企業(yè)與個人網(wǎng)絡(luò)營銷一站式服務(wù)商
        網(wǎng)站建設(shè) / SEO優(yōu)化排名 / 小程序開發(fā) / OA
        0731-88571521
        136-3748-2004
        2003服務(wù)器安全設(shè)置 認(rèn)為還可以的一個
        信息來源:斌網(wǎng)轉(zhuǎn)   發(fā)布時間:2010-6-21   瀏覽:
        windows server2003是目前最為成熟的網(wǎng)絡(luò)服務(wù)器平臺,安全性相對于windows 2000有大大的提高,但是2003默認(rèn)的安全配置不一定適合我們的需要,所以,我們要根據(jù)實(shí)際情況來對win2003進(jìn)行全面安全配置。說實(shí)話,安全配置是一項(xiàng)比較有難度的網(wǎng)絡(luò)技術(shù),權(quán)限配置的太嚴(yán)格,好多程序又運(yùn)行不起,權(quán)限配置的太松,又很容易被黑客入侵,做為網(wǎng)絡(luò)管理員,真的很頭痛,因此,我結(jié)合這幾年的網(wǎng)絡(luò)安全管理經(jīng)驗(yàn),總結(jié)出以下一些方法來提高我們服務(wù)器的安全性。 

        第一招:正確劃分文件系統(tǒng)格式,選擇穩(wěn)定的操作系統(tǒng)安裝盤 

        為了提高安全性,服務(wù)器的文件系統(tǒng)格式一定要劃分成NTFS(新技術(shù)文件系統(tǒng))格式,它比FAT16、FAT32的安全性、空間利用率都大大的提高,我們可以通過它來配置文件的安全性,磁盤配額、EPS文件加密等。如果你已經(jīng)分成FAT32的格式了,可以用CONVERT 盤符 /FS:NTFS /V 來把FAT32轉(zhuǎn)換成NTFS格式。正確安裝windows 2003 server,在網(wǎng)安聯(lián)盟http://cqhk.14023.com/Soft/yyrj/bigsoft/200504/502.asp>有windows 2003的企業(yè)可升級版,這個一個完全破解了的版本,可以直接網(wǎng)上升級,我們安裝時盡量只安裝我們必須要用的組件,安裝完后打上最新的補(bǔ)丁,到網(wǎng)上升級到最新版本!保證操作系統(tǒng)本身無漏洞。 

        第二招:正確設(shè)置磁盤的安全性,具體如下(虛擬機(jī)的安全設(shè)置,我們以asp程序?yàn)槔?重點(diǎn): 

        1、系統(tǒng)盤權(quán)限設(shè)置 

        C:分區(qū)部分: 

        c:\ 

        administrators 全部(該文件夾,子文件夾及文件) 

        CREATOR OWNER 全部(只有子文件來及文件) 

        system 全部(該文件夾,子文件夾及文件) 

        IIS_WPG 創(chuàng)建文件/寫入數(shù)據(jù)(只有該文件夾) 

        IIS_WPG(該文件夾,子文件夾及文件) 

        遍歷文件夾/運(yùn)行文件 

        列出文件夾/讀取數(shù)據(jù) 

        讀取屬性 

        創(chuàng)建文件夾/附加數(shù)據(jù) 

        讀取權(quán)限 



        c:\Documents and Settings 

        administrators 全部(該文件夾,子文件夾及文件) 

        Power Users (該文件夾,子文件夾及文件) 

        讀取和運(yùn)行 

        列出文件夾目錄 

        讀取 

        SYSTEM全部(該文件夾,子文件夾及文件) 



        C:\Program Files 

        administrators 全部(該文件夾,子文件夾及文件) 

        CREATOR OWNER全部(只有子文件來及文件) 

        IIS_WPG (該文件夾,子文件夾及文件) 

        讀取和運(yùn)行 

        列出文件夾目錄 

        讀取 

        Power Users(該文件夾,子文件夾及文件) 

        修改權(quán)限 

        SYSTEM全部(該文件夾,子文件夾及文件) 

        TERMINAL SERVER USER (該文件夾,子文件夾及文件) 

        修改權(quán)限 



        2、網(wǎng)站及虛擬機(jī)權(quán)限設(shè)置(比如網(wǎng)站在E盤) 

        說明:我們假設(shè)網(wǎng)站全部在E盤wwwsite目錄下,并且為每一個虛擬機(jī)創(chuàng)建了一個guest用戶,用戶名為vhost1...vhostn并且創(chuàng)建了一個webuser組,把所有的vhost用戶全部加入這個webuser組里面方便管理 

        E:\ 

        Administrators全部(該文件夾,子文件夾及文件) 

        E:\wwwsite 



        Administrators全部(該文件夾,子文件夾及文件) 

        system全部(該文件夾,子文件夾及文件) 

        service全部(該文件夾,子文件夾及文件) 



        E:\wwwsite\vhost1 

        Administrators全部(該文件夾,子文件夾及文件) 

        system全部(該文件夾,子文件夾及文件) 

        vhost1全部(該文件夾,子文件夾及文件) 



        3、數(shù)據(jù)備份盤 

        數(shù)據(jù)備份盤最好只指定一個特定的用戶對它有完全操作的權(quán)限 

        比如F盤為數(shù)據(jù)備份盤,我們只指定一個管理員對它有完全操作的權(quán)限 



        4、其它地方的權(quán)限設(shè)置 

        請找到c盤的這些文件,把安全性設(shè)置只有特定的管理員有完全操作權(quán)限 

        下列這些文件只允許administrators訪問 

        net.exe 

        net1.exet 

        cmd.exe 

        tftp.exe 

        netstat.exe 

        regedit.exe 

        at.exe 

        attrib.exe 

        cacls.exe 

        format.com 

        5.刪除c:\inetpub目錄,刪除iis不必要的映射,建立陷阱帳號,更改描述 

        第三招:禁用不必要的服務(wù),提高安全性和系統(tǒng)效率 

        Computer Browser 維護(hù)網(wǎng)絡(luò)上計(jì)算機(jī)的最新列表以及提供這個列表 

        Task scheduler 允許程序在指定時間運(yùn)行 

        Routing and Remote Access 在局域網(wǎng)以及廣域網(wǎng)環(huán)境中為企業(yè)提供路由服務(wù) 

        Removable storage 管理可移動媒體、驅(qū)動程序和庫 

        Remote Registry Service 允許遠(yuǎn)程注冊表操作 

        Print Spooler 將文件加載到內(nèi)存中以便以后打印。要用打印機(jī)的朋友不能禁用這項(xiàng) 

        IPSEC Policy Agent 管理IP安全策略以及啟動ISAKMP/OakleyIKE)和IP安全驅(qū)動程序 

        Distributed Link Tracking Client 當(dāng)文件在網(wǎng)絡(luò)域的NTFS卷中移動時發(fā)送通知 

        Com+ Event System 提供事件的自動發(fā)布到訂閱COM組件 

        Alerter 通知選定的用戶和計(jì)算機(jī)管理警報 

        Error Reporting Service 收集、存儲和向 Microsoft 報告異常應(yīng)用程序 

        Messenger 傳輸客戶端和服務(wù)器之間的 NET SEND 和 警報器服務(wù)消息 

        Telnet 允許遠(yuǎn)程用戶登錄到此計(jì)算機(jī)并運(yùn)行程序 

        第四招:修改注冊表,讓系統(tǒng)更強(qiáng)壯 

        1、隱藏重要文件/目錄可以修改注冊表實(shí)現(xiàn)完全隱藏:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”,鼠標(biāo)右擊 “CheckedValue”,選擇修改,把數(shù)值由1改為0 

        2、啟動系統(tǒng)自帶的Internet連接_blank">防火墻,在設(shè)置服務(wù)選項(xiàng)中勾選Web服務(wù)器。 

        3、防止SYN洪水攻擊 

        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 

        新建DWORD值,名為SynAttackProtect,值為2 

        EnablePMTUDiscovery REG_DWORD 0 

        NoNameReleaseOnDemand REG_DWORD 1 

        EnableDeadGWDetect REG_DWORD 0 

        KeepAliveTime REG_DWORD 300,000 

        PerformRouterDiscovery REG_DWORD 0 

        EnableICMPRedirects REG_DWORD 0 

        4. 禁止響應(yīng)ICMP路由通告報文 

        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface 

        新建DWORD值,名為PerformRouterDiscovery 值為0 

        5. 防止ICMP重定向報文的攻擊 

        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 

        將EnableICMPRedirects 值設(shè)為0 

        6. 不支持IGMP協(xié)議 

        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 

        新建DWORD值,名為IGMPLevel 值為0 

        7.修改終端服務(wù)端口 

        運(yùn)行regedit,找到[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ Wds \ rdpwd \ Tds \ tcp],看到右邊的PortNumber了嗎?在十進(jìn)制狀態(tài)下改成你想要的端口號吧,比如7126之類的,只要不與其它沖突即可。 

        2、第二處HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp,方法同上,記得改的端口號和上面改的一樣就行了。 

        8、禁止IPC空連接: 

        cracker可以利用net use命令建立空連接,進(jìn)而入侵,還有net view,nbtstat這些都是基于空連接的,禁止空連接就好了。打開注冊表,找到Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 把這個值改成”1”即可。 

        9、更改TTL值 

        cracker可以根據(jù)ping回的TTL值來大致判斷你的操作系統(tǒng),如: 

        TTL=107(WINNT); 

        TTL=108(win2000); 

        TTL=127或128(win9x); 

        TTL=240或241(linux); 

        TTL=252(solaris); 

        TTL=240(Irix); 

        實(shí)際上你可以自己更改的:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters:DefaultTTL REG_DWORD 0-0xff(0-255 十進(jìn)制,默認(rèn)值128)改成一個莫名其妙的數(shù)字如258,起碼讓那些小菜鳥暈上半天,就此放棄入侵你也不一定哦 

        10. 刪除默認(rèn)共享 
        有人問過我一開機(jī)就共享所有盤,改回來以后,重啟又變成了共享是怎么回事,這是2K為管理而設(shè)置的默認(rèn)共享,必須通過修改注冊表的方式取消它:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters:AutoShareServer類型是REG_DWORD把值改為0即可 

        11. 禁止建立空連接 

        默認(rèn)情況下,任何用戶通過通過空連接連上服務(wù)器,進(jìn)而枚舉出帳號,猜測密碼。我們可以通過修改注冊表來禁止建立空連接: 

        Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成”1”即可。 

        第五招:其它安全手段 

        1.禁用TCP/IP上的NetBIOS 
        網(wǎng)上鄰居-屬性-本地連接-屬性-Internet協(xié)議(TCP/IP)屬性-高級-WINS面板-NetBIOS設(shè)置-禁用TCP/IP上的NetBIOS。這樣cracker就無法用nbtstat命令來讀取你的NetBIOS信息和網(wǎng)卡MAC地址了。 

        2. 賬戶安全 
        首先禁止一切賬戶,除了你自己,呵呵。然后把Administrator改名。我呢就順手又建了個Administrator賬戶,不過是什么權(quán)限都沒有的那種,然后打開記事本,一陣亂敲,復(fù)制,粘貼到“密碼”里去,呵呵,來破密碼吧~!破完了才發(fā)現(xiàn)是個低級賬戶,看你崩潰不? 

        創(chuàng)建2個管理員用帳號 

        雖然這點(diǎn)看上去和上面這點(diǎn)有些矛盾,但事實(shí)上是服從上面的規(guī)則的。 創(chuàng)建一個一般權(quán)限帳號用來收信以及處理一些*常事物,另一個擁有Administrators 權(quán)限的帳戶只在需要的時候使用。可以讓管理員使用 “ RunAS” 命令來執(zhí)行一些需要特權(quán)才能作的一些工作,以方便管理 

        3.更改C:\WINDOWS\Help\iisHelp\common\404b.htm內(nèi)容改為<META HTTP-EQUIV=REFRESH CONTENT="0;URL=/;">這樣,出錯了自動轉(zhuǎn)到首頁 

        4. 安全日志 

        我遇到過這樣的情況,一臺主機(jī)被別人入侵了,系統(tǒng)管理員請我去追查兇手,我登錄進(jìn)去一看:安全日志是空的,倒,請記住:Win2000的默認(rèn)安裝是不開任何安全審核的!那么請你到本地安全策略->審核策略中打開相應(yīng)的審核,推薦的審核是: 

        賬戶管理 成功 失敗 

        登錄事件 成功 失敗 

        對象訪問 失敗 

        策略更改 成功 失敗 

        特權(quán)使用 失敗 

        系統(tǒng)事件 成功 失敗 

        目錄服務(wù)訪問 失敗 

        賬戶登錄事件 成功 失敗 

        審核項(xiàng)目少的缺點(diǎn)是萬一你想看發(fā)現(xiàn)沒有記錄那就一點(diǎn)都沒轍;審核項(xiàng)目太多不僅會占用系統(tǒng)資源而且會導(dǎo)致你根本沒空去看,這樣就失去了審核的意義 

        5. 運(yùn)行防毒軟件 

        我見過的Win2000/Nt服務(wù)器從來沒有見到有安裝了防毒軟件的,其實(shí)這一點(diǎn)非常重要。一些好的殺毒軟件不僅能殺掉一些著名的病毒,還能查殺大量木馬和后門程序。這樣的話,“黑客”們使用的那些有名的木馬就毫無用武之地了。不要忘了經(jīng)常升級病毒庫,我們推薦mcafree殺毒軟件+blackice_blank">防火墻 

        6.sqlserver數(shù)據(jù)庫服務(wù)器安全和serv-u ftp服務(wù)器安全配置,更改默認(rèn)端口,和管理密碼 

        7.設(shè)置ip篩選、用blackice禁止木馬常用端口 

        一般禁用以下端口 

        135 138 139 443 445 4000 4899 7626 

        8.本地安全策略和組策略的設(shè)置,如果你在設(shè)置本地安全策略時設(shè)置錯了,可以這樣恢復(fù)成它的默認(rèn)值. 

        打開 %SystemRoot%\Security文件夾,創(chuàng)建一個 "OldSecurity"子目錄,將%SystemRoot%\Security下所有的.log文件移到這個新建的子文件夾中. 



        在%SystemRoot%\Security\database\下找到"Secedit.sdb"安全數(shù)據(jù)庫并將其改名,如改為"Secedit.old". 



        啟動"安全配置和分析"MMC管理單元:"開始"->"運(yùn)行"->"MMC",啟動管理控制臺,"添加/刪除管理單元",將"安全配置和分析"管理單元添加上. 



        右擊"安全配置和分析"->"打開數(shù)據(jù)庫",瀏覽"C:\WINNT\security\Database"文件夾,輸入文件名"secedit.sdb",單擊"打開". 



        當(dāng)系統(tǒng)提示輸入一個模板時,選擇"Setup Security.inf",單擊"打開". 



        如果系統(tǒng)提示"拒絕訪問數(shù)據(jù)庫",不管他. 



        你會發(fā)現(xiàn)在"C:\WINNT\security\Database"子文件夾中重新生成了新的安全數(shù)據(jù)庫,在"C:\WINNT\security"子文件夾下重新生成了log文件.安全數(shù)據(jù)庫重建成功. 


        上一條: 什么是SEO 做網(wǎng)站SEO對網(wǎng)站有什么好處
        下一條: 淺談影響博百優(yōu)優(yōu)化的百度因素
        案例鑒賞
        多年的網(wǎng)站建設(shè)經(jīng)驗(yàn),斌網(wǎng)網(wǎng)絡(luò)不斷提升技術(shù)設(shè)計(jì)服務(wù)水平,迎合搜索引擎優(yōu)化規(guī)則
        法律法規(guī)
        多年的網(wǎng)站建設(shè)經(jīng)驗(yàn),網(wǎng)至普不斷提升技術(shù)設(shè)計(jì)服務(wù)水平,迎合搜索引擎優(yōu)化規(guī)則
        長沙私人做網(wǎng)站    長沙做網(wǎng)站    深圳網(wǎng)站建設(shè)    株洲做網(wǎng)站    東莞做網(wǎng)站    南京防腐木    湖南大拇指養(yǎng)豬設(shè)備    株洲做網(wǎng)站    
        版權(quán)所有 © 長沙市天心區(qū)斌網(wǎng)網(wǎng)絡(luò)技術(shù)服務(wù)部    湘公網(wǎng)安備 43010302000270號  統(tǒng)一社會信用代碼:92430103MA4LAMB24R  網(wǎng)站ICP備案號:湘ICP備13006070號-2  
        天堂AV无码AV一区二区三区 | 波多野结衣中文在线播放| (愛妃視頻)国产无码中文字幕| 成人无码AV一区二区| 在线看无码的免费网站| 亚洲乱码中文字幕综合234| 日韩精品无码久久久久久| 亚洲精品无码永久中文字幕| 亚洲av日韩av高潮潮喷无码| 亚洲 欧美 中文 在线 视频| 亚洲精品色午夜无码专区日韩 | www无码乱伦| 直接看的成人无码视频网站| 狠狠躁狠狠爱免费视频无码| 在线天堂资源www在线中文| 伊人久久无码精品中文字幕| 午夜不卡无码中文字幕影院| 亚洲人成无码www久久久| 一本色道无码不卡在线观看| 中文无码久久精品| 精品无码AV一区二区三区不卡| 免费精品久久久久久中文字幕| 精品人体无码一区二区三区| 伊人久久综合精品无码AV专区| 亚洲中文久久精品无码| 无码国内精品人妻少妇| 韩日美无码精品无码| 中文字幕av一区| 在线综合亚洲中文精品| 97久久精品无码一区二区天美| 精品无码成人片一区二区98| 台湾佬中文娱乐中文| 亚洲免费日韩无码系列| 无码精品久久久久久人妻中字| 日韩精品无码免费专区午夜不卡 | 无码精品人妻一区二区三区人妻斩| 精品人妻无码专区中文字幕| 中文字幕无码毛片免费看| 国产Av激情久久无码天堂| 无码久久精品国产亚洲Av影片 | 无码人妻久久一区二区三区蜜桃|