網站伺服器的安全,除了需要去安全廠家提供的補丁,更重要的是要去設定一些常見的安全問題,這些可以抵擋一些菜鳥用工具的攻擊。
基本安全設定
一、調整測試環境(設定解析度,IP地址等工作,以便進行伺服器設定。在接入網路前,應該先關閉DCOM元件服務,安裝驅動程式)
二、設定管理員。用“管理您的伺服器”進行設定管理員嚮導,將所需的服務功能全部配置好,比如IIS。
三、設定IME,以便以後維護輸入漢字所需。
四、如果在安裝系統前只分了系統區,現在可以將其它區分出來了。
為了提高安全性,伺服器的檔案系統格式一定要劃分成NTFS(新技術檔案系統)格式,它比FAT16、FAT32的安全性、空間利用率都大大的提高,我們可以通過它來設定檔的安全性,磁碟配額、EPS檔案加密等。如果你已經分成FAT32的格式了,可以用CONVERT 盤符 /FS:NTFS /V 來把FAT32轉換成NTFS格式。
五、設定檔案夾選項,以方便檔案的設定。比如顯示系統檔案和顯示隱藏檔案。
六、設定虛擬記憶體。不要把虛擬記憶體放在C盤。可以把它移到其他盤。一來節省寶貴的系統硬碟空間,二來減少C盤讀寫次數。
七、設定電源管理。伺服器當然不能空間XX分鐘後關閉硬碟或者自動休眠了,對吧?
八、系統服務最佳化設定。系統預設狀態下很多服務是沒有必要的。可以根據你提供的服務來設定系統服務。甚至還有些服務會影響到系統的安全性。禁用不必要的服務,提高安全性和系統效率:
Computer Browser 維護網路上電腦的最新列表以及提供這個列表
Task scheduler 允許程式在指定時間運行
Routing and Remote Access 在區域網路以及廣域網路環境中為企業提供路由服務
Removable storage 管理抽取式媒體、驅動程式和庫
Remote Registry Service 允許遠端登錄操作
Print Spooler 將檔案載入到記憶體中以便以後列印。要用印表機的朋友不能禁用這項
IPSEC Policy Agent 管理IP安全性原則以及啟動ISAKMP/OakleyIKE)和IP安全驅動程式
Distributed Link Tracking Client 當檔案在網路域的NTFS卷中移動時發送通知
Com+ Event System 提供事件的自動發布到訂閱COM組件
Alerter 通知選定的使用者和電腦管理警報
Error Reporting Service 收集、儲存和向 Microsoft 報告異常應用程式
Messenger 傳輸用戶端和伺服器之間的 NET SEND 和 警報器服務訊息
Telnet 允許遠端使用者登入到此電腦並運行程式
九、更改終端服務連接埠及安全設定。系統預設的終端服務連接埠為3389,用這個服務可以很方便地遠端管理伺服器。就是你電腦裡的“遠端桌面連線”。如果你沒有找到這個功能,也可以用http://www.xtit.net/d
為了避免此連接埠遭到一些駭客軟體的掃描和暴力密碼破解攻擊,導致你無法通過這個連接埠來遠端管理伺服器,把它改了吧。修改這個連接埠,是需要重啟伺服器才會生效的。切記改了3389後不要立即重啟,你得開放了對應連接埠後再重啟,否則你遠程就連不上了,得跑機房了。
改遠端桌面服務連接埠的方法:
步驟1:開啟登錄編輯程式。
開始——運行——regedit
步驟2:尋找註冊表裡的3389預設連接埠。
HKEY_LOCAL_MACHINE//SYSTEM//CurrentControlSet//Control//Terminal Server//WinStations//RDP-Tcp
步驟3:我們找到rdp-tcp然後在註冊表的右邊尋找PortNumber,大家注意!在PortNumber後面有3389的一串數字。
然後在點PortNumber(右鍵)這個時候會出來一個提示框----點修改----點10進位,修改3389為你想要的數字比如3721什麼的----再點16進位(系統會自動轉換)----最後確定!
還有一個索引值:
HKEY_LOCAL_MACHINE//SYSTEM//CurrentControlSet//Control//TerminalServer //WinStations這裡應該有一個或多個類似RDP-TCP的子健(取決於你建立了多少個RDP服務),一樣改掉PortNumber。
就這樣連接埠就修改成功了。
對於日誌的問題,其實Terminal Service自己是有日誌功能的,在管理工具中開啟遠端控制服務配置(Terminal Service Configration),點擊“串連”,右擊你想配置的RDP服務(比如RDP-TCP(Microsoft RDP5.0)),選中書籤“許可權”,點擊左下角的“進階”,看見上面那個“審核”了嗎?我們來加入一個Everyone組,這代表所有的使用者,然後審核他的“串連”、“斷開”、“登出”的成功和“登陸”的功能和失敗就足夠了,審核太多了反而不好,這個審核試記錄在安全日誌中的,可以從“管理工具”->“日誌查看器”中查看。
現在什麼人什麼時候登陸都一清二楚了。
十、如果是更換伺服器,那麼必需將老伺服器上的檔案COPY到新伺服器上來。在COPY完成後,需要檢查檔案裡是否已經包含了病毒和木馬。
十一、帳戶安全設定
將Guest組改名。
將系統預設的系統管理員帳戶Administrator改名,然後再建立一個陷阱帳戶:administrator,把它偽裝得跟系統預設系統管理員帳戶一樣,但把它分配到Guest組裡。
Guest帳戶禁用,改成一個複雜的名稱並加上密碼,將Guest使用者改名禁用並且更改一個複雜的密碼,加設帳戶錯誤登陸鎖定的次數,設定不讓系統顯示上次登入的使用者名稱。
十二、初步全盤許可權的設定
對於Windows Server來說,磁碟許可權是安全問題裡最重要的一環。那麼我們必須對伺服器的磁碟使用權限設定了如直掌。而且,咱們必須講究一個“最小化”原則:在保證正常服務的前提下,給磁碟分配最低許可權。磁碟許可權的設定需要配合帳戶安全設定來做。所以這方面的配置也放到日後的進階安全配置中詳述。這裡我們只做基本的全盤使用權限設定。我的方法跟網上的不一樣,網上大多沒有做到最小化。將你每個分區裡的所有組或使用者都刪掉,除了Administrators組。像這樣:
十三、重要系統檔案使用權限設定
請找到c盤的這些檔案,把安全性設定只有特定的管理員有完全操作許可權。
下列這些檔案只允許administrators訪問:
net.exe
net1.exet
cmd.exe
tftp.exe
netstat.exe
regedit.exe
at.exe
attrib.exe
cacls.exe
format.com
十四、安裝殺毒軟體。殺毒軟體有許多,但適合伺服器使用的,絕對要安全穩定可靠。Jarry推薦使用Symantec AntiVirus。可以到這裡下載。
十五、防火牆測試及初步設定。防火牆軟體不推薦使用第三方的。系統內建的防火牆就非常強大。用它來配合TCP/IP篩選,非常棒。
十六、IIS及相關服務初步設定。IIS安全配置另立章節闡述。
十七、進行IIS和FTP測試。確定功能正常使用。
十八、只保留TCP/IP協議,其他全部刪除。
十九、刪除C:windowsWeb下的兩個子目錄
二十、NetBIOS禁用 操作方法:網路連接->本地串連屬性->進階->WINS選項->禁用Tcp/Ip上的NetBIOS->確定。
二十一、網卡屬性裡的tcp/ip協議屬性--->進階-->選項-->tcp/ip篩選屬性-->
IP篩選:
第一項:TCP連接埠:
只允許: ---(看具體這台伺服器提供什麼服務添加)
80 (www服務)
21 (一般的ftp預設)
53 (DNS服務)
110 (MAIL的SMTP服務)
25 (MAIL的POP3服務)
還有例如你的遠程終端的連接埠(預設為3389,也有可能你改為別的連接埠,如6666,則加上6666)
第二項UDP連接埠:
此項可不添加,因為限制了以後,伺服器則不能開啟網頁等操作(當然,也安全多了)
第三項IP協議:
ip協議:只允許6
二十二、刪除沒有必要的共用,提高安全性
不容許枚舉SAM帳號和共用(在本地策略裡做也可以)
操作方法:運行Regedit,
(1) 在HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters下增加一值
Name: AutoShareServer
Type:REG-DWORD
Value:0
(2) 在HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa 下增加一值
Name:restrictanonymous
Type:REG_DWORD
Value:0
二十三、修改電腦某些特性
操作方法:控制台->系統->進階->啟動和故障恢複->取消顯示作業系統列表->取消發送警報->取消寫入調試資訊->完成。
二十四、安全日誌配置
本地安全性原則->稽核原則中開啟相應的審核,推薦的審核是:
賬戶管理 成功 失敗
登入事件 成功 失敗
對象訪問 失敗
策略更改 成功 失敗
特權使用 失敗
系統事件 成功 失敗
目錄服務訪問 失敗
賬戶登入事件 成功 失敗
在賬戶策略->密碼原則中設定:
密碼複雜性要求 啟用
密碼長度最小值 6位
強制密碼曆史 5次
最長存留期 30天
在賬戶策略->賬戶鎖定策略中設定:
賬戶鎖定 3次錯誤登入
鎖定時間 20分鐘
複位鎖定計數 20分鐘
二十五、取消關機對話方塊
Windows Server 2003中關機是需要“充分”理由的,要取消它很容易。按下“WIN+R”按鍵組合,開啟“運行”對話方塊,輸入gpedit.msc,開啟“組策略編輯器”,選擇“本機電腦策略→電腦配置→系統管理範本→系統”,接著雙擊右側視窗中的“顯示關閉事件跟蹤程式”,最後在“設定”選項卡中“已禁用”即可備忘:Windows Server 2003穿上Windows XP的美麗服裝呢?我們只要進入Windows Server 2003的“服務”視窗,按“T”鍵尋找“Themes”並雙擊它,然後在“啟動”類型中選擇“自動”,下次開機時,就可以看到效果了。
二十六、修改註冊表,讓系統更強壯。
1、隱藏重要檔案/目錄可以修改註冊表實現完全隱藏:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows Current-VersionExplorerAdvancedFolderHi-ddenSHOWALL”,滑鼠右擊 “CheckedValue”,選擇修改,把數值由1改為0
2、啟動系統內建的Internet串連_blank>防火牆,在設定服務選項中勾選Web伺服器。
3、防止SYN洪水攻擊
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
建立DWORD值,名為SynAttackProtect,值為2
EnablePMTUDiscovery REG_DWORD 0
NoNameReleaseOnDemand REG_DWORD 1
EnableDeadGWDetect REG_DWORD 0
KeepAliveTime REG_DWORD 300,000
PerformRouterDiscovery REG_DWORD 0
EnableICMPRedirects REG_DWORD 0
4. 禁止響應ICMP路由通告報文
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfacesinterface
建立DWORD值,名為PerformRouterDiscovery 值為0
5. 防止ICMP重新導向報文的攻擊
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
將EnableICMPRedirects 值設為0
6. 不支援IGMP協議
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
建立DWORD值,名為IGMPLevel 值為0
7. 禁止IPC空串連:
cracker可以利用net use命令建立空串連,進而入侵,還有net view,nbtstat這些都是基於空串連的,禁止空串連就好了。開啟註冊表,找到 Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous 把這個值改成”1”即可。
8. 更改TTL值
cracker可以根據ping回的TTL值來大致判斷你的作業系統,如:
TTL=107(WINNT);
TTL=108(win2000);
TTL=127或128(win9x);
TTL=240或241(linux);
TTL=252(solaris);
TTL=240(Irix);
實際上你可以自己更改的:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters:DefaultTTL REG_DWORD 0-0xff(0-255 十進位,預設值128)改成一個莫名其妙的數字如258,起碼讓那些小菜鳥暈上半天,就此放棄入侵你也不一定
9. 刪除預設共用
有人問過我一開機就共用所有盤,改回來以後,重啟又變成了共用是怎麼回事,這是2K為管理而設定的預設共用,必須通過修改註冊表的方式取消它:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters:AutoShareServer 類型是REG_DWORD把值改為0即可。
10. 禁止建立空串連
預設情況下,任何使用者通過通過空串連連上伺服器,進而枚舉出帳號,猜測密碼。我們可以通過修改註冊表來禁止建立空串連:
Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous 的值改成”1”即可。
OK。看了這麼一大堆資料,是不是頭有點暈了?起身活動一下吧。身體最重要啊。但是,現在你的系統已經有了一個比較基本的安全體系。再加上鮮甜服安日後為大家介紹的安全知識,相信你一定可以成長為安全領域的高手哦。這一期的內容有點長,希望大家不會介意。當然,如果你有對伺服器安全方面有更多的見解,歡迎您在本文後評論!