服务器安全设置

最新推荐文章于 2024-09-20 21:10:07 发布

jadexupeng

最新推荐文章于 2024-09-20 21:10:07 发布

阅读量6.1k

点赞数

分类专栏：服务器管理文章标签：服务器 iis sql server system internet microsoft

本文链接：https://blog.csdn.net/jadexupeng/article/details/4022472

版权

服务器管理专栏收录该内容

1 篇文章 0 订阅

订阅专栏

第一章入侵的方法

入侵服务器的方法有以下几种:

一、网页程序上传的漏洞，然后上传木马，然后得到WEBSHELL，进尔得到SYSTEM SHELL。
二、 FTP或WEB服务漏洞，然后通过提升权限等方法进尔得到SYSTEM SHELL。
三、程序和数据库漏洞，可以使用SQL注入，再通过SQL的CMDSHELL来新建用户进尔得到SYSTEM SHELL。
四、系统漏洞或未打补丁而存在的漏洞，被黑客使用后入侵。
五、系统或数据库或程序的密码过于简单，于是被破解后进入系统，并进一步提升权限得到WEB SHELL。

第二章修改默认端口

默认端口是最简单的入侵方式，装完软件后要首先就把默认的端口给改掉，不让对方知道你的窗子和门的位置，就给别人进入增加了难度

一、远程管理的端口

打开注册表，找到类似这样的键值HKEY_LOCAL_MACHINE//System//CurrentControlSet//Control//Terminal Server//Wds//Repwd//Tds//Tcp, 看到那个PortNumber没有？0xd3d，这个是16进制，就是3389啦，我改...这个值是RDP(远程桌面协议)的默认值，也就是说用来配置以后新建的RDP服务的，要改已经建立的RDP服务，我们去下一个键值：
HKEY_LOCAL_MACHINE//SYSTEM//CurrentControlSet//Control//TerminalServer//WinStations这里应该有一个或多个类似RDP-TCP的子健（取决于你建立了多少个RDP服务），一样改掉PortNumber。 (转者注:在这里可以在HKEY_LOCAL_MACHINE下面通过搜索3389来找到所有的portnumber项)

二、SQL SERVER的端口，只要改那个公网IP的那个端口就可以了，如果全部都改掉的话运行SQL SERVER就会变的非常的慢。
三、暂无

第三章目录安全

目录安全是装完系统后首先要做的事情。让每个文件夹的权限都设置成安全的，这样子就算是程序有漏洞，也无法轻意的访问到服务器的任何一个文件夹。让数据得到保证。

C盘只给administrators 和system权限，其他的权限不给，其他的盘也可以这样设置，Windows目录要加上给users的默认权限，否则ASP和ASPX等应用程序就无法运行。Users只给"读取／运行、读取、列出文件夹目录"的权限。另外在c:/Documents and Settings/这里相当重要，后面的目录里的权限根本不会继承从前的设置，如果仅仅只是设置了C盘给administrators权限，而在All Users/Application Data目录下会出现everyone用户有完全控制权限，这样入侵这可以跳转到这个目录，写入脚本或只文件，再结合其他漏洞来提升权限；譬如利用serv-u的本地溢出提升权限，或系统遗漏有补丁，数据库的弱点，甚至社会工程学等等N多方法，从前不是有牛人发飑说："只要给我一个webshell，我就能拿到system"，这也的确是有可能的。在用做web/ftp服务器的系统里，建议是将这些目录都设置的锁死。其他每个盘的目录都按照这样设置，没个盘都只给adinistrators权限。另外，还将：net.exe，cmd.exe，tftp.exe，netstat.exe，regedit.exe，at.exe，attrib.exe，cacls.exe，这些文件都设置只允许administrators访问。

每个站点一个文件夹，每个站点一个单独的Guests组用户并组予完全控制权，给所有站点根目录只保留Administrator（完全）和System（完全）和IIS_PWG（读写）和Network Service(默认)权限就可以了。相应的IIS中每个站点的匿名登陆也要使用这个Guests组中的用户。

第四章 WINDOWS2003的标准配置

一、Windows Server2003的安装
　　1、安装系统最少需要两个分区，分区格式都采用NTFS格式
　　2、在断开网络的情况安装好2003系统
　　3、安装IIS，仅安装必要的 IIS 组件（禁用不需要的如FTP 和 SMTP 服务）。默认情况下，IIS服务没有安装，在添加/删除Win组件中选择"应用程序服务器"，然后点击"详细信息"，双击Internet信息服务(iis)，勾选以下选项：

Internet 信息服务管理器；

　　公用文件；

　　后台智能传输服务 (BITS) 服务器扩展；

　　万维网服务。
　　如果你使用 FrontPage 扩展的 Web 站点再勾选：FrontPage 2002 Server Extensions

4、安装MSSQL及其它所需要的软件然后进行Update。

5、使用Microsoft 提供的 MBSA（Microsoft Baseline Security Analyzer）工具分析计算机的安全配置，并标识缺少的修补程序和更新。

二、设置和管理账户
　　1、系统管理员账户最好少建，更改默认的管理员帐户名（Administrator）和描述，密码最好采用数字加大小写字母加数字的上档键组合，长度最好不少于14位。

2、将Guest账户禁用并更改名称和描述，然后输入一个复杂的密码，

3、在运行中输入gpedit.msc回车，打开组策略编辑器，选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略，将账户设为"五次登陆无效"，"锁定时间为10分钟"，"复位锁定计数设为10分钟"。

4、在安全设置-本地策略-安全选项中将"不显示上次的用户名"设为启用

5、在安全设置-本地策略-用户权利分配中将"从网络访问此计算机"中只保留Internet来宾账户、启动IIS进程账户，Asp net账户，如果网站做了防FSO设置的话这里还需要保留Guests组，不然网站全都打不开了。

6、创建一个User账户，运行系统，如果要运行特权命令使用Runas命令。

三、网络服务安全管理
　1、禁止C$、D$、ADMIN$一类的缺省共享，打开注册表，HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/lanmanserver/parameters，在右边的窗口中新建Dword值，名称设为AutoShareServer值设为0

2、解除NetBios与TCP/IP协议的绑定

右击网上邻居-属性-右击本地连接-属性-双击Internet协议-高级-Wins-禁用TCP/IP上的NETBIOS

3、关闭不需要的服务，以下为建议选项

Computer Browser:维护网络计算机更新，禁用

Distributed File System: 局域网管理共享文件，手动，停止

Distributed linktracking client：用于局域网更新连接信息，手动，停止

Error reporting service：禁用

PrintSpooler：禁用

Remote Registry：禁用

Remote Desktop Help Session Manager：禁用

四、打开相应的审核策略

在运行中输入gpedit.msc回车，打开组策略编辑器，选择计算机配置-Windows设置-安全设置-审核策略在创建审核项目时需要注意的是如果审核的项目太多，生成的事件也就越多，那么要想发现严重的事件也越难当然如果审核的太少也会影响你发现严重的事件，你需要根据情况在这二者之间做出选择。

推荐的要审核的项目是：

登录事件成功失败

成功的登陆会产生三个事件1（使用明确凭据的登录尝试（System产生））2（登录成功信息（登陆用户产生））3（指派给新登录的特殊权限（登陆用户产生））

失败的登陆会产生一个事件1（登录失败信息（System产生））

成功注消会产生一个事件1(用户要求的注销(登陆用户产生))

账户登录事件成功失败

成功的登陆会产生一个事件1（尝试登录的用户成功信息（登陆用户产生））

失败的登陆会产生一个事件1（尝试登录的用户失败信息（System产生））

成功注消不产生事件

以上两个都审核的话，将会产生

成功顺序为：1尝试登陆的用户2使用明确凭据的登陆尝试3登陆成功信息4指派给新登录的特殊权限

失败顺序为：1尝试登录的用户失败信息2登录失败信息

注消为：1用户要求的注销

系统事件成功失败

策略更改成功失败

对象访问失败

目录服务访问失败

特权使用失败

第五章其它安全相关设置

1、隐藏重要文件/目录

可以修改注册表实现完全隐藏："HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/ Current-Version/Explorer/Advanced/Folder/Hi-dden/SHOWALL"，鼠标右击 "CheckedValue"，选择修改，把数值由1改为0

2、启动系统自带的Internet连接防火墙，在设置服务选项中勾选Web服务器。
3、防止SYN洪水攻击
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters新建DWORD值，名为SynAttackProtect，值为2

4. 禁止响应ICMP路由通告报文

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters/Interfaces/interface 新建DWORD值，名为PerformRouterDiscovery 值为0
　　5. 防止ICMP重定向报文的攻击

　　HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters将EnableICMPRedirects 值设为0
7、禁用DCOM：

运行中输入 Dcomcnfg.exe。回车，单击"控制台根节点"下的"组件服务"。打开"计算机"子文件夹。对于本地计算机，请以右键单击"我的电脑"，然后选择"属性"。选择"默认属性"选项卡。清除"在这台计算机上启用分布式 COM"复选框。

第六章配置 IIS 服务

1、不使用默认的Web站点，如果使用也要将将IIS目录与系统磁盘分开。

2、删除IIS默认创建的Inetpub目录（在安装系统的盘上）。

3、删除系统盘下的虚拟目录，如：_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。

4、删除不必要的IIS扩展名映射。

右键单击"默认Web站点→属性→主目录→配置"，打开应用程序窗口，去掉不必要的应用程序映射。主要为.shtml, .shtm, .stm

5、更改IIS日志的路径

右键单击"默认Web站点→属性-网站-在启用日志记录下点击属性

6、如果使用的是2000可以使用iislockdown来保护IIS，在2003运行的IE6.0的版本不需要。

7、使用UrlScan

UrlScan是一个ISAPI筛选器，它对传入的HTTP数据包进行分析并可以拒绝任何可疑的通信量。目前最新的版本是2.5，如果是2000Server需要先安装1.0或2.0的版本。下载地址见页未的链接

如果没有特殊的要求采用UrlScan默认配置就可以了。

但如果你在服务器运行ASP.NET程序，并要进行调试你需打开要%WINDIR%/System32/Inetsrv/URLscan

　文件夹中的URLScan.ini 文件，然后在UserAllowVerbs节添加debug谓词，注意此节是区分大小写的。

如果你的网页是.asp网页你需要在DenyExtensions删除.asp相关的内容。

如果你的网页使用了非ASCII代码，你需要在Option节中将AllowHighBitCharacters的值设为1

在对URLScan.ini 文件做了更改后，你需要重启IIS服务才能生效，快速方法运行中输入iisreset

如果你在配置后出现什么问题，你可以通过添加/删除程序删除UrlScan。

8、利用WIS (Web Injection Scanner)工具对整个网站进行SQL Injection 脆弱性扫描.

9、当ASP.NET站点需要读写文件操作时需要做下面安全设置

1.将当前站点的用户加入到IIS_WPG组中。
2.将此将点加入到单儿的应用程序池中。
3.将此应用程序池的登陆帐号设置为此站点的私有帐号。
这样子此IIS站点中的ASP。NET便只允许操作此站点的文件没有办法跨出站点访问了。

第七章配置Sql服务器

1、System Administrators 角色最好不要超过两个

2、如果是在本机最好将身份验证配置为Win登陆

3、不要使用Sa账户，为其配置一个超级复杂的密码

访问注册表的存储过程，删除
　　Xp_regaddmultistring　　Xp_regdeletekey　　Xp_regdeletevalue　　Xp_regenumvalues
　　Xp_regread　　　　　 Xp_regwrite　　　 Xp_regremovemultistring

OLE自动存储过程，不需要删除
　　Sp_OACreate　　Sp_OADestroy　　　　Sp_OAGetErrorInfo　　Sp_OAGetProperty
　　Sp_OAMethod　　Sp_OASetProperty　　Sp_OAStop
5、隐藏 SQL Server、更改默认的1433端口

右击实例选属性-常规-网络配置中选择TCP/IP协议的属性，选择隐藏 SQL Server 实例，并改原默认的1433端口。

第八章使用IPSec

1、管理工具-本地安全策略-右击IP安全策略-管理IP筛选器表和筛选器操作-在管理IP筛选器表选项下点击

添加-名称设为Web筛选器-点击添加-在描述中输入Web服务器-将源地址设为任何IP地址--将目标地址设为我的IP地址--协议类型设为Tcp--IP协议端口第一项设为从任意端口，第二项到此端口80--点击完成--点击确定。

2、再在管理IP筛选器表选项下点击

添加-名称设为所有入站筛选器-点击添加-在描述中输入所有入站筛选-将源地址设为任何IP地址--将目标地址设为我的IP地址--协议类型设为任意--点击下一步--完成--点击确定。

3、在管理筛选器操作选项下点击添加--下一步--名称中输入阻止--下一步--选择阻止--下一步--完成--关闭管理IP筛选器表和筛选器操作窗口

4、右击IP安全策略--创建IP安全策略--下一步--名称输入数据包筛选器--下一步--取消默认激活响应原则--下一步--完成

5、在打开的新IP安全策略属性窗口选择添加--下一步--不指定隧道--下一步--所有网络连接--下一步--在IP筛选器列表中选择新建的 Web筛选器--下一步--在筛选器操作中选择许可--下一步--完成--在IP筛选器列表中选择新建的阻止筛选器--下一步--在筛选器操作中选择阻止 --下一步--完成--确定

6、在IP安全策略的右边窗口中右击新建的数据包筛选器，点击指派，不需要重启，IPSec就可生效.