伺服器安全配置
伺服器安全配置說明(作者:じve楓少ツ)
注: 轉貼請註明作者
一:修改預設的3389埠給改為任意的數字。
1.開始—執行—輸入regedit.exe
2.查詢:
HKEY_LOCAL_MACHINE—SYSTEM—CurrentControlSet—Control—Terminal Server–WinStations—RDP-Tcp
3.我們找到rdp-tcp後就會在登錄檔的右邊查詢PortNumber(在PortNumber後面有3389的一串數字!)
然後在點PortNumber(右鍵)這個時候會出來一個提示框—-點修改—-點10進位制—-修改3389為
你想要的數字比如9999什麼的—-再點16進位制(系統會自動轉換)—-最後確定!這樣就ok了。
這樣3389埠已經修改了,但還要重新啟動主機,這樣3389埠才算修改成功!如果不重新啟動3389還是修改不了的!
重其起後下次就可以用新埠進入了! (注意:修改了以後登陸的格式改為 假如IP為:192.168.1.20:9999)
4.我個人的意見推薦大家最好使用其它的遠端控制軟體,比如大家常說的灰鴿子,影子,Symantec pcAnywhere ,
這裡提醒大家灰鴿子一般需要定做,避免被你的伺服器防毒軟體所查殺。
5.一般伺服器都會用到FTP,我推薦使用 SERVE-U 非常的簡單。
二:關閉不需要的服務。
Messenger (信差)
微軟: 在客戶端及伺服器之間傳輸網路傳送及 [Alerter] 服務訊息。這個服務與 Windows Messenger 無關。
如果停止這個服務,Alerter 訊息將不會被傳輸。如果停用這個服務,所有依存於它的服務將無法啟動。
補充: 允許網路之間互相傳送提示訊息的功能,如 net send 功能,如不想被騷擾話可關了
依存: NetBIOS Interface、Plug and Play、Remote Procedure Call (RPC)、Workstation
建議: 已停用
Remote Registry (遠端登入服務)
微軟: 啟用遠端使用者修改這個計算機上的登入設定。如果這個服務被停止,登入只能由這個計算機上的使用者修改。
如果這個服務被停用,任何明確依存於它的服務將無法啟動。
補充: 基於安全性的理由,如果沒有特別的需求,建議最好關了它,除非你需要遠端協助修改你的登入設定
依存: Remote Procedure Call (RPC)
建議: 已停用 (注意:這個服務根據個人的情況而定,如果伺服器本地操作比較方便我建議可以關閉,如果本地操作不方便不建議關閉。)
Server (伺服器)
微軟: 透過網路為這臺計算機提供檔案、列印、及命名管道的共享。如果停止這個服務,將無法使用這些功能。
如果停用這個服務,所有依存於它的服務將無法啟動。
補充: 簡單的說就是檔案和列印的分享,除非你有和其它計算機分享,不然就關了
依存: Computer Browser
建議: 已停用
還有這些服務可以嘗試關閉
Computer Browser
Help and Support
Print Spooler
TCP/IP NetBIOS Helper
如果伺服器不用作域控,我們也可以禁用
Workstation
還有一些服務的關閉網上有很多的帖子大家可以對照,根據實際情況而定。
三:使用者配置。
1.將administrator改名,例子中改為root
取消所有除管理員root外所有使用者屬性中的 遠端控制->啟用遠端控制
以及終端服務配置檔案->允許登陸到終端伺服器
2.將guest改名為administrator並且修改密碼
3.除了管理員root,IUSER以及IWAM以及ASPNET使用者外.禁用其他一切使用者.包括SQL DEBUG以及TERMINAL USER等等
(根據實際情況而定,論壇型的伺服器需要開啟SQL)
4.目錄許可權
將所有碟符的許可權,全部改為只有
administrators組 全部許可權
system 全部許可權
將C盤的所有子目錄和子檔案繼承C盤的administrator(組或使用者)和SYSTEM所有許可權的兩個許可權
然後做如下修改
C:Program FilesCommon Files 開放Everyone 預設的讀取及執行 列出檔案目錄 讀取三個許可權
C:WINDOWS 開放Everyone 預設的讀取及執行 列出檔案目錄 讀取三個許可權
C:WINDOWSTemp 開放Everyone 修改,讀取及執行,列出檔案目錄,讀取,寫入許可權
現在WebShell就無法在系統目錄內寫入檔案了.
當然也可以使用更嚴格的許可權.
在WINDOWS下分別目錄設定許可權.
可是比較複雜.效果也並不明顯.
5.利用已有使用者或新增使用者
入侵者通過利用修改已有使用者或者新增windows正式使用者.向獲取管理員許可權邁進
對應措施:設定ACL許可權.修改使用者
將除管理員外所有使用者的終端訪問許可權去掉.
限制CMD.EXE的訪問許可權.
限制SQL SERVER內的XP_CMDSHELL
四:新增TCP/IP篩選。
1.一般伺服器常用的埠有21,80,3389(或改為其它的引數) 還有一些埠根據伺服器的需求開放的。
比如伺服器需要開放埠3352,我的個人意見TCP可以這樣新增,21,80,3352,3353,3354,3356,3357,3389,
(其中增加的3353-3357埠是沒用的,用來迷惑別人的。)
2.UDP跟IP建議不做改動。
五:其它綜合
1.如果伺服器不需要FSO
regsvr32 /u c:windowssystem32scrrun.dll 登出元件
使用regedit將/HKEY_CLASSES_ROOT下的WScript.Network
WScript.Network.1
WScript.Shell
WScript.Shell.1
Shell.Application
Shell.Application.1
鍵值改名或刪除
將這些鍵值下CLSID中包含的字串
如{72C24DD5-D70A-438B-8A42-98424B88AFB8}
到/HKEY_CLASSES_ROOT/CLSID下找到以這些字串命名的鍵值全部刪除
2.修改CMD.EXE以及NET.EXE許可權
將兩個檔案的許可權.修改到特定管理員才能訪問,比如本例中.我們如下修改
cmd.exe root使用者 所有許可權
net.exe root使用者 所有權現
這樣就能防止非法訪問.
還可以使用例子中提供的comlog程式
將com.exe改名_com.exe,然後替換com檔案.這樣可以記錄所有執行的命令列指令
3.備份
使用ntbackup軟體.備份系統狀態.
使用reg.exe 備份系統關鍵資料
如reg export HKLMSOFTWAREODBC e:ackupsystemodbc.reg /y 來備份系統的ODBC
4.審計
本地安全策略->本地策略->稽核策略
開啟以下內容
稽核策略更改 成功,失敗
稽核登陸事件 成功,失敗
稽核物件訪問 失敗
稽核跟蹤過程 無稽核
稽核目錄服務訪問 失敗
稽核特權使用 失敗
稽核系統事件 成功,失敗
稽核帳戶登陸事件 成功,失敗
稽核帳戶管理 成功,失敗
注: 轉貼請註明作者
一:修改預設的3389埠給改為任意的數字。
1.開始—執行—輸入regedit.exe
2.查詢:
HKEY_LOCAL_MACHINE—SYSTEM—CurrentControlSet—Control—Terminal Server–WinStations—RDP-Tcp
3.我們找到rdp-tcp後就會在登錄檔的右邊查詢PortNumber(在PortNumber後面有3389的一串數字!)
然後在點PortNumber(右鍵)這個時候會出來一個提示框—-點修改—-點10進位制—-修改3389為
你想要的數字比如9999什麼的—-再點16進位制(系統會自動轉換)—-最後確定!這樣就ok了。
這樣3389埠已經修改了,但還要重新啟動主機,這樣3389埠才算修改成功!如果不重新啟動3389還是修改不了的!
重其起後下次就可以用新埠進入了! (注意:修改了以後登陸的格式改為 假如IP為:192.168.1.20:9999)
4.我個人的意見推薦大家最好使用其它的遠端控制軟體,比如大家常說的灰鴿子,影子,Symantec pcAnywhere ,
這裡提醒大家灰鴿子一般需要定做,避免被你的伺服器防毒軟體所查殺。
5.一般伺服器都會用到FTP,我推薦使用 SERVE-U 非常的簡單。
二:關閉不需要的服務。
Messenger (信差)
微軟: 在客戶端及伺服器之間傳輸網路傳送及 [Alerter] 服務訊息。這個服務與 Windows Messenger 無關。
如果停止這個服務,Alerter 訊息將不會被傳輸。如果停用這個服務,所有依存於它的服務將無法啟動。
補充: 允許網路之間互相傳送提示訊息的功能,如 net send 功能,如不想被騷擾話可關了
依存: NetBIOS Interface、Plug and Play、Remote Procedure Call (RPC)、Workstation
建議: 已停用
Remote Registry (遠端登入服務)
微軟: 啟用遠端使用者修改這個計算機上的登入設定。如果這個服務被停止,登入只能由這個計算機上的使用者修改。
如果這個服務被停用,任何明確依存於它的服務將無法啟動。
補充: 基於安全性的理由,如果沒有特別的需求,建議最好關了它,除非你需要遠端協助修改你的登入設定
依存: Remote Procedure Call (RPC)
建議: 已停用 (注意:這個服務根據個人的情況而定,如果伺服器本地操作比較方便我建議可以關閉,如果本地操作不方便不建議關閉。)
Server (伺服器)
微軟: 透過網路為這臺計算機提供檔案、列印、及命名管道的共享。如果停止這個服務,將無法使用這些功能。
如果停用這個服務,所有依存於它的服務將無法啟動。
補充: 簡單的說就是檔案和列印的分享,除非你有和其它計算機分享,不然就關了
依存: Computer Browser
建議: 已停用
還有這些服務可以嘗試關閉
Computer Browser
Help and Support
Print Spooler
TCP/IP NetBIOS Helper
如果伺服器不用作域控,我們也可以禁用
Workstation
還有一些服務的關閉網上有很多的帖子大家可以對照,根據實際情況而定。
三:使用者配置。
1.將administrator改名,例子中改為root
取消所有除管理員root外所有使用者屬性中的 遠端控制->啟用遠端控制
以及終端服務配置檔案->允許登陸到終端伺服器
2.將guest改名為administrator並且修改密碼
3.除了管理員root,IUSER以及IWAM以及ASPNET使用者外.禁用其他一切使用者.包括SQL DEBUG以及TERMINAL USER等等
(根據實際情況而定,論壇型的伺服器需要開啟SQL)
4.目錄許可權
將所有碟符的許可權,全部改為只有
administrators組 全部許可權
system 全部許可權
將C盤的所有子目錄和子檔案繼承C盤的administrator(組或使用者)和SYSTEM所有許可權的兩個許可權
然後做如下修改
C:Program FilesCommon Files 開放Everyone 預設的讀取及執行 列出檔案目錄 讀取三個許可權
C:WINDOWS 開放Everyone 預設的讀取及執行 列出檔案目錄 讀取三個許可權
C:WINDOWSTemp 開放Everyone 修改,讀取及執行,列出檔案目錄,讀取,寫入許可權
現在WebShell就無法在系統目錄內寫入檔案了.
當然也可以使用更嚴格的許可權.
在WINDOWS下分別目錄設定許可權.
可是比較複雜.效果也並不明顯.
5.利用已有使用者或新增使用者
入侵者通過利用修改已有使用者或者新增windows正式使用者.向獲取管理員許可權邁進
對應措施:設定ACL許可權.修改使用者
將除管理員外所有使用者的終端訪問許可權去掉.
限制CMD.EXE的訪問許可權.
限制SQL SERVER內的XP_CMDSHELL
四:新增TCP/IP篩選。
1.一般伺服器常用的埠有21,80,3389(或改為其它的引數) 還有一些埠根據伺服器的需求開放的。
比如伺服器需要開放埠3352,我的個人意見TCP可以這樣新增,21,80,3352,3353,3354,3356,3357,3389,
(其中增加的3353-3357埠是沒用的,用來迷惑別人的。)
2.UDP跟IP建議不做改動。
五:其它綜合
1.如果伺服器不需要FSO
regsvr32 /u c:windowssystem32scrrun.dll 登出元件
使用regedit將/HKEY_CLASSES_ROOT下的WScript.Network
WScript.Network.1
WScript.Shell
WScript.Shell.1
Shell.Application
Shell.Application.1
鍵值改名或刪除
將這些鍵值下CLSID中包含的字串
如{72C24DD5-D70A-438B-8A42-98424B88AFB8}
到/HKEY_CLASSES_ROOT/CLSID下找到以這些字串命名的鍵值全部刪除
2.修改CMD.EXE以及NET.EXE許可權
將兩個檔案的許可權.修改到特定管理員才能訪問,比如本例中.我們如下修改
cmd.exe root使用者 所有許可權
net.exe root使用者 所有權現
這樣就能防止非法訪問.
還可以使用例子中提供的comlog程式
將com.exe改名_com.exe,然後替換com檔案.這樣可以記錄所有執行的命令列指令
3.備份
使用ntbackup軟體.備份系統狀態.
使用reg.exe 備份系統關鍵資料
如reg export HKLMSOFTWAREODBC e:ackupsystemodbc.reg /y 來備份系統的ODBC
4.審計
本地安全策略->本地策略->稽核策略
開啟以下內容
稽核策略更改 成功,失敗
稽核登陸事件 成功,失敗
稽核物件訪問 失敗
稽核跟蹤過程 無稽核
稽核目錄服務訪問 失敗
稽核特權使用 失敗
稽核系統事件 成功,失敗
稽核帳戶登陸事件 成功,失敗
稽核帳戶管理 成功,失敗
5.刪除預設共享存在的危險
系統安裝好以後,系統會建立一些隱藏的共享,你可以在cmd下打 net share 檢視他們。網上有很多關於IPC入侵的文章,相信大家一定對它不陌生。所以我們要禁止或刪除這些共享以確保安全,
方法是:首先編寫如下內容的批處理檔案:
@echo off
et share C$ /del
et share D$ /del
et share E$ /del
et share F$ /del
et share admin$ /del
以上批處理內容大家可以根據自己需要修改。
儲存為delshare.bat,存放到系統所在資料夾下的system32GroupPolicyUserScriptsLogon目錄下。
然後在開始選單→執行中輸gpedit.msc,回車即可開啟組策略編輯器。
點選使用者配置→Window設定→指令碼(登入/登出)→登入,在出現的“登入 屬性”視窗中單擊“新增”,會出現“新增指令碼”對話方塊,
在該視窗的“指令碼名”欄中輸入delshare.bat,然後單擊“確定”按鈕即可。
這樣就可以通過組策略編輯器使系統開機即執行指令碼刪除系統預設的共享。
6。禁用IPC連線
IPC是Internet Process Connection的縮寫,也就是遠端網路連線。
它是Windows NT/2000/XP/2003特有的功能,其實就是在兩個計算機程式之間建立通訊連線,一些網路通訊程式的通訊建立在IPC上面。
舉個例子來說,IPC就象是事先鋪好的路,我們可以用程式通過這條“路”訪問遠端主機。
預設情況下,IPC是共享的,也就是說微軟已經為我們鋪好了路,因此,這種基於IPC的入侵也常常被簡稱為IPC入侵。
建立IPC連線不需要任何黑客工具,在命令列裡鍵入相應的命令就可以了,不過有個前提條件,那就是你需要知道遠端主機的使用者名稱和密碼。
開啟CMD後輸入如下命令即可進行連線:
et use\ipipc$ “password” /user:”usernqme”。我們可以通過修改登錄檔來禁用IPC連線。
開啟登錄檔編輯器。找到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa中的restrictanonymous子鍵,將其值改為1即可禁用IPC連線。
7.新設定遠端可訪問的登錄檔路徑
設定遠端可訪問的登錄檔路徑為空,這樣可以有效地防止黑客利用掃描器通過遠端登錄檔讀取計算機的系統資訊及其它資訊。
開啟組策略編輯器,然後選擇“計算機配置”→“Windows設定”→“安全選項”→“網路訪問:可遠端訪問的登錄檔路徑”及“網路訪問:
可遠端訪問的登錄檔”,將設定遠端可訪問的登錄檔路徑和子路徑內容設定為空即可。
這樣可以有效防止黑客利用掃描器通過遠端登錄檔讀取計算機的系統資訊及其它資訊。
8.密碼策略修改
開啟管理工具-本地安全設定-密碼策略
1.密碼必須符合複雜要求性.啟用
2.密碼最小值.一般設定最好是8 以上
3.密碼最長使用期限.一般預設42天就可以了
4.密碼最短使用期限0天
5.強制密碼歷史 記住0個密碼
6.用可還原的加密來儲存密碼 禁用
9.伺服器的防火牆跟防毒軟體推薦。
伺服器的防毒軟體我強烈推薦 McAFee8.0i
伺服器的防火牆我推薦 DeerField Visnetic Firewall 或 8Signs Firewall 這2款牆都是過濾資料的,對於防黑很有效,而且又不影響速度。
10.大家一定不要忘記伺服器一定要開啟自動更新,注意時常打補丁。打補丁的時候不要只記得系統,記得給第三方軟體注意打上補丁,比如SQL 等第三方軟體。
系統安裝好以後,系統會建立一些隱藏的共享,你可以在cmd下打 net share 檢視他們。網上有很多關於IPC入侵的文章,相信大家一定對它不陌生。所以我們要禁止或刪除這些共享以確保安全,
方法是:首先編寫如下內容的批處理檔案:
@echo off
et share C$ /del
et share D$ /del
et share E$ /del
et share F$ /del
et share admin$ /del
以上批處理內容大家可以根據自己需要修改。
儲存為delshare.bat,存放到系統所在資料夾下的system32GroupPolicyUserScriptsLogon目錄下。
然後在開始選單→執行中輸gpedit.msc,回車即可開啟組策略編輯器。
點選使用者配置→Window設定→指令碼(登入/登出)→登入,在出現的“登入 屬性”視窗中單擊“新增”,會出現“新增指令碼”對話方塊,
在該視窗的“指令碼名”欄中輸入delshare.bat,然後單擊“確定”按鈕即可。
這樣就可以通過組策略編輯器使系統開機即執行指令碼刪除系統預設的共享。
6。禁用IPC連線
IPC是Internet Process Connection的縮寫,也就是遠端網路連線。
它是Windows NT/2000/XP/2003特有的功能,其實就是在兩個計算機程式之間建立通訊連線,一些網路通訊程式的通訊建立在IPC上面。
舉個例子來說,IPC就象是事先鋪好的路,我們可以用程式通過這條“路”訪問遠端主機。
預設情況下,IPC是共享的,也就是說微軟已經為我們鋪好了路,因此,這種基於IPC的入侵也常常被簡稱為IPC入侵。
建立IPC連線不需要任何黑客工具,在命令列裡鍵入相應的命令就可以了,不過有個前提條件,那就是你需要知道遠端主機的使用者名稱和密碼。
開啟CMD後輸入如下命令即可進行連線:
et use\ipipc$ “password” /user:”usernqme”。我們可以通過修改登錄檔來禁用IPC連線。
開啟登錄檔編輯器。找到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa中的restrictanonymous子鍵,將其值改為1即可禁用IPC連線。
7.新設定遠端可訪問的登錄檔路徑
設定遠端可訪問的登錄檔路徑為空,這樣可以有效地防止黑客利用掃描器通過遠端登錄檔讀取計算機的系統資訊及其它資訊。
開啟組策略編輯器,然後選擇“計算機配置”→“Windows設定”→“安全選項”→“網路訪問:可遠端訪問的登錄檔路徑”及“網路訪問:
可遠端訪問的登錄檔”,將設定遠端可訪問的登錄檔路徑和子路徑內容設定為空即可。
這樣可以有效防止黑客利用掃描器通過遠端登錄檔讀取計算機的系統資訊及其它資訊。
8.密碼策略修改
開啟管理工具-本地安全設定-密碼策略
1.密碼必須符合複雜要求性.啟用
2.密碼最小值.一般設定最好是8 以上
3.密碼最長使用期限.一般預設42天就可以了
4.密碼最短使用期限0天
5.強制密碼歷史 記住0個密碼
6.用可還原的加密來儲存密碼 禁用
9.伺服器的防火牆跟防毒軟體推薦。
伺服器的防毒軟體我強烈推薦 McAFee8.0i
伺服器的防火牆我推薦 DeerField Visnetic Firewall 或 8Signs Firewall 這2款牆都是過濾資料的,對於防黑很有效,而且又不影響速度。
10.大家一定不要忘記伺服器一定要開啟自動更新,注意時常打補丁。打補丁的時候不要只記得系統,記得給第三方軟體注意打上補丁,比如SQL 等第三方軟體。
本文轉自starger51CTO部落格,原文連結:http://blog.51cto.com/starger/17605 ,如需轉載請自行聯絡原作者
相關文章
- 如何配置伺服器的系統服務安全伺服器
- 配置Linux安全日誌記錄伺服器Linux伺服器
- 詳解nginx伺服器中的安全配置的方法Nginx伺服器
- Linux伺服器登入安全配置-億聯雲Linux伺服器
- 配置安全的windows2003伺服器Windows伺服器
- Windows伺服器作業系統安全配置檢查和加固方法Windows伺服器作業系統
- 配置Linux伺服器SSH安全訪問的四個小技巧Linux伺服器
- Mysql安全配置MySql
- Oracle安全配置Oracle
- MongoDB安全配置MongoDB
- Git安全配置Git
- CA證書伺服器(6)利用CA證書配置安全Web站點伺服器Web
- IIS WebDAV安全配置Web
- Nginx安全配置研究Nginx
- Linux安全配置Linux
- PHP安全配置(轉)PHP
- 伺服器配置(二)伺服器
- 伺服器配置(一)伺服器
- 伺服器配置(四)伺服器
- 伺服器配置(三)伺服器
- 配置nfs伺服器NFS伺服器
- 如何配置伺服器伺服器
- 配置dhcp伺服器伺服器
- JAVA安全之JAVA伺服器安全漫談Java伺服器
- centos伺服器安全技巧CentOS伺服器
- 伺服器資料安全伺服器
- 伺服器安全衛士伺服器
- 某世界500強公司的伺服器作業系統安全配置標準-Windows伺服器作業系統Windows
- MySQL安全配置基線MySql
- php.ini安全配置PHP
- [PHP 安全] pcc —— PHP 安全配置檢測工具PHP
- 【大資料安全】ApacheKylin安全配置(Kerberos)大資料ApacheROS
- 配置Ubuntu DNS伺服器UbuntuDNS伺服器
- 配置HTTPS伺服器HTTP伺服器
- 雲伺服器配置方法伺服器
- 配置應用伺服器伺服器
- Ubuntu 配置SSH伺服器Ubuntu伺服器
- apache代理伺服器配置Apache伺服器