WINDOWS2003安全设置

Posted on 2006-09-13 14:54  苹果引擎  阅读(909)  评论(0编辑  收藏  举报
1、安装操作系统
2、安装驱动
3、安装IIS
4、安装简单网络管理协议(SNMP)和网络监视工具
5、安装MS SQL SERVER ENTERPRISE 到D:\ sa密码:password
6、安装SQL SP4补丁
7、删除sqlserver的扩展存储过程
   isql -S localhost -U sa -P password
    use master 
  sp_dropextendedproc '扩展存储过程名' 
    go
  xp_cmdshell:是进入操作系统的最佳捷径,删除 
  访问注册表的存储过程,删除 
  Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvalues  Xp_regread Xp_regwrite Xp_regremovemultistring   

  OLE自动存储过程,不需要删除 
  Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty Sp_OAMethod  Sp_OASetProperty  Sp_OAStop 

8、gpedit.msc
      打开组策略编辑器,选择计算机配置-Windows设置-安全设置-审核策略在创建审核项目时需要注意的是如果审核的项目太多,生成的事件也就越多,那么要想发现严重的事

件也越难当然如果审核的太少也会影响你发现严重的事件,你需要根据情况在这二者之间做出选择。 

  推荐的要审核的项目是: 
  登录事件   成功 失败 
  账户登录事件 成功 失败 
  系统事件   成功 失败 
  策略更改   成功 失败 
  对象访问   失败 
  目录服务访问 失败 
  特权使用   失败 
   
    在密码策略中设置:启用“密码必须符合复杂性要求”,“密码长度最小值”为6个字符,“强制密码历史”为5次,“密码最长存留期”为30天。

  在账户锁定策略中设置:“复位账户锁定计数器”为30分钟之后,“账户锁定时间”为30分钟,“账户锁定值”为3次。

9、关闭不需要的服务
 我关闭了以下的服务
  Computer Browser 维护网络上计算机的最新列表以及提供这个列表 
   Task scheduler 允许程序在指定时间运行 
  Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息 
  Distributed File System: 局域网管理共享文件,不需要禁用 
  Distributed linktracking client:用于局域网更新连接信息,不需要禁用 
  Error reporting service:禁止发送错误报告 
  Microsoft Serch:提供快速的单词搜索,不需要可禁用 
  NTLMSecuritysupportprovide:telnet服务和Microsoft Serch用的,不需要禁用 
  PrintSpooler:如果没有打印机可禁用 
  Remote Registry:禁止远程修改注册表 
  Remote Desktop Help Session Manager:禁止远程协助 
    Workstation   关闭的话远程NET命令列不出用户组
10、关闭默认共享
   Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"AutoShareServer"=dword:00000000
"AutoSharewks"=dword:00000000 

11、网络安全

   在"网络连接"里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP),由于要控制带宽流量服务,额外安装了Qos数据包计划程序。在高级tcp/ip设

置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS(S)"。在高级选项里,使用"Internet连接防火墙",这是windows 2003 自带的防火墙,在2000系统里没有的功能,虽然没什么功

能,但可以屏蔽端口,这样已经基本达到了一个IPSec的功能。

启用Tcp/Ip筛选 
 只允许 tcp: 21 80 3389

12、配置internet防火墙,添加80 21 3389

13、账号安全
  停掉Guest 帐号、并给guest 加一个异常复杂的密码,把Administrator改名或伪装

14、其它安全设置
  防止SYN洪水攻击 
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 
  新建DWORD值,名为SynAttackProtect,值为2 

 禁止响应ICMP路由通告报文 
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface 
  新建DWORD值,名为PerformRouterDiscovery 值为0 

 防止ICMP重定向报文的攻击 
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 
  将EnableICMPRedirects 值设为0 

 不支持IGMP协议 
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 
  新建DWORD值,名为IGMPLevel 值为0 

 禁用DCOM: 
  运行中输入 Dcomcnfg.exe。 回车, 单击“控制台根节点”下的“组件服务”。 打开“计算机”子文件夹。 
  对于本地计算机,请以右键单击“我的电脑”,然后选择“属性”。选择“默认属性”选项卡。 
  清除“在这台计算机上启用分布式 COM”复选框。

 禁止IPC空连接
   cracker可以利用net use命令建立空连接,进而入侵,还有net view,nbtstat这些都是基于空连接的,禁止空连接就好了。打开注册表,找到

Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 把这个值改成”1”即可。

 更改TTL值
    cracker可以根据ping回的TTL值来大致判断你的操作系统,如: 
TTL=107(WINNT); 
TTL=108(win2000); 
TTL=127或128(win9x); 
TTL=240或241(linux); 
TTL=252(solaris); 
TTL=240(Irix); 
实际上你可以自己更改的:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters:DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)改成一个莫

名其妙的数字如258,起码让那些小菜鸟晕上半天,就此放弃入侵你也不一定哦

15、目录安全
[服务器安全内部资料]Win 2003 硬盘安全设置[针对ASP类网站]

C:分区部分:
c:administrators 全部
Everyone 无
system 全部
当然,这个到下面的目录是要改的
c:\windows
administrators 全部
Creator owner
不是继承的
只有子文件夹及文件
完全
Power Users
修改,读取和运行,列出文件夹目录,读取,写入
system 全部
Users 读取和运行,列出文件夹目录,读取
c:\Program Files
Everyone 只有该文件夹
不是继承的
列出文件夹/读数据
administrators 全部
iis_wpg 只有该文件夹
列出文件/读数据
读属性
读扩展属性
读取权限
c:\Program Files\Common Files
administrators 全部
Creator owner
不是继承的
只有子文件夹及文件
完全
Power Users
修改,读取和运行,列出文件夹目录,读取,写入
system 全部
TERMINAL SERVER Users(如果有这个用户)
修改,读取和运行,列出文件夹目录,读取,写入
Users 读取和运行,列出文件夹目录,读取
如果安装了我们的软件:
c:\Program Files\LIWEIWENSOFT
Everyone 读取和运行,列出文件夹目录,读取
administrators 全部
IIS_WPG 读取和运行,列出文件夹目录,读取
c:\Program Files\Dimac(如果有这个目录)
Everyone 读取和运行,列出文件夹目录,读取
administrators 全部
c:\Program Files\ComPlus Applications (如果有)
administrators 全部
c:\Program Files\GflSDK (如果有)
administrators 全部
Creator owner
不是继承的
只有子文件夹及文件
完全
Power Users
修改,读取和运行,列出文件夹目录,读取,写入
system 全部
TERMINAL SERVER Users
修改,读取和运行,列出文件夹目录,读取,写入
Users 读取和运行,列出文件夹目录,读取
Everyone 读取和运行,列出文件夹目录,读取
c:\Program Files\InstallShield Installation Information (如果有)
c:\Program Files\Internet Explorer (如果有)
c:\Program Files\NetMeeting (如果有)
administrators 全部
c:\Program Files\WindowsUpdate
Creator owner
不是继承的
只有子文件夹及文件
完全
administrators 全部
Power Users
修改,读取和运行,列出文件夹目录,读取,写入
system 全部
D:分区部分:默认情况下是一个网站一个IIS用户
d:\ (如果用户网站内容放置在这个分区中)
administrators 全部权限
d:\Host (如果此目录用来放置用户网站内容)
administrators 全部权限
d:\Host\ZxsV(网站用户目录)
administrators 全部权限
IIS_WPG 读取和运行,列出文件夹目录,读取
d:\Host\ZxsV\Data(网站用户数据库目录)
administrators 全部权限
IIS_WPG 读取和运行,列出文件夹目录,读取,改写
d:\Host\ZxsV\Web(IIS访问目录)
administrators 全部权限
IIS_WPG 读取和运行,列出文件夹目录,读取
d:\Host\ZxsV\WebLog(日志目录)
administrators 全部权限
system 全部
d:\Host\ZxsV\Web\Upload(网站用户数据上传目录)
administrators 全部权限
IIS_WPG 读取和运行,列出文件夹目录,读取,改写
无ASP执行权限,这个很重要,这只是一个定义,具体要看网站是怎么设定的
d:\Tools\(工具目录)
administrators 全部权限
d:\Tools\Serv-U
administrators 全部权限
guest 拒绝
类推就是的了 

其它地方的权限设置
请找到c盘的这些文件,把安全性设置只有特定的管理员有完全操作权限
下列这些文件只允许administrators访问
net.exe
net1.exet
cmd.exe
tftp.exe
netstat.exe
regedit.exe
at.exe
attrib.exe
cacls.exe
format.com

16、安装serv-u
设置管理密码,在windows信息servu的账户,将servu服务的启动账户选择为新增加的账户
servu的安装目录的权限更改为administrators全部,新的账户全部,将system的权限删除.
ftp的用户目录增加相应的servu账户的权限即可

Copyright © 2024 苹果引擎
Powered by .NET 9.0 on Kubernetes