p.s.在开始之前,如果服务器是阿里云服务器,您需要先将计算机名全部改大写字母,不然安装sql2000会报错。
win2003作为Web服务器安全配置的内容步骤如下:
配置之前安装好全部服务器软件(sql+sp4 / serv-u / 诺顿 / iis6+php5+fastcgi),然后升级好补丁。
1 修改远程桌面终端服务默认端口号:3389
更改原因:不想让非法用户连接到服务器进行登录实验。当这台服务器托管在外时更不希望发生这种情况,呵呵,还没忘记2000的输入法漏洞吧?
更改方法:
(1)、第一处[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ Wds \ rdpwd \ Tds \ tcp],看到右边的PortNumber了吗?在十进制状态下改成你想要的端口号吧,比如7126之类的,只要不与其它冲突即可。
(2)、第二处[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp,方法同上,记得改的端口号和上面改的一样就行了。
2 提高敏感程序的执行权限
系统盘\Windows\System32\ cacls.exe;cmd.exe;net.exe;net1.exe;telnet.exe;ftp.exe 文件只给 Administrators 组和 SYSTEM 的完全控制权限
注册表删除 WScript.Shell、WScript.Shell.1、Wscript.Network、Wscript.Network.1、Shell.application
注册表改名 adodb.stream、Scripting.Dictionary、Scripting.FileSystemObject
3 启用防火墙和tcp/ip过滤,再serv-u开启一组pasv端口映射
80 , 2120, 2121 , * 以及serv-u端口组
4 防范拒绝服务攻击,开启win2003防火墙即可,防ping
禁止响应ICMP重定向报文。此类报文有可能用以攻击,所以系统应该拒绝接受ICMP重定向报文。
"EnableICMPRedirects"=dword:00000000
5 关闭默认共享
在Windows 2000中,有一个“默认共享”,这是在安装服务器的时候,把系统安装分区自动进行共享,虽然对其访问还需要超级用户的密码,但这是潜在的安全隐患,从服务器的安全考虑,最好关闭这个“默认共享”,以保证系统安全。方法是:单击“开始/运行”,在运行窗口中输入“Regedit”,打开注册表编辑器,展开“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters”项,添加键值AutoShareServer,类型为REG_DWORD,值为0。 这样就可以彻底关闭“默认共享”。
关闭默认共享,编写一个deletenetshare.bat文件(如下表)
编写一个deletenetshare.reg 文件,把上面的bat写入启动项:
6 iis部分的配置,mdb防止下载
添加数据库名的如MDB的扩展映射 iislog.dll
7 解除FSO上传程序小于200k限制?
先在服务里关闭IIS admin service服务,找到Windows\System32\Inesrv目录下的Metabase.xml并打开,找到ASPMaxRequestEntityAllowed,将其修改为需要的值。默认为204800,即200K,把它修改为51200000(50M),然后重启IIS admin service服务。
8 使用独立用户 vhost_ftp 来运行 serv-u
a、SERV-U存在着几个安全隐患,如:远程溢出、默认账号LocalAdministrator的默认密码#l@$ak#.lk;0@P的本地提升权限的漏洞等等。
b、建立vhost_ftp(guests组),serv-u安装目录赋予 vhost_ftp 读权限,目录里面的ini和log赋予写权限
c、网站所在磁盘根目录 webhost 赋予vhost_ftp 读权限,其下虚拟主机网站所在目录virtual_host赋予写权限
9 修改Administrator用户名
运行 gpedit.msc ,计算机配置 --- Windows设置 --- 安全设置 --- 本地策略 --- 安全选项 ,拉到最下面找到 重命名管理员帐户
然后再计算机管理的用户管理中新建立一个 administrator (guest组)
10 开机输入时不显示用户名
运行 gpedit.msc ,计算机配置 --- Windows设置 --- 安全设置 --- 本地策略 --- 安全选项 ,拉到上面找到 交互式登录:不显示用户名
11 本地策略中的安全选项
开始→运行→gpedit.msc
依次展开“计算机配置→Windows 设置→安全设置→本地策略→安全选项”
交互式登陆:不显示最后的用户名 启用
网络访问:不允许SAM帐户的匿名枚举 启用 已经启用
网络访问:不允许SAM帐户和共享的匿名枚举 启用
网络访问:不允许储存网络身份验证的凭据 启用
网络访问:可匿名访问的共享 内容全部删除
网络访问:可匿名访问的命名管道 内容全部删除
网络访问:可远程访问的注册表路径 内容全部删除
网络访问:可远程访问的注册表路径和子路径 内容全部删除
帐户:重命名来宾帐户 这里可以更改guest帐号
帐户:重命名系统管理员帐户 这里可以更改Administrator帐号
12 关闭不需要的服务
Computer Browser 维护网络上计算机的最新列表以及提供这个列表
Task scheduler 允许程序在指定时间运行
Messenger 传输客户端和服务器之间的 NET SEND 和警报器服务消息
Distributed File System: 局域网管理共享文件,不需要禁用
Distributed linktracking client:用于局域网更新连接信息,不需要禁用
Error reporting service:禁止发送错误报告
Microsoft Serch:提供快速的单词搜索,不需要可禁用
NTLMSecuritysupportprovide:telnet服务和Microsoft Serch用的,不需要禁用
PrintSpooler:如果没有打印机可禁用
Remote Registry:禁止远程修改注册表
Workstation 关闭的话远程NET命令列不出用户组
Tcp/ip NetBIOS Helper 将NetBIOS名解析为相应IP地址
13 设置好环境变量
如果有安装php,可以先设置好2个环境变量
PHPRC 设置为 d:\php;
PATH 加上 d:\php;d:\php\ext;
14 尽量建立独立用户运行服务
除了对administrator进行改名,服务的独立用户也会增加系统安全
vhost_ftp (ftp服务)
vhost_mysql (mysql服务)
vhost_asp (asp程序)
vhost_php (php程序)
vhost_aspx (.net程序)
vhost_jsp (jsp程序)
15、防远程桌面暴力破解,设置账户锁定策略
运行gpedit.msc,计算机配置--》windows设置--》安全设置--》账户策略--》账户锁定策略,双击右侧列表》账户锁定阀值;
推荐改成了5次密码错误锁定30分钟,重置账户锁定时间也会变为30分钟
16、创建IP安全策略来屏蔽IP和端口
参考 http://blog.xg98.com/article.asp?id=2714
17、务必安装urlscan3.1 ,酌情安装安全狗iis版与服务器版以及杀毒软件
/*******************************************
*********** 其他相关配置 *******************
*******************************************/
1、修改mysql的 max_connection参数
评论Feed: http://blog.xg98.com/feed.asp?q=comment&id=525
win2003作为Web服务器安全配置的内容步骤如下:
配置之前安装好全部服务器软件(sql+sp4 / serv-u / 诺顿 / iis6+php5+fastcgi),然后升级好补丁。
1 修改远程桌面终端服务默认端口号:3389
更改原因:不想让非法用户连接到服务器进行登录实验。当这台服务器托管在外时更不希望发生这种情况,呵呵,还没忘记2000的输入法漏洞吧?
更改方法:
(1)、第一处[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ Wds \ rdpwd \ Tds \ tcp],看到右边的PortNumber了吗?在十进制状态下改成你想要的端口号吧,比如7126之类的,只要不与其它冲突即可。
(2)、第二处[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp,方法同上,记得改的端口号和上面改的一样就行了。
2 提高敏感程序的执行权限
系统盘\Windows\System32\ cacls.exe;cmd.exe;net.exe;net1.exe;telnet.exe;ftp.exe 文件只给 Administrators 组和 SYSTEM 的完全控制权限
注册表删除 WScript.Shell、WScript.Shell.1、Wscript.Network、Wscript.Network.1、Shell.application
注册表改名 adodb.stream、Scripting.Dictionary、Scripting.FileSystemObject
3 启用防火墙和tcp/ip过滤,再serv-u开启一组pasv端口映射
80 , 2120, 2121 , * 以及serv-u端口组
4 防范拒绝服务攻击,开启win2003防火墙即可,防ping
禁止响应ICMP重定向报文。此类报文有可能用以攻击,所以系统应该拒绝接受ICMP重定向报文。
"EnableICMPRedirects"=dword:00000000
5 关闭默认共享
在Windows 2000中,有一个“默认共享”,这是在安装服务器的时候,把系统安装分区自动进行共享,虽然对其访问还需要超级用户的密码,但这是潜在的安全隐患,从服务器的安全考虑,最好关闭这个“默认共享”,以保证系统安全。方法是:单击“开始/运行”,在运行窗口中输入“Regedit”,打开注册表编辑器,展开“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters”项,添加键值AutoShareServer,类型为REG_DWORD,值为0。 这样就可以彻底关闭“默认共享”。
关闭默认共享,编写一个deletenetshare.bat文件(如下表)
net share ipc$ /delete
net share admin$ /delete
net share C$ /delete
net share D$ /delete
net share E$ /delete
net share F$ /delete
net share print$ /delete
net share admin$ /delete
net share C$ /delete
net share D$ /delete
net share E$ /delete
net share F$ /delete
net share print$ /delete
编写一个deletenetshare.reg 文件,把上面的bat写入启动项:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices]
"deletenetshare"="c:\\\\deletenetshare.bat"
[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run]
"deletenetshare"="c:\\\\deletenetshare.bat"
[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices]
"deletenetshare"="c:\\\\deletenetshare.bat"
[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run]
"deletenetshare"="c:\\\\deletenetshare.bat"
6 iis部分的配置,mdb防止下载
添加数据库名的如MDB的扩展映射 iislog.dll
7 解除FSO上传程序小于200k限制?
先在服务里关闭IIS admin service服务,找到Windows\System32\Inesrv目录下的Metabase.xml并打开,找到ASPMaxRequestEntityAllowed,将其修改为需要的值。默认为204800,即200K,把它修改为51200000(50M),然后重启IIS admin service服务。
8 使用独立用户 vhost_ftp 来运行 serv-u
a、SERV-U存在着几个安全隐患,如:远程溢出、默认账号LocalAdministrator的默认密码#l@$ak#.lk;0@P的本地提升权限的漏洞等等。
b、建立vhost_ftp(guests组),serv-u安装目录赋予 vhost_ftp 读权限,目录里面的ini和log赋予写权限
c、网站所在磁盘根目录 webhost 赋予vhost_ftp 读权限,其下虚拟主机网站所在目录virtual_host赋予写权限
9 修改Administrator用户名
运行 gpedit.msc ,计算机配置 --- Windows设置 --- 安全设置 --- 本地策略 --- 安全选项 ,拉到最下面找到 重命名管理员帐户
然后再计算机管理的用户管理中新建立一个 administrator (guest组)
10 开机输入时不显示用户名
运行 gpedit.msc ,计算机配置 --- Windows设置 --- 安全设置 --- 本地策略 --- 安全选项 ,拉到上面找到 交互式登录:不显示用户名
11 本地策略中的安全选项
开始→运行→gpedit.msc
依次展开“计算机配置→Windows 设置→安全设置→本地策略→安全选项”
交互式登陆:不显示最后的用户名 启用
网络访问:不允许SAM帐户的匿名枚举 启用 已经启用
网络访问:不允许SAM帐户和共享的匿名枚举 启用
网络访问:不允许储存网络身份验证的凭据 启用
网络访问:可匿名访问的共享 内容全部删除
网络访问:可匿名访问的命名管道 内容全部删除
网络访问:可远程访问的注册表路径 内容全部删除
网络访问:可远程访问的注册表路径和子路径 内容全部删除
帐户:重命名来宾帐户 这里可以更改guest帐号
帐户:重命名系统管理员帐户 这里可以更改Administrator帐号
12 关闭不需要的服务
Computer Browser 维护网络上计算机的最新列表以及提供这个列表
Task scheduler 允许程序在指定时间运行
Messenger 传输客户端和服务器之间的 NET SEND 和警报器服务消息
Distributed File System: 局域网管理共享文件,不需要禁用
Distributed linktracking client:用于局域网更新连接信息,不需要禁用
Error reporting service:禁止发送错误报告
Microsoft Serch:提供快速的单词搜索,不需要可禁用
NTLMSecuritysupportprovide:telnet服务和Microsoft Serch用的,不需要禁用
PrintSpooler:如果没有打印机可禁用
Remote Registry:禁止远程修改注册表
Workstation 关闭的话远程NET命令列不出用户组
Tcp/ip NetBIOS Helper 将NetBIOS名解析为相应IP地址
13 设置好环境变量
如果有安装php,可以先设置好2个环境变量
PHPRC 设置为 d:\php;
PATH 加上 d:\php;d:\php\ext;
14 尽量建立独立用户运行服务
除了对administrator进行改名,服务的独立用户也会增加系统安全
vhost_ftp (ftp服务)
vhost_mysql (mysql服务)
vhost_asp (asp程序)
vhost_php (php程序)
vhost_aspx (.net程序)
vhost_jsp (jsp程序)
15、防远程桌面暴力破解,设置账户锁定策略
运行gpedit.msc,计算机配置--》windows设置--》安全设置--》账户策略--》账户锁定策略,双击右侧列表》账户锁定阀值;
推荐改成了5次密码错误锁定30分钟,重置账户锁定时间也会变为30分钟
16、创建IP安全策略来屏蔽IP和端口
参考 http://blog.xg98.com/article.asp?id=2714
17、务必安装urlscan3.1 ,酌情安装安全狗iis版与服务器版以及杀毒软件
/*******************************************
*********** 其他相关配置 *******************
*******************************************/
1、修改mysql的 max_connection参数
[最后修改由 admin, 于 2021-03-13 23:11:00]
评论Feed: http://blog.xg98.com/feed.asp?q=comment&id=525
这篇日志没有评论。
此日志不可发表评论。
