第一步:
一、先關閉不需要的埠
我關閉了以下的服務
computer browser 維護網路上計算機的最新列表以及提供這個列表
task scheduler 允許程式在指定時間執行
routing and remote access 在區域網以及廣域網環境中為企業提供路由服務
removable storage 管理可移動**、驅動程式和庫
remote registry service 允許遠端登錄檔操作
print spooler 將檔案載入到記憶體中以便以後列印。要用印表機的朋友不能禁用這項
ipsec policy agent 管理ip安全策略以及啟動isakmp/oakleyike)和ip安全驅動程式
distributed link tracking client 當檔案在網路域的ntfs卷中移動時傳送通知
com+ event system 提供事件的自動發布到訂閱com元件
alerter 通知選定的使用者和計算機管理警報
error reporting service 收集、儲存和向 microsoft 報告異常應用程式
messenger 傳輸客戶端和伺服器之間的 net send 和 警報器服務訊息
telnet 允許遠端使用者登入到此計算機並執行程式
把不必要的服務都禁止掉,儘管這些不一定能被攻擊者利用得上,但是按照安全規則和標準上來說,多餘的東西就沒必要開啟,減少乙份隱患。
在"網路連線"裡,把不需要的協議和服務都刪掉,這裡只安裝了基本的internet協議(tcp/ip),由於要控制頻寬流量服務,額外安裝了qos資料報計畫程式。在高階tcp/ip設定裡--"netbios"設定"禁用tcp/ip上的netbios(s)"。在高階選項裡,使用"internet連線防火牆",這是windows 2003 自帶的防火牆,在2000系統裡沒有的功能,雖然沒什麼功能,但可以遮蔽埠,這樣已經基本達到了乙個ipsec的功能。
在執行中輸入gpedit.msc回車,開啟組策略編輯器,選擇計算機配置-windows設定-安全設定-審核策略在建立審核專案時需要注意的是如果審核的專案太多,生成的事件也就越多,那麼要想發現嚴重的事件也越難當然如果審核的太少也會影響你發現嚴重的事件,你需要根據情況在這二者之間做出選擇。
推薦的要審核的專案是:
登入事件 成功 失敗
賬戶登入事件 成功 失敗
系統事件 成功 失敗
策略更改 成功 失敗
物件訪問 失敗
目錄服務訪問 失敗
特權使用 失敗
三、磁碟許可權設定
1.系統盤許可權設定
c:分割槽部分:
c:/administrators 全部(該資料夾,子資料夾及檔案)
creator owner 全部(只有子檔案來及檔案)
system 全部(該資料夾,子資料夾及檔案)
iis_wpg 建立檔案/寫入資料(只有該資料夾)
iis_wpg(該資料夾,子資料夾及檔案)
遍歷資料夾/執行檔案
列出資料夾/讀取資料
讀取屬性
建立資料夾/附加資料
讀取許可權
c:/documents and settings
administrators 全部(該資料夾,子資料夾及檔案)
power users (該資料夾,子資料夾及檔案)
讀取和執行
列出資料夾目錄
讀取system全部(該資料夾,子資料夾及檔案)
c:/program files
administrators 全部(該資料夾,子資料夾及檔案)
creator owner全部(只有子檔案來及檔案)
iis_wpg (該資料夾,子資料夾及檔案)
讀取和執行
列出資料夾目錄
讀取power users(該資料夾,子資料夾及檔案)
修改許可權
system全部(該資料夾,子資料夾及檔案)
terminal server user (該資料夾,子資料夾及檔案)
修改許可權
2.**及虛擬機器許可權設定(比如**在e盤)
說明:我們假設**全部在e盤wwwsite目錄下,並且為每乙個虛擬機器建立了乙個guest使用者,使用者名為vhost1...vhostn並且建立了乙個webuser組,把所有的vhost使用者全部加入這個webuser組裡面方便管理。
e:/
administrators全部(該資料夾,子資料夾及檔案)
e:/wwwsite
administrators全部(該資料夾,子資料夾及檔案)
system全部(該資料夾,子資料夾及檔案)
service全部(該資料夾,子資料夾及檔案)
e:/wwwsite/vhost1
administrators全部(該資料夾,子資料夾及檔案)
system全部(該資料夾,子資料夾及檔案)
vhost1全部(該資料夾,子資料夾及檔案)
3.資料備份盤
資料備份盤最好只指定乙個特定的使用者對它有完全操作的許可權。比如f盤為資料備份盤,我們只指定乙個管理員對它有完全操作的許可權。
4.其它地方的許可權設定
請找到c盤的這些檔案,把安全性設定只有特定的管理員有完全操作許可權。
下列這些檔案只允許administrators訪問
net.exe
net1.exet
cmd.exe
tftp.exe
netstat.exe
regedit.exe
at.exe
attrib.exe
cacls.exe
format.com
5.刪除c:/inetpub目錄,刪除iis不必要的對映,建立陷阱帳號,更改描述。
四、防火牆、防毒軟體的安裝
我見過的win2000/nt伺服器從來沒有見到有安裝了防毒軟體的,其實這一點非常重要。一些好的防毒軟體不僅能殺掉一些著名的病毒,還能查殺大量木馬和後門程式。這樣的話,「黑客」們使用的那些有名的木馬就毫無用武之地了。不要忘了經常公升級病毒庫,我們推薦mcafree防毒軟體+blackice防火牆
五、sql2000 serv-u ftp安全設定
sql安全方面
1.system administrators 角色最好不要超過兩個
2.如果是在本機最好將身份驗證配置為win登陸
3.不要使用sa賬戶,為其配置乙個超級複雜的密碼
4.刪除以下的擴充套件儲存過程格式為:
use master
sp_dropextendedproc '擴充套件儲存過程名'
xp_cmdshell:是進入作業系統的最佳捷徑,刪除
訪問登錄檔的儲存過程,刪除
xp_regaddmultistring xp_regdeletekey xp_regdeletevalue xp_regenumvalues
xp_regread xp_regwrite xp_regremovemultistring
ole自動儲存過程,不需要刪除
sp_oacreate sp_oadestroy sp_oageterrorinfo sp_oagetproperty
sp_oamethod sp_oasetproperty sp_oastop
5.隱藏 sql server、更改預設的1433埠
右擊例項選屬性-常規-網路配置中選擇tcp/ip協議的屬性,選擇隱藏 sql server 例項,並改原預設的1433埠
serv-u的幾點常規安全需要設定下:
選中"block "ftp_bounce"attack and fxp"。什麼是fxp呢?通常,當使用ftp協議進行檔案傳輸時,客戶端首先向ftp伺服器發出乙個"port"命令,該命令中包含此使用者的ip位址和將被用來進行資料傳輸的埠號,伺服器收到後,利用命令所提供的使用者位址資訊建立與使用者的連線。大多數情況下,上述過程不會出現任何問題,但當客戶端是一名惡意使用者時,可能會通過在port命令中加入特定的位址資訊,使ftp伺服器與其它非客戶端的機器建立連線。雖然這名惡意使用者可能本身無權直接訪問某一特定機器,但是如果ftp伺服器有權訪問該機器的話,那麼惡意使用者就可以通過ftp伺服器作為中介,仍然能夠最終實現與目標伺服器的連線。這就是fxp,也稱跨伺服器攻擊。選中後就可以防止發生此種情況。
六、iis安全設定
win2003 伺服器設定 完全版
今天 0 總瀏覽 7109 整理日期 2007 06 02 第一步 一 先關閉不需要的埠 我關閉了以下的服務 computer browser 維護網路上計算機的最新列表以及提供這個列表 task scheduler 允許程式在指定時間執行 routing and remote access 在區域...
win2003 伺服器設定 完全版
第一步 一 先關閉不需要的埠 我關閉了以下的服務 computer browser 維護網路上計算機的最新列表以及提供這個列表 task scheduler 允許程式在指定時間執行 routing and remote access 在區域網以及廣域網環境中為企業提供路由服務 removable s...
win2003 伺服器設定 完全版
第一步 一 先關閉不需要的埠 我關閉了以下的服務 computer browser 維護網路上計算機的最新列表以及提供這個列表 task scheduler 允許程式在指定時間執行 routing and remote access 在區域網以及廣域網環境中為企業提供路由服務 removable s...