系统管理员:OS安装调试
第一条、
安装
OS
,取消默认共享等具有安全隐患的操作
。<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
安装WIN2003 R2版并保证所有的磁盘都为NTFS格式.安装后更改主机名,命名规则为”应用简写_网段号_IP地址”如”YY_1_8”表示应用服务器.地址为*.*.1.8.如果是IIS服务器或者是K3应用服务器需要安装下列系统组件并根据各自的需要进行调试。
IIS:需要安装”应用程序服务器-ASP.NET、INTERNET信息服务器(IIS)、启用用网络COM+访问
添加组件后设置系统密码。并停止没有用的用户。特别是对于有外网映射的IIS服务器,应做如下修改。禁止如下的用户。添加一个新用户如IISUSER来作为匿名访问INTERNET信息服务的用户。并限制该用户只为USER权限
<?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" />
由于禁止了系统默认的IIS匿名访问用户。所以需要做如下调整
将网站的目录安全性中的匿名访问用户改为我们新建立的IISUSER
K3系统:需要安装”应用程序服务器-ASP.NET、INTERNET信息服务器(IIS)、启用用网络COM+访问、启用网络DTC访问
如果服务器超过4g内存又有数据库的话。则需要打开系统的3gb开关。
修改启动文件,添加/pae和/3gb开关,步骤为:
右击我的电脑 --> 属性 --> 高级 --> 启动和恢复 --> 设置 --> 手工编辑启动文件,加入开关,
以下是一个 Boot.ini 文件的示例,其中已添加了 PAE(打开系统对大内存的支持) 和3gb(打开SQL超过2Gb限制)开关:
[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Windows Server 2003, Enterprise" /fastdetect /PAE /3gb
右击我的电脑 --> 属性 --> 高级 --> 启动和恢复 --> 设置 --> 手工编辑启动文件,加入开关,
以下是一个 Boot.ini 文件的示例,其中已添加了 PAE(打开系统对大内存的支持) 和3gb(打开SQL超过2Gb限制)开关:
[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Windows Server 2003, Enterprise" /fastdetect /PAE /3gb
修改后需要立即测试系统是否正常,并确认性能不会反而下降。.删除注册表中HKEY_LOCAL_MACHINE-SAM-SAM权限中的administrator用户只保留SYSTEM服务.
除非特殊需要.否则删除 磁盘的USER和EVERYONE权限.
检查禁止下列系统服务.
1.NetMeeting Remote Desktop Sharing:允许受权的用户通过NetMeeting在网络上互相访问对方。这项服务对大多数个人用户并没有多大用处,况且服务的开启还会带来安全问题,因为上网时该服务会把用户名以明文形式发送到连接它的客户端,***的嗅探程序很容易就能探测到这些账户信息。
2.Universal Plug and Play Device Host:此服务是为通用的即插即用设备提供支持。这项服务存在一个安全漏洞,运行此服务的计算机很容易受到***。***者只要向某个拥有多台Win XP系统的网络发送一个虚假的UDP包,就可能会造成这些Win XP主机对指定的主机进行***(DDoS)。另外如果向该系统1900端口发送一个UDP包,令“Location”域的地址指向另一系统的chargen端口,就有可能使系统陷入一个死循环,消耗掉系统的所有资源(需要安装硬件时需手动开启)。
3.Messenger:俗称信使服务,电脑用户在局域网内可以利用它进行资料交换(传输客户端和服务器之间的Net Send和Alerter服务消息,此服务与Windows Messenger无关。如果服务停止,Alerter消息不会被传输)。这是一个危险而讨厌的服务,Messenger服务基本上是用在企业的网络管理上,但是垃圾邮件和垃圾广告厂商,也经常利用该服务发布弹出式广告,标题为“信使服务”。而且这项服务有漏洞,MSBlast和SlaMMer病毒就是用它来进行快速传播的。
4.Performance Logs And Alerts:收集本地或远程计算机基于预先配置的日程参数的性能数据,然后将此数据写入日志或触发警报。为了防止被远程计算机搜索数据,坚决禁止它。
5.Terminal Services:允许多位用户连接并控制一台机器,并且在远程计算机上显示桌面和应用程序。如果你不使用Win XP的远程控制功能,可以禁止它。
6.Remote Registry:使远程用户能修改此计算机上的注册表设置。注册表可以说是系统的核心内容,一般用户都不建议自行更改,更何况要让别人远程修改,所以这项服务是极其危险的。
7.Fast User Switching Compatibility:在多用户下为需要协助的应用程序提供管理。Windows XP允许在一台电脑上进行多用户之间的快速切换,但是这项功能有个漏洞,当你点击“开始→注销→快速切换”,在传统登录方式下重复输入一个用户名进行登录时,系统会认为是暴力破解,而锁定所有非管理员账户。如果不经常使用,可以禁止该服务。或者在“控制面板→用户账户→更改用户登录或注销方式”中取消“使用快速用户切换”。
8.Telnet:允许远程用户登录到此计算机并运行程序,并支持多种 TCP/IP Telnet客户,包括基于 UNIX 和 Windows 的计算机。又一个危险的服务,如果启动,远程用户就可以登录、访问本地的程序,甚至可以用它来修改你的ADSL Modem等的网络设置。除非你是网络专业人员或电脑不作为服务器使用,否则一定要禁止它。
9.Remote Desktop Help Session Manager:如果此服务被终止,远程协助将不可用。
10.TCP/IP NetBIOS Helper:NetBIOS在Win 9X下就经常有人用它来进行***,对于不需要文件和打印共享的用户,此项也可以禁用
Computer Browser 维护网络上计算机的最新列表以及提供这个列表
Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务
Removable storage 管理可移动媒体、驱动程序和库
Print Spooler 将文件加载到内存中以便以后打印。要用打印机的朋友不能禁用这项
Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务
Removable storage 管理可移动媒体、驱动程序和库
Print Spooler 将文件加载到内存中以便以后打印。要用打印机的朋友不能禁用这项
Distributed Link Tracking Client 当文件在网络域的NTFS卷中移动时发送通知
Alerter 通知选定的用户和计算机管理警报
Error Reporting Service 收集、存储和向 Microsoft 报告异常应用程序
IPSEC Policy Agent 管理IP安全策略以及启动ISAKMP/OakleyIKE)和IP安全驱动程序
Alerter 通知选定的用户和计算机管理警报
Error Reporting Service 收集、存储和向 Microsoft 报告异常应用程序
IPSEC Policy Agent 管理IP安全策略以及启动ISAKMP/OakleyIKE)和IP安全驱动程序
改部分目录权限
1、系统盘权限设置
C:分区部分:
c:\
administrators 全部(该文件夹,子文件夹及文件 )
CREATOR OWNER 全部(只有子文件来及文件 )
system 全部(该文件夹,子文件夹及文件 )
IIS_WPG 创建文件/写入数据(只有该文件夹 )
IIS_WPG(该文件夹,子文件夹及文件)
C:分区部分:
c:\
administrators 全部(该文件夹,子文件夹及文件 )
CREATOR OWNER 全部(只有子文件来及文件 )
system 全部(该文件夹,子文件夹及文件 )
IIS_WPG 创建文件/写入数据(只有该文件夹 )
IIS_WPG(该文件夹,子文件夹及文件)
遍历文件夹/运行文件
列出文件夹/读取数据
读取属性
创建文件夹/附加数据
读取权限
c:\Documents and Settings
administrators 全部(该文件夹,子文件夹及文件 )
Power Users (该文件夹,子文件夹及文件 )
读取和运行
列出文件夹目录
列出文件夹/读取数据
读取属性
创建文件夹/附加数据
读取权限
c:\Documents and Settings
administrators 全部(该文件夹,子文件夹及文件 )
Power Users (该文件夹,子文件夹及文件 )
读取和运行
列出文件夹目录
读取
SYSTEM全部(该文件夹,子文件夹及文件 )
C:\Program Files
administrators 全部(该文件夹,子文件夹及文件 )
CREATOR OWNER全部(只有子文件来及文件 )
IIS_WPG (该文件夹,子文件夹及文件 )
读取和运行
列出文件夹目录
SYSTEM全部(该文件夹,子文件夹及文件 )
C:\Program Files
administrators 全部(该文件夹,子文件夹及文件 )
CREATOR OWNER全部(只有子文件来及文件 )
IIS_WPG (该文件夹,子文件夹及文件 )
读取和运行
列出文件夹目录
读取
Power Users(该文件夹,子文件夹及文件 )
修改权限
SYSTEM全部(该文件夹,子文件夹及文件 )
TERMINAL SERVER USER (该文件夹,子文件夹及文件 )
修改权限
Power Users(该文件夹,子文件夹及文件 )
修改权限
SYSTEM全部(该文件夹,子文件夹及文件 )
TERMINAL SERVER USER (该文件夹,子文件夹及文件 )
修改权限
请找到c盘的这些文件,把安全性设置只有特定的管理员有完全操作权限
下列这些文件只允许administrators访问
net.exe
net1.exet
cmd.exe
tftp.exe
netstat.exe
regedit.exe
at.exe
attrib.exe
cacls.exe
format.com
下列这些文件只允许administrators访问
net.exe
net1.exet
cmd.exe
tftp.exe
netstat.exe
regedit.exe
at.exe
attrib.exe
cacls.exe
format.com
net.exe,net1.exe,cmd.exe,tftp.exe,netstat.exe,regedit.exe,at.exe,attrib.exe,cacls.exe,format.com
删除c:\inetpub目录,
修改审核权限
如下
第二条、
安装
OS
补丁,保证系统最新。
1.
由于安装WIN2003 R2 SP2版本后。系统补丁更新到WIN2003 SP2 更新补丁更新到2008-06-10日。所以可以根据情况更新补丁。
2.
Kb957097 SAM补丁
2
.
OS日志文件默认路径修改。系统日志不能被修改路径。
默认保存的位置为C:\WINDOWS\system32\config\*。Evt为了保存日志信息。使用下列命令对日志进行备份
copy C:\WINDOWS\system32\config\*.evt D:\软件\log >D:\软件\log\log.txT另存为批处理文件后使用计划任务每天22:00执行。
第三条、
安装杀毒,并更新病毒库到最新。
安装趋势网络版杀毒或者诺顿杀毒软件,安装后设置网络地址等信息。升级杀毒软件。如果安装其他杀毒软件。需要先进行测试是否杀毒软件是否与K3或者网站等程序有冲突
安装并升级杀毒后使用最新的病毒码对全盘进行扫描.直到不能查找到任何病毒为止
数据库安装。
第四条、
数据库补丁安装。
MSSQL2000
安全设置
SQL SERVER
设置
:
1,
将
master
表中存储过程
"sp_password"
的
public
和
guest
权限取消
2,
删除
win
系统用户
sqldebugger ---
没用的帐号,还经常给***利用
3,
用户去掉
db_onwer
权限
IIS
方面:
1
,删除默认站点
2
,删除不使用的脚本映射
(
如
.htw,.idc
等
)
3
,禁止
"FrontPage Server Extensions"
4
,在
"Web
服务扩展
"
中禁止
"WebDAV"
5
,
asp
的站就删除剩下
asp
映射,
php
就删除剩下
php
映射
第五条、
交付给软件部门进行软件安装调试
.
软件部门安装调试结束后
.
新建
os
用户,并分配可进行中间件操作权限。
修改或重建管理员用户。避免使用默认的管理员用户名称。
收回OS管理员用户及数据库的最高权限的用户密码,并分配有权限控制软件维护员用户。
第六条、
等待应用调试完成后。
取消所有的默认共享。关闭远程访问。添加绿色的系统检测软件对系统进行全面检查。包括。
进程检测程序,启动程序检测程序。查看系统发包程序,天网防火墙2.0绿色版.并按照应用开放端口
分别检测系统是否有可以进程,
启动进程.服务.驱动中是否有可疑项
是否有程序大量发包.
是否有不明地址进行大量的探测性连接
转载于:https://blog.51cto.com/pysx0503/165915
579
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
