- 相關(guān)推薦
打造安全WINDOWS2003服務(wù)器的終極手段
這是因?yàn)锳DMIN5被黑.而引發(fā)出來的一篇針對(duì)服務(wù)器安全的文章.由靜花木木原創(chuàng).希望對(duì)大家有幫助.[eek]
.廢話也不說了.直接開始今天的正題.完全打造安全WINDOWS服務(wù)器的終極法寶.
我的目標(biāo):,加固WEB服務(wù)器系統(tǒng),使之提高并完善其穩(wěn)定性及安全性。[muteness]
系統(tǒng)環(huán)境:Windows Server 2003 Enterprise Edition With Service Pack 1(以下簡稱W2k3SP1),WEB平臺(tái)為IIS6,F(xiàn)TP平臺(tái)為Serv-U FTP Server6.4
系統(tǒng)的安裝
這個(gè)不需要講把.[lol]
1、IIS6.0的安裝
開始菜單—>控制面板—>添加或刪除程序—>添加/刪除Windows組件
應(yīng)用程序 ———ASP.NET(可選)
|——啟用網(wǎng)絡(luò) COM+ 訪問(必選)
|——Internet 信息服務(wù)(IIS)———Internet 信息服務(wù)管理器(必選)
|——公用文件(必選)
|——萬維網(wǎng)服務(wù)———Active Server pages(必選)
|——Internet 數(shù)據(jù)連接器(可選)
|——WebDAV 發(fā)布(可選)
|——萬維網(wǎng)服務(wù)(必選)
|——在服務(wù)器端的包含文件(可選)
然后點(diǎn)擊確定—>下一步安裝。
打開自動(dòng)更新.安裝常用軟件.WINRAR.GHOST.我們進(jìn)入下一步[redface]
2.很多服務(wù)器被黑.很大一部分是被因?yàn)闄?quán)限分配問題導(dǎo)致的,下面寫出推薦的權(quán)限分配:
系統(tǒng)盤及所有磁盤只給 Administrators 組和 SYSTEM 的完全控制權(quán)限
系統(tǒng)盤\Documents and Settings 目錄只給 Administrators 組和 SYSTEM 的完全控制權(quán)限
注意:另外別忘記還有一個(gè)隱藏目錄也需要同樣操作[eek]
系統(tǒng)盤\Documents and Settings\All Users 目錄只給 Administrators 組和 SYSTEM 的完全控制權(quán)限
系統(tǒng)盤\Inetpub 目錄及下面所有目錄、文件只給 Administrators 組和 SYSTEM 的完全控制權(quán)限(建議刪除netpub目錄)
系統(tǒng)盤\Windows\System32\cmd.exe、ftp.exe、scrrun.dll、shell.dll.net.exe net1.exe,netstat.exe ,tftp.exe ,regedit.exe ,at.exe ,attrib.exe,cacls.exe ,format.com 文件只給 Administrators 組和 SYSTEM 的完全控制權(quán)限(這些都是殺手锏,千萬注意)[cool]
注意:如果服務(wù)器安裝了ASPUPLOAD組件,會(huì)默認(rèn)在系統(tǒng)盤建立 UPLOAD 一定要?jiǎng)h除.
3.打開服務(wù)器本地計(jì)算機(jī)策略(gpedit.msc)
開始菜單—>管理工具—>本地安全策略
A、本地策略——>審核策略
審核策略更改 成功 失敗
審核登錄事件 成功 失敗
審核對(duì)象訪問 失敗
審核過程跟蹤 無審核
審核目錄服務(wù)訪問 失敗
審核特權(quán)使用 失敗
審核系統(tǒng)事件 成功 失敗
審核賬戶登錄事件 成功 失敗
審核賬戶管理 成功 失敗
B、本地策略——>用戶權(quán)限分配
關(guān)閉系統(tǒng):只有Administrators組、其它全部刪除。
通過終端服務(wù)拒絕登陸:加入Guests、User組
通過終端服務(wù)允許登陸:只加入Administrators組,其他全部刪除
C、本地策略——>安全選項(xiàng)
交互式登陸:不顯示上次的用戶名 啟用
網(wǎng)絡(luò)訪問:不允許SAM帳戶和共享的匿名枚舉 啟用
網(wǎng)絡(luò)訪問:不允許為網(wǎng)絡(luò)身份驗(yàn)證儲(chǔ)存憑證 啟用
網(wǎng)絡(luò)訪問:可匿名訪問的共享 全部刪除
網(wǎng)絡(luò)訪問:可匿名訪問的命 全部刪除
網(wǎng)絡(luò)訪問:可遠(yuǎn)程訪問的注冊(cè)表路徑 全部刪除
網(wǎng)絡(luò)訪問:可遠(yuǎn)程訪問的注冊(cè)表路徑和子路徑 全部刪除
帳戶:重命名來賓帳戶 重命名一個(gè)帳戶
帳戶:重命名系統(tǒng)管理員帳戶 重命名一個(gè)帳戶
修改Administrator和Guest這兩個(gè)賬號(hào) 一定要改的夠復(fù)雜./最好@#$@!這樣類似的組合.
4.禁用不必要的服務(wù)
禁用不必要的服務(wù)不但可以降低服務(wù)器的資源占用減輕負(fù)擔(dān),而且可以增強(qiáng)安全性.列出:
開始菜單—>管理工具—>服務(wù)
Application Experience Lookup Service
BITS
Computer Browser
DHCP Client
Error Reporting Service
Help and Support
Network Location Awareness
Print Spooler
Remote Registry
Secondary Logon
Smartcard
TCP/IP NetBIOS Helper
Workstation 這個(gè)就是"啊江"經(jīng)常說到的,利用getobject("WINNT")獲得了系統(tǒng)用戶和系統(tǒng)進(jìn)程的列表.
Windows Audio
Windows Time
Wireless Configuration
TCP/IP NetBIOS Helper
Server 這個(gè)就是默認(rèn)共享了,如果連這個(gè)都不禁用的話,危險(xiǎn)很大哦[sad]
5.更改遠(yuǎn)程桌面端口和禁用IPC連接
1. 打開注冊(cè)表并轉(zhuǎn)到此項(xiàng):
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
2. 找到“PortNumber”子項(xiàng),看到值 00000D3D,它是 3389 的十六進(jìn)制表示形式。使用十六進(jìn)制數(shù)值修改此端口號(hào),并保存新值。
2.禁用IPC連接:打開注冊(cè)表編輯器,依次展開[HKEY_ LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa ]分支,在右側(cè)窗口中找到“restrictanonymous”子鍵,將其值改為“1”即可
6.關(guān)于ASP木馬.這里借鑒圖王和啊江的解決方法
在IIS系統(tǒng)上,大部分木馬都是ASP寫的,因此,ASP組件的安全是非常重要的。
ASP木馬實(shí)際上大部分通過調(diào)用Shell.Application、WScript.Shell、WScript.Network、FSO、Adodb.Stream組件來實(shí)現(xiàn)其功能,除了FSO之外,其他的大多可以直接禁用。
WScript.Shell組件使用這個(gè)命令刪除:regsvr32 WSHom.ocx /u
WScript.Network組件使用這個(gè)命令刪除:regsvr32 wshom.ocx /u
Shell.Application可以使用禁止Guest用戶使用shell32.dll來防止調(diào)用此組件。使用命令:cacls C:\WINNT\system32\shell32.dll /e /d guests
禁止guests用戶執(zhí)行cmd.exe的命令是: cacls C:\WINNT\system32\Cmd.exe /e /d guests
FSO組件的禁用比較麻煩,如果網(wǎng)站本身不需要用這個(gè)組件,那么就通過RegSrv32 scrrun.dll /u命令來禁用吧。
7.WINDOWS的默認(rèn)防火墻和TCP_IP篩選
1.TCP_IP篩選,打開網(wǎng)絡(luò)連接.屬性——>高級(jí)——>選項(xiàng)——>屬性
開放的端口是:TCP80、TCP25、TCP20、TCP21、TCP3389、TCP4000~4005。開放4000~4005是為了支持Serv- U的PASV模式(要在Serv-U中設(shè)置這段被動(dòng)端口范圍)
這是最簡單的做法,但是不是最有效的下面介紹我最常用的,
2.WINDOWS的默認(rèn)防火墻:
桌面—>網(wǎng)上鄰居—>(右鍵)屬性—>本地連接—>(右鍵)屬性—>高級(jí)—>(選中)Internet 連接防火墻—>設(shè)置
把服務(wù)器上面要用到的服務(wù)端口選中
一臺(tái)WEB服務(wù)器,要提供WEB(80)、FTP(21)服務(wù)及遠(yuǎn)程桌面管理(3389)
在“FTP 服務(wù)器”、“WEB服務(wù)器(HTTP)”、“遠(yuǎn)程桌面”前面打上對(duì)號(hào)
如果你要提供服務(wù)的端口不在里面,你也可以點(diǎn)擊“添加”銨鈕來添加,具體參數(shù)可以參照系統(tǒng)里面原有的參數(shù)。
然后點(diǎn)擊確定。
注意:千萬要選遠(yuǎn)程桌面管理,否則改完了,上不去服務(wù)器別哭[sad]
不要問我為什么推薦使用自帶的防火墻.呵呵
關(guān)于IIS的配置和網(wǎng)站權(quán)限的設(shè)置,我沒有進(jìn)一步講解/.主要原因是,我一直利用虛擬主機(jī)管理軟件自動(dòng)開設(shè).筆者接觸的大都是IDC商服務(wù)器.虛擬主機(jī)管理軟件,我還是推薦使用易方.需要的也可以找我,是破解版本.當(dāng)然是免費(fèi)的.
.廢話也不說了.直接開始今天的正題.完全打造安全WINDOWS服務(wù)器的終極法寶.
我的目標(biāo):,加固WEB服務(wù)器系統(tǒng),使之提高并完善其穩(wěn)定性及安全性。[muteness]
系統(tǒng)環(huán)境:Windows Server 2003 Enterprise Edition With Service Pack 1(以下簡稱W2k3SP1),WEB平臺(tái)為IIS6,F(xiàn)TP平臺(tái)為Serv-U FTP Server6.4
系統(tǒng)的安裝
這個(gè)不需要講把.[lol]
1、IIS6.0的安裝
開始菜單—>控制面板—>添加或刪除程序—>添加/刪除Windows組件
應(yīng)用程序 ———ASP.NET(可選)
|——啟用網(wǎng)絡(luò) COM+ 訪問(必選)
|——Internet 信息服務(wù)(IIS)———Internet 信息服務(wù)管理器(必選)
|——公用文件(必選)
|——萬維網(wǎng)服務(wù)———Active Server pages(必選)
|——Internet 數(shù)據(jù)連接器(可選)
|——WebDAV 發(fā)布(可選)
|——萬維網(wǎng)服務(wù)(必選)
|——在服務(wù)器端的包含文件(可選)
然后點(diǎn)擊確定—>下一步安裝。
打開自動(dòng)更新.安裝常用軟件.WINRAR.GHOST.我們進(jìn)入下一步[redface]
2.很多服務(wù)器被黑.很大一部分是被因?yàn)闄?quán)限分配問題導(dǎo)致的,下面寫出推薦的權(quán)限分配:
系統(tǒng)盤及所有磁盤只給 Administrators 組和 SYSTEM 的完全控制權(quán)限
系統(tǒng)盤\Documents and Settings 目錄只給 Administrators 組和 SYSTEM 的完全控制權(quán)限
注意:另外別忘記還有一個(gè)隱藏目錄也需要同樣操作[eek]
系統(tǒng)盤\Documents and Settings\All Users 目錄只給 Administrators 組和 SYSTEM 的完全控制權(quán)限
系統(tǒng)盤\Inetpub 目錄及下面所有目錄、文件只給 Administrators 組和 SYSTEM 的完全控制權(quán)限(建議刪除netpub目錄)
系統(tǒng)盤\Windows\System32\cmd.exe、ftp.exe、scrrun.dll、shell.dll.net.exe net1.exe,netstat.exe ,tftp.exe ,regedit.exe ,at.exe ,attrib.exe,cacls.exe ,format.com 文件只給 Administrators 組和 SYSTEM 的完全控制權(quán)限(這些都是殺手锏,千萬注意)[cool]
注意:如果服務(wù)器安裝了ASPUPLOAD組件,會(huì)默認(rèn)在系統(tǒng)盤建立 UPLOAD 一定要?jiǎng)h除.
3.打開服務(wù)器本地計(jì)算機(jī)策略(gpedit.msc)
開始菜單—>管理工具—>本地安全策略
A、本地策略——>審核策略
審核策略更改 成功 失敗
審核登錄事件 成功 失敗
審核對(duì)象訪問 失敗
審核過程跟蹤 無審核
審核目錄服務(wù)訪問 失敗
審核特權(quán)使用 失敗
審核系統(tǒng)事件 成功 失敗
審核賬戶登錄事件 成功 失敗
審核賬戶管理 成功 失敗
B、本地策略——>用戶權(quán)限分配
關(guān)閉系統(tǒng):只有Administrators組、其它全部刪除。
通過終端服務(wù)拒絕登陸:加入Guests、User組
通過終端服務(wù)允許登陸:只加入Administrators組,其他全部刪除
C、本地策略——>安全選項(xiàng)
交互式登陸:不顯示上次的用戶名 啟用
網(wǎng)絡(luò)訪問:不允許SAM帳戶和共享的匿名枚舉 啟用
網(wǎng)絡(luò)訪問:不允許為網(wǎng)絡(luò)身份驗(yàn)證儲(chǔ)存憑證 啟用
網(wǎng)絡(luò)訪問:可匿名訪問的共享 全部刪除
網(wǎng)絡(luò)訪問:可匿名訪問的命 全部刪除
網(wǎng)絡(luò)訪問:可遠(yuǎn)程訪問的注冊(cè)表路徑 全部刪除
網(wǎng)絡(luò)訪問:可遠(yuǎn)程訪問的注冊(cè)表路徑和子路徑 全部刪除
帳戶:重命名來賓帳戶 重命名一個(gè)帳戶
帳戶:重命名系統(tǒng)管理員帳戶 重命名一個(gè)帳戶
修改Administrator和Guest這兩個(gè)賬號(hào) 一定要改的夠復(fù)雜./最好@#$@!這樣類似的組合.
4.禁用不必要的服務(wù)
禁用不必要的服務(wù)不但可以降低服務(wù)器的資源占用減輕負(fù)擔(dān),而且可以增強(qiáng)安全性.列出:
開始菜單—>管理工具—>服務(wù)
Application Experience Lookup Service
BITS
Computer Browser
DHCP Client
Error Reporting Service
Help and Support
Network Location Awareness
Print Spooler
Remote Registry
Secondary Logon
Smartcard
TCP/IP NetBIOS Helper
Workstation 這個(gè)就是"啊江"經(jīng)常說到的,利用getobject("WINNT")獲得了系統(tǒng)用戶和系統(tǒng)進(jìn)程的列表.
Windows Audio
Windows Time
Wireless Configuration
TCP/IP NetBIOS Helper
Server 這個(gè)就是默認(rèn)共享了,如果連這個(gè)都不禁用的話,危險(xiǎn)很大哦[sad]
5.更改遠(yuǎn)程桌面端口和禁用IPC連接
1. 打開注冊(cè)表并轉(zhuǎn)到此項(xiàng):
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
2. 找到“PortNumber”子項(xiàng),看到值 00000D3D,它是 3389 的十六進(jìn)制表示形式。使用十六進(jìn)制數(shù)值修改此端口號(hào),并保存新值。
2.禁用IPC連接:打開注冊(cè)表編輯器,依次展開[HKEY_ LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa ]分支,在右側(cè)窗口中找到“restrictanonymous”子鍵,將其值改為“1”即可
6.關(guān)于ASP木馬.這里借鑒圖王和啊江的解決方法
在IIS系統(tǒng)上,大部分木馬都是ASP寫的,因此,ASP組件的安全是非常重要的。
ASP木馬實(shí)際上大部分通過調(diào)用Shell.Application、WScript.Shell、WScript.Network、FSO、Adodb.Stream組件來實(shí)現(xiàn)其功能,除了FSO之外,其他的大多可以直接禁用。
WScript.Shell組件使用這個(gè)命令刪除:regsvr32 WSHom.ocx /u
WScript.Network組件使用這個(gè)命令刪除:regsvr32 wshom.ocx /u
Shell.Application可以使用禁止Guest用戶使用shell32.dll來防止調(diào)用此組件。使用命令:cacls C:\WINNT\system32\shell32.dll /e /d guests
禁止guests用戶執(zhí)行cmd.exe的命令是: cacls C:\WINNT\system32\Cmd.exe /e /d guests
FSO組件的禁用比較麻煩,如果網(wǎng)站本身不需要用這個(gè)組件,那么就通過RegSrv32 scrrun.dll /u命令來禁用吧。
7.WINDOWS的默認(rèn)防火墻和TCP_IP篩選
1.TCP_IP篩選,打開網(wǎng)絡(luò)連接.屬性——>高級(jí)——>選項(xiàng)——>屬性
開放的端口是:TCP80、TCP25、TCP20、TCP21、TCP3389、TCP4000~4005。開放4000~4005是為了支持Serv- U的PASV模式(要在Serv-U中設(shè)置這段被動(dòng)端口范圍)
這是最簡單的做法,但是不是最有效的下面介紹我最常用的,
2.WINDOWS的默認(rèn)防火墻:
桌面—>網(wǎng)上鄰居—>(右鍵)屬性—>本地連接—>(右鍵)屬性—>高級(jí)—>(選中)Internet 連接防火墻—>設(shè)置
把服務(wù)器上面要用到的服務(wù)端口選中
一臺(tái)WEB服務(wù)器,要提供WEB(80)、FTP(21)服務(wù)及遠(yuǎn)程桌面管理(3389)
在“FTP 服務(wù)器”、“WEB服務(wù)器(HTTP)”、“遠(yuǎn)程桌面”前面打上對(duì)號(hào)
如果你要提供服務(wù)的端口不在里面,你也可以點(diǎn)擊“添加”銨鈕來添加,具體參數(shù)可以參照系統(tǒng)里面原有的參數(shù)。
然后點(diǎn)擊確定。
注意:千萬要選遠(yuǎn)程桌面管理,否則改完了,上不去服務(wù)器別哭[sad]
不要問我為什么推薦使用自帶的防火墻.呵呵
關(guān)于IIS的配置和網(wǎng)站權(quán)限的設(shè)置,我沒有進(jìn)一步講解/.主要原因是,我一直利用虛擬主機(jī)管理軟件自動(dòng)開設(shè).筆者接觸的大都是IDC商服務(wù)器.虛擬主機(jī)管理軟件,我還是推薦使用易方.需要的也可以找我,是破解版本.當(dāng)然是免費(fèi)的.
【打造安全WINDOWS服務(wù)器的終極手段】相關(guān)文章:
打造高效團(tuán)隊(duì)的手段08-17
運(yùn)用科技手段打造廉政交通的思考08-16
網(wǎng)站服務(wù)器的安全配置08-12
設(shè)備服務(wù)器的網(wǎng)絡(luò)安全08-12
服務(wù)器安全維護(hù)合同08-16
終極PK的后果作文03-14
Apache服務(wù)器的安全性及實(shí)現(xiàn)辦法08-12
認(rèn)識(shí)WINDOWS08-16