伺服器安全配置講座[轉]

伺服器|安全

第一.在安裝系統的時候首先需要把磁碟分割全部統一用NTFS格式

　　系統安裝好以後,首先更新系統所有補丁,其次是打好ARP補丁,因為ARP漏洞在微軟站上不能下載,駭客可通過此漏洞進行大批量的掛馬

　　第二,修改硬碟許可權.

　　NTFS系統使用權限設定 在使用之前將每個硬碟根加上 Administrators 使用者為全部許可權(可選加入SYSTEM使用者)刪除其它使用者，

　　進入系統硬碟:許可權如下

　　C:\WINDOWS Administrators SYSTEM使用者全部許可權 Users 使用者預設許可權不作修改

　　其它目錄刪除Everyone使用者，切記C:\Documents and Settings下All Users\Default User目錄及其子目錄

　　如C:\Documents and Settings\All Users\Application Data 目錄預設配置保留了Everyone使用者權限

　　C:\WINDOWS 目錄下面的許可權也得注意,如 C:\WINDOWS\PCHealth、C:\windows\Installer也是保留了Everyone許可權.

　　刪除C:\WINDOWS\Web\printers目錄，此目錄的存在會造成IIS裡加入一個.printers的副檔名，可溢出攻擊

　　預設IIS錯誤頁面已基本上沒多少人使用了。建議刪除C:\WINDOWS\Help\iisHelp目錄

　　刪除C:\WINDOWS\system32\inetsrv\iisadmpwd，此目錄為管理IIS密碼之用，如一些因密碼不同步造成500

　　錯誤的時候使用 OWA 或 Iisadmpwd 修改同步密碼，但在這裡可以刪掉，下面講到的設定將會杜絕因系統

　　設定造成的密碼不同步問題。

　　開啟C:\Windows 搜尋

　　net.exe;cmd.exe;tftp.exe;netstat.exe;regedit.exe;at.exe;attrib.exe;cacls.exe;format.com;

　　regsvr32.exe;xcopy.exe;wscript.exe;cscript.exe;ftp.exe;telnet.exe;arp.exe;edlin.exe;

　　ping.exe;route.exe;finger.exe;posix.exe;rsh.exe;atsvc.exe;qbasic.exe;runonce.exe;syskey.exe

　　修改許可權，刪除所有的使用者只儲存Administrators 和SYSTEM為所有許可權

　　這些大家只要知道步驟 具體的操作我在結束後給大家相應的文檔和路徑去按照步驟來設定

　　這些使用權限設定好以後 然後開啟本地安全性原則

　　設定審核許可權 更改GUSET帳戶名稱字 並設定個很複雜的密碼

　　本地安全性原則配置

　　開始 > 程式 > 管理工具 > 本地安全性原則

　　賬戶策略 > 密碼原則 > 密碼最短使用到期日 改成0天[即密碼不到期，上面我講到不會造成IIS密碼不同步]

　　賬戶策略 > 賬戶鎖定策略 > 賬戶鎖定閾值 5 次 賬戶鎖定時間 10分鐘 [個人推薦配置]

　　本地策略 > 稽核原則 >

　　賬戶管理 成功 失敗

　　登入事件 成功 失敗

　　對象訪問 失敗

　　策略更改 成功 失敗

　　特權使用 失敗

　　系統事件 成功 失敗

　　目錄服務訪問 失敗

　　賬戶登入事件 成功 失敗

　　地策略 > 安全選項 > 清除虛擬記憶體分頁檔 更改為"已啟用"

　　> 不顯示上次的使用者名稱 更改為"已啟用"

　　> 不需要按CTRL+ALT+DEL 更改為"已啟用"

　　> 不允許 SAM 賬戶的匿名枚舉 更改為"已啟用"

　　> 不允許 SAM 賬戶和共用的匿名枚舉 更改為"已啟用"

　　> 重新命名來賓賬戶 更改成一個複雜的賬戶名

　　> 重新命名系統管理員帳號 更改一個自己用的帳號

　　這些都是在本地安全裡設定的

　　第三 ,關閉不需要的服務

　　IPSEC Services

　　Print Spooler

　　TCP/IP NetBIOS Helper

　　這3個需要停止其服務

　　第四開啟註冊表 修改遠程連接埠 關閉預設共用等

　　關閉445連接埠

　　HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\netBT\Parameters

　　建立 “DWORD值”值名為 “SMBDeviceEnabled” 資料為預設值“0”

　　禁止建立空串連

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

　　建立 “DWORD值”值名為 “RestrictAnonymous” 資料值為“1” [2003預設為1]

　　禁止系統自動啟動伺服器共用

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

　　建立 “DWORD值”值名為 “AutoShareServer” 資料值為“0”

　　禁止系統自動啟動管理共用

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

　　建立 “DWORD值”值名為 “AutoShareWks” 資料值為“0”

　　通過修改註冊表防止小規模DDOS攻擊

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

　　建立 “DWORD值”值名為 “SynAttackProtect” 資料值為“1”

　　修改連接埠沒列舉出來 這個可以去搜尋一下

　　然後卸載不安全的組件

　　主要是駭客用於提權的組件

　　這個只需要儲存一個BAT檔案放在啟動裡面即可

　　內容為 :

　　regsvr32/u C:\WINDOWS\System32\wshom.ocx

　　del C:\WINDOWS\System32\wshom.ocx

　　regsvr32/u C:\WINDOWS\system32\shell32.dll

　　del C:\WINDOWS\system32\shell32.dll

　　然後在網卡那裡只開放自己所需要的連接埠

　　這樣伺服器基本安全已經設定好

　　然後安裝好殺毒軟體

　　推薦用MACFFE 或

　　NOD32

　　MACFFE的殺毒能力不強 但防禦強 NOD32殺毒強

　　並設定好自動更新

　　然後我們在來看IIS和網站的許可權

　　因為很多駭客喜歡用網站漏洞進入提權

　　那麼IIS安全也很重要

　　首先 更改IIS來賓帳號的名字

　　其次 為他設定個複雜的密碼

　　第三 在放程式的磁碟裡 把目錄建立兩層

　　這樣每個站的程式獨立分開的

　　那麼剛才我們設定了卸載許可權 他就無法提到ADMINISTRATR許可權了

　　這樣即使一個站有漏洞 也不能影響到其他的站

　　然後我們安裝好SQL以後在使用者裡面會出現個SQLDUBEG這個使用者 把他刪除

　　最後開啟防火牆,注意開放自己所需要的連接埠 即可,如果你伺服器不只放網站 那記得開放所需要的連接埠