Windows服务器安全配置小结
<p>1.系统分区</p>
<p>
a)所有分区使用ntfs,C:System系统分区10G,D:Software软件安装10GE:Website网站所在目录F:工具及备份50Gsoft,backup,other</p>
<p>
2.安装操作系统:</p>
<p>
WindowsServer2003EnterpriseEditionWithServicePack1,用WindowsUpdate进行升级.</p>
<p>
并打上sp2及所有补丁</p>
<p>
Serv-U6.0(替换servadmin.exe和servudaemon.exe替换安装目录下的对应文件,并采用ODBC存储方式)</p>
<p>
3.禁止Guest用户</p>
<p>
4.安装组件(jmial,动易,upload,aspjepg,等)</p>
<p>
5.新建IISuser用户组,以及servu用户,不属于任何组,servu密码设复杂些:如:servu_pass_IP地址.即所有iis用户加入IISuser组ServU启动选择使用服务启动.然后在services.msc中设置ServUDaemond的启动用户为servu.</p>
<p>
6.删除c:\Inetpub目录</p>
<p>
7.禁用TCP/IP上的NetBIOS</p>
<p>
网上邻居-属性-本地连接-属性-Internet协议(TCP/IP)属性-高级-WINS面板-NetBIOS设置-禁用TCP/IP上的NetBIOS。这样cracker就无法用nbtstat命令来读取你的NetBIOS信息和网卡MAC地址了。</p>
<p>
8.把Administrator改名为cytz_admin_ip尾数.</p>
<p>
9.修改3389端口</p>
<p>
1.运行Regedt32并转到此项:</p>
<p>
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp</p>
<p>
及:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\Wds\rdpwd\Tds\tcp</p>
<p>
注意:上面的注册表项是一个路径;它已换行以便于阅读。</p>
<p>
2.找到“PortNumber”子项,您会看到值00000D3D,它是3389的十六进制表示形式。使用十六进制数值修改此端口号(F79D)即十进制的63389,并保存新值。</p>
<p>
10.运行gpedit.msc=>计算机管理=>Windows设置=>安全设置=>本地策略=>审核策略按如下设置:</p>
<p>
账户管理成功失败</p>
<p>
登录事件成功失败</p>
<p>
对象访问失败</p>
<p>
策略更改成功失败</p>
<p>
特权使用失败</p>
<p>
系统事件成功失败</p>
<p>
目录服务访问失败</p>
<p>
账户登录事件成功失败</p>
<p>
11.安装mcafree或卡巴斯基服务器版,vnc安装blackice防火墙.打开21,80,443,6900,10000-10020,63389.并设置serv-u使用10000-10020端口进行pasv传送.防火墙里第二页选择链接的网卡,把里面FTP服务器的勾一定要去掉.</p>
<p>
12.运行权限设置脚本priv.bat</p>
<p>
13.禁用以下服务</p>
<p>
14.ComputerBrowser维护网络上计算机的最新列表以及提供这个列表</p>
<p>
RoutingandRemoteAccess在局域网以及广域网环境中为企业提供路由服务</p>
<p>
Removablestorage管理可移动媒体、驱动程序和库</p>
<p>
RemoteRegistryService允许远程注册表操作</p>
<p>
PrintSpooler将文件加载到内存中以便以后打印。要用打印机的朋友不能禁用这项</p>
<p>
IPSECPolicyAgent管理IP安全策略以及启动ISAKMP/OakleyIKE)和IP安全驱动程序</p>
<p>
DistributedLinkTrackingClient当文件在网络域的NTFS卷中移动时发送通知</p>
<p>
Com+EventSystem提供事件的自动发布到订阅COM组件</p>
<p>
Alerter通知选定的用户和计算机管理警报</p>
<p>
ErrorReportingService收集、存储和向Microsoft报告异常应用程序</p>
<p>
Messenger传输客户端和服务器之间的NETSEND和警报器服务消息</p>
<p>
Telnet允许远程用户登录到此计算机并运行程序</p>
<p>
15. 防止SYN洪水攻击</p>
<p>
WindowsRegistryEditorVersion5.00</p>
<p>
</p>
<p>
"SynAttackProtect"=dword:00000002</p>
<p>
"EnablePMTUDiscovery"=dword:00000000</p>
<p>
"NoNameReleaseOnDemand"=dword:00000001</p>
<p>
"EnableDeadGWDetect"=dword:00000000</p>
<p>
"KeepAliveTime"=dword:00300000</p>
<p>
"PerformRouterDiscovery"=dword:00000000</p>
<p>
"TcpMaxConnectResponseRetransmissions"=dword:00000003</p>
<p>
"TcpMaxHalfOpen"=dword:00000100</p>
<p>
"TcpMaxHalfOpenRetried"=dword:00000080</p>
<p>
"TcpMaxPortsExhausted"=dword:00000005</p>
<p>
"EnableICMPRedirects"=dword:00000000</p>
<p>
禁止IPC空连接:</p>
<p>
cracker可以利用netuse命令建立空连接,进而入侵,还有netview,nbtstat这些都是基于空连接的,禁止空连接就好了。打开注册表,找到Local_Machine/System/CurrentControlSet/Control/LSARestrictAnonymous把这个值改成”1”即可。</p>
<p>
更改TTL</p>
<p>
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameter</p>
<p>
DefaultTTLREG_DWORD0-0xff(0-255十进制,默认值128)改成一个莫名其妙的数字如258</p>
<p>
删除默认共享</p>
<p>
有人问过我一开机就共享所有盘,改回来以后,重启又变成了共享是怎么回事,这是2K为管理而设置的默认共享,必须通过修改注册表的方式取消它:HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/LanmanServer/Parameters</p>
<p>
AutoShareServer类型是REG_DWORD把值改为0即可</p>
<p>
重起后检查共享目录是否还存在.ipc$,c$,d$,e$,f$,admin$等</p>
<p>
禁止建立空连接</p>
<p>
默认情况下,任何用户通过通过空连接连上服务器,进而枚举出帐号,猜测密码。我们可以通过修改注册表来禁止建立空连接:</p>
<p>
Local_Machine/System/CurrentControlSet/Control/LSA-RestrictAnonymous的值改成”1”即可。</p>
頁:
[1]