伺服器安全設定
1、系統盤和站點放置盤必須設定為ntfs格式,方便設定許可權。
2、系統盤和站點放置盤除administrators 和system的使用者許可權全部去除。
3、啟用windows自帶防火牆,只保留有用的埠,比如遠端和web、ftp(3389、80、21)等等,有郵件伺服器的還要開啟25和130埠。
4、安裝好sql後進入目錄搜尋 xplog70 然後將找到的三個檔案改名或者刪除。
5、更改sa密碼為你都不知道的超長密碼,在任何情況下都不要用sa這個帳戶。
6、改名系統預設帳戶名並新建乙個administrator帳戶作為陷阱帳戶,設定超長密碼,並去掉所有使用者組。(就是在使用者組那裡設定為空即可。讓這個帳號不屬於任何使用者組—樣)同樣改名禁用掉guest使用者。
7、配置帳戶鎖定策略(在執行中輸入gpedit.msc回車,開啟組策略編輯器,選擇計算機配置-windows設定-安全設定-賬戶策略-賬戶鎖定策略,將賬戶設為「三次登陸無效」,「鎖定時間30分鐘」,「復位鎖定計數設為30分鐘」。)
8、在安全設定裡本地策略-安全選項將
網路訪問:可匿名訪問的共享;
網路訪問:可匿名訪問的命名管道;
網路訪問:可遠端訪問的登錄檔路徑;
網路訪問:可遠端訪問的登錄檔路徑和子路徑;
以上四項清空。
9、在安全設定裡 本地策略-安全選項 通過終端服務拒絕登陸 加入
以下為引用的內容:
aspnet
guest
iusr_*****
iwam_*****
network service
sqldebugger
(****表示你的機器名,具體查詢可以點選 新增使用者或組 選 高階 選 立即查詢 在底下列出的使用者列表裡選擇. 注意不要新增進user組和administrators組 新增進去以後就沒有辦法遠端登陸了。)
10、去掉預設共享,將以下檔案存為reg字尾,然後執行匯入即可。
windows registry editor version 5.00
[hkey_local_machine\system\currentcontrolset\services\lanmanserver\parameters]
"autoshareserver"=dword:00000000
"autosharewks"=dword:00000000
11、 禁用不需要的和危險的服務,以下列出服務都需要禁用。
alerter 傳送管理警報和通知
computer browser:維護網路計算機更新
distributed file system: 區域網管理共享檔案
distributed linktracking client 用於區域網更新連線資訊
error reporting service 傳送錯誤報告
remote procedure call (rpc) locator rpcns*遠端過程呼叫 (rpc)
remote registry 遠端修改登錄檔
removable storage 管理可移動**、驅動程式和庫
remote desktop help session manager 遠端協助
routing and remote access 在區域網以及廣域網環境中為企業提供路由服務
messenger 訊息檔案傳輸服務
net logon 域控制器通道管理
ntlmsecuritysupportprovide telnet服務和microsoft serch用的
printspooler 列印服務
telnet telnet服務
workstation 洩漏系統使用者名稱列表
12、更改本地安全策略的審核策略
賬戶管理 成功 失敗
登入事件 成功 失敗
物件訪問 失敗
策略更改 成功 失敗
特權使用 失敗
系統事件 成功 失敗
目錄服務訪問 失敗
賬戶登入事件 成功 失敗
13、更改有可能會被提權利用的檔案執行許可權,找到以下檔案,將其安全設定裡除administrators使用者組全部刪除,重要的是連system也不要留。
net.exe
net1.exe
cmd.exe
tftp.exe
netstat.exe
regedit.exe
at.exe
attrib.exe
cacls.exe
format.com
c.exe 特殊檔案 有可能在你的計算機上找不到此檔案。
在搜尋框裡輸入
"net.exe","net1.exe","cmd.exe","tftp.exe","netstat.exe","regedit.exe","at.exe","attrib.exe","cacls.exe","format.com","c.exe"
以上這點是最最重要的一點了,也是最最方便減少被提權和被破壞的可能的防禦方法了。
14、後備工作,將當前伺服器的程序抓圖或記錄下來,將其儲存,方便以後對照檢視是否有不明的程式。將當前開放的埠抓圖或記錄下來,儲存,方便以後對照檢視是否開放了不明的埠。當然如果你能分辨每乙個程序,和埠這一步可以省略。
win2003 伺服器設定 完全版
今天 0 總瀏覽 7109 整理日期 2007 06 02 第一步 一 先關閉不需要的埠 我關閉了以下的服務 computer browser 維護網路上計算機的最新列表以及提供這個列表 task scheduler 允許程式在指定時間執行 routing and remote access 在區域...
win2003 伺服器設定 完全版
第一步 一 先關閉不需要的埠 我關閉了以下的服務 computer browser 維護網路上計算機的最新列表以及提供這個列表 task scheduler 允許程式在指定時間執行 routing and remote access 在區域網以及廣域網環境中為企業提供路由服務 removable s...
win2003 伺服器設定 完全版
第一步 一 先關閉不需要的埠 我關閉了以下的服務 computer browser 維護網路上計算機的最新列表以及提供這個列表 task scheduler 允許程式在指定時間執行 routing and remote access 在區域網以及廣域網環境中為企業提供路由服務 removable s...