register Now >

Starter Package

SSD Cloud server and data transfer for only $2.50 a month

Get Started >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。