Windows 2003 Server安全配置完整篇(3)

來源:互聯網
上載者:User

四、磁碟使用權限設定

C盤只給administrators和system許可權,其他的許可權不給,其他的盤也可以這樣設定,這裡給的system許可權也不一定需要給,只是由於某些第三方應用程式是以服務形式啟動的,需要加上這個使用者,否則造成啟動不了。

Windows目錄要加上給users的預設許可權,否則ASP和ASPX等應用程式就無法運行。以前有朋友單獨設定Instsrv和temp等目錄許可權,其實沒有這個必要的。

另外在c:/Documents and Settings/這裡相當重要,後面的目錄裡的許可權根本不會繼承從前的設定,如果僅僅只是設定了C盤給administrators許可權,而在All Users/Application Data目錄下會 出現everyone使用者有完全控制許可權,這樣入侵這可以跳轉到這個目錄,寫入指令碼或只檔案,再結合其他漏洞來提升許可權;譬如利用serv-u的本地溢出提升許可權,或系統遺漏有補丁,資料庫的弱點,甚至社交工程學等等N多方法,從前不是有牛人發颮說:"只要給我一個webshell,我就能拿到system",這也的確是有可能的。在用做web/ftp伺服器的系統裡,建議是將這些目錄都設定的鎖死。其他每個盤的目錄都按照這樣設定,每個盤都只給adinistrators許可權。

另外,還將:

net.exe NET命令

cmd.exe

tftp.exe

netstat.exe

regedit.exe

at.exe

attrib.exe

cacls.exe  ACL使用者組使用權限設定,此命令可以在NTFS下設定任何檔案夾的任何許可權!

format.exe

大家都知道ASP木馬吧,有個CMD運行這個的,這些如果都可以在CMD下運行..55,,估計別的沒啥,format下估計就哭料~~~(:這些檔案都設定只允許administrator訪問。

五、防火牆、殺毒軟體的安裝

關於這個東西的安裝其實我也說不來,反正安裝什麼的都有,建議使用卡巴,賣咖啡。用系統內建的防火牆,這個我不專業,不說了!大家湊合!

六、SQL2000 SERV-U FTP安全設定

SQL安全方面

1、System Administrators 角色最好不要超過兩個

2、如果是在本機最好將身分識別驗證配置為Win登陸

3、不要使用Sa賬戶,為其配置一個超級複雜的密碼

4、刪除以下的擴充預存程序格式為:

use master

sp_dropextendedproc '擴充預存程序名'

xp_cmdshell:是進入作業系統的最佳捷徑,刪除

訪問註冊表的預存程序,刪除

Xp_regaddmultistringXp_regdeletekeyXp_regdeletevalueXp_regenumvalues

Xp_regread Xp_regwrite Xp_regremovemultistring

OLE自動預存程序,不需要,刪除

Sp_OACreate Sp_OADestroySp_OAGetErrorInfoSp_OAGetProperty

Sp_OAMethodSp_OASetPropertySp_OAStop

5、隱藏 SQL Server、更改預設的1433連接埠。

右擊執行個體選屬性-常規-網路設定中選擇TCP/IP協議的屬性,選擇隱藏 SQL Server 執行個體,並改原預設的1433連接埠。

serv-u的幾點常規安全需要設定下:

選中"Block "FTP_bounce"attack and FXP"。什麼是FXP呢?通常,當使用FTP協議進行檔案傳輸時,用戶端首先向FTP伺服器發出一個"PORT"命令,該命令中包含此使用者的IP地址和將被用來進行資料轉送的連接埠號碼,伺服器收到後,利用命令所提供的使用者地址資訊建立與使用者的串連。大多數情況下,上述過程不會出現任何問題,但當用戶端是一名惡意使用者時,可能會通過在PORT命令中加入特定的地址資訊,使FTP伺服器與其它非用戶端的機器建立串連。雖然這名惡意使用者可能本身無權直接存取某一特定機器,但是如果FTP伺服器有權訪問該機器的話,那麼惡意使用者就可以通過FTP伺服器作為中介,仍然能夠最終實現與目標伺服器的串連。這就是FXP,也稱跨伺服器攻擊。選中後就可以防止發生此種情況。

七、IIS安全設定

IIS的安全:

1、不使用預設的Web網站,如果使用也要將IIS目錄與系統磁碟分開。

2、刪除IIS預設建立的Inetpub目錄(在安裝系統的盤上)。

3、刪除系統硬碟下的虛擬目錄,如:_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。

4、刪除不必要的IIS副檔名映射。

按右鍵“預設Web網站→屬性→主目錄→配置”,開啟應用程式視窗,去掉不必要的應用程式對應。主要為.shtml、.shtm、 .stm。

5、更改IIS日誌的路徑

按右鍵“預設Web網站→屬性-網站-在啟用日誌記錄下點擊屬性

6、如果使用的是2000可以使用iislockdown來保護IIS,在2003啟動並執行IE6.0的版本不需要。

八、其它

1、系統升級、打作業系統補丁,尤其是IIS 6.0補丁、SQL SP3a補丁,甚至IE 6.0補丁也要打。同時及時跟蹤最新漏洞補丁;

2、停掉Guest 帳號、並給guest 加一個異常複雜的密碼,把Administrator改名或偽裝!

 



相關文章

Beyond APAC's No.1 Cloud

19.6% IaaS Market Share in Asia Pacific - Gartner IT Service report, 2018

Learn more >

Apsara Conference 2019

The Rise of Data Intelligence, September 25th - 27th, Hangzhou, China

Learn more >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。