? 上一篇下一篇 ?

WIN2003系統的服務器安全配置技巧

      常規的如安全的安裝系統,設置和管理帳戶,關閉多余的服務,審核策略,修改終端管理端口, 以及配置MS-SQL,刪除危險的存儲過程,用最低權限的public帳戶連接等等,都不說了!下面是windows根目錄的一些權限設置。

具體配置如下: 

windows下根目錄的權限設置: 

C:\WINDOWS\Application Compatibility Scripts 不用做任何修改,包括其下所有子目錄 

C:\WINDOWS\AppPatch   AcWebSvc.dll已經有users組權限,其它文件加上users組權限 

C:\WINDOWS\Connection Wizard   取消users組權限 

C:\WINDOWS\Debug users組的默認不改 

C:\WINDOWS\Debug\UserMode默認不修改有寫入文件的權限,取消users組權限,給特別的權限,看演示 

C:\WINDOWS\Debug\WPD不取消Authenticated Users組權限可以寫入文件,創建目錄. 

C:\WINDOWS\Driver Cache取消users組權限,給i386文件夾下所有文件加上users組權限 

C:\WINDOWS\Help取消users組權限 

C:\WINDOWS\Help\iisHelp\common取消users組權限 

C:\WINDOWS\IIS Temporary Compressed Files默認不修改 

C:\WINDOWS\ime不用做任何修改,包括其下所有子目錄 

C:\WINDOWS\inf不用做任何修改,包括其下所有子目錄 

C:\WINDOWS\Installer 刪除everyone組權限,給目錄下的文件加上everyone組讀取和運行的權限 

C:\WINDOWS\java 取消users組權限,給子目錄下的所有文件加上users組權限 

C:\WINDOWS\MAGICSET 默認不變 

C:\WINDOWS\Media 默認不變 

C:\WINDOWS\Microsoft.NET不用做任何修改,包括其下所有子目錄 

C:\WINDOWS\msagent 取消users組權限,給子目錄下的所有文件加上users組權限 

C:\WINDOWS\msapps 不用做任何修改,包括其下所有子目錄 

C:\WINDOWS\mui取消users組權限 

C:\WINDOWS\PCHEALTH   默認不改 

C:\WINDOWS\PCHEALTH\ERRORREP\QHEADLES 取消everyone組的權限 

C:\WINDOWS\PCHEALTH\ERRORREP\QSIGNOFF 取消everyone組的權限 

C:\WINDOWS\PCHealth\UploadLB 刪除everyone組的權限,其它下級目錄不用管,沒有user組和everyone組權限 

C:\WINDOWS\PCHealth\HelpCtr   刪除everyone組的權限,其它下級目錄不用管,沒有user組和everyone組權限(這個不用按照演示中的搜索那些文件了,不須添加users組權限就行) 

C:\WINDOWS\PIF 默認不改 

C:\WINDOWS\PolicyBackup默認不改,給子目錄下的所有文件加上users組權限 

C:\WINDOWS\Prefetch 默認不改 

C:\WINDOWS\provisioning 默認不改,給子目錄下的所有文件加上users組權限 

C:\WINDOWS\pss默認不改,給子目錄下的所有文件加上users組權限 

C:\WINDOWS\RegisteredPackages默認不改,給子目錄下的所有文件加上users組權限 

C:\WINDOWS\Registration\CRMLog默認不改會有寫入的權限,取消users組的權限 

C:\WINDOWS\Registration取消everyone組權限.加NETWORK SERVICE 給子目錄下的文件加everyone可讀取的權限, 

C:\WINDOWS\repair取消users組權限 

C:\WINDOWS\Resources取消users組權限 

C:\WINDOWS\security users組的默認不改,其下Database和logs目錄默認不改.取消templates目錄users組權限,給文件加上users組 

C:\WINDOWS\ServicePackFiles   不用做任何修改,包括其下所有子目錄 

C:\WINDOWS\SoftwareDistribution不用做任何修改,包括其下所有子目錄 

C:\WINDOWS\srchasst 不用做任何修改,包括其下所有子目錄 

C:\WINDOWS\system 保持默認 

C:\WINDOWS\TAPI取消users組權限,其下那個tsec.ini權限不要改 

C:\WINDOWS\twain_32取消users組權限,給目錄下的文件加users組權限 

C:\WINDOWS\vnDrvBas 不用做任何修改,包括其下所有子目錄 

C:\WINDOWS\Web取消users組權限給其下的所有文件加上users組權限 

C:\WINDOWS\WinSxS 取消users組權限,搜索*.tlb,*.policy,*.cat,*.manifest,*.dll,給這些文件加上everyone組和users權限 

給目錄加NETWORK SERVICE完全控制的權限 

C:\WINDOWS\system32\wbem 這個目錄有重要作用。如果不給users組權限,打開一些應用軟件時會非常慢。并且事件查看器中有時會報出一堆錯誤。導致一些程序不能正常運行。但為了不讓webshell有瀏覽系統所屬目錄的權限,給wbem目錄下所有的*.dll文件users組和everyone組權限。 

*.dll 

users;everyone 

我先暫停。你操作時挨個檢查就行了 

C:\WINDOWS\#$#%^$^@!#$%$^S#@\#$#$%$#@@@$%!!WERa (我用的temp文件夾路徑)temp由于必須給寫入的權限,所以修改了默認路徑和名稱。防止webshell往此目錄中寫入。修改路徑后要重啟生效。

    至此,系統盤任何一個目錄是不可瀏覽的,唯一一個可寫入的C:\WINDOWS\temp,又修改了默認路徑和名稱變成C:\WINDOWS\#$#%^$^@!#$%$^S#@\#$#$%$#@@@$%!!WERa 

    這樣配置應該相對安全了些。 

    我先去安裝一下幾款流行的網站程序,先暫停.幾款常用的網站程序在這樣的權限設置下完全正常。還沒有裝上sql2000數據庫,無法測試動易2006SQL版了??隙ㄕ?。大家可以試試。 

    服務設置: 

    1.設置win2k的屏幕保護,用pcanywhere的時候,有時候下線時忘記鎖定計算機了,如果別人破解了你的pcanywhere密碼,就直接可以進入你計算機,如果設置了屏保,當你幾分鐘不用后就自動鎖定計算機,這樣就防止了用pcanyhwerer直接進入你計算機的可能,也是防止內部人員破壞服務器的一個屏障 

    2.關閉光盤和磁盤的自動播放功能,在組策略里面設.這樣可以防止入侵者編輯惡意的autorun.inf讓你以管理員的身份運行他的木馬,來達到提升權限的目的??梢杂胣et share 查看默認共享。由于沒開server服務,等于已經關閉默認共享了,最好還是禁用server服務。

    附刪除默認共享的命令: 

net share c$Content$nbsp;/del 

net share d$Content$nbsp;/del 

net share e$Content$nbsp;/del 

net share f$Content$nbsp;/del 

net share ipc$Content$nbsp;/del 

net share admin$Content$nbsp;/del

    3.關閉不需要的端口和服務,在網絡連接里,把不需要的協議和服務都刪掉,這里只安裝了基本的Internet協議(TCP/IP),由于要控制帶寬流量服務,額外安裝了Qos數據包計劃程序。在高級tcp/ip設置里--"NetBIOS"設置"禁用tcp/IP上的NetBIOS 。修改3389遠程連接端口(也可以用工具修改更方便) 

修改注冊表.   

   開始--運行--regedit,依次展開 HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/WDS/RDPWD/TDS/TCP   

右邊鍵值中 PortNumber 改為你想用的端口號.注意使用十進制(例 1989 )HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/WINSTATIONS/RDP-TCP/ 

   右邊鍵值中 PortNumber 改為你想用的端口號.注意使用十進制(例 1989 )注意:別忘了在WINDOWS2003自帶的防火墻給+上10000端口 

修改完畢.重新啟動服務器.設置生效.這里就不改了,你可以自己決定是否修改.權限設置的好后,個人感覺改不改無所謂

    4.禁用Guest賬號:在計算機管理的用戶里面把Guest賬號禁用。為了保險起見,最好給Guest加一個復雜的密碼。你可以打開記事本,在里面輸入一串包含特殊字符、數字、字母的長字符串,然后把它作為Guest用戶的密碼拷進去.我這里隨便復制了一段文本內容進去.如果設置密碼時提示:工作站服務沒有啟動    先去本地安全策略里把密碼策略里啟動密碼復雜性給禁用后就可以修改了

    5.創建一個陷阱用戶:即創建一個名為“Administrator”的本地用戶,把它的權限設置成最低,什么事也干不了的那種,并且加上一個超過10位的超級復雜密碼。這樣可以讓那些 Hacker們忙上一段時間,借此發現它們的入侵企圖。

    6.本地安全策略設置 

開始菜單—>管理工具—>本地安全策略 

A、本地策略——>審核策略   

審核策略更改   成功 失敗   

審核登錄事件   成功 失敗 

審核對象訪問      失敗 

    審核過程跟蹤   無審核 

審核目錄服務訪問    失敗 

審核特權使用      失敗 

審核系統事件   成功 失敗 

審核賬戶登錄事件 成功 失敗 

審核賬戶管理   成功 失敗 

B、本地策略——>用戶權限分配 

關閉系統:只有Administrators組、其它全部刪除。   

通過終端服務允許登陸:只加入Administrators,Remote Desktop Users組,其他全部刪除 

    運行 gpedit.msc 計算機配置 > 管理模板 > 系統 顯示“關閉事件跟蹤程序” 更改為已禁用 

    用戶管理,建立另一個備用管理員賬號,防止特殊情況發生。安裝有終端服務與SQL服務的服務器停用TsInternetUser, sQLDebugger這兩    個賬號 

C、本地策略——>安全選項 

交互式登陸:不顯示上次的用戶名       啟用 

網絡訪問:不允許SAM帳戶和共享的匿名枚舉    啟用 

網絡訪問:不允許為網絡身份驗證儲存憑證   啟用 

網絡訪問:可匿名訪問的共享         全部刪除 

網絡訪問:可匿名訪問的命          全部刪除 

網絡訪問:可遠程訪問的注冊表路徑      全部刪除   

網絡訪問:可遠程訪問的注冊表路徑和子路徑  全部刪除   

帳戶:重命名來賓帳戶            重命名一個帳戶   

帳戶:重命名系統管理員帳戶         重命名一個帳戶

    7.禁止dump file的產生 

    dump文件在系統崩潰和藍屏的時候是一份很有用的查找問題的資料。然而,它也能夠給黑客提供一些敏感 

信息比如一些應用程序的密碼等??刂泼姘?gt;系統屬性>高級>啟動和故障恢復把 寫入調試信息 改成無。 

    關閉華醫生Dr.Watson 

    在開始-運行中輸入“drwtsn32”,或者開始-程序-附件-系統工具-系統信息-工具-Dr Watson,調出系統 

里的華醫生Dr.Watson ,只保留“轉儲全部線程上下文”選項,否則一旦程序出錯,硬盤會讀很久,并占用大量空間。如果以前有此情況,請查找user.dmp文件,刪除后可節省幾十MB空間。在命令行運行drwtsn32 -i 可以直接關閉華醫生,普通用戶沒什么用處 .