随风摇曳
中级用户
积分 352
发帖 298
注册 2006-9-6
来自 汕头
|
#1 服务器安全配置
一:修改默认的3389端口给改为任意的数字。
1.开始---运行---输入regedit.exe
2.查找:
HKEY_LOCAL_MACHINE---SYSTEM---CurrentControlSet---Control---Terminal Server--WinStations---RDP-Tcp
3.我们找到rdp-tcp后就会在注册表的右边查找PortNumber(在PortNumber后面有3389的一串数字!)
然后在点PortNumber(右键)这个时候会出来一个提示框----点修改----点10进制----修改3389为
你想要的数字比如9999什么的----再点16进制(系统会自动转换)----最后确定!这样就ok了。
这样3389端口已经修改了,但还要重新启动主机,这样3389端口才算修改成功!如果不重新启动3389还是修改不了的!
重其起后下次就可以用新端口进入了! (注意:修改了以后登陆的格式改为 假如IP为:192.168.1.20:9999)
4.我个人的意见推荐大家最好使用其它的远程控制软件,比如大家常说的灰鸽子,影子,Symantec pcAnywhere ,
这里提醒大家灰鸽子一般需要定做,避免被你的服务器杀毒软件所查杀。
5.一般服务器都会用到FTP,我推荐使用 SERVE-U 非常的简单。
二:关闭不需要的服务。
Messenger (信差)
微软: 在客户端及服务器之间传输网络传送及 [Alerter] 服务讯息。这个服务与 Windows Messenger 无关。
如果停止这个服务,Alerter 讯息将不会被传输。如果停用这个服务,所有依存于它的服务将无法启动。
补充: 允许网络之间互相传送提示讯息的功能,如 net send 功能,如不想被骚扰话可关了
依存: NetBIOS Interface、Plug and Play、Remote Procedure Call (RPC)、Workstation
建议: 已停用
Remote Registry (远程登录服务)
微软: 启用远程使用者修改这个计算机上的登录设定。如果这个服务被停止,登录只能由这个计算机上的使用者修改。
如果这个服务被停用,任何明确依存于它的服务将无法启动。
补充: 基于安全性的理由,如果没有特别的需求,建议最好关了它,除非你需要远程协助修改你的登录设定
依存: Remote Procedure Call (RPC)
建议: 已停用 (注意:这个服务根据个人的情况而定,如果服务器本地操作比较方便我建议可以关闭,如果本地操作不方便不建议关闭。)
Server (服务器)
微软: 透过网络为这台计算机提供档案、打印、及命名管道的共享。如果停止这个服务,将无法使用这些功能。
如果停用这个服务,所有依存于它的服务将无法启动。
补充: 简单的说就是档案和打印的分享,除非你有和其它计算机分享,不然就关了
依存: Computer Browser
建议: 已停用
还有这些服务可以尝试关闭
Computer Browser
Help and Support
Print Spooler
TCP/IP NetBIOS Helper
如果服务器不用作域控,我们也可以禁用
Workstation
还有一些服务的关闭网上有很多的帖子大家可以对照,根据实际情况而定。
三:用户配置。
1.将administrator改名,例子中改为root
取消所有除管理员root外所有用户属性中的 远程控制->启用远程控制
以及终端服务配置文件->允许登陆到终端服务器
2.将guest改名为administrator并且修改密码
3.除了管理员root,IUSER以及IWAM以及ASPNET用户外.禁用其他一切用户.包括SQL DEBUG以及TERMINAL USER等等
(根据实际情况而定,论坛型的服务器需要开启SQL)
4.目录权限
将所有盘符的权限,全部改为只有
administrators组 全部权限
system 全部权限
将C盘的所有子目录和子文件继承C盘的administrator(组或用户)和SYSTEM所有权限的两个权限
然后做如下修改
C:\Program Files\Common Files 开放Everyone 默认的读取及运行 列出文件目录 读取三个权限
C:\WINDOWS\ 开放Everyone 默认的读取及运行 列出文件目录 读取三个权限
C:\WINDOWS\Temp 开放Everyone 修改,读取及运行,列出文件目录,读取,写入权限
现在WebShell就无法在系统目录内写入文件了.
当然也可以使用更严格的权限.
在WINDOWS下分别目录设置权限.
可是比较复杂.效果也并不明显.
5.利用已有用户或添加用户
入侵者通过利用修改已有用户或者添加windows正式用户.向获取管理员权限迈进
对应措施:设置ACL权限.修改用户
将除管理员外所有用户的终端访问权限去掉.
限制CMD.EXE的访问权限.
限制SQL SERVER内的XP_CMDSHELL
四:添加TCP/IP筛选。
1.一般服务器常用的端口有21,80,3389(或改为其它的参数) 还有一些端口根据服务器的需求开放的。
比如服务器需要开放端口3352,我的个人意见TCP可以这样添加,21,80,3352,3353,3354,3356,3357,3389,
(其中增加的3353-3357端口是没用的,用来迷惑别人的。)
2.UDP跟IP建议不做改动。
五:其它综合
1.如果服务器不需要FSO
regsvr32 /u c:\windows\system32\scrrun.dll 注销组件
使用regedit将/HKEY_CLASSES_ROOT下的WScript.Network
WScript.Network.1
WScript.Shell
WScript.Shell.1
Shell.Application
Shell.Application.1
键值改名或删除
将这些键值下CLSID中包含的字串
如{72C24DD5-D70A-438B-8A42-98424B88AFB8}
到/HKEY_CLASSES_ROOT/CLSID下找到以这些字串命名的键值全部删除
2.修改CMD.EXE以及NET.EXE权限
将两个文件的权限.修改到特定管理员才能访问,比如本例中.我们如下修改
cmd.exe root用户 所有权限
net.exe root用户 所有权现
这样就能防止非法访问.
还可以使用例子中提供的comlog程序
将com.exe改名_com.exe,然后替换com文件.这样可以记录所有执行的命令行指令
3.备份
使用ntbackup软件.备份系统状态.
使用reg.exe 备份系统关键数据
如reg export HKLM\SOFTWARE\ODBC e:\backup\system\odbc.reg /y 来备份系统的ODBC
4.审计
本地安全策略->本地策略->审核策略
打开以下内容
审核策略更改 成功,失败
审核登陆事件 成功,失败
审核对象访问 失败
审核跟踪过程 无审核
审核目录服务访问 失败
审核特权使用 失败
审核系统事件 成功,失败
审核帐户登陆事件 成功,失败
审核帐户管理 成功,失败
| |
※ ※ ※ 本文纯属【随风摇曳】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
专营传感器,场效应,达林顿,可控硅,二三极管,IC芯片,光电器件等 |
|
|
