win2003詳細(xì)系統(tǒng)安全設(shè)置
正確設(shè)置磁盤(pán)的安全性,具體如下(虛擬機(jī)的安全設(shè)置�,我們以asp程序?yàn)槔?重點(diǎn):
1、系統(tǒng)盤(pán)權(quán)限設(shè)置
C:分區(qū)部分:
c:/
administrators 全部(該文件夾���,子文件夾及文件)
CREATOR OWNER 全部(只有子文件來(lái)及文件)
system 全部(該文件夾,子文件夾及文件)
IIS_WPG 創(chuàng)建文件/寫(xiě)入數(shù)據(jù)(只有該文件夾)
IIS_WPG(該文件夾�,子文件夾及文件)
遍歷文件夾/運(yùn)行文件
列出文件夾/讀取數(shù)據(jù)
讀取屬性
創(chuàng)建文件夾/附加數(shù)據(jù)
讀取權(quán)限
c:/Documents and Settings
administrators 全部(該文件夾,子文件夾及文件)
Power Users (該文件夾��,子文件夾及文件)
讀取和運(yùn)行
列出文件夾目錄
讀取
SYSTEM全部(該文件夾,子文件夾及文件)
C:/Program Files
administrators 全部(該文件夾�����,子文件夾及文件)
CREATOR OWNER全部(只有子文件來(lái)及文件)
IIS_WPG (該文件夾���,子文件夾及文件)
讀取和運(yùn)行
列出文件夾目錄
讀取
Power Users(該文件夾�����,子文件夾及文件)
修改權(quán)限
SYSTEM全部(該文件夾�����,子文件夾及文件)
TERMINAL SERVER USER (該文件夾����,子文件夾及文件)
修改權(quán)限
2、網(wǎng)站及虛擬機(jī)權(quán)限設(shè)置(比如網(wǎng)站在E盤(pán))
說(shuō)明:我們假設(shè)網(wǎng)站全部在E盤(pán)wwwsite目錄下����,并且為每一個(gè)虛擬機(jī)創(chuàng)建了一個(gè)guest用戶,用戶名為vhost1...vhostn并且創(chuàng)建了一個(gè)webuser組����,把所有的vhost用戶全部加入這個(gè)webuser組里面方便管理
E:/
Administrators全部(該文件夾,子文件夾及文件)
E:/wwwsite
Administrators全部(該文件夾���,子文件夾及文件)
system全部(該文件夾,子文件夾及文件)
service全部(該文件夾����,子文件夾及文件)
E:/wwwsite/vhost1
Administrators全部(該文件夾,子文件夾及文件)
system全部(該文件夾����,子文件夾及文件)
vhost1全部(該文件夾����,子文件夾及文件)
3����、數(shù)據(jù)備份盤(pán)
數(shù)據(jù)備份盤(pán)最好只指定一個(gè)特定的用戶對(duì)它有完全操作的權(quán)限
比如F盤(pán)為數(shù)據(jù)備份盤(pán)���,我們只指定一個(gè)管理員對(duì)它有完全操作的權(quán)限
4�����、其它地方的權(quán)限設(shè)置
請(qǐng)找到c盤(pán)的這些文件���,把安全性設(shè)置只有特定的管理員有完全操作權(quán)限
下列這些文件只允許administrators訪問(wèn)
net.exe
net1.exet
cmd.exe
tftp.exe
netstat.exe
regedit.exe
at.exe
attrib.exe
cacls.exe
format.com
5.刪除c:/inetpub目錄,刪除iis不必要的映射�,建立陷阱帳號(hào)���,更改描述
第三招:禁用不必要的服務(wù),提高安全性和系統(tǒng)效率
Computer Browser 維護(hù)網(wǎng)絡(luò)上計(jì)算機(jī)的最新列表以及提供這個(gè)列表
Task scheduler 允許程序在指定時(shí)間運(yùn)行
Routing and Remote Access 在局域網(wǎng)以及廣域網(wǎng)環(huán)境中為企業(yè)提供路由服務(wù)
Removable storage 管理可移動(dòng)媒體�、驅(qū)動(dòng)程序和庫(kù)
Remote Registry Service 允許遠(yuǎn)程注冊(cè)表操作
Print Spooler 將文件加載到內(nèi)存中以便以后打印。要用打印機(jī)的朋友不能禁用這項(xiàng)
IPSEC Policy Agent 管理IP安全策略以及啟動(dòng)ISAKMP/OakleyIKE)和IP安全驅(qū)動(dòng)程序
Distributed Link Tracking Client 當(dāng)文件在網(wǎng)絡(luò)域的NTFS卷中移動(dòng)時(shí)發(fā)送通知
Com+ Event System 提供事件的自動(dòng)發(fā)布到訂閱COM組件
Alerter 通知選定的用戶和計(jì)算機(jī)管理警報(bào)
Error Reporting Service 收集����、存儲(chǔ)和向 Microsoft 報(bào)告異常應(yīng)用程序
Messenger 傳輸客戶端和服務(wù)器之間的 NET SEND 和 警報(bào)器服務(wù)消息
Telnet 允許遠(yuǎn)程用戶登錄到此計(jì)算機(jī)并運(yùn)行程序 第四招:修改注冊(cè)表,讓系統(tǒng)更強(qiáng)壯
1����、隱藏重要文件/目錄可以修改注冊(cè)表實(shí)現(xiàn)完全隱藏:HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/ Current-Version/Explorer/Advanced/Folder/Hi-dden/SHOWALL”,鼠標(biāo)右擊 “CheckedValue”����,選擇修改,把數(shù)值由1改為0
2�、啟動(dòng)系統(tǒng)自帶的Internet連接_blank">防火墻,在設(shè)置服務(wù)選項(xiàng)中勾選Web服務(wù)器���。
3、防止SYN洪水攻擊
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters
新建DWORD值�,名為SynAttackProtect,值為2
EnablePMTUDiscovery REG_DWORD 0
NoNameReleaseOnDemand REG_DWORD 1
EnableDeadGWDetect REG_DWORD 0
KeepAliveTime REG_DWORD 300,000
PerformRouterDiscovery REG_DWORD 0
EnableICMPRedirects REG_DWORD 0
4. 禁止響應(yīng)ICMP路由通告報(bào)文
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters/Interfaces/interface
新建DWORD值���,名為PerformRouterDiscovery 值為0
5. 防止ICMP重定向報(bào)文的攻擊
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters
將EnableICMPRedirects 值設(shè)為0
6. 不支持IGMP協(xié)議
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters
新建DWORD值,名為IGMPLevel 值為0
7.修改終端服務(wù)端口
運(yùn)行regedit�,找到[HKEY_LOCAL_MACHINE / SYSTEM / CurrentControlSet / Control / Terminal Server / Wds / rdpwd / Tds / tcp],看到右邊的PortNumber了嗎����?在十進(jìn)制狀態(tài)下改成你想要的端口號(hào)吧�����,比如7126之類的�����,只要不與其它沖突即可���。
2、第二處HKEY_LOCAL_MACHINE / SYSTEM / CurrentControlSet / Control / Terminal Server / WinStations / RDP-Tcp��,方法同上���,記得改的端口號(hào)和上面改的一樣就行了�����。
8、禁止IPC空連接:
cracker可以利用net use命令建立空連接��,進(jìn)而入侵���,還有net view����,nbtstat這些都是基于空連接的�,禁止空連接就好了。打開(kāi)注冊(cè)表���,找到Local_Machine/System/CurrentControlSet/Control/LSA-RestrictAnonymous 把這個(gè)值改成”1”即可����。
9�����、更改TTL值
cracker可以根據(jù)ping回的TTL值來(lái)大致判斷你的操作系統(tǒng)�,如:
TTL=107(WINNT);
TTL=108(win2000);
TTL=127或128(win9x);
TTL=240或241(linux);
TTL=252(solaris);
TTL=240(Irix);
實(shí)際上你可以自己更改的:HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters:DefaultTTL REG_DWORD 0-0xff(0-255 十進(jìn)制,默認(rèn)值128)改成一個(gè)莫名其妙的數(shù)字如258����,起碼讓那些小菜鳥(niǎo)暈上半天�����,就此放棄入侵你也不一定哦
10. 刪除默認(rèn)共享
有人問(wèn)過(guò)我一開(kāi)機(jī)就共享所有盤(pán),改回來(lái)以后�����,重啟又變成了共享是怎么回事�,這是2K為管理而設(shè)置的默認(rèn)共享,必須通過(guò)修改注冊(cè)表的方式取消它:HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/LanmanServer/Parameters:AutoShareServer類型是REG_DWORD把值改為0即可
11. 禁止建立空連接
默認(rèn)情況下�����,任何用戶通過(guò)通過(guò)空連接連上服務(wù)器�����,進(jìn)而枚舉出帳號(hào)���,猜測(cè)密碼。我們可以通過(guò)修改注冊(cè)表來(lái)禁止建立空連接:
Local_Machine/System/CurrentControlSet/Control/LSA-RestrictAnonymous 的值改成”1”即可�。
第五招:其它安全手段
1.禁用TCP/IP上的NetBIOS
網(wǎng)上鄰居-屬性-本地連接-屬性-Internet協(xié)議(TCP/IP)屬性-高級(jí)-WINS面板-NetBIOS設(shè)置-禁用TCP/IP上的NetBIOS。這樣cracker就無(wú)法用nbtstat命令來(lái)讀取你的NetBIOS信息和網(wǎng)卡MAC地址了�。
2. 賬戶安全
首先禁止一切賬戶,除了你自己�����,呵呵����。然后把Administrator改名���。我呢就順手又建了個(gè)Administrator賬戶�����,不過(guò)是什么權(quán)限都沒(méi)有的那種����,然后打開(kāi)記事本����,一陣亂敲����,復(fù)制,粘貼到“密碼”里去��,呵呵�����,來(lái)破密碼吧~�����!破完了才發(fā)現(xiàn)是個(gè)低級(jí)賬戶�����,看你崩潰不�����?
創(chuàng)建2個(gè)管理員用帳號(hào)
雖然這點(diǎn)看上去和上面這點(diǎn)有些矛盾���,但事實(shí)上是服從上面的規(guī)則的�。 創(chuàng)建一個(gè)一般權(quán)限帳號(hào)用來(lái)收信以及處理一些*常事物�,另一個(gè)擁有Administrators 權(quán)限的帳戶只在需要的時(shí)候使用?���?梢宰尮芾韱T使用 “ RunAS” 命令來(lái)執(zhí)行一些需要特權(quán)才能作的一些工作,以方便管理
3.更改C:/WINDOWS/Help/iisHelp/common/404b.htm內(nèi)容改為 這樣,出錯(cuò)了自動(dòng)轉(zhuǎn)到首頁(yè)
4. 安全日志
我遇到過(guò)這樣的情況���,一臺(tái)主機(jī)被別人入侵了,系統(tǒng)管理員請(qǐng)我去追查兇手����,我登錄進(jìn)去一看:安全日志是空的����,倒,請(qǐng)記?����。篧in2000的默認(rèn)安裝是不開(kāi)任何安全審核的�����!那么請(qǐng)你到本地安全策略->審核策略中打開(kāi)相應(yīng)的審核�����,推薦的審核是:
賬戶管理 成功 失敗
登錄事件 成功 失敗
對(duì)象訪問(wèn) 失敗
策略更改 成功 失敗
特權(quán)使用 失敗
系統(tǒng)事件 成功 失敗
目錄服務(wù)訪問(wèn) 失敗
賬戶登錄事件 成功 失敗
審核項(xiàng)目少的缺點(diǎn)是萬(wàn)一你想看發(fā)現(xiàn)沒(méi)有記錄那就一點(diǎn)都沒(méi)轍����;審核項(xiàng)目太多不僅會(huì)占用系統(tǒng)資源而且會(huì)導(dǎo)致你根本沒(méi)空去看,這樣就失去了審核的意義
5. 運(yùn)行防毒軟件
我見(jiàn)過(guò)的Win2000/Nt服務(wù)器從來(lái)沒(méi)有見(jiàn)到有安裝了防毒軟件的�,其實(shí)這一點(diǎn)非常重要。一些好的殺毒軟件不僅能殺掉一些著名的病毒�,還能查殺大量木馬和后門(mén)程序。這樣的話�����,“黑客”們使用的那些有名的木馬就毫無(wú)用武之地了��。不要忘了經(jīng)常升級(jí)病毒庫(kù),我們推薦mcafree殺毒軟件+blackice_blank">防火墻
6.sqlserver數(shù)據(jù)庫(kù)服務(wù)器安全和serv-u ftp服務(wù)器安全配置����,更改默認(rèn)端口,和管理密碼
7.設(shè)置ip篩選���、用blackice禁止木馬常用端口
一般禁用以下端口
135 138 139 443 445 4000 4899 7626
8.本地安全策略和組策略的設(shè)置,如果你在設(shè)置本地安全策略時(shí)設(shè)置錯(cuò)了,可以這樣恢復(fù)成它的默認(rèn)值.
打開(kāi) %SystemRoot%/Security文件夾,創(chuàng)建一個(gè) "OldSecurity"子目錄,將%SystemRoot%/Security下所有的.log文件移到這個(gè)新建的子文件夾中.
在%SystemRoot%/Security/database/下找到"Secedit.sdb"安全數(shù)據(jù)庫(kù)并將其改名,如改為"Secedit.old".
啟動(dòng)"安全配置和分析"MMC管理單元:"開(kāi)始"->"運(yùn)行"->"MMC",啟動(dòng)管理控制臺(tái),"添加/刪除管理單元",將"安全配置和分析"管理單元添加上.
右擊"安全配置和分析"->"打開(kāi)數(shù)據(jù)庫(kù)",瀏覽"C:/WINNT/security/Database"文件夾,輸入文件名"secedit.sdb",單擊"打開(kāi)".
當(dāng)系統(tǒng)提示輸入一個(gè)模板時(shí),選擇"Setup Security.inf",單擊"打開(kāi)".
如果系統(tǒng)提示"拒絕訪問(wèn)數(shù)據(jù)庫(kù)",不管他.
你會(huì)發(fā)現(xiàn)在"C:/WINNT/security/Database"子文件夾中重新生成了新的安全數(shù)據(jù)庫(kù),
在"C:/WINNT/security"子文件夾下重新生成了log文件.安全數(shù)據(jù)庫(kù)重建成功.
