澳门新葡亰网址下载Win2003网站服务器的安全配置全攻略

by admin on 2020年1月28日

磁盘权限
(如下设置,我们早就写贰个CMD脚本,按需求复制运转即能够代替如出手工业设定卡塔尔(قطر‎

本配置仅切合Win2004,部分剧情也适合于Win二〇〇二。很两人感到3389不安全,其实如若设置好,密码够长,攻破3389亦不是件轻便的事体,小编感觉其他远程软件都极慢,依然采纳了3389老是。
经测量检验,本配置在Win2001 + IIS6.0 + Serv-U + SQL Server
的单服务器多网址中一切日常。以下配置中打勾的为推荐介绍进行配置,打叉的为可选配置。
大器晚成、系统权限的装置
1、磁盘权限 系统盘只给 Administrators 组和 SYSTEM 的通通调节权限
其他磁盘只给 Administrators 组完全调控权限
系统盘Documents and Settings 目录只给 Administrators 组和 SYSTEM
的一心调控权限
系统盘Documents and SettingsAll Users 目录只给 Administrators 组和
SYSTEM 的一点一滴调整权限
系统盘windowssystem32config 禁止guests组
系统盘Documents and SettingsAll Users「开始」菜单程序
禁止guests组
系统盘windownssystem32inetsrvdata 禁止guests组
系统盘WindowsSystem32
at.exe、attrib.exe、cacls.exe、net.exe、net1.exe、netstat.exe、regedit.exe
文件只给 Administrators 组和 SYSTEM 的一心调节权限
系统盘WindowsSystem32 cmd.exe、format.com 仅 Administrators
组完全调控权限
把所有(Windowssystem32和WindowsServicePackFilesi386) format.com
更名为 format_nowayh.com
2、当地安全计谋设置
伊始菜单->处理工具->本地安全攻略
A、本地战略–>检查核对攻略
考察战术校正 成功 战败
复核登入事件 成功 失利
查处对象访谈战败
核准进程追踪 无审查批准
审查目录服务拜候退步
核查特权采纳退步
审结系统事件 成功 退步
审查批准账户登陆事件 成功 退步
复核账户管理 成功 战败
B、本地战略–>顾客权限分配
关闭系统:独有Administrators组、此外一切剔除。
透过极端服务屏绝登入:参预Guests组
经过极端服务允许登录:参与Administrators、Remote Desktop
Users组,别的全体刨除
C、本地计谋–>安全选项 交互作用式登入:不显得上次的客商名 启用
网络访谈:不容许SAM帐户和分享的佚名枚举 启用
互连网访谈:不容许为网络身份验证累积凭证 启用
互连网访谈:可佚名访谈的分享 全体去除
网络访谈:可无名访问的命全体剔除
互连网访问:可长途访谈的注册表路线全体删减
互连网访谈:可长途访问的注册表路线和子路线全体刨除
帐户:重命名百色帐户重命名叁个帐户
帐户:重命名系统管理员帐户 重命名叁个帐户
D、账户计谋–>账户锁定战术 将账户设为“5次登入无效”,“锁依时期为30分钟”,“重新载入参数锁定计数设为30分钟”
二、别的计划
√·把Administrator账户改进 管理工科具→本地安全战略→本地战术→安全选项
√·新建一无任何权力的假Administrator账户
管理工科具→Computer管理→系统工具→当地客商和组→客户
转移描述:管理Computer(域卡塔尔的放置帐户
×·重命名IIS海东账户
1、管理工具→计算机管理→系统工具→本地客户和组→顾客→重命名IUS猎豹CS6_ComputerName
2、张开 IIS 微型机→本地Computer→属性→允许直接编辑配置数据库
3、进入Windowssystem32inetsrv文件夹→MetaBase.xml→右键编辑→找到”AnonymousUserName”→写入”IUS索罗德_”新名称→保存
4、关闭”允许直接编辑配置数据库”
√·取缔文件分享
本地连接属性→去掉”Microsoft网络的文本和打字与印刷共享”和”Microsoft
网络顾客端”前边的”√”
√·禁止NetBIOS(关闭139端口)
本地连接属性→TCP/IP属性→高等→WINS→禁止使用TCP/IP上的NetBIOS
管理工具→计算机处理→设备微处理机→查看→突显蒙蔽的配备→非即插即用驱动程序→禁用NetBios over tcpip→重启
√·防火墙的安装 本地连接属性→高端→Windows防火墙设置→高档→第三个”设置”,勾选FTP、HTTP、远程桌面服务
√·禁止ADMIN$缺省共享、磁盘暗许共享、限定IPC$缺省共享(无名客商不或许列举本机顾客列表、禁绝空连接)
新建REG文件,导入注册表

风姿洒脱、操作系统配置

系统盘及全体磁盘只给 Administrators 组和 SYSTEM 的一丝一毫控制权限

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters]
"AutoshareWks"=dword:00000000
"AutoShareServer"=dword:00000000
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa]
"restrictanonymous"=dword:00000001

1.设置操作系统(NTFS分区卡塔尔后,装杀毒软件,小编接收的是卡巴。

系统盘Documents and Settings 目录只给 Administrators 组和 SYSTEM
的通通调节权限

√·删除以投注册表主键

2.装置系统补丁。扫描漏洞全面杀毒

系统盘Documents and SettingsAll Users 目录只给 Administrators 组和
SYSTEM 的完全调控权限

WScript.Network
WScript.Network.1
{093FF999-1EA0-4079-9525-9614C3504B74}
WScript.Shell
WScript.Shell.1
{72C24DD5-D70A-438B-8A42-98424B88AFB8}
Shell.Application
Shell.Application.1
{13709620-C279-11CE-A49E-444553540000}

3.删减Windows Server 二〇〇〇暗中认可分享
率先编写如下内容的批管理文件:
@echo off
net share C$ /del
net share D$ /del
net share E$ /del
net share F$ /del
澳门新葡亰网址下载,net share admin$ /del
文件名字为delshare.bat,放到运维项中,每一趟开机时会自动删除分享。

系统盘WindowsSystem32cacls.exe、cmd.exe、net.exe、net1.exe、ftp.exe、
tftp.exe、telnet.exe
、netstat.exe、regedit.exe、at.exe、attrib.exe、format.com、
del文件只给 Administrators 组和SYSTEM 的通通 调节权限

√·更改3389端口为12344 此处只介绍怎么样改造,既然本端口宣布出来了,那大家就别用那个了,端口可用windows自带的计算器将10进制转为16进制,16进制数替换下边多少个的dword:前边的值(7位数,远远不足的在前边补0),登录的时候用10进制,端口修改在服务注重启后生效。新建REG文件,导入注册表

4.禁用IPC连接
展开CMD后输入如下命令就可以开展一而再三回九转:net use\ipipc$ “password”
/user:”usernqme”。大家得以经过改换注册表来禁止使用IPC连接。张开注册表编辑器。找到如下创立HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa中的restrictanonymous子键,将其值改为1就可以禁止使用IPC连接。

另将System32cmd.exe、format.com、ftp.exe转移到别的目录或改名

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWdsrdpwdTdstcp]
"PortNumber"=dword:0003038
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp]
"PortNumber"=dword:00003038

5.删减”互联网连接”里的公约和劳动
在”网络连接”里,把不需求的磋商和服务都删掉,这里只设置了着力的Internet左券(TCP/IP),同期在高等tcp/ip设置里–”NetBIOS”设置”禁止使用tcp/IP上的NetBIOS(S)”。

Documents and
Settings下所有个别目录都设置只给adinistrators权限。并且要叁个叁个目录查看,满含上边包车型地铁全数子目录。

最终别忘了Windows防火墙允许12344端口,关闭3389端口
√·明确命令禁绝非管理员使用at命令,新建REG文件,导入注册表

6.启用windows连接防火墙,只怒放web服务(80端口卡塔尔国。
注:在二〇〇一系统里,不引入用TCP/IP筛选里的端口过滤效果,举例在运用FTP服务器的时候,若是单纯只盛放21端口,由于FTP左券的特殊性,在张开FTP传输的时候,由于FTP
特有的Port形式和Passive情势,在进行数据传输的时候,必要动态的开荒高档口,所以在使用TCP/IP过滤的情事下,常常会并发接二连三上后不可能列出目录和多少传输的难点。所以在二零零四连串上增添的windows连接防火墙能很好的消除那个标题,所以都不引入应用网卡的TCP/IP过滤效果。

删除c:inetpub目录

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa]
"SubmitControl"=dword:00000001

7.磁盘权限
系统盘只给 Administrators 和 SYSTEM 权限
系统盘Documents and Settings 目录只给 Administrators 和 SYSTEM
权限;
系统盘Documents and SettingsAll Users 目录只给 Administrators 和
SYSTEM 权限;
系统盘Documents and SettingsAll UsersApplication Data目录只给
Administrators 和 SYSTEM 权限;
系统盘Windows 目录只给 Administrators 、 SYSTEM 和 users 权限;
系统盘WindowsSystem32net.exe,net1.exe,cmd.exe,command.exe,ftp.exe,netstat.exe,regedit.exe,at.exe,attrib.exe,cacls.exe
文件只给 Administrators
权限(假使感到没用就删了它,比如自身删了cmd.exe,command.exe,嘿嘿。卡塔尔(قطر‎;
另内盘,有安装程序运维的(如:sql server 二零零一 在D盘卡塔尔国给 Administrators 和
SYSTEM 权限,无只给 Administrators 权限。

√·卸载最不安全的零器件
运行”卸载最不安全的组件.bat”,重启后更名或删掉WindowsSystem32里的wshom.ocx和shell32.dll

8.地面安全战术设置
初步菜单—>管理工科具—>本地安全战略
A、当地战术——>审查战略 (可选用卡塔尔
复核计策校勘 成功 失利
审结登陆事件 成功 战败
审查批准对象访问 失利
调查进度追踪 无审查批准
查处目录服务会见 战败
核算特权接收 退步
核实系统事件 成功 失利
核查账户登入事件 成功 战败
审买单户管理 成功 退步

----------------卸载最不安全的组件.bat-----------------
regsvr32/u %SystemRoot%System32wshom.ocx
regsvr32/u %SystemRoot%System32shell32.dll
regsvr32/u %SystemRoot%System32wshext.dll
-------------------------------------------------------

B、本地战术——>客商权限分配
关闭系统:独有Administrators组、其余任何剔除。
透过极端服务推却登入:加入Guests、Users组
经过极端服务允许登录:只参加Administrators组,其余全数刨除

√·Windows日志的移动

C、当地战略——>安全选项
交互作用式登入:不出示上次的客户名 启用
互联网访问:可佚名访谈的分享 全部去除
互联网访谈:可无名氏访谈的命名管道 全体剔除
**网络访谈:可长途访谈的登记表路线 全部删减
**网络访谈:可长途访问的注册表路线和子路线 全体删减
帐户:重命名白山帐户 重命名三个帐户
(上边少年老成项改成也许招致sqlserver不可能选取卡塔尔
帐户:重命名系统管理员帐户 重命名七个帐户

打开"HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesEventlog"

二、iis配置(蕴含网址所在目录卡塔尔国

Application 子项:应用程序日志
Security 子项:安整天志
System 子项:系统日志
分级校勘子项的File键值,再把System32config目录下的App伊芙nt.Evt、Sec伊芙nt.Evt、SysEvent.Evt复制到指标文件夹,重启。
√·Windows日志的保卫安全 1、移动日志后的文件夹→属性→安全→高端→去掉”允许父系的持续权限……”→复制→明显
2、保留System账户和User组,System账户保留除完全调整和改善之外的权柄,User组仅保留只读权限
3、AppEvent.Evt、SysEvent.Evt保留Administrator、System账户和User组,Administrator、System账户保留除完全调整和纠正之外的权
限,User组仅保留只读权限;
DnsEvent.Evt、SecEvent.Evt保留System账户和User组,System账户保留除完全调控和改革之外的权力,User组仅保留只读权限
√·要手动甘休/禁止使用的劳动:Computer Browser、Error reporting
service、Microsoft Serch、Print Spooler、Remote Registry、Server
、TCP/IP NetBIOS Helper、Workstation
√·消除在 IIS 6.0 中,不可能下载抢先4M的附属类小零器件(现改为10M)
停止IIS服务→打开WINDOWSsystem32inetsrv→记事本展开MetaBase.xml→找到
AspBufferingLimit 项→值改为 10485760
√·设置Web上传单个文本最大值为10 MB 停止IIS服务→打开WINDOWSsystem32inetsrv→记事本打开MetaBase.xml→找到
AspMaxRequestEntityAllowed 项→值改为 10485760
×·再一次定位和装置 IIS 日志文件的权能
1、将 IIS
日志文件的岗位移动到非系统分区:在非系统的NTFS分区新建一文书夹→张开 IIS
微处理机→右键网址→属性→单击”启用日志
记录”框架中的”属性”→校订到刚刚开创的文本夹
2、设置 IIS
日志文件的权能:浏览至日志文件所在的公文夹→属性→安全→确定保证Administrators和System的权限设置为”完全调控”
×·布置 IIS 元数据库权限 打开 WindowsSystem32InetsrvMetaBase.xml 文件→属性→安全→确认只有Administrators 组的分子和 LocalSystem 帐户具有对元
数据库的一心调控访问权,删除全体其余文件权限→确定
表达 Web 内容的权位
打开IIS微机→右键想要配置的网址的文本夹、网站、目录、虚构目录或文件
脚本源文件访谈,客商能够访谈源文件。假使选拔”读”,则足以读源文件;假使选用”写”,则能够写源文件。脚本源访谈满含剧本的源代码
。如若”读”或”写”均未选用,则此选项不可用。
读(暗中同意意况下抉择):客商能够查阅目录或文件的内容和总体性。
写:顾客可以变动目录或文件的内容和属性。
目录浏览:客商能够查看文件列表和聚众。
日志访问:对网址的每趟访问创制日志项。
寻觅财富:允许检索服务检索此财富。那允许顾客寻觅能源。
√·关闭自动播放
运营组攻略编辑器(gpedit.msc)→计算机配置→管理模板→系统→关闭自动播放→属性→已启用→全体驱动器
√·禁用DCOM
运作Dcomcnfg.exe。调节台根节点→组件服务→Computer→右键单击“作者的微机”→属性”→暗中认可属性”选项卡→消亡“在这里台计算机上启用布满式
COM”复选框。
√·启用父路线 IIS微型机→右键网址→属性→主目录→配置→选项→启用父路线
√·IIS 6.0 系统无其他动作超时时间和本子超时时间
IIS微电脑→右键网址→属性→主目录→配置→选项→分别改为40分钟和180秒
√·删去不必要的IIS扩充名映射 IIS微电脑→右击Web站点→属性→主目录→配置→映射,去掉不必要的应用程序映射,重要为.shtml,
.shtm, .stm
√·扩展IIS对MIME文件类型的协理 IIS微处理器→接收服务器→右键→属性→MIME类型(也许右键web站点→属性→HTTP头→MIME类型→新建)加多如下表内容,然后重启IIS,扩张名MIME类型

1.新建本人的网址(*潜心:在应用程序设置中进行权限设为无,在急需的目录里再转移卡塔尔,目录不在系统盘
注:为支撑asp.net,将系统盘Inetpubwwwroot中的aspnet_client文件夹复制到web根目录下,并给web根目录加上users权限。

.iso application/octet-stream
.rmvb application/vnd.rn-realmedia

2.删掉系统盘inetpub目录

√·禁止dump file的产生
自作者的微型机→右键→属性→高端→运转和故障复苏→写入调节和测验音讯→无。
dump文件在系统崩溃和蓝屏的时候是大器晚成份很有用的搜求难题的素材(不然我就照字面意思翻译成垃圾文件了卡塔尔(قطر‎。然则,它也能够给红客提供
一些机敏新闻举个例子部分应用程序的密码等。
三、Serv-U FTP服务的设置 √·本地服务器→设置→拦截”FTP_bounce”攻击和FXP
对此60秒内连接超过13次的客商拦截5分钟
√·本地服务器→域→客商→选中要求设置的账号→右侧的”同风流罗曼蒂克IP只允许2个登陆”
√·当地服务器→域→设置→高等→撤废”允许MDTM命令来更动文件的日子/时间”
安装Serv-U程序所在的文本夹的权能,Administrator组完全调控,禁绝Guests组和IIS佚名顾客有读取权限
服务器信息,自上而下分别改为:

3.去除不用的映照
在”应用程序配置”里,只给供给的剧本实践权限:ASP、ASPX。

服务器工作正常,现已准备就绪...
错误!请与管理员联系!
FTP服务器正在离线维护中,请稍后再试!
FTP服务器故障,请稍后再试!
当前账户达到最大用户访问数,请稍后再试!
很抱歉,服务器不允许匿名访问!
您上传的东西太少,请上传更多东西后再尝试下载!

4.为网址创设系统客户
A.举个例子:网站为yushan43436.net,新建客商yushan43436.net权力为guests。然后在web站点属性里”目录安全性”—”身份验证和访谈调节”里设置无名访谈使用下列Windows
顾客帐户”的顾客名和密码都使用yushan43436.net以此客商的消息。(客商名:主机名yushan43436.net)
B.给网站所在的磁盘目录增加客商yushan43436.net,只给读取和写入的权杖。

四、SQL安全设置
审查指向SQL Server的接连几日 公司微处理机→张开服务器组→右键→属性→安全性→失利
修正sa账户密码 商家微型机→张开服务器组→安全性→登入→双击sa账户
SQL查询剖析器

5.安装使用程及子目录的实行权限
A.主应用程序目录中的”属性–应用程序设置–实施权限”设为纯脚本
B.在无需举行asp、asp.net的子目录中,举例上传文件目录,实施权限设为无

use master 
exec sp_dropextendedproc xp_cmdshell 
exec sp_dropextendedproc xp_dirtree
exec sp_dropextendedproc xp_enumgroups
exec sp_dropextendedproc xp_fixeddrives
exec sp_dropextendedproc xp_loginconfig
exec sp_dropextendedproc xp_enumerrorlogs
exec sp_dropextendedproc xp_getfiledetails
exec sp_dropextendedproc Sp_OACreate 
exec sp_dropextendedproc Sp_OADestroy 
exec sp_dropextendedproc Sp_OAGetErrorInfo 
exec sp_dropextendedproc Sp_OAGetProperty 
exec sp_dropextendedproc Sp_OAMethod 
exec sp_dropextendedproc Sp_OASetProperty 
exec sp_dropextendedproc Sp_OAStop 
exec sp_dropextendedproc Xp_regaddmultistring 
exec sp_dropextendedproc Xp_regdeletekey 
exec sp_dropextendedproc Xp_regdeletevalue 
exec sp_dropextendedproc Xp_regenumvalues 
exec sp_dropextendedproc Xp_regread 
exec sp_dropextendedproc Xp_regremovemultistring 
exec sp_dropextendedproc Xp_regwrite 
drop procedure sp_makewebtask 

6.运用程序池设置
本身的网址使用的是暗许使用程序池。设置”内部存款和储蓄器回笼”:这里的最大设想内部存储器为:1000M,最大利用的大意内部存款和储蓄器为256M,那样的安装大概是没节制这么些站点的性格的。
回笼工作历程(分钟卡塔尔(قطر‎:1440
在下列时间回收专业经过:06:00

【相关小说】

三、sql server 2000 配置

  • 专项论题:营造平安服务器

1.密码设置
自家编的次第用了sa客户,密码设置超复杂(自个儿记不住,保存在二哥大里,嘿嘿卡塔尔国。

2.剔除危险的恢宏存储进程和相关.dll。
Xp_cmdshell(那几个一定最先受到冲击,不用说了卡塔尔国、Xp_regaddmultistring、Xp_regdeletekey、Xp_regdeletevalue、Xp_regenumvalues、Xp_regread、Xp_regwrite、Xp_regremovemultistring

  • Windows
    贰零零贰服务器安全布置终极技艺

四、别的设置(可选用,自己同意担负State of Qatar

【主要编辑:赵毅 TEL:(010)68476636-8001】

1.别样客商密码都要复杂,无需的顾客—删。

原文:Win二〇〇二网址服务器的安全配置全战术
回来网络安全首页

2.防备SYN雪暴攻击
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
新建DWORD值,名为SynAttackProtect,值为2

3.禁绝响应ICMP路由通知报文
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfacesinterface
新建DWORD值,名为PerformRouterDiscovery 值为0

4.预防ICMP重定向报文的攻击
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
将EnableICMPRedirects 值设为0

5.不支持IGMP协议
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
新建DWORD值,名为IGMPLevel 值为0

6.禁用DCOM:
运转中输入 Dcomcnfg.exe。 回车, 单击“调节台根节点”下的“组件服务”。
展开“Computer”子文件夹。
对此本地计算机,请以右键单击“笔者的微处理机”,然后选用“属性”。选择“暗许属性”选项卡。
破除“在此台微处理器上启用布满式 COM”复选框。

发表评论

电子邮件地址不会被公开。 必填项已用*标注

网站地图xml地图