一份详细的服务器安全解决方案
一、操作系統配置
1.安裝操作系統(NTFS分區)后,裝殺毒軟件,我選用的是卡巴。
2.安裝系統補丁。掃描漏洞全面殺毒
3.刪除Windows Server 2003默認共享
首先編寫如下內容的批處理文件:
@echo off net share C$ /del net share D$ /del net share E$ /del net share F$ /del net share admin$ /del |
文件名為delshare.bat,放到啟動項中,每次開機時會自動刪除共享。
4.禁用IPC連接
打開CMD后輸入如下命令即可進行連接:net use\\ip\ipc$ "password" /user:"usernqme"。我們可以通過修改注冊表來禁用IPC連接。打開注冊表編輯器。找到如下組建HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa中的restrictanonymous子鍵,將其值改為1即可禁用IPC連接。
5.刪除"網絡連接"里的協議和服務
在"網絡連接"里,把不需要的協議和服務都刪掉,這里只安裝了基本的Internet協議(TCP/IP),同時在高級tcp/ip設置里--"NetBIOS"設置"禁用tcp/IP上的NetBIOS(S)"。
6.啟用windows連接防火墻,只開放web服務(80端口)。
注:在2003系統里,不推薦用TCP/IP篩選里的端口過濾功能,譬如在使用FTP服務器的時候,如果僅僅只開放21端口,由于FTP協議的特殊性,在進行FTP傳輸的時候,由于FTP 特有的Port模式和Passive模式,在進行數據傳輸的時候,需要動態的打開高端口,所以在使用TCP/IP過濾的情況下,經常會出現連接上后無法列出目錄和數據傳輸的問題。所以在2003系統上增加的windows連接防火墻能很好的解決這個問題,所以都不推薦使用網卡的TCP/IP過濾功能。
7.磁盤權限
8.本地安全策略設置
開始菜單—>管理工具—>本地安全策略
A、本地策略——>審核策略 (可選用)
審核策略更改 成功 失敗 審核登錄事件 成功 失敗 審核對象訪問 失敗 審核過程跟蹤 無審核 審核目錄服務訪問 失敗 審核特權使用 失敗 審核系統事件 成功 失敗 審核賬戶登錄事件 成功 失敗 審核賬戶管理 成功 失敗 |
B、本地策略——>用戶權限分配
關閉系統:只有Administrators組、其它全部刪除。 通過終端服務拒絕登陸:加入Guests、Users組 通過終端服務允許登陸:只加入Administrators組,其他全部刪除 |
C、本地策略——>安全選項
交互式登陸:不顯示上次的用戶名 啟用 網絡訪問:可匿名訪問的共享 全部刪除 網絡訪問:可匿名訪問的命名管道 全部刪除 **網絡訪問:可遠程訪問的注冊表路徑 全部刪除 **網絡訪問:可遠程訪問的注冊表路徑和子路徑 全部刪除 帳戶:重命名來賓帳戶 重命名一個帳戶 (下面一項更改可能導致sqlserver不能使用) 帳戶:重命名系統管理員帳戶 重命名一個帳戶 |
?
二、iis配置(包括網站所在目錄)
1.新建自己的網站(*注意:在應用程序設置中執行權限設為無,在需要的目錄里再更改),目錄不在系統盤
注:為支持asp.net,將系統盤\Inetpub\wwwroot中的aspnet_client文件夾復制到web根目錄下,并給web根目錄加上users權限。
2.刪掉系統盤\inetpub目錄
3.刪除不用的映射
在"應用程序配置"里,只給必要的腳本執行權限:ASP、ASPX。
4.為網站創建系統用戶
A.例如:網站為yushan43436.net,新建用戶yushan43436.net權限為guests。然后在web站點屬性里"目錄安全性"---"身份驗證和訪問控制"里設置匿名訪問使用下列Windows 用戶帳戶"的用戶名和密碼都使用yushan43436.net這個用戶的信息。(用戶名:主機名\yushan43436.net)
B.給網站所在的磁盤目錄添加用戶yushan43436.net,只給讀取和寫入的權限。
5.設置應用程及子目錄的執行權限
A.主應用程序目錄中的"屬性--應用程序設置--執行權限"設為純腳本
B.在不需要執行asp、asp.net的子目錄中,例如上傳文件目錄,執行權限設為無
6.應用程序池設置
我的網站使用的是默認應用程序池。設置"內存回收":這里的最大虛擬內存為:1000M,最大使用的物理內存為256M,這樣的設置幾乎是沒限制這個站點的性能的。
回收工作進程(分鐘):1440
在下列時間回收工作進程:06:00
?
?
三、sql server 2000 配置
1.密碼設置
我編的程序用了sa用戶,密碼設置超復雜(自己記不住,保存在手機里,嘿嘿)。
2.刪除危險的擴展存儲過程和相關.dll。
Xp_cmdshell(這個肯定首當其沖,不用說了)、Xp_regaddmultistring、Xp_regdeletekey、Xp_regdeletevalue、Xp_regenumvalues、Xp_regread、Xp_regwrite、Xp_regremovemultistring
四、其它設置(選用)
1.任何用戶密碼都要復雜,不需要的用戶---刪。
2.防止SYN洪水攻擊
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名為SynAttackProtect,值為2
3.禁止響應ICMP路由通告報文
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface
新建DWORD值,名為PerformRouterDiscovery 值為0
4.防止ICMP重定向報文的攻擊
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
將EnableICMPRedirects 值設為0
5.不支持IGMP協議
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名為IGMPLevel 值為0
6.禁用DCOM:
運行中輸入 Dcomcnfg.exe。 回車, 單擊“控制臺根節點”下的“組件服務”。 打開“計算機”子文件夾。
對于本地計算機,請以右鍵單擊“我的電腦”,然后選擇“屬性”。選擇“默認屬性”選項卡。
清除“在這臺計算機上啟用分布式 COM”復選框。
刪了它,比如我刪了cmd.exe,command.exe,嘿嘿。);
其它盤,有安裝程序運行的(我的sql server 2000 在D盤)給 Administrators 和 SYSTEM 權限,無只給 Administrators 權限。
?
系統盤只給 Administrators 和 SYSTEM 權限 系統盤\Documents and Settings 目錄只給 Administrators 和 SYSTEM 權限; 系統盤\Documents and Settings\All Users 目錄只給 Administrators 和 SYSTEM 權限; 系統盤\Documents and Settings\All Users\Application Data目錄只給 Administrators 和 SYSTEM 權限; 系統盤\Windows 目錄只給 Administrators 、 SYSTEM 和 users 權限; 系統盤\Windows\System32\net.exe,net1.exe,cmd.exe,command.exe,ftp.exe,netstat.exe,regedit.exe,at.exe,attrib.exe,cacls.exe 文件只給 Administrators 權限(如果覺得沒用就 |
轉載于:https://www.cnblogs.com/JemBai/archive/2008/10/08/1306128.html
總結
以上是生活随笔為你收集整理的一份详细的服务器安全解决方案的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: qtopia-opensource-4.
- 下一篇: 开源学习管理系统(LMS)的比较