win2003 服務器設置完全簡潔版
更新時間:2009年02月17日 12:24:02 作者:
對于win2003服務器的安全設置,對于新手一般是個問題,但下面的這篇文章對于服務器的設置的一些常見技巧處理的比較好。
第一步:
一、先關閉不需要的端口
我比較小心,先關了端口。只開了3389 21 80 1433(MYSQL)有些人一直說什么默認的3389不安全,對此我不否認,但是利用的途徑也只能一個一個的窮舉爆破,你把帳號改
了密碼設置為十五六位,我估計他要破上好幾年,哈哈!辦法:本地連接--屬性--Internet協(xié)議(TCP/IP)--高級--選項--TCP/IP篩選--屬性--把勾打上 然后添加你需要的端口即可。PS一句:設置完端口需要重新啟動!
當然大家也可以更改遠程連接端口方法:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]
"PortNumber"=dword:00002683
保存為.REG文件雙擊即可!更改為9859,當然大家也可以換別的端口, 直接打開以上注冊表的地址,把值改為十進制的輸入你想要的端口即可!重啟生效!
還有一點,在2003系統(tǒng)里,用TCP/IP篩選里的端口過濾功能,使用FTP服務器的時候,只開放21端口,在進行FTP傳輸?shù)臅r候,F(xiàn)TP 特有的Port模式和Passive模式,在進行數(shù)據(jù)傳輸?shù)臅r候,需要動態(tài)的打開高端口,所以在使用TCP/IP過濾的情況下,經(jīng)常會出現(xiàn)連接上后無法列出目錄和數(shù)據(jù)傳輸?shù)膯栴}。所以在2003系統(tǒng)上增加的windows連接防火墻能很好的解決這個問題,所以都不推薦使用網(wǎng)卡的TCP/IP過濾功能。所做FTP下載的用戶看仔細點,表怪俺說俺寫文章是垃圾...如果要關閉不必要的端口,在\\system32\\drivers\\etc\\services中有列表,記事本就可以打開的。如果懶惰的話,最簡單的方法是啟用WIN2003的自身帶的網(wǎng)絡防火墻,并進行端口的改變。功能還可以!Internet 連接防火墻可以有效地攔截對Windows 2003服務器的非法入侵,防止非法遠程主機對服務器的掃描,提高Windows 2003服務器的安全性。同時,也可以有效攔截利用操作系統(tǒng)漏洞進行端口攻擊的病毒,如沖擊波等蠕蟲病毒。如果在用Windows 2003構造的虛擬路由器上啟用此防火墻功能,能夠?qū)φ麄€內(nèi)部網(wǎng)絡起到很好的保護作用。
二、關閉不需要的服務 打開相應的審核策略
我關閉了以下的服務
Computer Browser 維護網(wǎng)絡上計算機的最新列表以及提供這個列表
Task scheduler 允許程序在指定時間運行
Routing and Remote Access 在局域網(wǎng)以及廣域網(wǎng)環(huán)境中為企業(yè)提供路由服務
Removable storage 管理可移動媒體、驅(qū)動程序和庫
Remote Registry Service 允許遠程注冊表操作
Print Spooler 將文件加載到內(nèi)存中以便以后打印。要用打印機的朋友不能禁用這項
IPSEC Policy Agent 管理IP安全策略以及啟動ISAKMP/OakleyIKE)和IP安全驅(qū)動程序
Distributed Link Tracking Client 當文件在網(wǎng)絡域的NTFS卷中移動時發(fā)送通知
Com+ Event System 提供事件的自動發(fā)布到訂閱COM組件
Alerter 通知選定的用戶和計算機管理警報
Error Reporting Service 收集、存儲和向 Microsoft 報告異常應用程序
Messenger 傳輸客戶端和服務器之間的 NET SEND 和 警報器服務消息
Telnet 允許遠程用戶登錄到此計算機并運行程序
把不必要的服務都禁止掉,盡管這些不一定能被攻擊者利用得上,但是按照安全規(guī)則和標準上來說,多余的東西就沒必要開啟,減少一份隱患。
在"網(wǎng)絡連接"里,把不需要的協(xié)議和服務都刪掉,這里只安裝了基本的Internet協(xié)議(TCP/IP),由于要控制帶寬流量服務,額外安裝了Qos數(shù)據(jù)包計劃程序。在高級tcp/ip設置里--"NetBIOS"設置"禁用tcp/IP上的NetBIOS(S)"。在高級選項里,使用"Internet連接防火墻",這是windows 2003 自帶的防火墻,在2000系統(tǒng)里沒有的功能,雖然沒什么功能,但可以屏蔽端口,這樣已經(jīng)基本達到了一個IPSec的功能。
在運行中輸入gpedit.msc回車,打開組策略編輯器,選擇計算機配置-Windows設置-安全設置-審核策略在創(chuàng)建審核項目時需要注意的是如果審核的項目太多,生成的事件也就越多,那么要想發(fā)現(xiàn)嚴重的事件也越難當然如果審核的太少也會影響你發(fā)現(xiàn)嚴重的事件,你需要根據(jù)情況在這二者之間做出選擇。
推薦的要審核的項目是:
登錄事件 成功 失敗
賬戶登錄事件 成功 失敗
系統(tǒng)事件 成功 失敗
策略更改 成功 失敗
對象訪問 失敗
目錄服務訪問 失敗
特權使用 失敗
三、磁盤權限設置
1.系統(tǒng)盤權限設置
C:分區(qū)部分:
c:\
administrators 全部(該文件夾,子文件夾及文件)
CREATOR OWNER 全部(只有子文件來及文件)
system 全部(該文件夾,子文件夾及文件)
IIS_WPG 創(chuàng)建文件/寫入數(shù)據(jù)(只有該文件夾)
IIS_WPG(該文件夾,子文件夾及文件)
遍歷文件夾/運行文件
列出文件夾/讀取數(shù)據(jù)
讀取屬性
創(chuàng)建文件夾/附加數(shù)據(jù)
讀取權限
c:\Documents and Settings
administrators 全部(該文件夾,子文件夾及文件)
Power Users (該文件夾,子文件夾及文件)
讀取和運行
列出文件夾目錄
讀取
SYSTEM全部(該文件夾,子文件夾及文件)
C:\Program Files
administrators 全部(該文件夾,子文件夾及文件)
CREATOR OWNER全部(只有子文件來及文件)
IIS_WPG (該文件夾,子文件夾及文件)
讀取和運行
列出文件夾目錄
讀取
Power Users(該文件夾,子文件夾及文件)
修改權限
SYSTEM全部(該文件夾,子文件夾及文件)
TERMINAL SERVER USER (該文件夾,子文件夾及文件)
修改權限
2.網(wǎng)站及虛擬機權限設置(比如網(wǎng)站在E盤)
說明:我們假設網(wǎng)站全部在E盤wwwsite目錄下,并且為每一個虛擬機創(chuàng)建了一個guest用戶,用戶名為vhost1...vhostn并且創(chuàng)建了一個webuser組,把所有的vhost用戶全部加入這個webuser組里面方便管理。
E:\
Administrators全部(該文件夾,子文件夾及文件)
E:\wwwsite
Administrators全部(該文件夾,子文件夾及文件)
system全部(該文件夾,子文件夾及文件)
service全部(該文件夾,子文件夾及文件)
E:\wwwsite\vhost1
Administrators全部(該文件夾,子文件夾及文件)
system全部(該文件夾,子文件夾及文件)
vhost1全部(該文件夾,子文件夾及文件)
3.數(shù)據(jù)備份盤
數(shù)據(jù)備份盤最好只指定一個特定的用戶對它有完全操作的權限。比如F盤為數(shù)據(jù)備份盤,我們只指定一個管理員對它有完全操作的權限。
4.其它地方的權限設置
請找到c盤的這些文件,把安全性設置只有特定的管理員有完全操作權限。
下列這些文件只允許administrators訪問
net.exe
net1.exet
cmd.exe
tftp.exe
netstat.exe
regedit.exe
at.exe
attrib.exe
cacls.exe
format.com
5.刪除c:\inetpub目錄,刪除iis不必要的映射,建立陷阱帳號,更改描述。
四、防火墻、殺毒軟件的安裝
我見過的Win2000/Nt服務器從來沒有見到有安裝了防毒軟件的,其實這一點非常重要。一些好的殺毒軟件不僅能殺掉一些著名的病毒,還能查殺大量木馬和后門程序。這樣的話,“黑客”們使用的那些有名的木馬就毫無用武之地了。不要忘了經(jīng)常升級病毒庫,我們推薦mcafree殺毒軟件+blackice防火墻
五、SQL2000 SERV-U FTP安全設置
SQL安全方面
1.System Administrators 角色最好不要超過兩個
2.如果是在本機最好將身份驗證配置為Win登陸
3.不要使用Sa賬戶,為其配置一個超級復雜的密碼
4.刪除以下的擴展存儲過程格式為:
use master
sp_dropextendedproc '擴展存儲過程名'
xp_cmdshell:是進入操作系統(tǒng)的最佳捷徑,刪除
訪問注冊表的存儲過程,刪除
Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvalues
Xp_regread Xp_regwrite Xp_regremovemultistring
OLE自動存儲過程,不需要刪除
Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty
Sp_OAMethod Sp_OASetProperty Sp_OAStop
5.隱藏 SQL Server、更改默認的1433端口
右擊實例選屬性-常規(guī)-網(wǎng)絡配置中選擇TCP/IP協(xié)議的屬性,選擇隱藏 SQL Server 實例,并改原默認的1433端口
serv-u的幾點常規(guī)安全需要設置下:
選中"Block "FTP_bounce"attack and FXP"。什么是FXP呢?通常,當使用FTP協(xié)議進行文件傳輸時,客戶端首先向FTP服務器發(fā)出一個"PORT"命令,該命令中包含此用戶的IP地址和將被用來進行數(shù)據(jù)傳輸?shù)亩丝谔枺掌魇盏胶?,利用命令所提供的用戶地址信息建立與用戶的連接。大多數(shù)情況下,上述過程不會出現(xiàn)任何問題,但當客戶端是一名惡意用戶時,可能會通過在PORT命令中加入特定的地址信息,使FTP服務器與其它非客戶端的機器建立連接。雖然這名惡意用戶可能本身無權直接訪問某一特定機器,但是如果FTP服務器有權訪問該機器的話,那么惡意用戶就可以通過FTP服務器作為中介,仍然能夠最終實現(xiàn)與目標服務器的連接。這就是FXP,也稱跨服務器攻擊。選中后就可以防止發(fā)生此種情況。
六、IIS安全設置
IIS的相關設置:
刪除默認建立的站點的虛擬目錄,停止默認web站點,刪除對應的文件目錄c:inetpub,配置所有站點的公共設置,設置好相關的連接數(shù)限制,帶寬設置以及性能設置等其他設置。配置應用程序映射,刪除所有不必要的應用程序擴展,只保留asp,php,cgi,pl,aspx應用程序擴展。對于php和cgi,推薦使用isapi方式解析,用exe解析對安全和性能有所影響。用戶程序調(diào)試設置發(fā)送文本錯誤信息給戶。對于數(shù)據(jù)庫,盡量采用mdb后綴,不需要更改為asp,可在IIS中設置一個mdb的擴展映射,將這個映射使用一個無關的dll文件如C:WINNTsystem32inetsrvssinc.dll來防止數(shù)據(jù)庫被下載。設置IIS的日志保存目錄,調(diào)整日志記錄信息。設置為發(fā)送文本錯誤信息。修改403錯誤頁面,將其轉(zhuǎn)向到其他頁,可防止一些掃描器的探測。另外為隱藏系統(tǒng)信息,防止telnet到80端口所泄露的系統(tǒng)版本信息可修改IIS的banner信息,可以使用winhex手工修改或者使用相關軟件如banneredit修改。
對于用戶站點所在的目錄,在此說明一下,用戶的FTP根目錄下對應三個文件佳,wwwroot,database,logfiles,分別存放站點文件,數(shù)據(jù)庫備份和該站點的日志。如果一旦發(fā)生入侵事件可對該用戶站點所在目錄設置具體的權限,圖片所在的目錄只給予列目錄的權限,程序所在目錄如果不需要生成文件(如生成html的程序)不給予寫入權限。因為是虛擬主機平常對腳本安全沒辦法做到細致入微的地步,更多的只能在方法用戶從腳本提升權限:
ASP的安全設置:
設置過權限和服務之后,防范asp木馬還需要做以下工作,在cmd窗口運行以下命令:
regsvr32/u C:\WINNT\System32\wshom.ocx
del C:\WINNT\System32\wshom.ocx
regsvr32/u C:\WINNT\system32\shell32.dll
del C:\WINNT\system32\shell32.dll
即可將WScript.Shell, Shell.application, WScript.Network組件卸載,可有效防止asp木馬通過wscript或shell.application執(zhí)行命令以及使用木馬查看一些系統(tǒng)敏感信息。另法:可取消以上文件的users用戶的權限,重新啟動IIS即可生效。但不推薦該方法。
另外,對于FSO由于用戶程序需要使用,服務器上可以不注銷掉該組件,這里只提一下FSO的防范,但并不需要在自動開通空間的虛擬商服務器上使用,只適合于手工開通的站點??梢葬槍π枰狥SO和不需要FSO的站點設置兩個組,對于需要FSO的用戶組給予c:winntsystem32scrrun.dll文件的執(zhí)行權限,不需要的不給權限。重新啟動服務器即可生效。
對于這樣的設置結(jié)合上面的權限設置,你會發(fā)現(xiàn)海陽木馬已經(jīng)在這里失去了作用!
PHP的安全設置:
默認安裝的php需要有以下幾個注意的問題:
C:\winnt\php.ini只給予users讀權限即可。在php.ini里需要做如下設置:
Safe_mode=on
register_globals = Off
allow_url_fopen = Off
display_errors = Off
magic_quotes_gpc = On [默認是on,但需檢查一遍]
open_basedir =web目錄
disable_functions =passthru,exec,shell_exec,system,phpinfo,get_cfg_var,popen,chmod
默認設置com.allow_dcom = true修改為false[修改前要取消掉前面的;]
MySQL安全設置:
如果服務器上啟用MySQL數(shù)據(jù)庫,MySQL數(shù)據(jù)庫需要注意的安全設置為:
刪除mysql中的所有默認用戶,只保留本地root帳戶,為root用戶加上一個復雜的密碼。賦予普通用戶updatedeletealertcreatedrop權限的時候,并限定到特定的數(shù)據(jù)庫,尤其要避免普通客戶擁有對mysql數(shù)據(jù)庫操作的權限。檢查mysql.user表,取消不必要用戶的shutdown_priv,relo
ad_priv,process_priv和File_priv權限,這些權限可能泄漏更多的服務器信息包括非mysql的其它信息出去。可以為mysql設置一個啟動用戶,該用戶只對mysql目錄有權限。設置安裝目錄的data數(shù)據(jù)庫的權限(此目錄存放了mysql數(shù)據(jù)庫的數(shù)據(jù)信息)。對于mysql安裝目錄給users加上讀取、列目錄和執(zhí)行權限。
Serv-u安全問題:
安裝程序盡量采用最新版本,避免采用默認安裝目錄,設置好serv-u目錄所在的權限,設置一個復雜的管理員密碼。修改serv-u的banner信息,設置被動模式端口范圍(4001—4003)在本地服務器中設置中做好相關安全設置:包括檢查匿名密碼,禁用反超時調(diào)度,攔截“FTP bounce”攻擊和FXP,對于在30秒內(nèi)連接超過3次的用戶攔截10分鐘。域中的設置為:要求復雜密碼,目錄只使用小寫字母,高級中設置取消允許使用MDTM命令更改文件的日期。
更改serv-u的啟動用戶:在系統(tǒng)中新建一個用戶,設置一個復雜點的密碼,不屬于任何組。將servu的安裝目錄給予該用戶完全控制權限。建立一個FTP根目錄,需要給予這個用戶該目錄完全控制權限,因為所有的ftp用戶上傳,刪除,更改文件都是繼承了該用戶的權限,否則無法操作文件。另外需要給該目錄以上的上級目錄給該用戶的讀取權限,否則會在連接的時候出現(xiàn)530 Not logged in, home directory does not exist.比如在測試的時候ftp根目錄為d:soft,必須給d盤該用戶的讀取權限,為了安全取消d盤其他文件夾的繼承權限。而一般的使用默認的system啟動就沒有這些問題,因為system一般都擁有這些權限的。
一、先關閉不需要的端口
我比較小心,先關了端口。只開了3389 21 80 1433(MYSQL)有些人一直說什么默認的3389不安全,對此我不否認,但是利用的途徑也只能一個一個的窮舉爆破,你把帳號改
了密碼設置為十五六位,我估計他要破上好幾年,哈哈!辦法:本地連接--屬性--Internet協(xié)議(TCP/IP)--高級--選項--TCP/IP篩選--屬性--把勾打上 然后添加你需要的端口即可。PS一句:設置完端口需要重新啟動!
當然大家也可以更改遠程連接端口方法:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]
"PortNumber"=dword:00002683
保存為.REG文件雙擊即可!更改為9859,當然大家也可以換別的端口, 直接打開以上注冊表的地址,把值改為十進制的輸入你想要的端口即可!重啟生效!
還有一點,在2003系統(tǒng)里,用TCP/IP篩選里的端口過濾功能,使用FTP服務器的時候,只開放21端口,在進行FTP傳輸?shù)臅r候,F(xiàn)TP 特有的Port模式和Passive模式,在進行數(shù)據(jù)傳輸?shù)臅r候,需要動態(tài)的打開高端口,所以在使用TCP/IP過濾的情況下,經(jīng)常會出現(xiàn)連接上后無法列出目錄和數(shù)據(jù)傳輸?shù)膯栴}。所以在2003系統(tǒng)上增加的windows連接防火墻能很好的解決這個問題,所以都不推薦使用網(wǎng)卡的TCP/IP過濾功能。所做FTP下載的用戶看仔細點,表怪俺說俺寫文章是垃圾...如果要關閉不必要的端口,在\\system32\\drivers\\etc\\services中有列表,記事本就可以打開的。如果懶惰的話,最簡單的方法是啟用WIN2003的自身帶的網(wǎng)絡防火墻,并進行端口的改變。功能還可以!Internet 連接防火墻可以有效地攔截對Windows 2003服務器的非法入侵,防止非法遠程主機對服務器的掃描,提高Windows 2003服務器的安全性。同時,也可以有效攔截利用操作系統(tǒng)漏洞進行端口攻擊的病毒,如沖擊波等蠕蟲病毒。如果在用Windows 2003構造的虛擬路由器上啟用此防火墻功能,能夠?qū)φ麄€內(nèi)部網(wǎng)絡起到很好的保護作用。
二、關閉不需要的服務 打開相應的審核策略
我關閉了以下的服務
Computer Browser 維護網(wǎng)絡上計算機的最新列表以及提供這個列表
Task scheduler 允許程序在指定時間運行
Routing and Remote Access 在局域網(wǎng)以及廣域網(wǎng)環(huán)境中為企業(yè)提供路由服務
Removable storage 管理可移動媒體、驅(qū)動程序和庫
Remote Registry Service 允許遠程注冊表操作
Print Spooler 將文件加載到內(nèi)存中以便以后打印。要用打印機的朋友不能禁用這項
IPSEC Policy Agent 管理IP安全策略以及啟動ISAKMP/OakleyIKE)和IP安全驅(qū)動程序
Distributed Link Tracking Client 當文件在網(wǎng)絡域的NTFS卷中移動時發(fā)送通知
Com+ Event System 提供事件的自動發(fā)布到訂閱COM組件
Alerter 通知選定的用戶和計算機管理警報
Error Reporting Service 收集、存儲和向 Microsoft 報告異常應用程序
Messenger 傳輸客戶端和服務器之間的 NET SEND 和 警報器服務消息
Telnet 允許遠程用戶登錄到此計算機并運行程序
把不必要的服務都禁止掉,盡管這些不一定能被攻擊者利用得上,但是按照安全規(guī)則和標準上來說,多余的東西就沒必要開啟,減少一份隱患。
在"網(wǎng)絡連接"里,把不需要的協(xié)議和服務都刪掉,這里只安裝了基本的Internet協(xié)議(TCP/IP),由于要控制帶寬流量服務,額外安裝了Qos數(shù)據(jù)包計劃程序。在高級tcp/ip設置里--"NetBIOS"設置"禁用tcp/IP上的NetBIOS(S)"。在高級選項里,使用"Internet連接防火墻",這是windows 2003 自帶的防火墻,在2000系統(tǒng)里沒有的功能,雖然沒什么功能,但可以屏蔽端口,這樣已經(jīng)基本達到了一個IPSec的功能。
在運行中輸入gpedit.msc回車,打開組策略編輯器,選擇計算機配置-Windows設置-安全設置-審核策略在創(chuàng)建審核項目時需要注意的是如果審核的項目太多,生成的事件也就越多,那么要想發(fā)現(xiàn)嚴重的事件也越難當然如果審核的太少也會影響你發(fā)現(xiàn)嚴重的事件,你需要根據(jù)情況在這二者之間做出選擇。
推薦的要審核的項目是:
登錄事件 成功 失敗
賬戶登錄事件 成功 失敗
系統(tǒng)事件 成功 失敗
策略更改 成功 失敗
對象訪問 失敗
目錄服務訪問 失敗
特權使用 失敗
三、磁盤權限設置
1.系統(tǒng)盤權限設置
C:分區(qū)部分:
c:\
administrators 全部(該文件夾,子文件夾及文件)
CREATOR OWNER 全部(只有子文件來及文件)
system 全部(該文件夾,子文件夾及文件)
IIS_WPG 創(chuàng)建文件/寫入數(shù)據(jù)(只有該文件夾)
IIS_WPG(該文件夾,子文件夾及文件)
遍歷文件夾/運行文件
列出文件夾/讀取數(shù)據(jù)
讀取屬性
創(chuàng)建文件夾/附加數(shù)據(jù)
讀取權限
c:\Documents and Settings
administrators 全部(該文件夾,子文件夾及文件)
Power Users (該文件夾,子文件夾及文件)
讀取和運行
列出文件夾目錄
讀取
SYSTEM全部(該文件夾,子文件夾及文件)
C:\Program Files
administrators 全部(該文件夾,子文件夾及文件)
CREATOR OWNER全部(只有子文件來及文件)
IIS_WPG (該文件夾,子文件夾及文件)
讀取和運行
列出文件夾目錄
讀取
Power Users(該文件夾,子文件夾及文件)
修改權限
SYSTEM全部(該文件夾,子文件夾及文件)
TERMINAL SERVER USER (該文件夾,子文件夾及文件)
修改權限
2.網(wǎng)站及虛擬機權限設置(比如網(wǎng)站在E盤)
說明:我們假設網(wǎng)站全部在E盤wwwsite目錄下,并且為每一個虛擬機創(chuàng)建了一個guest用戶,用戶名為vhost1...vhostn并且創(chuàng)建了一個webuser組,把所有的vhost用戶全部加入這個webuser組里面方便管理。
E:\
Administrators全部(該文件夾,子文件夾及文件)
E:\wwwsite
Administrators全部(該文件夾,子文件夾及文件)
system全部(該文件夾,子文件夾及文件)
service全部(該文件夾,子文件夾及文件)
E:\wwwsite\vhost1
Administrators全部(該文件夾,子文件夾及文件)
system全部(該文件夾,子文件夾及文件)
vhost1全部(該文件夾,子文件夾及文件)
3.數(shù)據(jù)備份盤
數(shù)據(jù)備份盤最好只指定一個特定的用戶對它有完全操作的權限。比如F盤為數(shù)據(jù)備份盤,我們只指定一個管理員對它有完全操作的權限。
4.其它地方的權限設置
請找到c盤的這些文件,把安全性設置只有特定的管理員有完全操作權限。
下列這些文件只允許administrators訪問
net.exe
net1.exet
cmd.exe
tftp.exe
netstat.exe
regedit.exe
at.exe
attrib.exe
cacls.exe
format.com
5.刪除c:\inetpub目錄,刪除iis不必要的映射,建立陷阱帳號,更改描述。
四、防火墻、殺毒軟件的安裝
我見過的Win2000/Nt服務器從來沒有見到有安裝了防毒軟件的,其實這一點非常重要。一些好的殺毒軟件不僅能殺掉一些著名的病毒,還能查殺大量木馬和后門程序。這樣的話,“黑客”們使用的那些有名的木馬就毫無用武之地了。不要忘了經(jīng)常升級病毒庫,我們推薦mcafree殺毒軟件+blackice防火墻
五、SQL2000 SERV-U FTP安全設置
SQL安全方面
1.System Administrators 角色最好不要超過兩個
2.如果是在本機最好將身份驗證配置為Win登陸
3.不要使用Sa賬戶,為其配置一個超級復雜的密碼
4.刪除以下的擴展存儲過程格式為:
use master
sp_dropextendedproc '擴展存儲過程名'
xp_cmdshell:是進入操作系統(tǒng)的最佳捷徑,刪除
訪問注冊表的存儲過程,刪除
Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvalues
Xp_regread Xp_regwrite Xp_regremovemultistring
OLE自動存儲過程,不需要刪除
Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty
Sp_OAMethod Sp_OASetProperty Sp_OAStop
5.隱藏 SQL Server、更改默認的1433端口
右擊實例選屬性-常規(guī)-網(wǎng)絡配置中選擇TCP/IP協(xié)議的屬性,選擇隱藏 SQL Server 實例,并改原默認的1433端口
serv-u的幾點常規(guī)安全需要設置下:
選中"Block "FTP_bounce"attack and FXP"。什么是FXP呢?通常,當使用FTP協(xié)議進行文件傳輸時,客戶端首先向FTP服務器發(fā)出一個"PORT"命令,該命令中包含此用戶的IP地址和將被用來進行數(shù)據(jù)傳輸?shù)亩丝谔枺掌魇盏胶?,利用命令所提供的用戶地址信息建立與用戶的連接。大多數(shù)情況下,上述過程不會出現(xiàn)任何問題,但當客戶端是一名惡意用戶時,可能會通過在PORT命令中加入特定的地址信息,使FTP服務器與其它非客戶端的機器建立連接。雖然這名惡意用戶可能本身無權直接訪問某一特定機器,但是如果FTP服務器有權訪問該機器的話,那么惡意用戶就可以通過FTP服務器作為中介,仍然能夠最終實現(xiàn)與目標服務器的連接。這就是FXP,也稱跨服務器攻擊。選中后就可以防止發(fā)生此種情況。
六、IIS安全設置
IIS的相關設置:
刪除默認建立的站點的虛擬目錄,停止默認web站點,刪除對應的文件目錄c:inetpub,配置所有站點的公共設置,設置好相關的連接數(shù)限制,帶寬設置以及性能設置等其他設置。配置應用程序映射,刪除所有不必要的應用程序擴展,只保留asp,php,cgi,pl,aspx應用程序擴展。對于php和cgi,推薦使用isapi方式解析,用exe解析對安全和性能有所影響。用戶程序調(diào)試設置發(fā)送文本錯誤信息給戶。對于數(shù)據(jù)庫,盡量采用mdb后綴,不需要更改為asp,可在IIS中設置一個mdb的擴展映射,將這個映射使用一個無關的dll文件如C:WINNTsystem32inetsrvssinc.dll來防止數(shù)據(jù)庫被下載。設置IIS的日志保存目錄,調(diào)整日志記錄信息。設置為發(fā)送文本錯誤信息。修改403錯誤頁面,將其轉(zhuǎn)向到其他頁,可防止一些掃描器的探測。另外為隱藏系統(tǒng)信息,防止telnet到80端口所泄露的系統(tǒng)版本信息可修改IIS的banner信息,可以使用winhex手工修改或者使用相關軟件如banneredit修改。
對于用戶站點所在的目錄,在此說明一下,用戶的FTP根目錄下對應三個文件佳,wwwroot,database,logfiles,分別存放站點文件,數(shù)據(jù)庫備份和該站點的日志。如果一旦發(fā)生入侵事件可對該用戶站點所在目錄設置具體的權限,圖片所在的目錄只給予列目錄的權限,程序所在目錄如果不需要生成文件(如生成html的程序)不給予寫入權限。因為是虛擬主機平常對腳本安全沒辦法做到細致入微的地步,更多的只能在方法用戶從腳本提升權限:
ASP的安全設置:
設置過權限和服務之后,防范asp木馬還需要做以下工作,在cmd窗口運行以下命令:
regsvr32/u C:\WINNT\System32\wshom.ocx
del C:\WINNT\System32\wshom.ocx
regsvr32/u C:\WINNT\system32\shell32.dll
del C:\WINNT\system32\shell32.dll
即可將WScript.Shell, Shell.application, WScript.Network組件卸載,可有效防止asp木馬通過wscript或shell.application執(zhí)行命令以及使用木馬查看一些系統(tǒng)敏感信息。另法:可取消以上文件的users用戶的權限,重新啟動IIS即可生效。但不推薦該方法。
另外,對于FSO由于用戶程序需要使用,服務器上可以不注銷掉該組件,這里只提一下FSO的防范,但并不需要在自動開通空間的虛擬商服務器上使用,只適合于手工開通的站點??梢葬槍π枰狥SO和不需要FSO的站點設置兩個組,對于需要FSO的用戶組給予c:winntsystem32scrrun.dll文件的執(zhí)行權限,不需要的不給權限。重新啟動服務器即可生效。
對于這樣的設置結(jié)合上面的權限設置,你會發(fā)現(xiàn)海陽木馬已經(jīng)在這里失去了作用!
PHP的安全設置:
默認安裝的php需要有以下幾個注意的問題:
C:\winnt\php.ini只給予users讀權限即可。在php.ini里需要做如下設置:
Safe_mode=on
register_globals = Off
allow_url_fopen = Off
display_errors = Off
magic_quotes_gpc = On [默認是on,但需檢查一遍]
open_basedir =web目錄
disable_functions =passthru,exec,shell_exec,system,phpinfo,get_cfg_var,popen,chmod
默認設置com.allow_dcom = true修改為false[修改前要取消掉前面的;]
MySQL安全設置:
如果服務器上啟用MySQL數(shù)據(jù)庫,MySQL數(shù)據(jù)庫需要注意的安全設置為:
刪除mysql中的所有默認用戶,只保留本地root帳戶,為root用戶加上一個復雜的密碼。賦予普通用戶updatedeletealertcreatedrop權限的時候,并限定到特定的數(shù)據(jù)庫,尤其要避免普通客戶擁有對mysql數(shù)據(jù)庫操作的權限。檢查mysql.user表,取消不必要用戶的shutdown_priv,relo
ad_priv,process_priv和File_priv權限,這些權限可能泄漏更多的服務器信息包括非mysql的其它信息出去。可以為mysql設置一個啟動用戶,該用戶只對mysql目錄有權限。設置安裝目錄的data數(shù)據(jù)庫的權限(此目錄存放了mysql數(shù)據(jù)庫的數(shù)據(jù)信息)。對于mysql安裝目錄給users加上讀取、列目錄和執(zhí)行權限。
Serv-u安全問題:
安裝程序盡量采用最新版本,避免采用默認安裝目錄,設置好serv-u目錄所在的權限,設置一個復雜的管理員密碼。修改serv-u的banner信息,設置被動模式端口范圍(4001—4003)在本地服務器中設置中做好相關安全設置:包括檢查匿名密碼,禁用反超時調(diào)度,攔截“FTP bounce”攻擊和FXP,對于在30秒內(nèi)連接超過3次的用戶攔截10分鐘。域中的設置為:要求復雜密碼,目錄只使用小寫字母,高級中設置取消允許使用MDTM命令更改文件的日期。
更改serv-u的啟動用戶:在系統(tǒng)中新建一個用戶,設置一個復雜點的密碼,不屬于任何組。將servu的安裝目錄給予該用戶完全控制權限。建立一個FTP根目錄,需要給予這個用戶該目錄完全控制權限,因為所有的ftp用戶上傳,刪除,更改文件都是繼承了該用戶的權限,否則無法操作文件。另外需要給該目錄以上的上級目錄給該用戶的讀取權限,否則會在連接的時候出現(xiàn)530 Not logged in, home directory does not exist.比如在測試的時候ftp根目錄為d:soft,必須給d盤該用戶的讀取權限,為了安全取消d盤其他文件夾的繼承權限。而一般的使用默認的system啟動就沒有這些問題,因為system一般都擁有這些權限的。
相關文章
WINDOWS2016故障轉(zhuǎn)移群集(圖文教程)
本文主要介紹了WINDOWS2016故障轉(zhuǎn)移群集,文中通過示例代碼介紹的非常詳細,具有一定的參考價值,感興趣的小伙伴們可以參考一下2022-01-01用Mcafee將Windows打造一個相對安全的服務器環(huán)境
安全問題永遠是個解不開的結(jié),道高一尺魔高一丈,Linux比Windows更安全、Windows漏洞百出等等說法并不完全準確,任何系統(tǒng)都可以打造出一個相對安全的環(huán)境,今天就給大家簡單分享一下最近給幾個朋友做的服務器安全方案2011-11-11Windows下安裝Redis及使用Python操作Redis的方法
這篇文章主要介紹了Windows下安裝Redis及使用Python操作Redis的方法,非常不錯,具有參考借鑒價值,需要的朋友可以參考下2017-03-03個人FTP建站域名解析serv-u常見問題解決方法之完全解決方案
個人FTP建站域名解析serv-u常見問題解決方法之完全解決方案...2007-12-12