时间: 3月25日 星期二 14-16点
主题: 服务器安全讲座
QQ群: 56398857
主讲人: 程良均 从事网络4年 对服务器安全工作熟悉
我们现在讲的是以2003系统为列
第一.在安装系统的时候首先需要把磁盘分区全部统一用NTFS格式
系统安装好以后,首先更新系统所有补丁,其次是打好ARP补丁,因为ARP漏洞在微软站上不能下载,黑客可通过此漏洞进行大批量的挂马
第二,修改硬盘权限.
NTFS系统权限设置 在使用之前将每个硬盘根加上 Administrators 用户为全部权限(可选加入SYSTEM用户)删除其它用户,
进入系统盘:权限如下
C:\WINDOWS Administrators SYSTEM用户全部权限 Users 用户默认权限不作修改
其它目录删除Everyone用户,切记C:\Documents and Settings下All Users\Default User目录及其子目录
如C:\Documents and Settings\All Users\Application Data 目录默认配置保留了Everyone用户权限
C:\WINDOWS 目录下面的权限也得注意,如 C:\WINDOWS\PCHealth、C:\windows\Installer也是保留了Everyone权限.
删除C:\WINDOWS\Web\printers目录,此目录的存在会造成IIS里加入一个.printers的扩展名,可溢出攻击
默认IIS错误页面已基本上没多少人使用了。建议删除C:\WINDOWS\Help\iisHelp目录
删除C:\WINDOWS\system32\inetsrv\iisadmpwd,此目录为管理IIS密码之用,如一些因密码不同步造成500
错误的时候使用 OWA 或 Iisadmpwd 修改同步密码,但在这里可以删掉,下面讲到的设置将会杜绝因系统
设置造成的密码不同步问题。
打开C:\Windows 搜索
net.exe;cmd.exe;tftp.exe;netstat.exe;regedit.exe;at.exe;attrib.exe;cacls.exe;format.com;
regsvr32.exe;xcopy.exe;wscript.exe;cscript.exe;ftp.exe;telnet.exe;arp.exe;edlin.exe;
ping.exe;route.exe;finger.exe;posix.exe;rsh.exe;atsvc.exe;qbasic.exe;runonce.exe;syskey.exe
修改权限,删除所有的用户只保存Administrators 和SYSTEM为所有权限
这些大家只要知道步骤 具体的操作我在结束后给大家相应的文档和路径去按照步骤来设置
这些权限设置好以后 然后打开本地安全策略
设置审核权限 更改GUSET帐户名字 并设置个很复杂的密码
本地安全策略配置
开始 > 程序 > 管理工具 > 本地安全策略
账户策略 > 密码策略 > 密码最短使用期限 改成0天[即密码不过期,上面我讲到不会造成IIS密码不同步]
账户策略 > 账户锁定策略 > 账户锁定阈值 5 次 账户锁定时间 10分钟 [个人推荐配置]
本地策略 > 审核策略 >
账户管理 成功 失败
登录事件 成功 失败
对象访问 失败
策略更改 成功 失败
特权使用 失败
系统事件 成功 失败
目录服务访问 失败
账户登录事件 成功 失败
地策略 > 安全选项 > 清除虚拟内存页面文件 更改为"已启用"
> 不显示上次的用户名 更改为"已启用"
> 不需要按CTRL+ALT+DEL 更改为"已启用"
> 不允许 SAM 账户的匿名枚举 更改为"已启用"
> 不允许 SAM 账户和共享的匿名枚举 更改为"已启用"
> 重命名来宾账户 更改成一个复杂的账户名
> 重命名系统管理员账号 更改一个自己用的账号
这些都是在本地安全里设置的
第三 ,关闭不需要的服务
IPSEC Services
Print Spooler
TCP/IP NetBIOS Helper
这3个需要停止其服务
第四打开注册表 修改远程端口 关闭默认共享等
关闭445端口
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\netBT\Parameters
新建 “DWORD值”值名为 “SMBDeviceEnabled” 数据为默认值“0”
禁止建立空连接
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
新建 “DWORD值”值名为 “RestrictAnonymous” 数据值为“1” [2003默认为1]
禁止系统自动启动服务器共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
新建 “DWORD值”值名为 “AutoShareServer” 数据值为“0”
禁止系统自动启动管理共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
新建 “DWORD值”值名为 “AutoShareWks” 数据值为“0”
通过修改注册表防止小规模DDOS攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建 “DWORD值”值名为 “SynAttackProtect” 数据值为“1”
修改端口没列举出来 这个可以去搜索一下
然后卸载不安全的组件
主要是黑客用于提权的组件
这个只需要保存一个BAT文件放在启动里面即可
内容为 :
regsvr32/u C:\WINDOWS\System32\wshom.ocx
del C:\WINDOWS\System32\wshom.ocx
regsvr32/u C:\WINDOWS\system32\shell32.dll
del C:\WINDOWS\system32\shell32.dll
然后在网卡那里只开放自己所需要的端口
这样服务器基本安全已经设置好
然后安装好杀毒软件
推荐用MACFFE 或
NOD32
MACFFE的杀毒能力不强 但防御强 NOD32杀毒强
并设置好自动更新
然后我们在来看IIS和网站的权限
因为很多黑客喜欢用网站漏洞进入提权
那么IIS安全也很重要
首先 更改IIS来宾帐号的名字
其次 为他设置个复杂的密码
第三 在放程序的磁盘里 把目录建立两层
这样每个站的程序独立分开的
那么刚才我们设置了卸载权限 他就无法提到ADMINISTRATR权限了
这样即使一个站有漏洞 也不能影响到其他的站
然后我们安装好SQL以后在用户里面会出现个SQLDUBEG这个用户 把他删除
最后打开防火墙,注意开放自己所需要的端口 即可,如果你服务器不只放网站 那记得开放所需要的端口
ARP补丁和ARP检测软件 杀毒软件 等一些服务器常用软件可到我站上下载
这是系统补丁:
A5创业网 版权所有