电脑知识|欧美黑人一区二区三区|软件|欧美黑人一级爽快片淫片高清|系统|欧美黑人狂野猛交老妇|数据库|服务器|编程开发|网络运营|知识问答|技术教程文章 - 好吧啦网

您的位置:首頁技術(shù)文章
文章詳情頁

Win Server 2003個人網(wǎng)絡(luò)服務(wù)器安全攻略

瀏覽:11日期:2023-10-27 11:51:41

文/waterswea

  一、Windows Server2003的安裝

1、安裝系統(tǒng)最少兩需要個分區(qū),分區(qū)格式都采用NTFS格式

2、在斷開網(wǎng)絡(luò)的情況安裝好2003系統(tǒng)

3、安裝IIS,僅安裝必要的 IIS 組件(禁用不需要的如FTP 和 SMTP 服務(wù))。默認(rèn)情況下,IIS服務(wù)沒有安裝,在添加/刪除Win組件中選擇“應(yīng)用程序服務(wù)器”,然后點擊“詳細(xì)信息”,雙擊Internet信息服務(wù)(iis),勾選以下選項:

Internet 信息服務(wù)管理器;

公用文件;

后臺智能傳輸服務(wù) (BITS) 服務(wù)器擴展;

萬維網(wǎng)服務(wù)。

如果你使用 FrontPage 擴展的 Web 站點再勾選:FrontPage 2002 Server Extensions

4、安裝MSSQL及其它所需要的軟件然后進行Update。

5、使用Microsoft 提供的 MBSA(Microsoft Baseline Security Analyzer) 工具分析計算機的安全配置,并標(biāo)識缺少的修補程序和更新。下載地址:見頁末的鏈接

二、設(shè)置和管理賬戶

1、系統(tǒng)管理員賬戶最好少建,更改默認(rèn)的管理員帳戶名(Administrator)和描述,密碼最好采用數(shù)字加大小寫字母加數(shù)字的上檔鍵組合,長度最好不少于14位。

2、新建一個名為Administrator的陷阱帳號,為其設(shè)置最小的權(quán)限,然后隨便輸入組合的最好不低于20位的密碼

3、將Guest賬戶禁用并更改名稱和描述,然后輸入一個復(fù)雜的密碼,當(dāng)然現(xiàn)在也有一個DelGuest的工具,也許你也可以利用它來刪除Guest賬戶,但我沒有試過。

4、在運行中輸入gpedit.msc回車,打開組策略編輯器,選擇計算機配置-Windows設(shè)置-安全設(shè)置-賬戶策略-賬戶鎖定策略,將賬戶設(shè)為“三次登陸無效”,“鎖定時瀋櫛?0分鐘”,“復(fù)位鎖定計數(shù)設(shè)為30分鐘”。

5、在安全設(shè)置-本地策略-安全選項中將“不顯示上次的用戶名”設(shè)為啟用

6、在安全設(shè)置-本地策略-用戶權(quán)利分配中將“從網(wǎng)絡(luò)訪問此計算機”中只保留Internet來賓賬戶、啟動IIS進程賬戶。如果你使用了Asp.net還要保留Aspnet賬戶。

7、創(chuàng)建一個User賬戶,運行系統(tǒng),如果要運行特權(quán)命令使用Runas命令。

三、網(wǎng)絡(luò)服務(wù)安全管理

1、禁止C$、D$、ADMIN$一類的缺省共享

打開注冊表,HKEY_LOCAL_MacHINESYSTEMCurrentControlSetServiceslanmanserverparameters,在右邊的窗口中新建DWord值,名稱設(shè)為AutoShareServer值設(shè)為0

2、 解除NetBios與TCP/IP協(xié)議的綁定

右擊網(wǎng)上鄰居-屬性-右擊本地連接-屬性-雙擊Internet協(xié)議-高級-Wins-禁用TCP/IP上的NETBIOS

3、關(guān)閉不需要的服務(wù),以下為建議選項

Computer Browser:維護網(wǎng)絡(luò)計算機更新,禁用

Distributed File System: 局域網(wǎng)管理共享文件,不需要禁用

Distributed linktracking clIEnt:用于局域網(wǎng)更新連接信息,不需要禁用

Error reporting service:禁止發(fā)送錯誤報告

Microsoft Serch:提供快速的單詞搜索,不需要可禁用

NTLMSecuritysupportprovide:telnet服務(wù)和Microsoft Serch用的,不需要禁用

PrintSpooler:如果沒有打印機可禁用

Remote Registry:禁止遠(yuǎn)程修改注冊表

Remote Desktop Help Session Manager:禁止遠(yuǎn)程協(xié)助

四、打開相應(yīng)的審核策略

在運行中輸入gpedit.msc回車,打開組策略編輯器,選擇計算機配置-Windows設(shè)置-安全設(shè)置-審核策略在創(chuàng)建審核項目時需要注意的是如果審核的項目太多,生成的事件也就越多,那么要想發(fā)現(xiàn)嚴(yán)重的事件也越難當(dāng)然如果審核的太少也會影響你發(fā)現(xiàn)嚴(yán)重的事件,你需要根據(jù)情況在這二者之間做出選擇。

推薦的要審核的項目是:

登錄事件;;成功 失敗

賬戶登錄事件 成功 失敗

系統(tǒng)事件;;成功 失敗

策略更改;;成功 失敗

對象訪問;;失敗

目錄服務(wù)訪問 失敗

特權(quán)使用;;失敗

五、其它安全相關(guān)設(shè)置

1、隱藏重要文件/目錄

可以修改注冊表實現(xiàn)完全隱藏:“HKEY_LOCAL_MacHINESOFTWAREMicrosoftWindowsCurrent-VersionExplorerAdvancedFolderHi-ddenSHOWALL”,鼠標(biāo)右擊“CheckedValue”,選擇修改,把數(shù)值由1改為0

2、啟動系統(tǒng)自帶的Internet連接防火墻,在設(shè)置服務(wù)選項中勾選Web服務(wù)器。

3、防止SYN洪水攻擊

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters

新建DWord值,名為SynAttackProtect,值為2

4. 禁止響應(yīng)ICMP路由通告報文

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfacesinterface

新建DWORD值,名為PerformRouterDiscovery 值為0

5. 防止ICMP重定向報文的攻擊

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters

將EnableICMPRedirects 值設(shè)為0

6. 不支持IGMP協(xié)議

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters

新建DWORD值,名為IGMPLevel 值為0

7、禁用DCOM:

運行中輸入 Dcomcnfg.exe。 回車, 單擊“控制臺根節(jié)點”下的“組件服務(wù)”。 打開“計算機”子文件夾。

對于本地計算機,請以右鍵單擊“我的電腦”,然后選擇“屬性”。選擇“默認(rèn)屬性”選項卡。

清除“在這臺計算機上啟用分布式 COM”復(fù)選框。

注:3-6項內(nèi)容我采用的是Server2000設(shè)置,沒有測試過對2003是否起作用。但有一點可以肯定我用了一段的時間沒有發(fā)現(xiàn)其它副面的影響。

六、配置 IIS 服務(wù):

1、不使用默認(rèn)的Web站點,如果使用也要將 將IIS目錄與系統(tǒng)磁盤分開。

2、刪除IIS默認(rèn)創(chuàng)建的Inetpub目錄(在安裝系統(tǒng)的盤上)。

3、刪除系統(tǒng)盤下的虛擬目錄,如:_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。

4、刪除不必要的IIS擴展名映射。

右鍵單擊“默認(rèn)Web站點→屬性→主目錄→配置”,打開應(yīng)用程序窗口,去掉不必要的應(yīng)用程序映射。主要為.sHTML, .shtm, .stm

5、更改IIS日志的路徑

右鍵單擊“默認(rèn)Web站點→屬性-網(wǎng)站-在啟用日志記錄下點擊屬性

6、如果使用的是2000可以使用iislockdown來保護IIS,在2003運行的IE6.0的版本不需要。

7、使用UrlScan

UrlScan是一個ISAPI篩選器,它對傳入的HTTP數(shù)據(jù)包進行分析并可以拒絕任何可疑的通信量。目前最新的版本是2.5,如果是2000Server需要先安裝1.0或2.0的版本。下載地址見頁未的鏈接

如果沒有特殊的要求采用UrlScan默認(rèn)配置就可以了。

但如果你在服務(wù)器運行ASP.NET程序,并要進行調(diào)試你需打開要%WINDIR%System32InetsrvURLscan

文件夾中的URLScan.ini 文件,然后在UserAllowVerbs節(jié)添加debug謂詞,注意此節(jié)是區(qū)分大小寫的。

如果你的網(wǎng)頁是.asp網(wǎng)頁你需要在DenyExtensions刪除.asp相關(guān)的內(nèi)容。

如果你的網(wǎng)頁使用了非ASCII代碼,你需要在Option節(jié)中將AllowHighBitCharacters的值設(shè)為1

在對URLScan.ini 文件做了更改后,你需要重啟IIS服務(wù)才能生效,快速方法運行中輸入iisreset

如果你在配置后出現(xiàn)什么問題,你可以通過添加/刪除程序刪除UrlScan。

8、利用WIS (Web Injection Scanner)工具對整個網(wǎng)站進行SQL Injection 脆弱性掃描.

下載地址:VB.NET愛好者

七、配置Sql服務(wù)器

1、System Administrators 角色最好不要超過兩個

2、如果是在本機最好將身份驗證配置為Win登陸

3、不要使用Sa賬戶,為其配置一個超級復(fù)雜的密碼

4、刪除以下的擴展存儲過程格式為:use master sp_dropextendedproc '擴展存儲過程名'

xp_cmdshell:是進入操作系統(tǒng)的最佳捷徑,刪除

訪問注冊表的存儲過程,刪除Xp_regaddmultistringXp_regdeletekeyXp_regdeletevalueXp_regenumvalues;;Xp_regread  Xp_regwrite Xp_regremovemultistring

OLE自動存儲過程,不需要刪除Sp_OACreate   Sp_OADestroySp_OAGetErrorInfoSp_OAGetPropertySp_OAMethodSp_OASetPropertySp_OAStop

5、隱藏 SQL Server、更改默認(rèn)的1433端口

右擊實例選屬性-常規(guī)-網(wǎng)絡(luò)配置中選擇TCP/IP協(xié)議的屬性,選擇隱藏 SQL Server 實例,并改原默認(rèn)的1433端口。

八、如果只做服務(wù)器,不進行其它操作,使用IPSec

1、管理工具—本地安全策略—右擊IP安全策略—管理IP篩選器表和篩選器操作—在管理IP篩選器表選項下點擊

添加—名稱設(shè)為Web篩選器—點擊添加—在描述中輸入Web服務(wù)器—將源地址設(shè)為任何IP地址——將目標(biāo)地址設(shè)為我的IP地址——協(xié)議類型設(shè)為Tcp——IP協(xié)議端口第一項設(shè)為從任意端口,第二項到此端口80——點擊完成——點擊確定。

2、再在管理IP篩選器表選項下點擊

添加—名稱設(shè)為所有入站篩選器—點擊添加—在描述中輸入所有入站篩選—將源地址設(shè)為任何IP地址——將目標(biāo)地址設(shè)為我的IP地址——協(xié)議類型設(shè)為任意——點擊下一步——完成——點擊確定。

3、在管理篩選器操作選項下點擊添加——下一步——名稱中輸入阻止——下一步——選擇阻止——下一步——完成——關(guān)閉管理IP篩選器表和篩選器操作窗口

4、右擊IP安全策略——創(chuàng)建IP安全策略——下一步——名稱輸入數(shù)據(jù)包篩選器——下一步——取消默認(rèn)激活響應(yīng)原則——下一步——完成

5、在打開的新IP安全策略屬性窗口選擇添加——下一步——不指定隧道——下一步——所有網(wǎng)絡(luò)連接——下一步——在IP篩選器列表中選擇新建的Web篩選器——下一步——在篩選器操作中選擇許可——下一步——完成——在IP篩選器列表中選擇新建的阻止篩選器——下一步——在篩選器操作中選擇阻止——下一步——完成——確定

6、在IP安全策略的右邊窗口中右擊新建的數(shù)據(jù)包篩選器,點擊指派,不需要重啟,IPSec就可生效.

九、建議

如果你按本文去操作,建議每做一項更改就測試一下服務(wù)器,如果有問題可以馬上撤消更改。而如果更改的項數(shù)多,才發(fā)現(xiàn)出問題,那就很難判斷問題是出在哪一步上了。

十、運行服務(wù)器記錄當(dāng)前的程序和開放的端口

1、將當(dāng)前服務(wù)器的進程抓圖或記錄下來,將其保存,方便以后對照查看是否有不明的程序。

2、將當(dāng)前開放的端口抓圖或記錄下來,保存,方便以后對照查看是否開放了不明的端口。當(dāng)然如果你能分辨每一個進程,和端口這一步可以省略。

標(biāo)簽: Windows系統(tǒng) Win2003
主站蜘蛛池模板: ERP企业管理系统永久免费版_在线ERP系统_OA办公_云版软件官网 | 塑料瓶罐_食品塑料瓶_保健品塑料瓶_调味品塑料瓶–东莞市富慷塑料制品有限公司 | 杭州|上海贴标机-百科| 磁粉制动器|张力控制器|气胀轴|伺服纠偏控制器整套厂家--台灵机电官网 | 浙江皓格药业有限公司| 有机肥设备生产制造厂家,BB掺混肥搅拌机、复合肥设备生产线,有机肥料全部加工设备多少钱,对辊挤压造粒机,有机肥造粒设备 -- 郑州程翔重工机械有限公司 | 拖鞋定制厂家-品牌拖鞋代加工厂-振扬实业中国高端拖鞋大型制造商 | 皮带输送机-大倾角皮带输送机-皮带输送机厂家-河南坤威机械 | 无线对讲-无线对讲系统解决方案-重庆畅博通信 | 警用|治安|保安|不锈钢岗亭-售货亭价格-垃圾分类亭-移动厕所厂家-苏州灿宇建材 | 仓储货架_南京货架_钢制托盘_仓储笼_隔离网_环球零件盒_诺力液压车_货架-南京一品仓储设备制造公司 | 海尔生物医疗四川代理商,海尔低温冰箱四川销售-成都壹科医疗器械有限公司 | 脉冲除尘器,除尘器厂家-淄博机械 | 不锈钢钢格栅板_热浸锌钢格板_镀锌钢格栅板_钢格栅盖板-格美瑞 | 横河变送器-横河压力变送器-EJA变送器-EJA压力变送器-「泉蕴仪表」 | 河南卓美创业科技有限公司-河南卓美防雷公司-防雷接地-防雷工程-重庆避雷针-避雷器-防雷检测-避雷带-避雷针-避雷塔、机房防雷、古建筑防雷等-山西防雷公司 | 浩方智通 - 防关联浏览器 - 跨境电商浏览器 - 云雀浏览器 | 动库网动库商城-体育用品专卖店:羽毛球,乒乓球拍,网球,户外装备,运动鞋,运动包,运动服饰专卖店-正品运动品网上商城动库商城网 - 动库商城 | 上海电子秤厂家,电子秤厂家价格,上海吊秤厂家,吊秤供应价格-上海佳宜电子科技有限公司 | 智慧养老_居家养老_社区养老_杰佳通 | GAST/BRIWATEC/CINCINNATI/KARL-KLEIN/ZIEHL-ABEGG风机|亚喜科技 | 防火门-专业生产甲级不锈钢钢质防火门厂家资质齐全-广东恒磊安防设备有限公司 | 慢回弹测试仪-落球回弹测试仪-北京冠测精电仪器设备有限公司 | 彭世修脚_修脚加盟_彭世修脚加盟_彭世足疗加盟_足疗加盟连锁_彭世修脚技术培训_彭世足疗 | 瑞典Blueair空气净化器租赁服务中心-专注新装修办公室除醛去异味服务! | 铝机箱_铝外壳加工_铝外壳厂家_CNC散热器加工-惠州市铂源五金制品有限公司 | 空调风机,低噪声离心式通风机,不锈钢防爆风机,前倾皮带传动风机,后倾空调风机-山东捷风风机有限公司 | 户外健身路径_小区健身器材_室外健身器材厂家_价格-浩然体育 | LCD3D打印机|教育|桌面|光固化|FDM3D打印机|3D打印设备-广州造维科技有限公司 | 首页_中夏易经起名网| 不锈钢电动球阀_气动高压闸阀_旋塞疏水调节阀_全立阀门-来自温州工业阀门巨头企业 | 铆钉机|旋铆机|东莞旋铆机厂家|鸿佰专业生产气压/油压/自动铆钉机 | 塑料异型材_PVC异型材_封边条生产厂家_PC灯罩_防撞扶手_医院扶手价格_东莞市怡美塑胶制品有限公司 | 阳光模拟试验箱_高低温试验箱_高低温冲击试验箱_快速温变试验箱|东莞市赛思检测设备有限公司 | 深圳工程师职称评定条件及流程_深圳职称评审_职称评审-职称网 | 河北中仪伟创试验仪器有限公司是专业生产沥青,土工,水泥,混凝土等试验仪器的厂家,咨询电话:13373070969 | 称重传感器,测力传感器,拉压力传感器,压力变送器,扭矩传感器,南京凯基特电气有限公司 | 代做标书-代写标书-专业标书文件编辑-「深圳卓越创兴公司」 | 儿童乐园|游乐场|淘气堡招商加盟|室内儿童游乐园配套设备|生产厂家|开心哈乐儿童乐园 | 青岛侦探调查_青岛侦探事务所_青岛调查事务所_青岛婚外情取证-青岛狄仁杰国际侦探公司 | 客服外包专业服务商_客服外包中心_网萌科技|