WIN2003服務器六條安全策略
2024-06-28 13:04:42
供稿:網友
在網上搜索了好多教程���,感覺亂的很���。干脆自己總結了一套windows2003服務器安全策略���。絕非是網上轉載的。都是經過測試的���。自己感覺還行吧!歡迎大家測試,也希望與我一起交流服務器的安全問題���。希望對大家有幫助!
策略一:關閉windows2003不必要的服務
·computer browser 維護網絡上計算機的最新列表以及提供這個列表
·task scheduler 允許程序在指定時間運行
·routing and remote access 在局域網以及廣域網環境中為企業提供路由服務
·removable storage 管理可移動媒體、驅動程序和庫
·remote registry service 允許遠程注冊表操作
·PRint spooler 將文件加載到內存中以便以后打印���。
·ipsec policy agent 管理ip安全策略及啟動isakmp/oakleyike)和ip安全驅動程序
·distributed link tracking client 當文件在網絡域的ntfs卷中移動時發送通知
·com+ event system 提供事件的自動發布到訂閱com組件
·alerter 通知選定的用戶和計算機管理警報
·error reporting service 收集���、存儲和向 microsoft 報告異常應用程序
·messenger 傳輸客戶端和服務器之間的 net send 和 警報器服務消息
·telnet 允許遠程用戶登錄到此計算機并運行程序
策略二:磁盤權限設置
c盤只給administrators和system權限���,其他的權限不給,其他的盤也可以這樣設置���,這里給的system權限也不一定需要給���,只是由于某些第三方應用程序是以服務形式啟動的���,需要加上這個用戶,否則造成啟動不了���。
windows目錄要加上給users的默認權限���,否則asp和aspx等應用程序就無法運行。
策略三:禁止 windows 系統進行空連接
在注冊表中找到相應的鍵值hkey_local_machine/system/currentcontrolset/control/lsa���,將dWord值restrictanonymous的鍵值改為1
策略四:關閉不需要的端口
本地連接--屬性--internet協議(tcp/ip)--高級--選項--tcp/ip篩選--屬性--把勾打上���,然后添加你需要的端口即可���。(如:3389���、21���、1433、3306���、80)
更改遠程連接端口方法
開始-->運行-->輸入regedit
查找3389:
請按以下步驟查找:
1���、hkey_local_machinesystemcurrentcontrolsetcontrol erminal serverwds dpwd ds cp下的portnumber=3389改為自寶義的端口號
2、hkey_local_machinesystemcurrentcontrolsetcontrol erminal serverwinstations dp-tcp下的portnumber=3389改為自寶義的端口號
修改3389為你想要的數字(在十進制下)----再點16進制(系統會自動轉換)----最后確定!這樣就ok了���。
這樣3389端口已經修改了,但還要重新啟動主機���,這樣3389端口才算修改成功!如果不重新啟動3389還
是修改不了的!重起后下次就可以用新端口進入了!
禁用tcp/ip上的netbios
本地連接--屬性--internet協議(tcp/ip)--高級—wins--禁用tcp/ip上的netbios
策略五:關閉默認共享的空連接
首先編寫如下內容的批處理文件:
@echo off
net share c$ /delete
net share d$ /delete
net share e$ /delete
net share f$ /delete
net share admin$ /delete
以上文件的內容用戶可以根據自己需要進行修改���。保存為delshare.bat,存放到系統所在文件夾下的system32grouppolicyuserscriptslogon目錄下���。然后在開始菜單→運行中輸入gpedit.msc���,
回車即可打開組策略編輯器���。點擊用戶配置→windows設置→腳本(登錄/注銷)→登錄.
在出現的“登錄 屬性”窗口中單擊“添加”���,會出現“添加腳本”對話框���,在該窗口的“腳本名”欄中輸入delshare.bat,然后單擊“確定”按鈕即可���。
重新啟動計算機系統���,就可以自動將系統所有的隱藏共享文件夾全部取消了���,這樣就能將系統安全隱患降低到最低限度。
策略五:iis安全設置
1���、不使用默認的web站點,如果使用也要將iis目錄與系統磁盤分開���。
2���、刪除iis默認創建的inetpub目錄(在安裝系統的盤上)����。
3�、刪除系統盤下的虛擬目錄�����,如:_vti_bin��、iissamples��、scripts�、iishelp�����、iisadmin�����、iishelp、msadc���。
4、刪除不必要的iis擴展名映射���。
右鍵單擊“默認web站點→屬性→主目錄→配置”���,打開應用程序窗口,去掉不必要的應用程序映射��。主要為.shtml�、shtm���、stm。
5���、更改iis日志的路徑
右鍵單擊“默認web站點→屬性-網站-在啟用日志記錄下點擊屬性
策略六:注冊表相關安全設置
1、隱藏重要文件/目錄
hkey_local_machinesoftwaremicrosoftwindowscurrent-versionexploreradvancedfolderhiddenshowall”
鼠標右擊 “checkedvalue”�����,選擇修改,把數值由1改為0���。
2���、防止syn洪水攻擊
hkey_local_machinesystemcurrentcontrolsetservices cpipparameters
新建dword值,名為synattackprotect���,值為2
3���、禁止響應icmp路由通告報文
hkey_local_machinesystem currentcontrolset services cpipparametersinterfacesinterface
新建dword值,名為performrouterdiscovery 值為0���。
4�、防止icmp重定向報文的攻擊
hkey_local_machinesystemcurrentcontrolsetservices cpipparameters
將enableicmpredirects 值設為0
5��、不支持igmp協議
hkey_local_machinesystemcurrentcontrolsetservices cpipparameters
新建dword值�����,名為igmplevel 值為0���。
策略七:組件安全設置篇
a���、 卸載wscript.shell 和 shell.application 組件,將下面的代碼保存為一個.bat文件執行(分2000和2003系統)
windows2000.bat
regsvr32/u c:winntsystem32wshom.ocx
del c:winntsystem32wshom.ocx
regsvr32/u c:winntsystem32shell32.dll
del c:winntsystem32shell32.dll
windows2003.bat
regsvr32/u c:windowssystem32wshom.ocx
del c:windowssystem32wshom.ocx
regsvr32/u c:windowssystem32shell32.dll
del c:windowssystem32shell32.dll
b���、改名不安全組件���,需要注意的是組件的名稱和clsid都要改,并且要改徹底了����,不要照抄��,要自己改
【開始→運行→regedit→回車】打開注冊表編輯器
然后【編輯→查找→填寫shell.application→查找下一個】
用這個方法能找到兩個注冊表項:
{13709620-c279-11ce-a49e-444553540000} 和 shell.application ���。
第一步:為了確保萬無一失���,把這兩個注冊表項導出來,保存為xxxx.reg 文件���。
第二步:比如我們想做這樣的更改
13709620-c279-11ce-a49e-444553540000 改名為 13709620-c279-11ce-a49e-444553540001
shell.application 改名為 shell.application_nohack
第三步:那么���,就把剛才導出的.reg文件里的內容按上面的對應關系替換掉,然后把修改好的.reg文件導入到注冊表中(雙擊即可)���,導入了改名后的注冊表項之后���,別忘記了刪除原有的那兩個項目。這里需要注意一點���,clsid中只能是十個數字和abcdef六個字母���。
其實,只要把對應注冊表項導出來備份���,然后直接改鍵名就可以了,
改好的例子
建議自己改
應該可一次成功
windows registry editor version 5.00
[hkey_classes_rootclsid{13709620-c279-11ce-a49e-444553540001}]
@="shell automation service"
[hkey_classes_rootclsid{13709620-c279-11ce-a49e-444553540001}inprocserver32]
@="c:/winnt/system32/shell32.dll"
"threadingmodel"="apartment"
[hkey_classes_rootclsid{13709620-c279-11ce-a49e-444553540001}progid]
@="shell.application_nohack.1"
[hkey_classes_rootclsid{13709620-c279-11ce-a49e-444553540001} ypelib]
@="{50a7e9b0-70ef-11d1-b75a-00a0c90564fe}"
[hkey_classes_rootclsid{13709620-c279-11ce-a49e-444553540001}version]
@="1.1"
[hkey_classes_rootclsid{13709620-c279-11ce-a49e-444553540001}versionindependentprogid]
@="shell.application_nohack"
[hkey_classes_rootshell.application_nohack]
@="shell automation service"
[hkey_classes_rootshell.application_nohackclsid]
@="{13709620-c279-11ce-a49e-444553540001}"
[hkey_classes_rootshell.application_nohackcurver]
@="shell.application_nohack.1"
評論:
wscript.shell 和 shell.application 組件是 腳本入侵過程中���,提升權限的重要環節���,這兩個組件的卸載和修改對應注冊鍵名,可以很大程度的提高虛擬主機的腳本安全性能���,一般來說���,asp和php類腳本提升權限的功能是無法實現了,再加上一些系統服務���、硬盤訪問權限���、端口過濾���、本地安全策略的設置���,虛擬主機因該說,安全性能有非常大的提高���,黑客入侵的可能性是非常低了���。注銷了shell組件之后,侵入者運行提升工具的可能性就很小了���,但是prel等別的腳本語言也有shell能力���,為防萬一,還是設置一下為好���。下面是另外一種設置,大同小異���。
c���、禁止使用filesystemobject組件
filesystemobject可以對文件進行常規操作,可以通過修改注冊表,將此組件改名���,來防止此類木馬的危害。
hkey_classes_rootscripting.filesystemobject
改名為其它的名字���,如:改為 filesystemobject_changename
自己以后調用的時候使用這個就可以正常調用此組件了
也要將clsid值也改一下
hkey_classes_rootscripting.filesystemobjectclsid項目的值
也可以將其刪除���,來防止此類木馬的危害。
2000注銷此組件命令:regsrv32 /u c:winntsystemscrrun.dll
2003注銷此組件命令:regsrv32 /u c:windowssystemscrrun.dll
如何禁止guest用戶使用scrrun.dll來防止調用此組件?
使用這個命令:cacls c:winntsystem32scrrun.dll /e /d guests
d���、禁止使用wscript.shell組件
wscript.shell可以調用系統內核運行dos基本命令
可以通過修改注冊表���,將此組件改名���,來防止此類木馬的危害。
hkey_classes_rootwscript.shell及hkey_classes_rootwscript.shell.1
改名為其它的名字���,如:改為wscript.shell_changename 或 wscript.shell.1_changename
自己以后調用的時候使用這個就可以正常調用此組件了
也要將clsid值也改一下
hkey_classes_rootwscript.shellclsid項目的值
hkey_classes_rootwscript.shell.1clsid項目的值
也可以將其刪除,來防止此類木馬的危害���。
e���、禁止使用shell.application組件
shell.application可以調用系統內核運行dos基本命令
可以通過修改注冊表,將此組件改名���,來防止此類木馬的危害。
hkey_classes_rootshell.application及
hkey_classes_rootshell.application.1
改名為其它的名字���,如:改為shell.application_changename 或 shell.application.1_changename
自己以后調用的時候使用這個就可以正常調用此組件了
也要將clsid值也改一下
hkey_classes_rootshell.applicationclsid項目的值
hkey_classes_rootshell.applicationclsid項目的值
也可以將其刪除���,來防止此類木馬的危害。
禁止guest用戶使用shell32.dll來防止調用此組件���。
2000使用命令:cacls c:winntsystem32shell32.dll /e /d guests
2003使用命令:cacls c:windowssystem32shell32.dll /e /d guests
注:操作均需要重新啟動web服務后才會生效���。
f���、調用cmd.exe
禁用guests組用戶調用cmd.exe
2000使用命令:cacls c:winntsystem32cmd.exe /e /d guests
2003使用命令:cacls c:windowssystem32cmd.exe /e /d guests
通過以上四步的設置基本可以防范目前比較流行的幾種木馬,但最有效的辦法還是通過綜合安全設置���,將服務器、程序安全都達到一定標準���,才可能將安全等級設置較高���,防范更多非法入侵。
希望對大家有幫助!
