详细介绍了WindowsServer2003中的安全配置问题,包括端口、审计、默认共享、磁盘管理、防火墙和数据库等。相信会让你有所收获。
一、先关闭不需要的端口
我更小心了。我先关闭了端口。只开了338921801433。一直有人说默认3389不安全。我不否认这一点,但是使用的方法只能一一穷尽。你把账号的密码改成了15或者16位,我估计他要好几年才能破解。哈哈!方法:本地连接-属性-互联网协议(TCP/IP)-高级-选项-TCP/IP过滤-属性-勾选添加需要的端口即可。PS一句:设置好端口后,需要重启!
当然,你也可以改变远程连接端口的方法:
windows registrytryeditorversion 5.00
[HKEY _ LOCAL _ MACHINE \ SYSTEM \ current Control set \ Control \ TerminalServer \ win stations \ RDP-Tcp]
端口号'=dword:00002683
保存。REG文件并双击它!改成9859,当然也可以换其他端口,直接打开上面注册表的地址,把值改成十进制,输入你想要的端口!重启生效!
还有一点,2003系统中,带TCP/IP过滤中的端口过滤功能,使用FTP服务器时,只开放21个端口。FTP传输时,FTP特有的端口模式和被动模式在传输数据时需要动态打开高端口。所以在使用TCP/IP过滤时,经常会出现连接后目录和数据传输无法列出的问题。所以2003系统增加的windows连接防火墙可以很好的解决这个问题,所以不建议使用网卡的TCP/IP过滤功能。做FTP下载的用户要看仔细了,因为他们怪我说我的文章都是垃圾.如果要关闭不必要的端口,在\ \ system32 \ \ drivers \ \ etc \ \ services中有列表,记事本可以打开。如果你比较懒,最简单的方法就是启用WIN2003自带的网络防火墙,更改端口。功能还可以!连接Internet防火墙可以有效拦截Windows2003服务器的非法入侵,防止非法远程主机扫描服务器,提高Windows2003服务器的安全性。同时还能有效拦截利用操作系统漏洞攻击端口的病毒,如冲击波和其他蠕虫。如果在Windows2003构建的虚拟路由器上启用此防火墙功能,可以保护整个内部网络。
港口介绍可以在:https://www.jb51.net/article/48186.htm找到
二、关闭不需要的服务打开相应的审核策略
我关闭了以下服务
浏览器维护网络上计算机的最新列表并提供此列表。
Taskscheduler允许程序在指定的时间运行。
在Messenger客户端和服务器之间传输NETSEND和警报服务消息。
DistributedFileSystem: LAN管理共享文件,因此不需要禁用它。
Distributedlinktrackingclient:用于更新局域网的连接信息,不需要禁用。
Errorreportingservice:错误报告被禁止。
MicrosoftSerch:提供快速单词搜索,可以在没有任何需要的情况下禁用。
LMSecuritySupportProvider:由Telnet服务和MicrosoftSerch使用,不需要禁用。
如果没有要禁用的打印机。
RemoteRegistry:禁止远程修改注册表。
Remotedesktophelpsession管理器:禁止远程协助。
如果工作站关闭,远程网络命令将无法列出用户组。
禁止所有不必要的服务。虽然这些可能是攻击者得不到的,但是根据安全规则和标准,不需要打开多余的东西,这样就减少了一个隐患。
在“网络连接”中,删除所有不必要的协议和服务。这里,仅安装了基本互联网协议(TCP/IP ),并且另外安装了Qos分组调度器来控制带宽流服务。在高级tcp/ip设置中-“NetBIOS”设置“禁用tcp/IP上的NetBIOS”。在高级选项中,使用“Internet连接防火墙”,这是windows2003附带的防火墙。它在2000系统中没有任何功能。虽然没有功能,但是可以屏蔽端口,从而基本实现了一个IPSec的功能。
输入gpedit.msc并回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-审计策略。在创建审计项目时,需要注意的是,如果审计项目太多,生成的事件就越多,因此发现严重事件的难度就越大。当然,如果审核太少会影响你发现严重事件,你需要根据情况在两者之间进行选择。
建议审查的项目有:
登录事件成功但失败。
帐户登录事件成功和失败。
系统事件成功和失败。
策略更改成功但失败。
对象访问失败。
目录服务访问失败。
权限使用失败。
三、关闭默认共享的空连接
因为比较简单,这里就不讨论了。
https://www.jb51.net/article/42238.htm
四、磁盘权限设置
c盘只给管理员和系统权限,其他权限不给。其他磁盘也可以这样设置。这里给的系统权限不一定需要给,只是因为有些第三方应用是作为服务启动的,需要添加这个用户,否则启动不了。
Windows目录应该添加到用户的默认权限中,否则ASP、ASPX等应用无法运行。以前有朋友单独设置了Instsrv、temp等目录权限,其实没必要。
另外在c:/DocumentsandSettings/这里很重要,下面目录中的权限完全不会继承之前的设置。如果只对c盘设置了管理员权限,那么everyone用户将在AllUsers/ApplicationData目录下拥有完全控制权限,这样就可以跳转到这个目录,编写脚本或文件,然后结合其他漏洞增强权限。
比如利用serv-u的本地溢出来增强权限,或者系统中缺失补丁,数据库弱点,甚至社交工程等等。有很多方法。以前有人说‘只要给我一个webshell,我就能得到系统’,确实有可能。在用作web/ftp服务器的系统中,建议锁定所有这些目录。其他磁盘的目录都是这样设置的,每个磁盘只给一个adinistrators权限。
此外,它将:
net.exeNET命令
Cmd.exeCMD懂电脑的一切~
tftp.exe
netstat.exe
regedit.exe
at.exe
attrib.exe
Cacls.exeACL用户组权限设置,这个命令可以设置NTFS下任何文件夹的任何权限!我入侵的时候没少用这个.(:
format.exe
大家都知道ASP木马吧?有一个CMD运行这个。如果这些都能运行.CMD下55,估计没别的了。估计会在格式下哭~ ~(:这些文件设置为只允许管理员访问。
五、防火墙、杀毒软件的安装
其实这个东西的安装我也说不上来。反正各种装置都有。推荐用卡巴和麦考菲。
https://www.jb51.net/hack/40724.html
https://www.jb51.net/softjc/468585.html
https://www.jb51.net/hack/536709.html
https://s.jb51.net/mcafee.htm
六、SQL2000SERV-UFTP安全设置
SQL安全方面
1.最好不要拥有两个以上的系统管理员角色。
2.如果在这台机器上,最好将身份验证配置为Win登录。
3.不要使用Sa帐户,并配置一个超级复杂的密码。
4.删除以下扩展存储过程格式:
使用主机
Sp_dropextendedproc '扩展存储过程名称'
Xp_cmdshell:这是操作系统的最佳捷径。删除
访问注册表的存储过程,删除
XP _ regaddmultistringXp _ regdeletekeyXp _ regdeletevalueXp _ regenumvalues
Xp _ regread Xp _ regwrite Xp _ regremovemultistring
OLE自动存储过程,不需要删除
Sp _ OACreate Sp _ OADestroySp _ OAGetErrorInfoSp _ OAGetProperty
sp _ OAMethodSp _ OASetPropertySp _ OAStop
5.隐藏SQLServer并更改默认端口1433
右键选择实例选择属性-常规-网络配置,选择TCP/IP协议属性,选择隐藏SQLServer实例,更改原来的默认端口1433。
serv-u的几个常规安全要求设置如下:
请检查“Block”FTP _ bounce“attack and XP”。什么是FXP?通常,当FTP协议用于文件传输时,客户端首先向FTP服务器发送‘PORT’命令,该命令包含用户的IP地址和用于数据传输的端口号。服务器收到后,它使用命令提供的用户地址信息与用户建立连接。大多数情况下,上述过程不会有问题,但当客户端是恶意用户时,FTP服务器可能会通过在PORT命令中添加特定的地址信息,与其他非客户端机器建立连接。虽然恶意用户可能没有直接访问特定机器的权限,但是如果FTP服务器有访问机器的权限,那么恶意用户就可以通过FTP服务器作为中介最终连接到目标服务器。这是FXP,也称为跨服务器攻击。选中时,可以防止这种情况。
七、IIS安全设置
IIS的安全性:
1.不要使用默认网站。如果这样做,应该将IIS目录与系统盘分开。
2.删除IIS默认创建的Inetpub目录(在安装系统的磁盘上)。
3.删除系统盘下的虚拟目录,比如:_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。
4.删除不必要的IIS扩展映射。
右键单击“默认网站属性主目录配置”打开应用程序窗口,删除不必要的应用程序映射。主要是。shtml,shtm,stm。
5.更改IIS日志的路径。
右键单击默认网站属性-网站-单击启用日志记录下的属性。
6.如果您使用的是2000,可以使用iislockdown来保护IIS,但不要求运行2003的IE6.0版本。
八。其他人
1.升级系统,打操作系统补丁,尤其是IIS6.0补丁,SQLSP3a补丁,甚至是IE6.0补丁。同时,及时跟踪最新的漏洞补丁;
2.停止访客帐号,给访客添加异常复杂的密码,重命名或伪装管理员!
3.隐藏重要文件/目录
可以修改注册表实现完全隐藏:“HKEY _本地_机器\软件\微软\ windows \当前版本\资源管理器\高级\文件夹\ hi-dden \ showall”,右击“CheckedValue”,选择修改,将值从1改为0。
4.启动系统自带的互联网连接防火墙,在设置服务选项中检查Web服务器。
5.防止SYN flood攻击
HKEY _ LOCAL _ MACHINE \ SYSTEM \ current control set \ Services \ Tcpip \ Parameters
创建一个名为SynAttackProtect的新DWORD值,值为2
6.禁止响应ICMP路由通告消息。
HKEY _ LOCAL _ MACHINE \ SYSTEM \ current control set \ Services \ Tcpip \ Parameters \ Interfaces \ interface
创建一个名为PerformRouterDiscovery的新DWORD值,其值为0
7.防止ICMP重定向消息的攻击
HKEY _ LOCAL _ MACHINE \ SYSTEM \ current control set \ Services \ Tcpip \ Parameters
将EnableICMPRedirects值设置为0。
8.不支持IGMP协议。
HKEY _ LOCAL _ MACHINE \ SYSTEM \ current control set \ Services \ Tcpip \ Parameters
创建一个新的DWORD值,名为IGMPLevel,值为0
9.禁用DCOM:
运行输入Dcomcnfg.exe。进入,点击“控制台根节点”下的“组件服务”。打开计算机子文件夹。
对于本地计算机,右键单击我的电脑,然后选择属性。选择默认属性选项卡。
清除“在这台计算机上启用分布式COM”复选框。
关于[推荐]Win2003服务器安全配置的这篇文章到此结束。有关Win2003安全配置的更多信息,请搜索我们以前的文章或继续浏览下面的相关文章。希望你以后能支持我们!
郑重声明:本文由网友发布,不代表盛行IT的观点,版权归原作者所有,仅为传播更多信息之目的,如有侵权请联系,我们将第一时间修改或删除,多谢。