- 相关推荐
Windows服务器安全设置攻略
Windows服务器安全策略怎么做?不要觉得这是一个非常深奥遥不可及的问题,其实也是从各个方面去加固系统的安全性而已,它没有一个定论,今天我和你们分享一下windows服务器基本安全策略保障服务器基本安全的一些简单实用的加固方法。
Windows服务器安全设置攻略1
前言
其实,在服务器的安全设置方面,我虽然有一些经验,但是还谈不上有研究,所以我写这篇文章的时候心里很不踏实,总害怕说错了会误了别人的事。
本文更侧重于防止ASP漏洞攻击,所以服务器防黑等方面的讲解可能略嫌少了点。
基本的服务器安全设置
安装补丁
安装好操作系统之后,最好能在托管之前就完成补丁的安装,配置好网络后,如果是2000则确定安装上了SP4,如果是2003,则最好安装上SP1,然后点击开始→WindowsUpdate,安装所有的关键更新。
安装杀毒软件
虽然杀毒软件有时候不能解决问题,但是杀毒软件避免了很多问题。我一直在用诺顿2004,据说2005可以杀木马,不过我没试过。还有人用瑞星,瑞星是确定可以杀木马的。更多的人说卡巴司机好,不过我没用过。
不要指望杀毒软件杀掉所有的木马,因为ASP木马的特征是可以通过一定手段来避开杀毒软件的查杀。
设置端口保护和防火墙、删除默认共享
都是服务器防黑的措施,即使你的服务器上没有IIS,这些安全措施都最好做上。这是阿江的盲区,大概知道屏蔽端口用本地安全策略,不过这方面的东西网上攻略很多,大家可以擞出来看看,晚些时候我或者会复制一些到我的网站上。
权限设置
阿江感觉这是防止ASP漏洞攻击的关键所在,优秀的权限设置可以将危害减少在一个IIS站点甚至一个虚拟目录里。我这里讲一下原理和设置思路,聪明的朋友应该看完这个就能解决问题了。
权限设置的原理
WINDOWS用户,在WINNT系统中大多数时候把权限按用户(組)来划分。在【开始→程序→管理工具→计算机管理→本地用户和组】管理系统用户和用户组。
NTFS权限设置,请记住分区的时候把所有的硬盘都分为NTFS分区,然后我们可以确定每个分区对每个用户开放的权限。【文件(夹)上右键→属性→安全】在这里管理NTFS文件(夹)权限。
IIS匿名用户,每个IIS站点或者虚拟目录,都可以设置一个匿名访问用户(现在暂且把它叫“IIS匿名用户”),当用户访问你的网站的.ASP文件的时候,这个.ASP文件所具有的权限,就是这个“IIS匿名用户”所具有的权限。
权限设置的思路
要为每个独立的要保护的个体(比如一个网站或者一个虚拟目录)创建一个系统用户,让这个站点在系统中具有惟一的可以设置权限的身份。
在IIS的【站点属性或者虚拟目录属性→目录安全性→匿名访问和验证控制→编辑→匿名访问→编辑】填写刚刚创建的那个用户名。
设置所有的分区禁止这个用户访问,而刚才这个站点的主目录对应的那个文件夹设置允许这个用户访问(要去掉继承父权限,并且要加上超管组和SYSTEM组)。
这样设置了之后,这个站点里的ASP程序就只有当前这个文件夹的权限了,从探针上看,所有的硬盘都是红叉叉。
我的设置方法
我是先创建一个用户组,以后所有的站点的用户都建在这个組里,然后设置这个组在各个分区没有权限或者完全拒绝。然后再设置各个IIS用户在各在的文件夹里的权限。
因为比较多,所以我很不想写,其实知道了上面的原理,大多数人都应该懂了,除非不知道怎么添加系统用户和組,不知道怎么设置文件夹权限,不知道IIS站点属性在那里。真的'有那样的人,你也不要着急,要沉住气慢慢来,具体的方法其实自己也能摸索出来的,我就是这样。当然,如果我有空,我会写我的具体设置方法,很傲能还会配上图片。
改名或卸载不安全组件
不安全组件不惊人
我的在阿江探针1.9里加入了不安全组件检测功能(其实这是参考7i24的代码写的,只是把界面改的友好了一点,检测方法和他是基本一样的),这个功能让很多站长吃惊不小,因为他发现他的服务器支持很多不安全组件。
其实,只要做好了上面的权限设置,那么FSO、XML、strem都不再是不安全组件了,因为他们都没有跨出自己的文件夹或者站点的权限。那个欢乐时光更不用怕,有杀毒软件在还怕什么时光啊。
最危险的组件是WSH和Shell,因为它可以运行你硬盘里的EXE等程序,比如它可以运行提升程序来提升SERV-U权限甚至用SERVU来运行更高权限的系统程序。
谨慎决定是否卸载一个组件
组件是为了应用而出现的,而不是为了不安全而出现的,所有的组件都有它的用处,所以在卸载一个组件之前,你必须确认这个组件是你的网站程序不需要的,或者即使去掉也不关大体的。否则,你只能留着这个组件并在你的ASP程序本身上下工夫,防止别人进来,而不是防止别人进来后SHELL。
比如,FSO和XML是非常常用的组件之一,很多程序会用到他们。WSH组件会被一部分主机管理程序用到,也有的打包程序也会用到。
卸载最不安全的组件
最简单的办法是直接卸载后删除相应的程序文件。将下面的代码保存为一个.BAT文件,(以下均以WIN2000为例,如果使用2003,则系统文件夹应该是C:WINDOWS)
regsvr32/uC:WINNTSystem32wshom.ocx
delC:WINNTSystem32wshom.ocx
regsvr32/uC:WINNTsystem32shell32.dll
delC:WINNTsystem32shell32.dll
然后运行一下,WScript.Shell,Shell.application,WScript.Network就会被卸载了。可能会提示无法删除文件,不用管它,重启一下服务器,你会发现这三个都提示“×安全”了。
改名不安全组件
需要注意的是组件的名称和Clsid都要改,并且要改彻底了。下面以Shell.application为例来介绍方法。
打开注册表编辑器【开始→运行→regedit回车】,然后【编辑→查找→填写Shell.application→查找下一个】,用这个方法能找到两个注册表项:“{13709620-C279-11CE-A49E-444553540000}”和“Shell.application”。为了确保万无一失,把这两个注册表项导出来,保存为.reg文件。
比如我们想做这样的更改
13709620-C279-11CE-A49E-444553540000改名为13709620-C279-11CE-A49E-444553540001
Shell.application改名为Shell.application_ajiang
那么,就把刚才导出的.reg文件里的内容按上面的对应关系替换掉,然后把修改好的.reg文件导入到注册表中(双击即可),导入了改名后的注册表项之后,别忘记了删除原有的那两个项目。这里需要注意一点,Clsid中只能是十个数字和ABCDEF六个字母。
下面是我修改后的代码(两个文件我合到一起了):
WindowsRegistryEditorVersion5.00
[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}]
@="ShellAutomationService"
[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}InProcServer32]
@="C:WINNTsystem32shell32.dll"
"ThreadingModel"="Apartment"
[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}ProgID]
@="Shell.Application_ajiang.1"
[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}TypeLib]
@="{50a7e9b0-70ef-11d1-b75a-00a0c90564fe}"
[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}Version]
@="1.1"
[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}VersionIndependentProgID]
@="Shell.Application_ajiang"
[HKEY_CLASSES_ROOTShell.Application_ajiang]
@="ShellAutomationService"
[HKEY_CLASSES_ROOTShell.Application_ajiangCLSID]
@="{13709620-C279-11CE-A49E-444553540001}"
[HKEY_CLASSES_ROOTShell.Application_ajiangCurVer]
@="Shell.Application_ajiang.1"
你可以把这个保存为一个.reg文件运行试一下,但是可别就此了事,因为万一黑客也看了我的这篇文章,他会试验我改出来的这个名字的。
防止列出用户组和系统进程
我在阿江ASP探针1.9中结合7i24的方法利用getobject("WINNT")获得了系统用户和系统进程的列表,这个列表可能会被黑客利用,我们应当隐藏起来,方法是:
【开始→程序→管理工具→服务】,找到Workstation,停止它,禁用它。
防止Serv-U权限提升
其实,注销了Shell组件之后,侵入者运行提升工具的可能性就很小了,但是prel等别的脚本语言也有shell能力,为防万一,还是设置一下为好。
用Ultraedit打开ServUDaemon.exe查找Ascii:LocalAdministrator,和#l@$ak#.lk;0@P,修改成等长度的其它字符就可以了,ServUAdmin.exe也一样处理。
另外注意设置Serv-U所在的文件夹的权限,不要让IIS匿名用户有读取的权限,否则人家下走你修改过的文件,照样可以分析出你的管理员名和密码。
利用ASP漏洞攻击的常见方法及防范
一般情况下,黑客总是瞄准论坛等程序,因为这些程序都有上传功能,他们很容易的就可以上传ASP木马,即使设置了权限,木马也可以控制当前站点的所有文件了。另外,有了木马就然后用木马上传提升工具来获得更高的权限,我们关闭shell组件的目的很大程度上就是为了防止攻击者运行提升工具。
如果论坛管理员关闭了上传功能,则黑客会想办法获得超管密码,比如,如果你用动网论坛并且数据库忘记了改名,人家就可以直接下载你的数据库了,然后距离找到论坛管理员密码就不远了。
作为管理员,我们首先要检查我们的ASP程序,做好必要的设置,防止网站被黑客进入。另外就是防止攻击者使用一个被黑的网站来控制整个服务器,因为如果你的服务器上还为朋友开了站点,你可能无法确定你的朋友会把他上传的论坛做好安全设置。这就用到了前面所说的那一大堆东西,做了那些权限设置和防提升之后,黑客就算是进入了一个站点,也无法破坏这个网站以外的东西。
后记
也许有安全高手或者破坏高手看了我的文章会嘲笑或者窃喜,但我想我的经验里毕竟还是存在很多正确的地方,有千千万万的比我知道的更少的人像我刚开始完全不懂的时候那样在渴求着这样一篇文章,所以我必须写,我不管别人怎么说我,我也不怕后世会有千千万万的人对我唾骂,我一个人承担下来,我也没有娘子需要交代的……
因为这其实只是抛砖引玉的做法,从别人的笑声中,我和我的读者们都可以学到更多有用的东西。
Windows服务器安全设置攻略2
Windows服务器是Microsoft Windows Server System(WSS)的核心,Windows 的服务器操作系统。每个Windows服务器都与其家用(工作站)版对应(2003 R2除外)。
1)、系统安全基本设置
1.安装说明:系统全部NTFS格式化,重新安装系统(采用原版win2003),安装杀毒软件(Mcafee),并将杀毒软件更新,安装sp2补钉,安装IIS(只安装必须的组件),安装SQL2000,安装.net2.0,开启防火墙。并将服务器打上最新的补钉。
2)、关闭不需要的服务
Computer Browser:维护网络计算机更新,禁用
Distributed File System: 局域网管理共享文件,不需要禁用
Distributed linktracking client:用于局域网更新连接信息,不需要禁用
Error reporting service:禁止发送错误报告
Microsoft Serch:提供快速的单词搜索,不需要可禁用
NTLMSecuritysupportprovide:telnet服务和Microsoft Serch用的,不需要禁用
PrintSpooler:如果没有打印机可禁用
Remote Registry:禁止远程修改注册表
Remote Desktop Help Session Manager:禁止远程协助 其他服务有待核查
3)、设置和管理账户
1、将Guest账户禁用并更改名称和描述,然后输入一个复杂的密码
2、系统管理员账户最好少建,更改默认的管理员帐户名(Administrator)和描述,密码最好采用数字加大小写字母加数字的上档键组合,长度最好不少于10位
3、新建一个名为Administrator的陷阱帐号,为其设置最小的权限,然后随便输入组合的最好不低于20位的密码
4、计算机配置-Windows设置-安全设置-账户策略-账户锁定策略,将账户设为“三次登陆无效 时间为30分钟
5、在安全设置-本地策略-安全选项中将“不显示上次的用户名”设为启用
6、 在安全设置-本地策略-用户权利分配中将“从网络访问此计算机”中只保留Internet来宾账户、启动IIS进程账户,Aspnet账户
7、创建一个User账户,运行系统,如果要运行特权命令使用Runas命令。
4)、打开相应的审核策略
审核策略更改:成功
审核登录事件:成功,失败
审核对象访问:失败
审核对象追踪:成功,失败
审核目录服务访问:失败
审核特权使用:失败
审核系统事件:成功,失败
审核账户登录事件:成功,失败
审核账户管理:成功,失败
5)、 其它安全相关设置
1、禁止C$、D$、ADMIN$一类的缺省共享
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters,在右边的 窗口中新建Dword值,名称设为AutoShareServer值设为0
2、解除NetBios与TCP/IP协议的绑定
右击网上邻居-属性-右击本地连接-属性-双击Internet协议-高级-Wins-禁用TCP/IP上的 NETBIOS
3、隐藏重要文件/目录
可以修改注册表实现完全隐藏: “HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrent-VersionExplorerAdvancedFol derHi-ddenSHOWALL”,鼠标右击“CheckedValue”,选择修改,把数值由1改为0
4、防止SYN洪水攻击
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 新建DWORD 值,名为SynAttackProtect,值为2
5、 禁止响应ICMP路由通告报文
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfacesinterface 新建DWORD值,名为PerformRouterDiscovery 值为0
6. 防止ICMP重定向报文的攻击
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 将EnableICMPRedirects 值设为0
7、 不支持IGMP协议
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 新建DWORD 值,名为IGMPLevel 值为0
8、禁用DCOM:运行中输入 Dcomcnfg.exe。 回车, 单击“控制台根节点”下的“组件服务”。 打开“计算机”子 文件夹。
对于本地计算机,请以右键单击“我的电脑”,然后选择“属 性”。选择“默认属性”选项卡。清除“在这台计算机上启用分布式 COM”复选框。
9、终端服务的默认端口为3389,可考虑修改为别的端口。
修改方法为: 服务器端:打开注册表,在“HKLMSYSTEMCurrent ControlSetControlTerminal ServerWin Stations” 处找到类似RDP-TCP的子键,修改PortNumber值。 客户端:按正常步骤建一个客户端连接,选中这个连接,在“文件”菜单中选择导出,在指定位置会 生成一个后缀为.cns的文件。打开该文件,修改“Server Port”值为与服务器端的PortNumber对应的 值。然后再导入该文件(方法:菜单→文件→导入),这样客户端就修改了端口。
6)、配置 IIS 服务
1、不使用默认的Web站点,如果使用也要将 将IIS目录与系统磁盘分开。
2、删除IIS默认创建的Inetpub目录(在安装系统的盘上)。
3、删除系统盘下的虚拟目录,如:_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、 MSADC。
4、删除不必要的IIS扩展名映射。 右键单击“默认Web站点→属性→主目录→配置”,打开应用程序窗口,去掉不必要的应用程序映 射。主要为.shtml, .shtm, .stm
5、更改IIS日志的路径 右键单击“默认Web站点→属性-网站-在启用日志记录下点击属性
6、如果使用的是2000可以使用iislockdown来保护IIS,在2003运行的IE6.0的版本不需要。
7、使用UrlScan
UrlScan是一个ISAPI筛选器,它对传入的HTTP数据包进行分析并可以拒绝任何可疑的通信量。 目前最新的版本是2.5,如果是2000Server需要先安装1.0或2.0的版本。 如果没有特殊的要求采用UrlScan默认配置就可以了。
但如果你在服务器运行ASP.NET程序,并要进行调试你需打开要 %WINDIR%System32InetsrvURLscan,文件夹中的URLScan.ini 文件,然后在UserAllowVerbs节添 加debug谓词,注意此节是区分大小写的。
如果你的网页是.asp网页你需要在DenyExtensions删除.asp相关的内容。
如果你的.网页使用了非ASCII代码,你需要在Option节中将AllowHighBitCharacters的值设为1 在对URLScan.ini 文件做了更改后,你需要重启IIS服务才能生效,快速方法运行中输入iisreset 如果你在配置后出现什么问题,你可以通过添加/删除程序删除UrlScan。
8、利用WIS (Web Injection Scanner)工具对整个网站进行SQL Injection 脆弱性扫描.
7)、配置Sql服务器
1、System Administrators 角色最好不要超过两个
3、不要使用Sa账户,为其配置一个超级复杂的密码
4、删除以下的扩展存储过程格式为:
use master sp_dropextendedproc '扩展存储过程名'
xp_cmdshell:是进入操作系统的最佳捷径,删除访问注册表的存储过程,
删除
Xp_regaddmultistring Xp_regkey Xp_regvalue Xp_regenumvalues Xp_regread Xp_regwrite Xp_regremovemultistring
OLE自动存储过程,不需要删除
Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty Sp_OAMethod Sp_OASetProperty Sp_OAStop
5、隐藏 SQL Server、更改默认的1433端口
右击实例选属性-常规-网络配置中选择TCP/IP协议的属性,选择隐藏 SQL Server 实例,并改原默 认的1433端口。
8)、修改系统日志保存地址 默认位置为 应用程序日志、安全日志、系统日志、DNS日志默认位置:%systemroot%system32config,默认 文件大小512KB,管理员都会改变这个默认大小。
安全日志文件:%systemroot%system32configSecEvent.EVT 系统日志文件:%systemroot%system32configSysEvent.EVT 应用程序日志文件:%systemroot%system32configAppEvent.EVT Internet信息服务FTP日志默认位置:%systemroot%system32logfilesmsftpsvc1,默认每天一个日 志 Internet信息服务WWW日志默认位置:%systemroot%system32logfilesw3svc1,默认每天一个日 志 Scheduler(任务计划)服务日志默认位置:%systemroot%schedlgu.txt 应用程序日志,安全日志,系统日志,DNS服务器日志,它们这些LOG文件在注册表中的: HKEY_LOCAL_MACHINESystemCurrentControlSetServicesEventlog Schedluler(任务计划)服务日志在注册表中 HKEY_LOCAL_MACHINESOFTWAREMicrosoftSchedulingAgent SQL 删掉或改名xplog70.dll [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters] "AutoShareServer"=dword:00000000 "AutoShareWks"=dword:00000000 // AutoShareWks 对pro版本 // AutoShareServer 对server版本 // 0
禁止管理共享admin$,c$,d$之类默认共享 [HKEY_LOCAL_MACHINESystemCurrentControlSetControlLSA] "restrictanonymous"=dword:00000001 //0x1 匿名用户无法列举本机用户列表 //0x2 匿名用户无法连接本机IPC$共享(可能sql server不能够启动
9)、本地安全策略
1.只开放服务需要的端口与协议。 具体方法为:按顺序打开“网上邻居→属性→本地连接→属性→Internet 协议→属性→高级→选项→ TCP/IP筛选→属性”,添加需要的TCP、UDP端口以及IP协议即可。根据服务开设口,常用的TCP 口有:80口用于Web服务;21用于FTP服务;25口用于SMTP;23口用于Telnet服务;110口 用于POP3。常用的UDP端口有:53口-DNS域名解析服务;161口-snmp简单的网络管理协议。 8000、4000用于OICQ,服务器用8000来接收信息,客户端用4000发送信息。 封TCP端口: 21(FTP,换FTP端口)23(TELNET),53(DNS),135,136,137,138,139,443,445,1028,1433,3389 可封TCP端口:1080,3128,6588,8080(以上为代理端口).25(SMTP),161(SNMP),67(引导) 封UDP端口:1434(这个就不用说了吧) 封所有ICMP,即封PING 以上是最常被扫的端口,有别的同样也封,当然因为80是做WEB用的
2、禁止建立空连接 默认情况下,任何用户可通过空连接连上服务器,枚举账号并猜测密码。空连接用的端口是139, 通过空连接,可以复制文件到远端服务器,计划执行一个任务,这就是一个漏洞。可以通过以下两 种方法禁止建立空连接:
(1) 修改注册表中 Local_MachineSystem CurrentControlSetControlLSA-RestrictAnonymous 的值为1。
(2) 修改Windows 2000的本地安全策略。设置“本地安全策略→本地策略→选项”中的 RestrictAnonymous(匿名连接的额外限制)为“不容许枚举SAM账号和共享”。 首先,Windows 2000的默认安装允许任何用户通过空连接得到系统所有账号和共享列表,这本来 是为了方便局域网用户共享资源和文件的,但是,同时任何一个远程用户也可以通过同样的方法得 到您的用户列表,并可能使用暴力法破解用户密码给整个网络带来破坏。很多人都只知道更改注册 表Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous = 1来禁止空用户连接, 实际上Windows 2000的本地安全策略里(如果是域服务器就是在域服务器安全和域安全策略里) 就有RestrictAnonymous选项,其中有三个值:“0”这个值是系统默认的,没有任何限制,远程用户 可以知道您机器上所有的账号、组信息、共享目录、网络传输列表(NetServerTransportEnum)等;“1” 这个值是只允许非NULL用户存取SAM账号信息和共享信息;“2”这个值只有Windows 2000才支 持,需要注意的是,如果使用了这个值,就不能再共享资源了,所以还是推荐把数值设为“1”比较 好。
10)、防止asp木马
1、基于FileSystemObject组件的asp木马
cacls %systemroot%system32scrrun.dll /e /d guests //禁止guests使用 regsvr32 scrrun.dll /u /s //删除
2.基于shell.application组件的asp木马
cacls %systemroot%system32shell32.dll /e /d guests //禁止guests使用 regsvr32 shell32.dll /u /s //删除
3.将图片文件夹的权限设置为不允许运行。
4.如果网站中不存在有asp的话,禁用asp
11)、防止SQL注入
1.尽量使用参数化语句
2.无法使用参数化的SQL使用过滤。
3.网站设置为不显示详细错误信息,页面出错时一律跳转到错误页面。
4.不要使用sa用户连接数据库
5、新建一个public权限数据库用户,并用这个用户访问数据库 6、[角色]去掉角色public对sysobjects与syscolumns对象的select访问权限。
注意:
最后强调一下,以上设置可能会影响到有些应用服务,例如导至不能连接上远程服务器,因此建议,以上设置首先在本地机器或虚拟机(VMware Workstation)上做好设置,确定没事之后然后再在服务器上做
Windows服务器安全设置攻略3
一、禁用Guest账户
Guest账户为黑客入侵打开了方便之门,黑客使用Guest账户可以进行提权。禁用Guest账户是很好的选择。
打开“开始——管理工具——计算机管理——本地用户和组——用户——Guest,右键打开属性,打勾“账户已禁用”,最后点击应用和确定即可禁用Guest账户
二、密码策略
操作系统和数据库系统管理,用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换密码。
进入“开始——管理工具——本地安全策略”,在“帐户策略——密码策略”;
“密码必须符合复杂度要求” 设置为“启用”
“密码长度最小值”设置为“8-12个字符”
“密码最长使用期限”设置为“90天”
“强制密码历史”设置为“记住5个密码”
“用可以还原的加密来存储密码”设置为“禁用”
三、连续登录失败账户锁定策略
应启用登录失败锁定功能,可采取结束会话、限制非法登录次数和自动退出等措施。对于采用静态口令认证技术的服务器,应设置当用户连续登录失败次数超过5 次(不含5 次),锁定该用户使用的账号**分钟。
比如连续登录失败超过5次,锁定该用户账号15分钟
进入“开始——管理工具——本地安全策略”,在“帐户策略——帐户锁定策略”:
“账户锁定时间”设置为15分钟
“账户额锁定阀值”设置为5 次
“复位账户锁定计数器”设置为15分钟
四、日志审核策略
审核内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件。在主机的审核策略上设置日志审核策略,进入“开始 ——管理工具——本地安全策略”,在“本地策略——审核策略”在主机的审核策略上设置日志审核策略:
审计帐户登录事件: 成功,失败
审计帐户管理: 成功,失败
审计目录服务访问: 成功,失败
审计登录事件: 成功,失败
审计对象访问: 成功,失败
审计策略更改: 成功,失败
审计特权使用: 成功,失败
审计系统事件: 成功,失败
审计过程追踪: 成功,失败
五、设置不显示最后的用户名
在本地安全设置系统登录时不显示最后的用户名。
进入“开始——管理工具——本地安全策略”,在“本地策略——安全选项”
“交互式登录:不显示最后的用户名”设置为“已启用”
六、启用主机安全选项的”关机前清除虚拟内存页面”
应确保系统内的文件、目录和数据库记录等资源所在的 存储空间,被释放或重新分配 给其他用户前得到完全清除。
进入“开始——管理工具——本地安全策略”,在本地策略——安全选项
“关机:清除虚拟页面文件内存”设置为“已启用”
七、配置日志文件大小
配置日志文件容量,避免受到未预期的`删除、修改或覆盖等
进入“开始——管理工具——计算机管理——事件查看器——windows日志-系统,右键属性
八、磁盘配额配置
磁盘配额可以限制指定账户能够使用的磁盘空间,这样可以避免因某个用户的过度使用磁盘空间造成其他用户无法正常工作甚至影响系统运行
进入“我的电脑——C盘——属性——配额”
“启用磁盘管理”设置为启用
“磁盘空间限制为”设置为”90GB”
“将警告等级设为”设置为”90GB”
“用户超出配额限制时记录事件(G)”打勾
“用户超过警告等级时记录事件(V)” 打勾
九、远程会话策略
默认情况下,远程桌面服务允许用户从远程桌面服务会话断开连接,而不用注销和结束会话。启用此策略设置,则达到指定时间后将从服务器中删除已断开连接的会话
进入运行——gpedit.msc——计算机配置——管理模板——wondows组件——远程服务——远程桌面会话主机——会话时间限制
“设置已中断会话的时间限制”设置为“已启用”
“结束已断开连接的会话”设置为“5分钟”
十、强制启用SSL
当为服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听。
打开“运行-输入命令 【gpedit.msc】-本地组策略编辑器—计算机配置—管理模板—windows 组件—远程桌面服务—远程桌面会话主机—安全
启用“设置客户端连接加密级别”,将加密等级设置为高级。
启用“远程(RDP)连接要求使用指定的安全层”安全层选择SSL。
Windows服务器安全设置攻略4
一、取消文件夹隐藏共享在默认状态下,Windows 2000/XP会开启所有分区的隐藏共享,从“控制面板/管理工具/计算机管理”窗口下选择“系统工具/共享文件夹/共享”,就可以看到硬盘上的每个分区名后面都加了一个“$”。但是只要键入“计算机名或者IPC$”,系统就会询问用户名和密码,遗憾的是,大多数个人用户系统Administrator的密码都为空,入侵者可以轻易看到C盘的内容,这就给网络安全带来了极大的隐患。
怎么来消除默认共享呢?方法很简单,打开注册表编辑器,进入“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetSevicesLanmanworkstationparameters”,新建一个名为“AutoShareWKs”的双字节值,并将其值设为“0”,然后重新启动电脑,这样共享就取消了。关闭“文件和打印共享”文件和打印共享应该是一个非常有用的功能,但在不需要它的时候,也是黑客入侵的很好的安全漏洞。所以在没有必要“文件和打印共享”的情况下,我们可以将它关闭。用鼠标右击“网络邻居”,选择“属性”,然后单击“文件和打印共享”按钮,将弹出的“文件和打印共享”对话框中的两个复选框中的钩去掉即可。二、禁止建立空连接打开注册表编辑器,进入“HKEY_LOCAL_MACHINESystemCurrentControlSetControlLsa”,将DWORD值“RestrictAnonymous”的键值改为“1”即可。三、删掉不必要的.协议对于服务器来说,只安装TCP/IP协议就够了。鼠标右击“网络邻居”,选择“属性”,再鼠标右击“本地连接”,选择“属性”,卸载不必要的协议。其中NETBIOS是很多安全缺陷的根源,对于不需要提供文件和打印共享的主机,还可以将绑定在TCP/IP协议的NETBIOS关闭,避免针对NETBIOS的攻击。选择“TCP/IP协议/属性/高级”,进入“高级TCP/IP设置”对话框,选择“WINS”标签,勾选“禁用TCP/IP上的NETBIOS”一项,关闭NETBIOS。四、禁用不必要的服务:Automatic Updates(自动更新下载)Computer BrowserDHCP ClientDNS ClientMessengerPrint SpoolerRemote Registry(远程修改注册表)Server(文件共享)Task Scheduler(计划任务)TCP/IP NetBIOS HelperThemes(桌面主题)Windows AudioWindows TimeWorkstation五、更换管理员帐户
Administrator帐户拥有最高的系统权限,一旦该帐户被人利用,后果不堪设想。黑客入侵的常用手段之一就是试图获得Administrator帐户的密码,所以我们要重新配置Administrator帐号。
首先是为Administrator帐户设置一个强大复杂的密码(个人建议至少12位),然后我们重命名Administrator帐户,再创建一个没有管理员权限的Administrator帐户欺骗入侵者。这样一来,入侵者就很难搞清哪个帐户真正拥有管理员权限,也就在一定程度上减少了危险性六、把Guest及其它不用的账号禁用有很多入侵都是通过这个账号进一步获得管理员密码或者权限的.。如果不想把自己的计算机给别人当玩具,那还是禁止的好。打开控制面板,双击“用户和密码”,单击“高级”选项卡,再单击“高级”按钮,弹出本地用户和组窗口。在Guest账号上面点击右键,选择属性,在“常规”页中选中“账户已停用”。另外,将Administrator账号改名可以防止黑客知道自己的管理员账号,这会在很大程度上保证计算机安全。七、防范木马程序
木马程序会窃取所植入电脑中的有用信息,因此我们也要防止被黑客植入木马程序,常用的办法有:
● 在下载文件时先放到自己新建的文件夹里,再用杀毒软件来检测,起到提前预防的作用。
● 在“开始”→“程序”→“启动”或“开始”→“程序”→“Startup”选项里看是否有不明的运行项目,如果有,删除即可。
● 将注册表里 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下的所有以“Run”为前缀的可疑程序全部删除即可。八、如果开放了Web服务,还需要对IIS服务进行安全配置:
(1) 更改Web服务主目录。右键单击“默认Web站点→属性→主目录→本地路径”,将“本地路径”指向其他目录。
(2) 删除原默认安装的Inetpub目录。(或者更改文件名)
(3) 删除以下虚拟目录: _vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。九、打开审核策略Windows默认安装没有打开任何安全审核,所以需要进入[我的电脑]→[控制面板]→[管理工具]→[本地安全策略]→[审核策略]中打开相应的审核。系统提供了九类可以审核的事件,对于每一类都可以指明是审核成功事件、失败事件,还是两者都审核策略更改:成功或失败登录事件:成功和失败对象访问:失败事件过程追踪:根据需要选用目录服务访问:失败事件特权使用:失败事件系统事件:成功和失败账户登录事件:成功和失败账户管理:成功和失败十、安装必要的安全软件
我们还应在电脑中安装并使用必要的防黑软件,杀毒软件和防火墙都是必备的。在上网时打开它们,这样即便有黑客进攻我们的安全也是有保证的。当然我们也不应安装一些没必要的软件,比如:QQ一些聊天工具,这样尽可能给黑客提供少的后门.最后建议大家给自己的系统打上补丁,微软那些没完没了的补丁还是很有用的。
Windows服务器安全设置攻略5
1.系统补丁的更新
点击开始菜单—>所有程序—>Windows Update
按照提示进行补丁的安装。
2.修改远程桌面端口:将默认端口3389改为XXXX。如何修改远程桌面端口可以参考 “服务器安全策略之《修改远程桌面端口》”
3.帐户:对系统管理员默认帐户administrator进行重命名,停用guest用户。
4.共享和发现
右键“网络”-属性-更改高级共享设置--共享和发现
关闭,网络共享,文件共享,公用文件共享,打印机共享所有
5.防火墙的设置
控制面板→Windows防火墙设置(启动防火墙)→更改设置→例外,勾选FTP、HTTP、远程桌面服务 核心网络 HTTPS 3306:Mysql 1433:Mssql;
(1)取消网络连接中的文件和打印共享。
(2)在例外里面添加远程桌面端口XXX。否则无法在本地远程连接桌面
(3)在防火墙高级设置时勾选Web 服务和安全的Web服务。
(4)在防火墙开放FTP端口XX。
(5)开放短信发送平台端口:XXX
默认开启防火墙后ping命令是禁止的,开启方法如下:
方法1:命令行模式
进入服务器后 点击 开始——运行 输入命令:
netsh firewall set icmpsetting 8 这样就可以在外部ping到服务器了 非常简单实用!
同样道理,如果想禁止Ping,那运行如下命令即可实现:
netsh firewall set icmpsetting 8 disable
方法2:防火墙高级面板方式
1. 进入控制面板——>管理工具——>找到 “高级安全 Windows防火墙”
2. 点击 入站规则
3. 找到 回显请求-ICMPv4-In (Echo Request – ICMPv4-In)
4. 右键 点击规则 点击“启用规则(Enable)”
禁止ping的方法相同
6.禁用不需要的和危险的服务,以下列出服务都需要禁用。
打开 控制面板--管理工具--服务(或通过命令services.msc)
Distributed linktracking client 用于局域网更新连接信息
PrintSpooler 打印服务
Remote Registry 远程修改注册表
Server 计算机通过网络的文件、打印、和命名管道共享 (关闭会启动时会报错)
TCP/IP NetBIOS Helper 提供
TCP/IP (NetBT) 服务上的
NetBIOS 和网络上客户端的
NetBIOS 名称解析的.支持
Workstation 泄漏系统用户名列表 与Terminal Services Configuration 关联
Computer Browser 维护网络计算机更新 默认已经禁用
Net Logon 域控制器通道管理 默认已经手动
Remote Procedure Call (RPC) Locator RpcNs*远程过程调用 (RPC) 默认已经手动
删除服务sc MySql
7.禁止IPC空连接:打开注册表,找到Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous 把这个值改成”1”即可。
8.删除默认共享:打开注册表,找到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters,新建 AutoShareServer类型是REG_DWORD把值改为0。
9.组策略配置:gpedit—>计算机配置—>windows设置—>安全设置—>本地策略。
(1)在用户权利分配下,从通过网络访问此计算机中删除Power Users和Backup Operators;
(2)启用不允许匿名访问SAM帐号和共享;
(3)启用不允许为网络验证存储凭据或Passport;
(4)从文件共享中删除允许匿名登录的DFS$和COMCFG;
(5)启用交互登录:不显示上次的用户名;
(6)启用在下一次密码变更时不存储LANMAN哈希值;
(7)禁止IIS匿名用户在本地登录。
10.本地安全策略设置:
开始菜单—>管理工具—>本地安全策略
A、本地策略——>审核策略
(1)审核策略更改 成功 失败
(2)审核登录事件 成功 失败
(3)审核对象访问失败
(4)审核过程跟踪 无审核
(5)审核目录服务访问失败
(6)审核特权使用失败
(7)审核系统事件 成功 失败
(8)审核账户登录事件 成功 失败
(9)审核账户管理 成功 失败
注:在设置审核登陆事件时选择记失败,这样在事件查看器里的安全日志就会记录登陆失败的信息。
B、本地策略——>用户权限分配
(1)关闭系统:只有Administrators组、其它全部删除。
(2)通过终端服务拒绝登陆:加入Guests组、IUSR_*****、IWAM_*****、NETWORK SERVICE、SQLDebugger
(3)通过终端服务允许登陆:加入Administrators、Remote Desktop Users组,其他全部删除
C、本地策略——>安全选项
交互式登陆:不显示最后的用户名 启用
网络访问:不允许SAM帐户的匿名枚举 启用 已经启用
网络访问:不允许SAM帐户和共享的匿名枚举 启用
网络访问:不允许储存网络身份验证的凭据 启用
网络访问:可匿名访问的共享 内容全部删除
网络访问:可匿名访问的命名管道 内容全部删除
网络访问:可远程访问的注册表路径 内容全部删除
网络访问:可远程访问的注册表路径和子路径 内容全部删除
帐户:重命名来宾帐户 这里可以更改guest帐号
帐户:重命名系统管理员帐户 这里可以更改Administrator帐号
D:本地策略>软件限制策略>其它规则
新建规则不允许运行以下文件: scrrun.dll,shell.dll,QQ.exe,thunder.exe,telnet.exe等等。随着维护的深入,逐步追加服务器不需要运行的应用程序。
11.新建一无任何权限的假Administrator账户
管理工具→计算机管理→系统工具→本地用户和组→用户
新建一个Administrator帐户作为陷阱帐户,设置超长密码,并去掉所有用户组
更改描述:管理计算机(域)的内置帐户
安全策略的作用
对服务器进行以上的设置和相关策略的制定,可以有效的增加服务器的自身防御能力,防止黑客利用常见的攻击手段和方法对服务器进行入侵和破坏。
【Windows服务器安全设置攻略】相关文章:
Windows7系统安全设置08-09
Windows 2003的安装攻略10-14
浅谈Windows XP关机加速设置07-21
windows防火墙设置端口10-12
windows设置定时开机的几种方法04-21
windows xp怎么设置网络共享02-24
如何开启与设置Windows 8防火墙08-19
Windows7系统恢复出厂设置07-26