本文是我做伺服器維護的點擊經驗,部份是我根據入侵手段所做的相應配置調整!大部份的內容網上都有,可能有人認為是抄襲,無所謂了,只要對大家有協助就OK了,如果大家對本文有不同的看法,非常歡迎大家與我交流!
還有一點我想說的是,本文內容討論的重點是伺服器安全設定加固,是在有一定安全設定的基礎上進行討論的,並且,對於基礎的內容我在本文最後也列出了標題,只是網上的好文章挺多的,我就不想再費勁寫了!所以,大家看後不要再說一些對於磁碟之類設定沒有做之類的話!
1、修改管理員帳號名稱與來賓帳號名稱
此步驟主要是為了防止入侵者使用預設的系統使用者名稱或者來賓帳號馬上進行暴利破解,在更改完後,不要忘記修改強悍的密碼。
控制台――管理工具――本地安全性原則――本地策略――安全選項
在右側邊欄的最下方,:
screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.style.cursor='hand'; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" onclick="if(!this.resized) {return true;} else {window.open('/upload/2007523155646521.JPG');}" alt="" src="http://www.bkjia.com/uploads/allimg/131016/0614442V8-0.JPG" onload="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" border=0>
2、修改遠端桌面連線連接埠
運行 Regedt32 並轉到此項:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
找到“PortNumber”子項,您會看到值 00000D3D,它是 3389 的十六進位表示形式。使用十六進位數值修改此連接埠號碼,並儲存新值。
小巧門:各位,別一看到是十六進位就頭疼,在修改索引值的時候也同樣支援十進位
3、禁止不常用服務
禁用不必要的服務不但可以降低伺服器的資源佔用減輕負擔,而且可以增強安全性。下面列出了可以禁用的服務:
Application Experience Lookup Service
Automatic Updates
BITS
Computer Browser
DHCP Client
Error Reporting Service
Help and Support
Network Location Awareness
Print Spooler
Remote Registry
Secondary Logon
Server
Smartcard
TCP/IP NetBIOS Helper
Workstation
Windows Audio
Windows Time
Wireless Configuration
4、設定組策略,加強系統安全性原則
設定帳號鎖定閥值為5次無效登入,鎖定時間為30分鐘;
從通過網路訪問此電腦中刪除Everyone組;
在使用者權利指派下,從通過網路訪問此電腦中刪除Power Users和Backup Operators;
為互動登入啟動訊息文本。
啟用 不允許匿名訪問SAM帳號和共用;
啟用 不允許為網路驗證儲存憑據或Passport;
啟用 在下一次密碼變更時不儲存LANMAN雜湊值;
啟用 清除虛擬記憶體分頁檔;
禁止IIS匿名使用者在本地登入;
啟用 互動登入:不顯示上次的使用者名稱;
從檔案分享權限設定中刪除允許匿名登入的DFS$和COMCFG;
禁用活動案頭。
5、強化TCP協議棧
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"SynAttackProtect"=dword:00000001
"EnablePMTUDiscovery"=dword:00000000
"NoNameReleaseOnDemand"=dword:00000001
"EnableDeadGWDetect"=dword:00000000
"KeepAliveTime"=dword:00300000
"PerformRouterDiscovery"=dword:00000000
"TcpMaxConnectResponseRetransmissions"=dword:00000003
"TcpMaxHalfOpen"=dword:00000100
"TcpMaxHalfOpenRetried"=dword:00000080
"TcpMaxPortsExhausted"=dword:00000005
6、加固IIS
進入Windows組件安裝,找到應用程式伺服器,進入詳細資料,勾選ASP.NET後,IIS必須的組件就會被自動選擇,如果你的伺服器需要運行ASP指令碼,那麼還需要進入Internet資訊服務(IIS)-全球資訊網服務下勾選Active Server Pages。完成安裝後,應當在其他邏輯分區上單獨建立一個目錄用來儲存WEB網站程式及資料。
一台WEB伺服器上都運行著多個網站,他們之間可能互不相干,所以為了起到隔離和提高安全性,需要建立一個匿名WEB使用者組,為每一個網站建立一個匿名訪問帳號,將這些匿名帳號添加到之前建立的匿名WEB使用者組中,並在本機電腦策略中禁止此組有本地登入許可權。
最後最佳化IIS6應用程式集區設定:
禁用預設應用程式集區的空閑逾時;
禁用緩衝ISAPI擴充;
將應用程式集區標識從NetworlService改為LocalService;
禁用快速失敗保護;
將關機時間限制從
7、刪除MSSQL無用組件、註冊表及調用的SHELL
將有安全問題的SQL過程刪除.比較全面.一切為了安全!刪除了調用shell,註冊表,COM組件的破壞許可權
use master
EXEC sp_dropextendedproc 'xp_cmdshell'
EXEC sp_dropextendedproc 'Sp_OACreate'
EXEC sp_dropextendedproc 'Sp_OADestroy'
EXEC sp_dropextendedproc 'Sp_OAGetErrorInfo'
EXEC sp_dropextendedproc 'Sp_OAGetProperty'
EXEC sp_dropextendedproc 'Sp_OAMethod'
EXEC sp_dropextendedproc 'Sp_OASetProperty'
EXEC sp_dropextendedproc 'Sp_OAStop'
EXEC sp_dropextendedproc 'Xp_regaddmultistring'
EXEC sp_dropextendedproc 'Xp_regdeletekey'
EXEC sp_dropextendedproc 'Xp_regdeletevalue'
EXEC sp_dropextendedproc 'Xp_regenumvalues'
EXEC sp_dropextendedproc 'Xp_regread'
EXEC sp_dropextendedproc 'Xp_regremovemultistring'
EXEC sp_dropextendedproc 'Xp_regwrite'
drop procedure sp_makewebtask
全部複製到"SQL查詢分析器"
點擊菜單上的--"查詢"--"執行",就會將有安全問題的SQL過程刪除(以上是7i24的正版使用者的支援人員)
更改預設SA空密碼.資料庫連結不要使用SA帳戶.單資料庫單獨設使用帳戶.只給public和db_owner許可權.
資料庫不要放在預設的位置.
SQL不要安裝在PROGRAM FILE目錄下面.
最近的SQL2000補丁是SP4
8、防ping處理
防ping處理建意大家用防火牆一類的軟體,這樣可以大大降低伺服器被攻擊的可能性,為什麼這樣說呢?主要是現在大部份的入侵者都是利用軟體掃一個網段存活的主機,一般判斷主機是否存活就是看ping的通與不通了!
9、禁止(更改)常用DOS命令
找到%windir%/system32下找到cmd.exe、cmd32.exe net.exe net1.exe ipconfig.exe tftp.exe ftp.exe user.exe reg.exe regedit.exe regedt32.exe regsvr32.exe 這些駭客常用的檔案,在“屬性”→“安全”中對他們進行訪問的ACLs使用者進 行定義,諸如只給administrator有權訪問,如果需要防範一些溢出攻擊、以及溢出成功後對這些檔案的非法利用;那麼我們只需要將system使用者 在ACLs中進行拒絕訪問即可。
10、修改server_U預設連接埠(網上有類似的視頻教程及文章,做的比較不錯)
11、關閉不常用連接埠(哪都有)
在TCP/IP屬性――進階――篩選,只開啟一些常用的連接埠就可以了!例如:80 3389 1433 等 ,根據各人需求吧!
12、磁碟(網站目錄)、使用者、IIS使用權限設定(滿大街全是了)
這類的文章和視頻也很多,不過在這裡我想說的是,現在網站很多的文章和視頻在給磁碟基本許可權的時候,都是給的Administrors組許可權,我個人建意大家用Administrator許可權,這樣為了防止提權成功後,入侵者可以完全控制機器!這樣做後,即使入侵成功了,也只有一點點的瀏覽許可權的!
首發:skyjames.cn
http://www.bkjia.com/PHPjc/318324.htmlwww.bkjia.comtruehttp://www.bkjia.com/PHPjc/318324.htmlTechArticle本文是我做伺服器維護的點擊經驗,部份是我根據入侵手段所做的相應配置調整!大部份的內容網上都有,可能有人認為是抄襲,無所謂了...
