一���、禁止默認(rèn)共享���。
方法一:建立一個記事本,填上以下代碼���。保存為*.bat并加到啟動項(xiàng)目中
net share c$ /delnet share d$ /del net share e$ /del net share f$ /del net share ipc$ /del net share admin$ /del
方法二:修改注冊表���,(注意修改注冊表前一定要先備份一下注冊表,備份方法���。在 運(yùn)行>regedit���,選擇 文件》導(dǎo)出 ���,取個文件名,導(dǎo)出即可���,如果修改注冊表失敗���,可以找到導(dǎo)出的注冊表文件雙擊運(yùn)行即可。)
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/LanmanServer/Parameters
新建 “DWORD值”值名為 “AutoShareServer” 數(shù)據(jù)值為“0”
二���、遠(yuǎn)程桌面連接配置���。
開始 > 程序 > 管理工具 > 終端服務(wù)配置 > 連接
選擇右側(cè)”RDP-tcp”連接右擊 屬性 > 權(quán)限 刪除(除system外)所有用戶組 添加單一的允許使用的管理員賬戶,這樣即使服務(wù)器被創(chuàng)建了其它的管理員.也無法使用終端服務(wù)。
三���、serv_u安全設(shè)置(注意一定要設(shè)置管理密碼���,否則會被提權(quán))
打開serv_u,點(diǎn)擊“本地服務(wù)“,在右邊點(diǎn)擊”設(shè)置/更改密碼“���,如果沒有設(shè)置密碼���,”舊密碼為空���,填好新密碼點(diǎn)擊”確定“���。
VEVB武林網(wǎng)小編注:最好不要用serv_u���,有人告侵權(quán)問題,建議用FileZilla Server.
四���、關(guān)閉139���、445端口
①控制面板-網(wǎng)絡(luò)-本地鏈接-屬性(這里勾選取消"網(wǎng)絡(luò)文件和打印機(jī)共享")-tcp/ip協(xié)議屬性-高級-WINS-Netbios設(shè)置-禁用Netbios,即可關(guān)閉139端口
②關(guān)閉445端口(注意修改注冊表前一定要先備份一下注冊表���,備份方法���。在運(yùn)行>regedit,選擇文件》導(dǎo)出���,取個文件名���,導(dǎo)出即可���,如果修改注冊表失敗,可以找到導(dǎo)出的注冊表文件雙擊運(yùn)行即可���。)
HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/netBT/Parameters
新建“DWORD值”值名為“SMBDeviceEnabled”數(shù)據(jù)為默認(rèn)值“0”
五���、刪除不安全組件
Wscript.Shell 、Shell.application 這兩個組件一般一些ASP木馬或一些惡意程序都會使用到���。
方法:在“運(yùn)行”里面分別輸入以下命令
①regsvr32 /u wshom.ocx 卸載Wscript.Shell 組件
②regsvr32 /u shell32.dll 卸載Shell.application 組件���。
③regsvr32 /u %windir%/system32/Wshext.dll
六、設(shè)置iis權(quán)限���。
針對每個網(wǎng)站單獨(dú)建立一個用戶���。
①首先,右擊“我的電腦”》管理》本地計算機(jī)和組》用戶���,在右邊���。右擊“新用戶”���,建立新用戶,并設(shè)置好密碼���。
例如:添加test為某一網(wǎng)站訪問用戶。
②設(shè)置站點(diǎn)文件夾的權(quán)限
然后���,打開internet信息服務(wù)管理器���。找到相應(yīng)站點(diǎn)。右擊���,選擇“權(quán)限”
選擇權(quán)限后
只保留一個超級管理員administrator(可以自己定義)���,而不是管理員組administrators。和系統(tǒng)用戶(system)���,還有添加訪問網(wǎng)站的用戶���。可以點(diǎn)擊“添加”將剛才在系統(tǒng)創(chuàng)建的用戶(如test)添加里面。然后勾選該用戶(test)讀取和運(yùn)行���、列出文件夾目錄���、讀取、寫入的權(quán)限���。超級管員(administrator)”完全控制”���,系統(tǒng)用戶(system) “完全控制”權(quán)限。并且選擇用戶(test)?“高級”
點(diǎn)擊“應(yīng)用”后���,等待文件夾權(quán)限傳遞完畢���。
然后點(diǎn)“確定”。
注意:
③設(shè)置訪問用戶���。
右擊 站點(diǎn) 屬性==》目錄安全性==》編輯���, 將剛才添加的用戶(如test)添加到匿名訪問用戶。密碼和添加用戶時密碼一致���。
④設(shè)置站點(diǎn)訪問權(quán)限���。
右擊要設(shè)置的站點(diǎn)���。屬性==》主目錄 本地路徑下面只選中 讀取 記錄訪問 索引資源
其它都不要選擇。執(zhí)行權(quán)限 選擇 “純腳本”.不要選擇“腳本和可執(zhí)行文件”���。
其它設(shè)置和就是iis站點(diǎn)的一般設(shè)置���,不再多說���。
注意:對于 ASP.NET 程序���,則需要設(shè)置 IIS_WPG 組的帳號權(quán)限、上傳目錄的權(quán)限設(shè)置���。這時需要注意���,一定要將上傳目錄的執(zhí)行權(quán)限設(shè)為“無”,將文件夾的寫入權(quán)限選上,這樣即使上傳了 ASP���、PHP 等腳本程序或者 exe 程序���,也不會在用戶瀏覽器里觸發(fā)執(zhí)行,
對于純靜態(tài)網(wǎng)站(全部是html)將(純腳本)改成(無)���。
對于某些程序可能要求everyone有完全控制的權(quán)限,可以將網(wǎng)站訪問用戶(如test用戶)對文件夾設(shè)置完全控制的權(quán)限就行了���,并不需要添加everyone來設(shè)置完全控制���。
七、數(shù)據(jù)庫安全設(shè)置
一定要設(shè)置數(shù)據(jù)庫密碼���。
另外���。對于sql數(shù)據(jù)庫建議卸載擴(kuò)展存儲過程xp_cmdshell
xp_cmdshell是進(jìn)入操作系統(tǒng)的最佳捷徑,是數(shù)據(jù)庫留給操作系統(tǒng)的一個大后門���。請把它去掉���。使用這個SQL語句:
use master
sp_dropextendedproc ‘xp_cmdshell'
如果你需要這個存儲過程,請用這個語句也可以恢復(fù)過來���。
sp_addextendedproc ‘xp_cmdshell', ‘xpsql70.dll
無論mysql還是sqlserver都要低權(quán)限運(yùn)行���,默認(rèn)都是system最高權(quán)限運(yùn)行了
八���、防止access數(shù)據(jù)庫被下載
在IIS屬性 ——主目錄——配置——映射——應(yīng)用程序擴(kuò)展那里添加。mdb文件的應(yīng)用解析���。注意這里的選擇的D LL不要選擇asp.dll,找一個映射里面不使用的dll文件���。
九、利用防火墻限制端口���。
對外只打開自己需要的端口,對于vps用戶���,需要打開網(wǎng)站服務(wù)端口80���,遠(yuǎn)程登錄端口3389,景安公司提供的密碼修改服務(wù)端口6088,如果使用的有serv_u等ftp服務(wù)軟件���,需要打開21端口���。
具體打開端口請參考下面:
1���、 右擊網(wǎng)上鄰居選擇“屬性”,===>本地連接==?屬性==?高級?設(shè)置
選中”啟用”按鈕.
2、 點(diǎn)擊“例外”==》添加端口���。根據(jù)自己需要添加對外的端口���。注意在添加的端口前面勾選上
3、 添加完端口,點(diǎn)擊”確定”?確定
十���、防止列出用戶組和系統(tǒng)進(jìn)程
如果上傳asp木馬用戶列表可能會被黑客利用���,我們應(yīng)當(dāng)隱藏起來,方法是:
【開始→程序→管理工具→服務(wù)】���,找到Workstation���,停止它,禁用它���。
十一���、安裝殺毒軟件
雖然殺毒軟件有時候不能解決問題���,但是殺毒軟件避免了很多問題,可以查殺部分木馬程序���。建議安裝占用內(nèi)存資源比較小的殺毒軟件���,另外,要經(jīng)常升級軟件才有效���。
繼續(xù)補(bǔ)充:
遠(yuǎn)程桌面默認(rèn)端口3389修改
在"開始>運(yùn)行"中輸入"regedit"���,打開注冊表編輯器,修改如下:
1.依次展開"HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Terminal Server/Wds/rdpwd/Tds/tcp"���,將PortNumber數(shù)值改為2012(也可用其他端口號)。
2.依次展開"HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Terminal Server/WinStations/RDP-Tcp"���,將PortNumber數(shù)值改為2012���。
或?qū)⑾逻厓?nèi)容保存為reg文件���,再雙擊運(yùn)行導(dǎo)入注冊表中即可:
修改遠(yuǎn)程端口后重啟即可生效
利用防火墻限制端口
對外只打開自己需要的端口,對于vps用戶���,需要打開網(wǎng)站服務(wù)端口80���,遠(yuǎn)程登錄端口3389,景安公司提供的密碼修改服務(wù)端口6088,如果使用的有serv_u等ftp服務(wù)軟件���,需要打開21端口���。
具體打開端口請參考下面:
1、 右擊網(wǎng)上鄰居選擇“屬性”,===>本地連接==屬性==高級設(shè)置
選中”啟用”按鈕.
2���、點(diǎn)擊“例外”==》添加端口���。根據(jù)自己需要添加對外的端口。注意在添加的端口前面勾選上
3���、添加完端口,點(diǎn)擊”確定”確定
安裝殺毒軟件
雖然殺毒軟件有時候不能解決問題���,但是殺毒軟件避免了很多問題���,可以查殺部分木馬程序。建議安裝占用內(nèi)存資源比較小的殺毒軟件(服務(wù)器安全狗防火墻���,金山毒霸殺毒)���,另外,要經(jīng)常升級軟件才有效���。
在Windows Server 2003中對于IIS的安全設(shè)置具有十分重要的意義���,所以掌握IIS安全設(shè)置的六大技巧是一個網(wǎng)管員必備的基本技能。下面就是對IIS的安全設(shè)置的六大技巧���。
技巧1���、安裝系統(tǒng)補(bǔ)丁
安裝好操作系統(tǒng)之后,最好能在托管之前就完成補(bǔ)丁的安裝���,配置好網(wǎng)絡(luò)后���,如果是2000則確定安裝上了SP4,如果是Windows Server 2003 系統(tǒng)���,則最好安裝上SP1���,然后點(diǎn)擊開始→Windows Update,安裝所有的關(guān)鍵更新���。
技巧2���、設(shè)置端口保護(hù)和防火墻
Windows Server 2003 系統(tǒng)的端口屏蔽可以通過自身防火墻來解決,這樣比較好���,比篩選更有靈活性���,桌面—>網(wǎng)上鄰居—>(右鍵)屬性—>本地連接—>(右鍵)屬性—>高級—>(選中)Internet 連接防火墻—>設(shè)置,把服務(wù)器上面要用到的服務(wù)端口選中 即可���。
例如:一臺WEB服務(wù)器���,要提供WEB(80)、FTP(21)服務(wù)及遠(yuǎn)程桌面管理(3389)
在“FTP 服務(wù)器”、“WEB服務(wù)器(HTTP)”���、“遠(yuǎn)程桌面”前面打上對號
如果你要提供服務(wù)的端口不在里面���,你也可以點(diǎn)擊“添加”銨鈕來添加,具體參數(shù)可以參照系統(tǒng)里面原有的參數(shù)���。
然后點(diǎn)擊確定���。注意:如果是遠(yuǎn)程管理這臺服務(wù)器,請先確定遠(yuǎn)程管理的端口是否選中或添加���。
技巧3���、合理的權(quán)限設(shè)置
需要重點(diǎn)設(shè)置如下三種權(quán)限:
WINDOWS用戶,在WINNT系統(tǒng)中大多數(shù)時候把權(quán)限按用戶(組)來劃分���。在【開始→程序→管理工具→計算機(jī)管理→本地用戶和組】管理系統(tǒng)用戶和用戶組���。
NTFS權(quán)限設(shè)置,請記住分區(qū)的時候把所有的硬盤都分為NTFS分區(qū)���,然后我們可以確定每個分區(qū)對每個用戶開放的權(quán)限���。【文件(夾)上右鍵→屬性→安全】在這里管理NTFS文件(夾)權(quán)限���。
IIS匿名用戶���,每個IIS站點(diǎn)或者虛擬目錄,都可以設(shè)置一個匿名訪問用戶(現(xiàn)在暫且把它叫“IIS匿名用戶”)���,當(dāng)用戶訪問你的網(wǎng)站的.ASP文件的時候���,這個.ASP文件所具有的權(quán)限,就是這個“IIS匿名用戶”所具有的權(quán)限���。
設(shè)置好上述用戶和文件系統(tǒng)權(quán)限后���,還要記住設(shè)置如下的磁盤權(quán)限,設(shè)置原則如下:
系統(tǒng)盤及所有磁盤只給 Administrators 組和 SYSTEM 的完全控制權(quán)限
系統(tǒng)盤/Documents and Settings 目錄只給 Administrators 組和 SYSTEM 的完全控制權(quán)限
系統(tǒng)盤/Documents and Settings/All Users 目錄只給 Administrators 組和 SYSTEM 的完全控制權(quán)限
系統(tǒng)盤/Inetpub 目錄及下面所有目錄���、文件只給 Administrators 組和 SYSTEM 的完全控制權(quán)限
系統(tǒng)盤/Windows/System32/cacls.exe���、cmd.exe���、net.exe、net1.exe 文件只給 Administrators 組和 SYSTEM 的完全控制權(quán)限
技巧4���、禁用不必要的服務(wù)
操作路徑為:開始菜單—>管理工具—>服務(wù)
Print Spooler
Remote Registry
TCP/IP NetBIOS Helper
Server
以上是在Windows Server 2003 系統(tǒng)上面默認(rèn)啟動的服務(wù)中禁用的���,默認(rèn)禁用的服務(wù)如沒特別需要的話不要啟動。
技巧5���、卸載不安全的組件
最簡單的辦法是直接卸載后刪除相應(yīng)的程序文件���。將下面的代碼保存為一個.BAT文件,( 以下均以 WIN2000 為例���,如果使用Windows Server 2003 系統(tǒng)���,則系統(tǒng)文件夾應(yīng)該是 C:/WINDOWS/ )
regsvr32/u C:/WINNT/System32/wshom.ocx
del C:/WINNT/System32/wshom.ocx
regsvr32/u C:/WINNT/system32/shell32.dll
del C:/WINNT/system32/shell32.dll
然后運(yùn)行一下,Wscript.Shell, Shell.application, Wscript.Network就會被卸載了���?��?赡軙崾緹o法刪除文件���,不用管它,重啟一下服務(wù)器即可���。
技巧6、IIS服務(wù)器安全的防護(hù)原則
一般情況下���,黑客總是瞄準(zhǔn)論壇等程序���,因?yàn)檫@些程序都有上傳功能,他們很容易的就可以上傳ASP木馬���,即使設(shè)置了權(quán)限���,木馬也可以控制當(dāng)前站點(diǎn)的所有文件了。另外���,有了木馬就然后用木馬上傳提升工具來獲得更高的權(quán)限���,我們關(guān)閉shell組件的目的很大程度上就是為了防止攻擊者運(yùn)行提升工具���。
如果論壇管理員關(guān)閉了上傳功能,則黑客會想辦法獲得超管密碼���,比如���,如果你用動網(wǎng)論壇并且數(shù)據(jù)庫忘記了改名,人家就可以直接下載你的數(shù)據(jù)庫了���,然后距離找到論壇管理員密碼就不遠(yuǎn)了���。
作為管理員,我們首先要檢查我們的ASP程序���,做好必要的設(shè)置���,防止網(wǎng)站被黑客進(jìn)入。另外就是防止攻擊者使用一個被黑的網(wǎng)站來控制整個服務(wù)器���,因?yàn)槿绻愕姆?wù)器上還為朋友開了站點(diǎn)���,你可能無法確定你的朋友會把他上傳的論壇做好安全設(shè)置���。這就用到了前面所說的那一大堆東西,做了那些權(quán)限設(shè)置和防提升之后���,黑客就算是進(jìn)入了一個站點(diǎn)���,也無法破壞這個網(wǎng)站以外的東西。
