WINDOWS伺服器安全-網站伺服器安全設定

網站伺服器的安全，除了需要去安全廠家提供的補丁，更重要的是要去設定一些常見的安全問題，這些可以抵擋一些菜鳥用工具的攻擊。

基本安全設定 

　　一、調整測試環境（設定解析度，IP地址等工作，以便進行伺服器設定。在接入網路前，應該先關閉DCOM元件服務，安裝驅動程式） 

　　二、設定管理員。用“管理您的伺服器”進行設定管理員嚮導，將所需的服務功能全部配置好，比如IIS。   

　　三、設定IME，以便以後維護輸入漢字所需。 

　　四、如果在安裝系統前只分了系統區，現在可以將其它區分出來了。 

　　為了提高安全性，伺服器的檔案系統格式一定要劃分成NTFS（新技術檔案系統）格式，它比FAT16、FAT32的安全性、空間利用率都大大的提高，我們可以通過它來設定檔的安全性，磁碟配額、EPS檔案加密等。如果你已經分成FAT32的格式了，可以用CONVERT 盤符 /FS：NTFS   /V 來把FAT32轉換成NTFS格式。 

　　五、設定檔案夾選項，以方便檔案的設定。比如顯示系統檔案和顯示隱藏檔案。 

　　六、設定虛擬記憶體。不要把虛擬記憶體放在C盤。可以把它移到其他盤。一來節省寶貴的系統硬碟空間，二來減少C盤讀寫次數。 

　　七、設定電源管理。伺服器當然不能空間XX分鐘後關閉硬碟或者自動休眠了，對吧？
　　八、系統服務最佳化設定。系統預設狀態下很多服務是沒有必要的。可以根據你提供的服務來設定系統服務。甚至還有些服務會影響到系統的安全性。禁用不必要的服務，提高安全性和系統效率：　　
　　Computer Browser 維護網路上電腦的最新列表以及提供這個列表  
　　Task scheduler 允許程式在指定時間運行  
　　Routing and Remote Access 在區域網路以及廣域網路環境中為企業提供路由服務 
　　Removable storage 管理抽取式媒體、驅動程式和庫  
　　Remote Registry Service 允許遠端登錄操作  
　　Print Spooler 將檔案載入到記憶體中以便以後列印。要用印表機的朋友不能禁用這項  
　　IPSEC Policy Agent 管理IP安全性原則以及啟動ISAKMP/OakleyIKE)和IP安全驅動程式  
　　Distributed Link Tracking Client 當檔案在網路域的NTFS卷中移動時發送通知  
　　Com+ Event System 提供事件的自動發布到訂閱COM組件  
　　Alerter 通知選定的使用者和電腦管理警報  
　　Error Reporting Service 收集、儲存和向 Microsoft 報告異常應用程式  
  Messenger 傳輸用戶端和伺服器之間的 NET SEND 和 警報器服務訊息  
  Telnet 允許遠端使用者登入到此電腦並運行程式  

　　九、更改終端服務連接埠及安全設定。系統預設的終端服務連接埠為3389，用這個服務可以很方便地遠端管理伺服器。就是你電腦裡的“遠端桌面連線”。如果你沒有找到這個功能，也可以用http://www.xtit.net/d 

　　為了避免此連接埠遭到一些駭客軟體的掃描和暴力密碼破解攻擊，導致你無法通過這個連接埠來遠端管理伺服器，把它改了吧。修改這個連接埠，是需要重啟伺服器才會生效的。切記改了3389後不要立即重啟，你得開放了對應連接埠後再重啟，否則你遠程就連不上了，得跑機房了。 

　　改遠端桌面服務連接埠的方法： 

　　步驟1:開啟登錄編輯程式。 

　　開始——運行——regedit 

　　步驟2:尋找註冊表裡的3389預設連接埠。 

　　HKEY_LOCAL_MACHINE//SYSTEM//CurrentControlSet//Control//Terminal Server//WinStations//RDP-Tcp 

　　步驟3:我們找到rdp-tcp然後在註冊表的右邊尋找PortNumber，大家注意！在PortNumber後面有3389的一串數字。 

　　然後在點PortNumber（右鍵）這個時候會出來一個提示框----點修改----點10進位，修改3389為你想要的數字比如3721什麼的----再點16進位（系統會自動轉換）----最後確定！ 

　　還有一個索引值： 
　　HKEY_LOCAL_MACHINE//SYSTEM//CurrentControlSet//Control//TerminalServer //WinStations這裡應該有一個或多個類似RDP-TCP的子健（取決於你建立了多少個RDP服務），一樣改掉PortNumber。 

　　就這樣連接埠就修改成功了。 

　　對於日誌的問題，其實Terminal Service自己是有日誌功能的，在管理工具中開啟遠端控制服務配置(Terminal Service Configration)，點擊“串連”，右擊你想配置的RDP服務（比如RDP-TCP(Microsoft RDP5.0)），選中書籤“許可權”，點擊左下角的“進階”，看見上面那個“審核”了嗎？我們來加入一個Everyone組，這代表所有的使用者，然後審核他的“串連”、“斷開”、“登出”的成功和“登陸”的功能和失敗就足夠了，審核太多了反而不好，這個審核試記錄在安全日誌中的，可以從“管理工具”－>“日誌查看器”中查看。 
　　現在什麼人什麼時候登陸都一清二楚了。 

　　十、如果是更換伺服器，那麼必需將老伺服器上的檔案COPY到新伺服器上來。在COPY完成後，需要檢查檔案裡是否已經包含了病毒和木馬。 

 

十一、帳戶安全設定 

　　將Guest組改名。 

　　將系統預設的系統管理員帳戶Administrator改名，然後再建立一個陷阱帳戶：administrator，把它偽裝得跟系統預設系統管理員帳戶一樣，但把它分配到Guest組裡。 

　　Guest帳戶禁用，改成一個複雜的名稱並加上密碼，將Guest使用者改名禁用並且更改一個複雜的密碼，加設帳戶錯誤登陸鎖定的次數，設定不讓系統顯示上次登入的使用者名稱。 

　　十二、初步全盤許可權的設定 

　　對於Windows Server來說，磁碟許可權是安全問題裡最重要的一環。那麼我們必須對伺服器的磁碟使用權限設定了如直掌。而且，咱們必須講究一個“最小化”原則：在保證正常服務的前提下，給磁碟分配最低許可權。磁碟許可權的設定需要配合帳戶安全設定來做。所以這方面的配置也放到日後的進階安全配置中詳述。這裡我們只做基本的全盤使用權限設定。我的方法跟網上的不一樣，網上大多沒有做到最小化。將你每個分區裡的所有組或使用者都刪掉，除了Administrators組。像這樣： 

 

　　十三、重要系統檔案使用權限設定  
　　請找到c盤的這些檔案，把安全性設定只有特定的管理員有完全操作許可權。 
　　下列這些檔案只允許administrators訪問：
　　net.exe  
　　net1.exet  
　　cmd.exe 
　　tftp.exe  
　　netstat.exe 
　　regedit.exe 
　　at.exe 
　　attrib.exe 
　　cacls.exe 
　　format.com  

　　十四、安裝殺毒軟體。殺毒軟體有許多，但適合伺服器使用的，絕對要安全穩定可靠。Jarry推薦使用Symantec AntiVirus。可以到這裡下載。 

　　十五、防火牆測試及初步設定。防火牆軟體不推薦使用第三方的。系統內建的防火牆就非常強大。用它來配合TCP/IP篩選，非常棒。 

　　十六、IIS及相關服務初步設定。IIS安全配置另立章節闡述。 

　　十七、進行IIS和FTP測試。確定功能正常使用。 

　　十八、只保留TCP/IP協議，其他全部刪除。 

　　十九、刪除C:windowsWeb下的兩個子目錄 

　　二十、NetBIOS禁用 操作方法：網路連接->本地串連屬性->進階->WINS選項->禁用Tcp/Ip上的NetBIOS->確定。 

 

二十一、網卡屬性裡的tcp/ip協議屬性--->進階-->選項-->tcp/ip篩選屬性--> 

IP篩選： 

第一項:TCP連接埠： 

只允許： ---(看具體這台伺服器提供什麼服務添加) 

80 （www服務） 

21 (一般的ftp預設) 

53 (DNS服務) 

110 (MAIL的SMTP服務) 

25 (MAIL的POP3服務) 

還有例如你的遠程終端的連接埠(預設為3389，也有可能你改為別的連接埠，如6666，則加上6666) 

第二項UDP連接埠： 

此項可不添加，因為限制了以後，伺服器則不能開啟網頁等操作(當然，也安全多了) 

第三項IP協議： 

ip協議：只允許6 

　　二十二、刪除沒有必要的共用，提高安全性 

　　不容許枚舉SAM帳號和共用（在本地策略裡做也可以） 

　　操作方法：運行Regedit， 

(1) 在HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters下增加一值 

Name： AutoShareServer 

Type：REG-DWORD 

Value：0 

(2) 在HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa 下增加一值 

Name：restrictanonymous 

Type：REG_DWORD 

Value：0 

　　二十三、修改電腦某些特性 

　　操作方法：控制台->系統->進階->啟動和故障恢複->取消顯示作業系統列表->取消發送警報->取消寫入調試資訊->完成。 

　　二十四、安全日誌配置 

本地安全性原則->稽核原則中開啟相應的審核，推薦的審核是： 

賬戶管理 成功 失敗 

登入事件 成功 失敗 

對象訪問 失敗 

策略更改 成功 失敗 

特權使用 失敗 

系統事件 成功 失敗 

目錄服務訪問 失敗 

賬戶登入事件 成功 失敗 

在賬戶策略->密碼原則中設定： 

密碼複雜性要求 啟用 

密碼長度最小值 6位 

強制密碼曆史 5次 

最長存留期 30天 

在賬戶策略->賬戶鎖定策略中設定： 

賬戶鎖定 3次錯誤登入 

鎖定時間 20分鐘 

複位鎖定計數 20分鐘 

　　二十五、取消關機對話方塊 

Windows Server 2003中關機是需要“充分”理由的，要取消它很容易。按下“WIN+R”按鍵組合，開啟“運行”對話方塊，輸入gpedit.msc，開啟“組策略編輯器”，選擇“本機電腦策略→電腦配置→系統管理範本→系統”，接著雙擊右側視窗中的“顯示關閉事件跟蹤程式”，最後在“設定”選項卡中“已禁用”即可備忘：Windows Server 2003穿上Windows XP的美麗服裝呢？我們只要進入Windows Server 2003的“服務”視窗，按“T”鍵尋找“Themes”並雙擊它，然後在“啟動”類型中選擇“自動”，下次開機時，就可以看到效果了。

 

二十六、修改註冊表，讓系統更強壯。　 

　　1、隱藏重要檔案/目錄可以修改註冊表實現完全隱藏：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows Current-VersionExplorerAdvancedFolderHi-ddenSHOWALL”，滑鼠右擊 “CheckedValue”，選擇修改，把數值由1改為0 

　　2、啟動系統內建的Internet串連_blank>防火牆，在設定服務選項中勾選Web伺服器。 

　　3、防止SYN洪水攻擊 

　　HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 　　 

　　建立DWORD值，名為SynAttackProtect，值為2 　　 

　　EnablePMTUDiscovery REG_DWORD 0 　　 

　　NoNameReleaseOnDemand REG_DWORD 1 　　 

　　EnableDeadGWDetect REG_DWORD 0 　 

　　KeepAliveTime REG_DWORD 300,000 　　 

　　PerformRouterDiscovery REG_DWORD 0 　　 

　　EnableICMPRedirects REG_DWORD 0　 

　　4. 禁止響應ICMP路由通告報文
　　HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfacesinterface
　　建立DWORD值，名為PerformRouterDiscovery 值為0 

　　5. 防止ICMP重新導向報文的攻擊 

　　HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 

　　將EnableICMPRedirects 值設為0 

　　6. 不支援IGMP協議 

　　HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 　　 

　　建立DWORD值，名為IGMPLevel 值為0　 

　　7. 禁止IPC空串連：　 

　　cracker可以利用net use命令建立空串連，進而入侵，還有net view，nbtstat這些都是基於空串連的，禁止空串連就好了。開啟註冊表，找到 Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous 把這個值改成”1”即可。　 

　　8. 更改TTL值　　 

　　cracker可以根據ping回的TTL值來大致判斷你的作業系統，如： 　 

　　TTL=107(WINNT); 　　 

　　TTL=108(win2000); 　 

　　TTL=127或128(win9x); 　　 

　　TTL=240或241(linux); 　 

　　TTL=252(solaris); 　　 

　　TTL=240(Irix); 　　 

　　實際上你可以自己更改的：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters：DefaultTTL REG_DWORD 0-0xff(0-255 十進位,預設值128)改成一個莫名其妙的數字如258，起碼讓那些小菜鳥暈上半天，就此放棄入侵你也不一定　　 

　　9. 刪除預設共用 

　　有人問過我一開機就共用所有盤，改回來以後，重啟又變成了共用是怎麼回事，這是2K為管理而設定的預設共用，必須通過修改註冊表的方式取消它：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters：AutoShareServer 類型是REG_DWORD把值改為0即可。 

　　10. 禁止建立空串連 　　 

　　預設情況下，任何使用者通過通過空串連連上伺服器，進而枚舉出帳號，猜測密碼。我們可以通過修改註冊表來禁止建立空串連： 　　 

　　Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous 的值改成”1”即可。　 

　　OK。看了這麼一大堆資料，是不是頭有點暈了？起身活動一下吧。身體最重要啊。但是，現在你的系統已經有了一個比較基本的安全體系。再加上鮮甜服安日後為大家介紹的安全知識，相信你一定可以成長為安全領域的高手哦。這一期的內容有點長，希望大家不會介意。當然，如果你有對伺服器安全方面有更多的見解，歡迎您在本文後評論！