分享
 
 
 

2000 Server 系统安全完全配置方案

王朝网站推广·作者佚名  2011-12-03
窄屏简体版  字體: |||超大  

说明:网上跟多关于win 2000 服务器系统的安全配置文章,但是都很零星,于是今天总结了一下,并且详细测试经过以下配置的机器,已经完全符合一个高安全级别网站的要求。希望对大家在服务器配置过程中有个引导作用。

一、 Windows 系统配置

1.将所有磁盘分区为NTFS分区

只安装TCP/IP协议

安装Service Pack 4

安装最新的hotfix(到2004年8月30日为止共有25个补丁)

2. 关闭所有不需要的服务

* Alerter (disable)

* ClipBook Server (disable)

* Computer Browser (disable)

* DHCP Client (disable)

* License Logging Service (disable)

* Messenger (disable)

* Netlogon (disable)

* Network DDE (disable)

* Network DDE DSDM (disable)

* Plug and Play (disable after all hardware configuration)

* Remote Procedure Call (RPC) locater (disable)

* Schedule (disable)

* Server (disable)

* Simple Services (disable)

* Spooler (disable)

* TCP/IP Netbios Helper (disable)

3.保护文件和目录

将C:\winnt, C:\winnt\config, C:\限做限制,限制everyone的写权限,限制winnt\system32, C:\winnt\system等目录的访问权,users组的读写权限。

4.注册表一些条目的安全修改

1) 隐藏上次登陆的用户名

将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon\中

DontDisplayLastUserName REG_SZ 值设为1

2)限制LSA匿名访问

将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA中

RestricAnonymous REG_DWord 值设为1

3) 去除所有网络共享

将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\中

AutoShareServer REG_DWord 值设为0

5. 移动部分重要文件并加访问控制:

创建一个只有系统管理员能够访问的目录,将system32目录下的一些重要文件移动到此目录

xcopy.exe, wscript.exe, CScript.exe, net.exe, ftp.exe, telnet.exe,arp.exe, edlin.exe,ping.exe,route.exe,

at.exe,finger.exe,posix.exe,rsh.exe,atsvc.exe, qbasic.exe,runonce.exe,syskey.exe,cacls.exe,

ipconfig.exe, rcp.exe, secfixup.exe, nbtstat.exe, rdisk.exe, debug.exe, regedt32.exe, regedit.exe,

edit.com, netstat.exe, tracert.exe, nslookup.exe, rexec.exe, cmd.exe

6. 使用Hisecweb.inf安全模板来配置

该模板配置基本的 Windows 2000 系统安全策略将该模板复制到 %windir%\security

\templates 目录。

打开“安全模板”工具,查看这些设置。

打开“安全配置和分析”工具,然后装载该模板。

右键单击“安全配置和分析”工具,然后从上下文菜单中选择“立即分析计算机”。

等候操作完成。

查看结果,如有必要就更新该模板。

右键单击“安全配置和分析”工具,然后从上下文菜单中选择“立即配置计算机”。

7.安全日志的设置:“审核策略更改”的9个项目,在“成功、失败”的选框上进行选择。

名称XML:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

成功

失败

审核策略更改

YES

YES

审核登陆事件

YES

YES

审核对象访问

YES

审核过程跟踪

YES

YES

审核目录服务访问

YES

审核特权使用

YES

审核系统事件

YES

YES

审核帐户登陆事件

YES

YES

审核帐户管理

YES

YES

8. 禁止 Windows tftp 客户端的使用:

使用文本编辑工具打开%systemroot%\system32\drivers\etc下的service文件找到对应的tftp那一行, 将 69/udp 替换成 0/udp。保存退出.

9. 删掉guest帐号:

C:\>regedt32

找到HKEY_LOCAL_MACHINE窗口,选中SAM\SAM,更改Administrators权限为全部控制,这样我们就可以访问SAM下的信息了。再次运行regedit:

HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F5

和 HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\Guest

删除000001F5和Guest,然后退出regedit,再次运行regedt32,恢复Administrators对sam的权限。

10.终端服务的安全:

更改连接端口:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\Wds\rdpwd\Tds\tcp]

PortNumber值,默认是3389,修改成所希望的端口

还有个地方:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]

PortNumber值,默认是3389,修改成所希望的端口

二、IIS的安全配置

1. 删除不必要的虚拟目录

包括IISHelp、IISAdmin、IISSamples、MSADC等,这些目录都没有什么实际的作用,直接删除。

2. 删除危险的IIS组件

默认安装后的有些IIS组件可能会造成安全威胁,例如 Internet服务管理器(HTML)、SMTP Service和NNTP Service、样本页面和脚本。

3. 为IIS中的文件分类设置权限

除了在操作系统里为IIS的文件设置必要的权限外,还要在IIS管理器中为它们设置权限。一个好的设置策略是:为Web 站点上不同类型的文件都建立目录,然后给它们分配适当权限。静态文件文件夹允许读、拒绝写,ASP脚本文件夹允许执行、拒绝写和读取,EXE等可执行程序允许执行、拒绝读写。

4. 删除不必要的应用程序映射

ISS中默认存在很多种应用程序映射,除了ASP的这个程序映射,其他的文件在网站上都很少用到。

5. 修改IIS日志的设置

默认情况下,IIS的日志存放在%WinDir%\System32\LogFiles,修改一下其存放路径。修改日志访问权限,设置只有管理员才能访问。

6.打开“应用程序调试”,将“脚本错误消息”改为“发送文本”,再定义一个错误信息页面。

三、Serv-U FTP Server的配置

1. 使用最新版的,避免旧版的缓冲区溢出漏洞。

2.设置用户的 “最大上传速度、最大下载速度(KB/秒)”的选项。把“空闲超时、任务超时、最大用户数”的选项设置默认10分钟。而最大用户数限制在1~2个用户,不必要采取无限制用户的做法。

3. 设置 “允许MDTM命令来更改文件的日期/时间”的选项取消,目的是不允许用户更改文件的修改日期和时防止触发缓冲区溢出。

四.MSSQL服务器配置

1. 删除存储过程:

删除XP_cmdshell 存储过程,sp_dropextendproc ‘XP_cmdshell’,最好直接删除XPlog70.dll

还有:XP_regenumvalues, XP_regread, XP_regwrite, XP_regdeletevalue,

XP_regdeletekey,XP_regaddmultistring,XP_regremovemutilstring,

XP_instance_regaddmutistring,XP_instance_regdeletevalue,XP-instance_regnumkeys,XP_instance_regread,

XP_instance_regremovemultistring,

XP_dirtree,XP_subdirs,XP_fileexit,XP_getfiledetails,

sp_OACreate,sp_Oageterrorinfo,sp_OAMethod,sp_getproperty,sp_Oamethod,sp_setproperty,sp_Oastop,

XP_makecab,XP_makewebtask,XP_runwebtask,XP_readerrorlog,

2.用户权限设置:

只赋予连接数据库用户:db_reader,db_writer权限。

注:以上是详细总结的安全配置过程,按照以上的配置一步一步实施,在不加载第三方软件防火墙的情况下,你的系统基本上是很安全的了,当然对于DDOS等攻击,如果在服务器前,还有硬件防火墙的情况下,可以称作堡垒机了。)

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有