windowsserver2013服務(wù)器加固

1、Windows Server 2003 服務(wù)器加固服務(wù)器加固前言前言v在網(wǎng)絡(luò)日益發(fā)展的今天，網(wǎng)絡(luò)作為我們?nèi)粘Ｉ瞰@取信息不可分缺的一部分，針對(duì)網(wǎng)絡(luò)的攻擊也無(wú)時(shí)不刻的在我們身邊,除了要注意個(gè)人PC的安全之外，還應(yīng)該注重服務(wù)器安全，安全問(wèn)題頻發(fā)的網(wǎng)站服務(wù)器安全也就成了管理員們的最頭疼的事。WEB服務(wù)器所面臨的威脅和安全問(wèn)題服務(wù)器所面臨的威脅和安全問(wèn)題威脅威脅安全安全問(wèn)題問(wèn)題黑客的頻繁攻擊(DDOS攻擊、CC攻擊、跨站、注入)程序的漏洞(敏感信息泄漏、應(yīng)用程序BUG)系統(tǒng)漏洞(溢出)弱口令(簡(jiǎn)單密碼、默認(rèn)密碼、常用密碼)數(shù)據(jù)庫(kù)(列目錄、差異備份、LOG備份、存儲(chǔ)過(guò)程)系統(tǒng)權(quán)限配置(運(yùn)行、上傳、寫入)

2、IIS設(shè)置(腳本執(zhí)行權(quán)限)FTPARP廣泛的用戶和組權(quán)限啟用不必要的數(shù)據(jù)庫(kù)功能失效的配置管理特權(quán)升級(jí)數(shù)據(jù)庫(kù)未打補(bǔ)丁敏感數(shù)據(jù)未加密所帶來(lái)的危害和損失所帶來(lái)的危害和損失v網(wǎng)站程序被破壞或篡改v內(nèi)部文件或信息泄漏v服務(wù)器被入侵導(dǎo)致惡意利用vARP嗅探致使用戶或管理員信息泄漏v網(wǎng)站被植入木馬、黑鏈接或廣告v發(fā)布惡意內(nèi)容并陷害v網(wǎng)站程序、作品或勞動(dòng)成果被竊取v網(wǎng)站和數(shù)據(jù)庫(kù)數(shù)據(jù)被惡意下載和利用v社會(huì)影響和公眾影響 服務(wù)器和網(wǎng)站安全一直都是大家所關(guān)注的內(nèi)容，我們今天以Windows Server 2003 Enterprise Edition Service Pack 1為例，為大家演示服務(wù)器的加固措施。一

3、、硬盤的分區(qū)一、硬盤的分區(qū)v一般比較常用的是FAT32和NTFS格式分區(qū)1.1FAT32格式缺點(diǎn) 采用FAT32格式對(duì)硬盤進(jìn)行分區(qū)是無(wú)法設(shè)置訪問(wèn)權(quán)限的 ，如果要搭建網(wǎng)站或?qū)δ硞€(gè)文件夾、文件設(shè)置單獨(dú)的訪問(wèn)權(quán)限是不行的，一旦網(wǎng)站建立起來(lái)對(duì)服務(wù)器以及網(wǎng)站就非常危險(xiǎn)。這是一大禁忌，因此目前已被性能更優(yōu)異的NTFS分區(qū)格式所取代1.2NTFS格式權(quán)限設(shè)置格式權(quán)限設(shè)置v系統(tǒng)盤和站點(diǎn)放置盤必須設(shè)置為NTFS格式,方便設(shè)置權(quán)限v針對(duì)系統(tǒng)盤和站點(diǎn)放置盤，將除administrators 和system的用戶權(quán)限全部去除1.3設(shè)置方法設(shè)置方法二、防火墻設(shè)置二、防火墻設(shè)置v啟用windows自帶的防火墻可以滿足我們

4、平常的需要v只保留我們需要的端口,比如遠(yuǎn)程和Web,Ftp(3389,80,21)等等 ，不使用的端口全部關(guān)閉掉,防止被惡意攻擊者利用導(dǎo)致服務(wù)器淪陷如果還有需要的端口，可以自行添加如果還有需要的端口，可以自行添加三、系統(tǒng)賬戶安全三、系統(tǒng)賬戶安全v某些服務(wù)器管理員密碼使用弱口令,而且默認(rèn)的登錄賬戶沒有修改，許多無(wú)聊的攻擊者會(huì)采用掃描終端的弱口令進(jìn)行入侵v改名系統(tǒng)默認(rèn)帳戶名，并新建一個(gè)Administrator帳戶作為陷阱帳戶,設(shè)置超長(zhǎng)密碼,并讓這個(gè)帳號(hào)不屬于任何用戶組。改名并禁用掉Guest用戶 3.1本地安全策略設(shè)置本地安全策略設(shè)置 配置帳戶鎖定策略(在運(yùn)行中輸入gpedit.msc回車，打開

5、組策略編輯器，選擇計(jì)算機(jī)配置-Windows設(shè)置-安全設(shè)置-賬戶策略-賬戶鎖定策略，將賬戶設(shè)為“三次登陸無(wú)效”，“鎖定時(shí)間30分鐘”，“復(fù)位鎖定計(jì)數(shù)設(shè)為30分鐘”。)在安全設(shè)置里在安全設(shè)置里“本地策略本地策略-安全選項(xiàng)安全選項(xiàng)”將將以上四項(xiàng)清空以上四項(xiàng)清空1234網(wǎng)絡(luò)訪問(wèn) :可匿名訪問(wèn)的共享 ;網(wǎng)絡(luò)訪問(wèn):可匿名訪問(wèn)的命名管道 ;網(wǎng)絡(luò)訪問(wèn):可遠(yuǎn)程訪問(wèn)的注冊(cè)表路徑 ;網(wǎng)絡(luò)訪問(wèn):可遠(yuǎn)程訪問(wèn)的注冊(cè)表路徑和子路徑 ;v 在安全設(shè)置里“本地策略-安全選項(xiàng)”通過(guò)終端服務(wù)拒絕登陸加入： ASPNET GuestIUSR_*IWAM_*NETWORK SERVICESQLDebugger (*表示你的機(jī)器名,具

6、體查找可以點(diǎn)擊“添加用戶或組”選“高級(jí)”選“立即查找”在列出的用戶列表里選擇.注意，不要添加進(jìn)user組和administrators組。如果添加進(jìn)去以后，就不能遠(yuǎn)程登陸了)更改更改本地安全策略的審核策略本地安全策略的審核策略 賬戶登錄事件賬戶登錄事件成功成功 失敗失敗目錄服務(wù)訪問(wèn)目錄服務(wù)訪問(wèn)失敗失敗 系統(tǒng)事件系統(tǒng)事件成功成功 失敗失敗特權(quán)使用特權(quán)使用失敗失敗 策略更改策略更改成功成功 失敗失敗對(duì)象訪問(wèn)對(duì)象訪問(wèn)失敗失敗 登錄事件登錄事件成功成功 失敗失敗賬戶管理賬戶管理成功成功 失敗失敗審核策略審核策略3.2去掉默認(rèn)共享去掉默認(rèn)共享v將以下文件存為reg后綴,然后執(zhí)行導(dǎo)入即可.Windows

7、Registry Editor Version 5.00HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparametersAutoShareServer=dword:00000000AutoSharewks=dword:00000000關(guān)閉掉默認(rèn)共享可以有效防止空口令或弱密碼入侵3.3禁用危險(xiǎn)的服務(wù)禁用危險(xiǎn)的服務(wù)禁用不需要的和危險(xiǎn)的服務(wù),以下列出服務(wù)都需要禁用：Alerter 發(fā)送管理警報(bào)和通知Computer Browser:維護(hù)網(wǎng)絡(luò)計(jì)算機(jī)更新Distributed File System: 局域網(wǎng)管理共享文件Dis

8、tributed linktracking client 用于局域網(wǎng)更新連接信息Error reporting service 發(fā)送錯(cuò)誤報(bào)告Remote Procedure Call (RPC) Locator RpcNs*遠(yuǎn)程過(guò)程調(diào)用 (RPC) Remote Registry 遠(yuǎn)程修改注冊(cè)表Removable storage 管理可移動(dòng)媒體、驅(qū)動(dòng)程序和庫(kù)Remote Desktop Help Session Manager 遠(yuǎn)程協(xié)助Routing and Remote Access 在局域網(wǎng)以及廣域網(wǎng)環(huán)境中為企業(yè)提供路由服務(wù)Messenger 消息文件傳輸服務(wù)Net Logon 域控制器通

9、道管理NT LMSecuritysupportprovide telnet服務(wù)和Microsoft Serch用的PrintSpooler 打印服務(wù)telnet telnet服務(wù)Workstation 泄漏系統(tǒng)用戶名列表3.4設(shè)置系統(tǒng)文件權(quán)限設(shè)置系統(tǒng)文件權(quán)限v 一些系統(tǒng)文件經(jīng)常被黑客利用，應(yīng)設(shè)置其運(yùn)行權(quán)限或刪除（不使用的情況下）,也可放置到地方，并設(shè)置好權(quán)限v 更改有可能會(huì)被提權(quán)利用的文件運(yùn)行權(quán)限。找到以下文件,將其安全設(shè)置里除administrators用戶組全部刪除,重要的是連system也不能留.文件包括：c.exe 特殊文件 有可能在你的計(jì)算機(jī)上找不到此文件.在搜索框里輸入 net.e

10、xe,net1.exe,cmd.exe,tftp.exe,netstat.exe,regedit.exe,at.exe,attrib.exe,cacls.exe,c.exe 點(diǎn)擊搜索 然后全選 右鍵 屬性 安全四、關(guān)閉無(wú)用的組件四、關(guān)閉無(wú)用的組件v 某些組件長(zhǎng)期被黑客利用，因此不使用應(yīng)及時(shí)的關(guān)閉或卸載該組件FSO:運(yùn)行regsvr32 scrrun.dll即可。如果想關(guān)閉FSO組件，請(qǐng)運(yùn)行 regsvr32 /u scrrun.dll即可。如何讓IIS支持Adodb.stream組件：adodb.stream組件：在開始-運(yùn)行 中 輸入：regsvr32 C:Program FilesComm

11、on FilesSystemadomsado15.dll即可再次支持adodb.stream組件五、對(duì)五、對(duì)FTP的設(shè)置的設(shè)置v FTP也經(jīng)常是黑客們拿到服務(wù)器權(quán)限的途徑之一，也是管理員們最忽略的地方v 電子政務(wù)廳服務(wù)器基本上都裝有server-U，再次我們需要防止Serv-U權(quán)限提升。其實(shí)，注銷了Shell組件之后，侵入者運(yùn)行提升工具的可能性就很小了，但是prel等別的腳本語(yǔ)言也有shell能力。為此我們需要對(duì)此進(jìn)行設(shè)置，具體方法如下：用Ultraedit打開ServUDaemon.exe查找Ascii：LocalAdministrator，和#l$ak#.lk;0P，修改成等長(zhǎng)度的其它字符

12、就可以了，ServUAdmin.exe也一樣處理。另外注意設(shè)置Serv-U所在的文件夾的權(quán)限，不要讓IIS匿名用戶有讀取的權(quán)限。v根據(jù)長(zhǎng)期的測(cè)試,我們發(fā)現(xiàn)國(guó)內(nèi)大量的IDC服務(wù)商FTP都是采用Serv-U,并且未對(duì)注冊(cè)表的權(quán)限進(jìn)行設(shè)置，那么黑客可以任意讀取FTP信息。在注冊(cè)表中的具體位置是HKEY_LOCAL_MACHINESOFTWARECat SoftServ-UDomains1UserSettings，這里包含serv-u的信息以及用戶名和密碼v對(duì)注冊(cè)表的權(quán)限進(jìn)行設(shè)置或采用比較安全的FTPS六、針對(duì)六、針對(duì)WEB站點(diǎn)的權(quán)限設(shè)置站點(diǎn)的權(quán)限設(shè)置v對(duì)于WEB服務(wù)器，除了要把以上的安全設(shè)置好以外，還需要對(duì)站點(diǎn)用戶、目錄、腳本等進(jìn)行特別的設(shè)置6.1用戶設(shè)置用戶設(shè)置6.2IIS用戶設(shè)置用戶設(shè)置v在IIS中，站點(diǎn)最好不要使用默認(rèn)的c:inetpubwwwroot目錄,應(yīng)放在其他盤，有利于備份和恢復(fù)對(duì)網(wǎng)站目錄的用戶設(shè)置對(duì)網(wǎng)站目錄的用戶設(shè)置根據(jù)實(shí)際需要設(shè)置根據(jù)實(shí)際需要設(shè)置IIS訪問(wèn)用戶的權(quán)限訪問(wèn)用戶的權(quán)限6.3身份驗(yàn)證身份驗(yàn)證v有效防止黑客飛到網(wǎng)站權(quán)限后跨目錄訪問(wèn)6.4目錄執(zhí)行權(quán)限目錄執(zhí)行權(quán)限v對(duì)黑客容易利用的目錄進(jìn)行權(quán)限設(shè)置(比如文件上傳目錄)總結(jié)總結(jié)v 如果不是遠(yuǎn)程對(duì)服務(wù)器進(jìn)行安全配置，那么請(qǐng)?jiān)诎惭b系統(tǒng)前就應(yīng)該把網(wǎng)線拔掉v 盡量安裝和運(yùn)行