win2003服务器安全设置教程, L' b1 L/ k" v% W
服务器安全设置 3 o. {, r* X8 S- w
1、系统盘和站点放置盘必须设置为NTFS格式,方便设置权限。
' \7 ?1 R1 G" ]; [0 K7 v/ _8 F2、系统盘和站点放置盘除administrators 和system的用户权限全部去除。
; i7 W( I5 ^- d/ E
( r( S: c' A! I: Z5 S) ~3、启用windows自带防火墙,只保留有用的端口,比如远程和Web、Ftp(3389、80、21)等等,有邮件服务器的还要打开25和130端口。
: P) z* K! F/ K" Q) Y6 K. F ; ?$ q0 ^3 s! ]. ?0 i( c, l2 L( c
' _/ y% {% Y4 \" ?8 J1 C
( A% L0 T. {# F E" X- D! b3 ]5 J6 L
4、安装好SQL后进入目录搜索 xplog70 然后将找到的三个文件改名或者删除。 & L* q, c2 ^7 n, e
5 j: p7 Q) C% X8 s$ A: C- u
5、更改sa密码为你都不知道的超长密码,在任何情况下都不要用sa这个帐户。
2 C3 }+ z% Q/ I+ ~
6 b/ c. {- L3 y, X4 W6、改名系统默认帐户名并新建一个Administrator帐户作为陷阱帐户,设置超长密码,并去掉所有用户组。(就是在用户组那里设置为空即可。让这个帐号不属于任何用户组—样)同样改名禁用掉Guest用户。 + P5 H! t& b3 j9 r. y# j
; v& A3 p' V3 x
7、配置帐户锁定策略(在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略,将账户设为“三次登陆无效”,“锁定时间30分钟”,“复位锁定计数设为30分钟”。) : R* o2 I3 P8 \' j; c' B
& H' x: u* q3 Y8 S8、在安全设置里本地策略-安全选项将
A1 o1 u9 v0 |* ?* H* T# u网络访问:可匿名访问的共享; : U* E2 b- F- J, q% ~
网络访问:可匿名访问的命名管道;
" z8 Y; A J0 [% `6 G9 v网络访问:可远程访问的注册表路径;
7 |" x# I- p+ n) c- \网络访问:可远程访问的注册表路径和子路径;
# p0 m0 ?# h( k- G( h% p0 e以上四项清空。
7 }9 |" S- U' B9 q. E7 h5 ~
( n5 s7 {9 R$ [8 D5 k9、在安全设置里 本地策略-安全选项 通过终端服务拒绝登陆 加入 4 g, [3 ] U( g6 @. Z
) D; y6 p% c& }0 |
6 ]" `: k; F" V
' y, @9 O$ i. O
\# Z( S7 g5 ~以下为引用的内容: ASPNET Guest IUSR_***** IWAM_***** NETWORK SERVICE SQLDebugger |
4 V! Q6 F* W% h+ s5 s4 ]0 E/ q) d5 p+ z: p* x
(****表示你的机器名,具体查找可以点击 添加用户或组 选 高级 选 立即查找 在底下列出的用户列表里选择. 注意不要添加进user组和administrators组 添加进去以后就没有办法远程登陆了。)
, O( R% M2 f7 i. f
6 t3 }! R. j6 l5 X10、去掉默认共享,将以下文件存为reg后缀,然后执行导入即可。 , B! _9 `! O3 T/ Q& J: L
Windows Registry Editor Version 5.00 $ d! P: w2 ~# f( F3 H( {
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
; A8 I- f4 K3 w6 D* z4 p) U. w2 E"AutoShareServer"=dword:00000000
* s9 i/ m' p o H. r |"AutoSharewks"=dword:00000000
5 Q' ]* N6 W" \! B
/ i; ^1 `: x& W% b' P11、 禁用不需要的和危险的服务,以下列出服务都需要禁用。 9 e7 b* R$ M ^6 G* j' I/ d$ K
Alerter 发送管理警报和通知 5 r2 l0 G. R( d& c$ U
Computer Browser:维护网络计算机更新 . b& F9 N& f" H+ C0 x
Distributed File System: 局域网管理共享文件
0 ?5 T2 ^5 v2 mDistributed linktracking client 用于局域网更新连接信息
' M0 |' x: E+ ]: B, n' vError reporting service 发送错误报告
" p5 h% [3 Y% N3 s( A! A$ E0 xRemote Procedure Call (RPC) Locator RpcNs*远程过程调用 (RPC)
4 {6 w. V0 [5 J5 E- u, U( o5 M. oRemote Registry 远程修改注册表
2 {/ @! L! x9 u1 `. {2 WRemovable storage 管理可移动媒体、驱动程序和库 5 R& J0 R6 T/ y0 R
Remote Desktop Help Session Manager 远程协助
8 e* K% n" J+ J) X& `Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务 / s& [* Y) m! R9 U& Y5 `. f# J
Messenger 消息文件传输服务 ( ]; z2 V$ G# m
Net Logon 域控制器通道管理
M% ]" {( `5 a% J* BNTLMSecuritysupportprovide telnet服务和Microsoft Serch用的 6 p% p5 s2 q1 a$ e" u1 G
PrintSpooler 打印服务
q% u! w Z7 [0 c8 x; @telnet telnet服务
: t5 R" Y0 z1 z1 z6 B& c( O0 h7 rWorkstation 泄漏系统用户名列表
/ i, I: F2 p1 {' }$ e9 Q12、更改本地安全策略的审核策略
! p: A5 i, V; e账户管理 成功 失败
: g# U: p0 p5 n登录事件 成功 失败 3 @/ }+ t; M$ I5 y
对象访问 失败 ! C5 _8 J. u1 ]9 o/ V, W: p Z. {
策略更改 成功 失败
& a" V* ]9 @; \5 R: D4 K# _, E+ M特权使用 失败
0 }" \* l/ u3 E" h系统事件 成功 失败
) g, Z9 l) I1 K1 v" [目录服务访问 失败
. I: i8 g" K2 Z账户登录事件 成功 失败
7 ?. J! |" E' L# }8 |/ K3 Z13、更改有可能会被提权利用的文件运行权限,找到以下文件,将其安全设置里除administrators用户组全部删除,重要的是连system也不要留。 . H; x( D, l4 |: E2 c
net.exe
7 b( \0 v d# H, Vnet1.exe 2 q# G" Q6 a, F! ~- X
cmd.exe & x- N7 Q1 x% P8 L* X7 x- J
tftp.exe , m( l7 D, r* w: ~) E
netstat.exe & ]3 S* \5 b' E/ S
regedit.exe
: U4 B. b* U2 dat.exe
4 ]8 Z# j% i5 j* V" o# @( i9 dattrib.exe
# C' C. [% r, M1 ]- mcacls.exe
: G A" b$ {7 z2 n, cformat.com - ^# p! U+ m+ ~. X6 C j% {
c.exe 特殊文件 有可能在你的计算机上找不到此文件。 : [' h$ H; U! t& o( }. B- I# b
在搜索框里输入
% V3 l( p" O' I9 g"net.exe","net1.exe","cmd.exe","tftp.exe","netstat.exe","regedit.exe","at.exe","attrib.exe","cacls.exe","format.com","c.exe" 4 l4 ~% {9 c! h6 |: j5 T* u
点击搜索 然后全选 右键 属性 安全 - k: x5 T% s- R5 d. T8 [, b+ B
8 E+ T1 q3 x+ p2 l, O: w
以上这点是最最重要的一点了,也是最最方便减少被提权和被破坏的可能的防御方法了。
4 s* [$ r! q# H/ d14、后备工作,将当前服务器的进程抓图或记录下来,将其保存,方便以后对照查看是否有不明的程序。将当前开放的端口抓图或记录下来,保存,方便以后对照查看是否开放了不明的端口。当然如果你能分辨每一个进程,和端口这一步可以省略。 |