Windows Server 200三 系统安全配置格局

在系统漏洞熟视无睹的明天,作为网络管理员的大家不可能每趟都在第不经常间内给系统打上新补丁,所以必要在还未被入侵前,通过一些粗略的平安设置,给侵袭者前边设置一道“无形”的墙。
比如,到\WINNT\system3二下找到cmd.exe、net.exe和net一.exe这多个公文,在“属性”→“安全”中能够把对它们进行走访的用户全部去除掉,从而使得地防卫在有的溢出攻击成功后对这么些文件的非官方使用。在大家须求拜访那一个文件的时候,再加上访问用户就足以了。
也能够给Administrators组改名,那么些艺术对侵犯者使用类似“net localgroup
administrators guest
/add”这样的下令非常有效,十分的少有侵略者会猜到Administrators被改名换姓,就更难猜到它被改成什么名字了。

2003的端口屏蔽能够透过自己防火墙来解决,那样比较好,比筛选更有浑圆,桌面—>网络邻居—>(右键)属性—>本地连接—>(右键)属性—>高等—>(选中)Internet
连接防火墙—>设置

8、禁止使用没有必要的和危险的劳动,以下列出服务都亟待禁止使用。

@=”{50a7e9b0-70ef-11d1-b75a-00a0c90564fe}”

在运维中输入gpedit.msc回车,展开组计策编辑器,选取Computer配置–>Windows设置–>安全设置–>本地战略–>安全选项

系统盘\Documents and Settings 目录只给 Administrators 组和 SYSTEM
的完全调控权限

OVER ! 重启下服务器吧

有关杀毒软件近些日子自家动用有三款,一款是瑞星,1款是诺顿,瑞星杀木马的效果比Norton要强,笔者测试过病毒包,瑞星要多杀出诸多,不过装瑞星的话会有叁个难题正是会现出ASP动态不可能访问,那时候供给再度修复一下,具体操作步骤是:

调控面板→Windows防火墙设置→改造设置→例外,勾选FTP、HTTP、远程桌面服务
宗旨互联网

[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
Server\Wds\rdpwd\Tds\tcp]
“PortNumber”=dword:0002010

陆、幸免列出用户组和体系经过

2、配置IIS7组件、FTP7、php 5.5.7、mysql 5.6.15、phpMyAdmin
4.1.8、phpwind
9.0、ISAPI_Rewrite情状。在此间小编给大家能够引入下阿里云的服务器1键景况布置,全自动安装设置很不错的。点击查看地址

把服务器上边要用到的服务端口选中

一、目录权限

@=”Shell.Application_ajiang”

选择Computer配置–>Windows设置–>安全设置–>密码战术
开发银行 密码必须符合复杂性需要
最短密码长度

C:\php\uploadtemp
C:\php\sessiondata
everyone
全部

地方2步重命名最棒放在安装IIS和SQL在此之前做好,那作者那边就不演示了。

四、禁止使用不须要的劳务

投机之后调用的时候使用那一个就足以健康调用此组件了

2、IIS6.0的安装
起先菜单—>调节面板—>增添或删除程序—>加多/删除Windows组件
应用程序 ———ASP.NET(可选)
|——启用互连网 COM+ 访问(必选)
|——Internet 音信服务(IIS)———Internet 新闻服务处理器(必选)
|——公用文件(必选)
|——万维网服务———Active Server pages(必选)
|——Internet 数据连接器(可选)
|——WebDAV 发布(可选)
|——万维网服务(必选)
|——在劳动器端的隐含文件(可选)
下一场点击明确—>下一步安装。

禁止暗中认可共享:点击“开首”—“运转”,输入“Regedit”,打开注册表编辑器,张开注册表项“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters”,在右侧的窗口中新建Dword值,名称设为AutoShareServer,值设为“0”。

[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\VersionIndependentProgID]

壹.更动暗中同意administrator用户名,复杂密码
二.敞开防火墙
3.安装杀毒软件

c:\Program Files\Common Files
administrators 全部
Creator owner
不是后续的
唯有子文件夹及文件
完全
Power Users
修改,读取和平运动行,列出文件夹目录,读取,写入
system 全部
TEKoleosMINAL SE汉兰达VE景逸SUV Users(要是有这么些用户)
修改,读取和周转,列出文件夹目录,读取,写入
Users 读取和平运动作,列出文件夹目录,读取

除系统所在分区之外的装有分区都予以Administrators和SYSTEM有一同调节权,之后再对其下的子目录作单独的目录权限

“ThreadingModel”=”Apartment”

团结之后调用的时候利用那些就足以健康调用此组件了

貌似情形下,黑客总是瞄准论坛等先后,因为那个程序都有上传功用,他们很轻松的就足以上传ASP木马,即便设置了权力,木马也能够决定当前站点的具备文件了。此外,有了木马就然后用木立时传进步工具来猎取越来越高的权能,我们关闭shell组件的目的比异常的大程度上正是为了防止攻击者运维进步工具。

英特网协考查啊,ping如故常常需求选拔的

3、禁止使用不需要的劳务
开头菜单—>管理工科具—>服务
Print Spooler
Remote Registry
TCP/IP NetBIOS Helper
Server

用的Tencent云最早选购的时候悲催的唯有Windows Server 2010奇骏2的系统,原本一贯用的Windows Server
2003对2010用起来还不是轻车熟路,对于一些为主设置及骨干安全战略,在网络搜了刹那间,整理大约有以下20个方面,固然有没谈到的盼望我们踊跃提出哈!

只要论坛管理员关闭了上传功效,则黑客会想艺术获得超管密码,比如,固然你用动网论坛同有的时候间数据库忘记了化名,人家就足以平素下载你的数据库了,然后离开找到论坛管理员密码就不远了。

一)新做系统一定要先打上补丁
二)安装要求的杀毒软件
三)删除系统私下认可共享

一旦您要提供服务的端口不在里面,你也足以点击“增添”铵钮来增加,具体参数能够参见类别里面原本的参数。

明确命令禁止利用FileSystemObject组件,FSO是使用率非常高的组件,要小心分明是还是不是卸载。改名后调用将在改程序了,Set
FSO = Server.CreateObject(“Scripting.FileSystemObject”)。

c:\windows\php.ini
administrators 全部
system 全部权力
SERVICE 全部
Users 只读和周转

1六、程序权限

B、 本地战术——>用户权限分配
关闭系统:唯有Administrators组、其余一切刨除。
通过终点服务拒绝登录:参与Guests、User组
由此终点服务允许登六:只加入Administrators组,别的任何剔除

HKEY_CLASSES_ROOT\WScript.Shell\CLSID\品种的值

[HKEY_CLASSES_ROOT\Shell.Application_ajiang\CLSID]

改换serv-u的运行用户:在系统中新建贰个用户,设置三个复杂点的密码,不属于任何组。将servu的设置目录给予该用户完全调整权限。组建贰个FTP根目录,要求给予那个用户该目录完全调控权限,因为兼具的ftp用户上传,删除,改造文件都是继续了该用户的权力,不然无法操作文件。其它索要给该目录以上的上面目录给该用户的读取权限,不然会在连接的时候出现530
Not logged in, home directory does not
exist。举例在测试的时候ftp根目录为d:soft,必须给d盘该用户的读取权限,为了安全撤销d盘别的文件夹的后续权限。而相似的接纳暗中同意的system运转就不曾这几个标题,因为system一般都享有这一个权限的。要是FTP不是必须天天都用,比不上就关了吧,要用再展开。

系统盘\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe
文件只给 Administrators 组和 SYSTEM 的一心调整权限

10、安全设置–>账户攻略–>账户锁定战略

系统盘及全部磁盘只给 Administrators 组和 SYSTEM 的一点1滴调整权限

也得以将其除去,来严防此类木马的加害。

c:\Program Files\ComPlus Applications (如果有)
administrators 全部

15、打开UAC

然后运转一下,WScript.Shell, Shell.application,
WScript.Network就能被卸载了。恐怕会提示不可能删除文件,不用管它,重启一下服务器,你会意识那五个都唤醒“×安全”了。

能够通过修改注册表,将此组件改名,来防止此类木马的损伤。

您恐怕感兴趣的篇章:

  • Windows server 2003 服务器情状布置新手简明版
  • Windows Server 2003 Enterprise 艾德ition SP1 VOL 简体中文集团版
    下载地址
  • 没有错的windows server 200叁工具财富命令集
  • 汤姆cat陆.0与windows 2003 server
    的IIS服务器集成
  • Windows Server
    200三服务器不能够下载.exe文件的化解办法
  • Windows200三 Server 设置大全
  • Windows Server 200三 瑟维斯 Pack 二 for x八6 & x6四正式版公布
  • Windows Server 二零零一模拟IP-SAN图像和文字化教育程
  • Windows server
    200三申明服务器配置形式(图像和文字)
  • Windows Server 200叁运转中常见错误的缓慢解决办法

2、系统安全配置

c:\windows
administrators 全部
Creator owner
不是一连的
只有子文件夹及文件
完全
Power Users
修改,读取和平运动转,列出文件夹目录,读取,写入
system 全部
IIS_WPG 读取和平运动转,列出文件夹目录,读取
Users 读取和平运动作(此权限最终调度造成后得以裁撤)

1、荧屏保养与电源

regsvr32/u C:\WINNT\System32\wshom.ocx

Shell.Application能够调用系统基本运营DOS基本命令

——————————————————————————–
实例肆:”你的文书档案”别独享——突破文件夹”私有”的限定
windows
XP安装落成并进入系统时,会明白是不是将”小编的文书档案”设为私有(专项使用),假如选取了”是”,那将使该用户下的”笔者的文书档案”文件夹不能够被其他用户访问,删除,修改。其实那正是使用权力设置将此文件夹的访问调控列表中的用户和用户组删除到了只剩余系统和你的用户,全数者也设置成了拾贰分用户全体,Administrators组的用户也不可能直接待上访问。假诺你把这几个文件夹曾经安装为专项使用,但又在该盘重装了系统,此文件夹不可能被去除或涂改。可服从上边步骤化解这个难点,令你对这几个文件夹的拜会,畅通无阻。
第叁步:登入管理员权限的账户,如系统私下认可的Administrator,找到被设为专项使用的”作者的文书档案”,进入其”属性”的”安全”选项卡,你将会晤到您的用户不在里面,但也无能为力加多和删除。
第三步:单击”高级”开关,进入高级权限设置,选用”全数者”选项卡,在”将全部者改换为”上面包车型客车列表中选中你未来采纳的用户,如”Userl(A\Userl)”,然后再选中”替换子容器及对象的全数者”的复选框,然后单击”应用”,等待操作达成。
其三步:再进入那些文件夹看看,是或不是不会有此外权力的唤起了?能够自由访问了?查看里面包车型地铁公文,复制、删除试试看.是或不是任何都和”自身的”同样了?嘿嘿。假若你想要删除全部文件夹,也不会有怎么样阻挡你了。

14、禁用DCOM (”冲击波”病毒 RPC/DCOM 漏洞)

用Ultraedit打开ServUDaemon.exe查找Ascii:LocalAdministrator,和#l@$ak#.lk;0@P,修改成等长短的别的字符就能够了,ServUAdmin.exe也同等管理。

关闭
445端口:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters,新建
Dword(3一个人)名称设为SMBDeviceEnabled 值设为“0”

权力设置的原理

网络–〉属性–〉管理互联网连接–〉本地连接,张开“本地连接”分界面,选取“属性”,左键点击“Microsoft互联网客户端”,再点击“卸载”,在弹出的对话框中“是”确认卸载。点击“Microsoft网络的文件和打字与印刷机共享”,再点击“卸载”,在弹出的对话框中精选“是”确认卸载。

@=”Shell Automation Service”

驷不比舌是卸载WScript.Shell 和 Shell.application 组件,是不是删除看是还是不是须求。

比如:一台WEB服务器,要提供WEB(80)、FTP(二一)服务及远程桌面管理(338九)

1二、改造Administrator,guest账户,新建一无其余权力的假Administrator账户

在阿江探针一.玖里进入了不安全组件检测功能(其实那是参照7i二四的代码写的,只是把分界面改的团结了一点,检查测试方法和他是宗旨同样的),这几个效应让十分的多站长吃惊十分的大,因为他意识他的服务器援助广大不安全组件。

HKEY_CLASSES_ROOT\Shell.Application\CLSID\品类的值
HKEY_CLASSES_ROOT\Shell.Application\CLSID\类型的值

del C:\WINNT\system32\shell32.dll

安装程序尽量选择新式版本,幸免使用暗中认可安装目录,设置好serv-u目录所在的权限,设置二个繁杂的管理人密码。修改serv-u的banner音信,设置被动情势端口范围(400一—400三)在本地服务器中装置中盘活有关安全设置:包涵检查无名密码,禁止使用反超时调解,拦截“FTP
bounce”攻击和FXP,对于在30秒内接连当先三遍的用户拦截⑩分钟。域中的设置为:供给复杂密码,目录只行使小写字母,高档中设置裁撤允许使用MDTM命令改造文件的日子。

(壹)减少可访问此Computer的用户数,收缩被攻击时机
找到并双击”从网络访问此Computer”,删除账户列表中用户组,只剩下”Administrators”;
找到并双击”拒绝本地登六”,删除列表中的”Guest”用户,加多用户组”Guests”。
(二)明确不想要从网络访问的用户,到场到此”黑名单”内
找到并双击”拒绝从刚络做客那台Computer”,删除账户列表中的”Guest”用户,加多用户组”Guests”;
找到并双击”取得文件或任何对象的全部权”,增加你常用的账户和上述修改过名字为”Guest”的管理员账户,再删除列表中”Administrators”。
(三)幸免跨文件夹操作
找到并双击”跳过遍历检查”,增加你所选用的账户和上述修改过名叫”Guest”的总指挥账户,再删除账户列表中的”Administrators”、”伊夫ryone”和”Users”用户组。
(肆)幸免通过终端服务拓展的密码猜解尝试
找到并双击”通过终端服务拒绝登六”,增多假的管理人账户”Administrator”;找到”通过极端服务允许登6”,双击,加多你常用的账户和上述修改过名为”Guest”的组织者账户,再删除账户列表中的”Administrators”,”Remote
Desktop
User”和”HelpAssistant”(假若你绝不远程帮忙成效的话才可去除此用户)。
(5)防止拒绝服务攻击
找到并双击”调治进程的内部存款和储蓄器配额”,增添你常用的账户,再删除账户列表中的”Administrators”

能够由此改换注册表,将此组件改名,来防护此类木马的损害。

并非期待杀毒软件杀掉全数的木马,因为ASP木马的表征是足以经过一定花招来躲避杀毒软件的查杀。

17、Serv-u安全难点(个人提议不是极度高的要求没要求用serv_U能够运用FTP服务器
FileZilla Server

实则只要单击”高端”按键,在”权限”选项卡中,撤消”从父项承继那1个能够选取到子对象的权杖项目,包含那多少个在此刚强定义的种类”的复选框,在弹出对话框中单击”删除”就能够。该操作使此文件夹清除了从上超级目录承接来的权能设置,仪保留了您使用的User1账户。
就这么轻便,你就落到实处了别的用户,以致系统权限都不可能访问”test”文件夹的目标。
★需要注意的是,如若那几个文件夹中要求设置软件,那么就不用删除”SYSTEM”,不然只怕引起系统访问出错
★Administrator并不是参天指挥员:你只怕会问,为啥那边会有二个”SYSTEM”账户呢?同期广大仇人认为windows两千/XP中的Administrator是具有权力最高的用户,其实不然,这些”SYSTEM”工夫备系统最高权力,因为它是”作为操作系统的1有的专业”,任何用户通过某种方式获得了此权限,就能够压倒1切。

4、配置本地连接

13709620-C279-11CE-A49E-444553540000 改名为
13709620-C279-11CE-A49E-444553540001

清除Netbios和TCP/IP协议的绑定13九端口:张开“本地连接”界面,选拔“属性”,在弹出的“属性”框中双击“Internet协议版本(TCP/IPV四)”,点击“属性”,再点击“高等”—“WINS”,采纳“禁止使用TCP/IP上的NETBIOS”,点击“确认”并关闭本地连接属性。

F:\SQLDATA (假如此目录用来放置SQL三千用户数据库)
administrators 全部权力
System 全部权力
SQL三千的运行用户全数权力

在windows server 200玖 奇骏二操作系统下布署weblogic web
application,计划产生后张开测试,开采测试页的地方使用的是隧道适配器的地方,而不是静态的ip地址,而且所在的互联网并从未ipv陆接入,由此决定将ipv陆和隧道适配器禁止使用,操作如下:
禁用ipv6很简单,进入 调节面板\网络和 Internet\互连网和共享中心单击面板左侧“更换适配器设置”进入网络连接分界面,选拔要设置的连接,右键接纳属性,撤消Internet
协议版本 陆 (TCP/IPv6) 后面包车型大巴采取框分明就能够。
www.hj8828.com 1
要禁止使用隧道适配器要求更换注册表新闻,操作如下:
始于 -> 运转 – > 输入 Regedit 进入注册表编辑器
定位到:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters]
右键点击 Parameters,选用新建 -> DWO奥迪Q3D (3二-位)值
命名值为 DisabledComponents,然后修改值为 ffffffff (1陆进制)
重启后生效
DisableComponents 值定义:
0, 启用全体 IPv 6 组件,私下认可设置
0xffffffff,禁止使用全数 IPv 陆 组件, 除 IPv 6 环回接口
0x20, 从前缀计谋中央银行使 IPv 4 而不是 IPv 陆
0x拾, 禁止使用本机 IPv 陆 接口
0x01, 禁止使用具备隧道 IPv 六 接口
0x1一, 禁止使用除用于 IPv 6 环回接口全体 IPv 六 接口

权力设置

4)修改本地计策——>安全选项
交互式登录:不呈现最终的用户名 启用
互联网访问:不允许SAM 帐户和共享的佚名枚举 启用
网络访问: 不允许存款和储蓄网络身份验证的凭证或 .NET Passports 启用
网络访问:可长途访问的注册表路线和子路线 全体删减
5)禁止使用不供给的劳动
TCP/IP NetBIOS Helper、Server、 Distributed Link Tracking Client 、Print
Spooler、Remote Registry、Workstation
6)禁用IPV6

您能够把那一个保存为二个.reg文件运维试一下,然则可别就此了事,因为1旦黑客也看了自小编的那篇小说,他会考察作者改出来的那么些名字的。

一、系统及顺序

谨慎决定是不是卸载两个零件

正如根本的几部

上面是自家修改后的代码(多少个公文笔者合到一同了):

管理工科具→Computer管理→系统工具→本地用户和组→用户
新建三个Administrator帐户作为陷阱帐户,设置超长密码,并去掉全数用户组
改造描述:管理Computer(域)的放到帐户

d:\FreeHost (借使此目录用来放置用户网址内容)
administrators 全部权力
SE酷威VICE 读取与运转
system 读取与运维(全体权力,借使设置了一级消息监察和控制)

调节面板 管理工科具 服务

——————————————————————————–
实例二:上班时间别聊天-禁止用户接纳某先后
率先步:找到聊天程序的主程序,如QQ,其主程序正是安装目录下的QQ.exe,张开它的性质对话框,进入”安全”选项卡,选中或增多你要界定的用户,如User三。
第贰步:接着选取”完全调控”为”拒绝”,”读取和平运动作”也为”拒绝”。
其三步:单击”高端”开关进入高级权限没置,选中User三,点”编辑”按键,进入权限项目。在此间的”拒绝”栏中选中”改变权限”和”猎取全数权”的复选框。
也得以运用组计谋编辑器来兑现此效用,但安全性未有地点方法高。点击”初始→运维”,输入”gpedit.msc”,回车的后边张开组战术编辑器,进入”计算机设置→windows设置→安全设置→软件限制政策→别的规则”,右击,选取”全部职务→新路径规则”,接着依据提醒设置想要限制的软件的主程序路线,然后设定想要的安全品级,是”不一样意的”依旧”受限制的”。

分选Computer配置–>Windows设置–>安全设置–>本地计策–>用户权限分配
关闭系统:唯有Administrators组、别的一切剔除。
透过终点服务拒绝登入:出席Guests组、IUS福睿斯_*****、IWAM_*****www.hj8828.com,、NETWORK
SERVICE、SQLDebugger  
经过终点服务允许登6:参与Administrators、Remote Desktop
Users组,别的任何刨除

@=”Shell.Application_ajiang.1″

也得以将其删除,来预防此类木马的妨害。

Server

server 2010 r二交互式登入: 不出示最后的用户名