本文是我做服務器維護的點擊經驗,部份是我根據入侵手段所做的相應配置調整!大部份的內容網上都有,可能有人認為是抄襲,無所謂了,只要對大家有幫助就OK了,如果大家對本文有不同的看法,非常歡迎大家與我交流!
還有一點我想說的是,本文內容討論的重點是服務器安全設置加固,是在有一定安全設置的基礎上進行討論的,並且,對於基礎的內容我在本文最後也列出了標題,只是網上的好文章挺多的,我就不想再費勁寫了!所以,大家看後不要再說一些對於磁盤之類設置沒有做之類的話!
1、修改管理員帳號名稱與來賓帳號名稱
此步驟主要是為了防止入侵者使用默認的系統用戶名或者來賓帳號馬上進行暴利破解,在更改完後,不要忘記修改強悍的密碼。
控制面板――管理工具――本地安全策略――本地策略――安全選項
在右邊欄的最下方,如圖所示:
2、修改遠程桌面連接端口
運行 Regedt32 並轉到此項:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
找到“PortNumber”子項,您會看到值 00000D3D,它是 3389 的十六進制表示形式。使用十六進制數值修改此端口號,並保存新值。
小巧門:各位,別一看到是十六進制就頭疼,在修改鍵值的時候也同樣支持十進制
3、禁止不常用服務
禁用不必要的服務不但可以降低服務器的資源占用減輕負擔,而且可以增強安全性。下面列出了可以禁用的服務:
Application Experience Lookup Service
Automatic Updates
BITS
Computer Browser
DHCP Client
Error Reporting Service
Help and Support
Network Location Awareness
Print Spooler
Remote Registry
Secondary Logon
Server
Smartcard
TCP/IP NetBIOS Helper
Workstation
Windows Audio
Windows Time
Wireless Configuration
4、設置組策略,加強系統安全策略
設置帳號鎖定閥值為5次無效登錄,鎖定時間為30分鐘;
從通過網絡訪問此計算機中刪除Everyone組;
在用戶權利指派下,從通過網絡訪問此計算機中刪除Power Users和Backup Operators;
為交互登錄啟動消息文本。
啟用 不允許匿名訪問SAM帳號和共享;
啟用 不允許為網絡驗證存儲憑據或Passport;
啟用 在下一次密碼變更時不存儲LANMAN哈希值;
啟用 清除虛擬內存頁面文件;
禁止IIS匿名用戶在本地登錄;
啟用 交互登錄:不顯示上次的用戶名;
從文件共享中刪除允許匿名登錄的DFS$和COMCFG;
禁用活動桌面。
5、強化TCP協議棧
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"SynAttackProtect"=dword:00000001
"EnablePMTUDiscovery"=dword:00000000
"NoNameReleaseOnDemand"=dword:00000001
"EnableDeadGWDetect"=dword:00000000
"KeepAliveTime"=dword:00300000
"PerformRouterDiscovery"=dword:00000000
"TcpMaxConnectResponseRetransmissions"=dword:00000003
"TcpMaxHalfOpen"=dword:00000100
"TcpMaxHalfOpenRetried"=dword:00000080
"TcpMaxPortsExhausted"=dword:00000005
6、加固IIS
進入Windows組件安裝,找到應用程序服務器,進入詳細信息,勾選ASP.NET後,IIS必須的組件就會被自動選擇,如果你的服務器需要運行ASP腳本,那麼還需要進入Internet信息服務(IIS)-萬維網服務下勾選Active Server Pages。完成安裝後,應當在其他邏輯分區上單獨建立一個目錄用來存儲WEB網站程序及數據。
一台WEB服務器上都運行著多個網站,他們之間可能互不相干,所以為了起到隔離和提高安全性,需要建立一個匿名WEB用戶組,為每一個站點創建一個匿名訪問賬號,將這些匿名賬號添加到之前建立的匿名WEB用戶組中,並在本地計算機策略中禁止此組有本地登錄權限。
最後優化IIS6應用程序池設置:
禁用缺省應用程序池的空閒超時;
禁用緩存ISAPI擴展;
將應用程序池標識從NetworlService改為LocalService;
禁用快速失敗保護;
將關機時間限制從
7、刪除MSSQL無用組件、注冊表及調用的SHELL
將有安全問題的SQL過程刪除.比較全面.一切為了安全!刪除了調用shell,注冊表,COM組件的破壞權限
use master
EXEC sp_dropextendedproc 'xp_cmdshell'
EXEC sp_dropextendedproc 'Sp_OACreate'
EXEC sp_dropextendedproc 'Sp_OADestroy'
EXEC sp_dropextendedproc 'Sp_OAGetErrorInfo'
EXEC sp_dropextendedproc 'Sp_OAGetProperty'
EXEC sp_dropextendedproc 'Sp_OAMethod'
EXEC sp_dropextendedproc 'Sp_OASetProperty'
EXEC sp_dropextendedproc 'Sp_OAStop'
EXEC sp_dropextendedproc 'Xp_regaddmultistring'
EXEC sp_dropextendedproc 'Xp_regdeletekey'
EXEC sp_dropextendedproc 'Xp_regdeletevalue'
EXEC sp_dropextendedproc 'Xp_regenumvalues'
EXEC sp_dropextendedproc 'Xp_regread'
EXEC sp_dropextendedproc 'Xp_regremovemultistring'
EXEC sp_dropextendedproc 'Xp_regwrite'
drop procedure sp_makewebtask
全部復制到"SQL查詢分析器"
點擊菜單上的--"查詢"--"執行",就會將有安全問題的SQL過程刪除(以上是7i24的正版用戶的技術支持)
更改默認SA空密碼.數據庫鏈接不要使用SA帳戶.單數據庫單獨設使用帳戶.只給public和db_owner權限.
數據庫不要放在默認的位置.
SQL不要安裝在PROGRAM FILE目錄下面.
最近的SQL2000補丁是SP4
8、防ping處理
防ping處理建意大家用防火牆一類的軟件,這樣可以大大降低服務器被攻擊的可能性,為什麼這樣說呢?主要是現在大部份的入侵者都是利用軟件掃一個網段存活的主機,一般判斷主機是否存活就是看ping的通與不通了!
9、禁止(更改)常用DOS命令
找到%windir%/system32下找到cmd.exe、cmd32.exe net.exe net1.exe ipconfig.exe tftp.exe ftp.exe user.exe reg.exe regedit.exe regedt32.exe regsvr32.exe 這些黑客常用的文件,在“屬性”→“安全”中對他們進行訪問的ACLs用戶進 行定義,諸如只給administrator有權訪問,如果需要防范一些溢出攻擊、以及溢出成功後對這些文件的非法利用;那麼我們只需要將system用戶 在ACLs中進行拒絕訪問即可。
10、修改server_U默認端口(網上有類似的視頻教程及文章,做的比較不錯)
11、關閉不常用端口(哪都有)
在TCP/IP屬性――高級――篩選,只打開一些常用的端口就可以了!例如:80 3389 1433 等 ,根據各人需求吧!
12、磁盤(網站目錄)、用戶、IIS權限設置(滿大街全是了)
這類的文章和視頻也很多,不過在這裡我想說的是,現在網站很多的文章和視頻在給磁盤基本權限的時候,都是給的Administrors組權限,我個人建意大家用Administrator權限,這樣為了防止提權成功後,入侵者可以完全控制機器!這樣做後,即使入侵成功了,也只有一點點的浏覽權限的!
首發:skyjames.cn
