一步一步打造自己的安全Windows Web服务器[不断更新]
[align=left][b]装win系统就不说了。下面是装完系统后的设置过程。以2003为标准讲述。[/b][/align][align=left][b]一 设置和管理账户[/b] [/align][align=left]
[color=#006400] 1、系统管理员账户最好少建,更改默认的管理员帐户名(Administrator)和描述,
密码最好采用数字加大小写字母加数字的上档键组合,长度最好不少于14位。
2、新建一个名为Administrator的陷阱帐号,为其设置最小的权限,然后随便输入
组合的最好不低于20位的密码。
3、将Guest账户禁用并更改名称和描述,然后输入一个复杂的密码,然后禁用。
4、开始-程序-管理工具-本地安全策略,选择
计算机配置-Windows设置-安全设置-账户策略-账户锁定策略,
将账户设为“三次登陆无效”,“锁定时间为30分钟”,“复位锁定计数设为10分钟”。
5、在安全设置-本地策略-安全选项中将“不显示上次的用户名”设为启用 。
6. 本地策略-安全选项-对匿名连接的额外限制.选择(不允许枚举 SAM 帐号和共享)
[/color][/align]
[align=left][color=#006400][/color][/align][align=left][color=#006400][/color][/align][align=left][color=#006400][/color][/align][b]二 网络服务安全管理[/b]
[color=#000080] 1、禁止C$、D$、ADMIN$一类的缺省共享
打开注册表,HKEY_LOCAL_MACHINE\SYSTEM\CurrentControl\SetServices\lanmanserver\parameters,
在右边的窗口中新建Dword值,名称设为AutoShareServer值设为0. 注册表不了解.不要随便更改.
2、 解除NetBios与TCP/IP协议的绑定
右击网上邻居-属性-右击本地连接-属性-双击Internet协议-高级-Wins-禁用TCP/IP上的NETBIOS
3、关闭不需要的服务,以下为建议选项
开始-所有程序-管理工具-服务
Computer Browser:维护网络计算机更新,禁用
Distributed File System: 局域网管理共享文件,不需要禁用
Distributed linktracking client:用于局域网更新连接信息,不需要禁用
Error reporting service:禁止发送错误报告
Microsoft Serch:提供快速的单词搜索,不需要可禁用
NTLMSecuritysupportprovide:telnet服务和Microsoft Serch用的,不需要禁用
PrintSpooler:如果没有打印机可禁用
Remote Registry:禁止远程修改注册表
Remote Desktop Help Session Manager:禁止远程协助
Messenger:信使服务(windows2000)
Task Scheduler: 允许程序在指定时间运行(不用计划任务就禁用掉)
TCP/IP NetBIOS Helper Service: NetBIOS (NetBT)”服务以及 NetBIOS 名称解析的支持[/color]
[color=#000080] Workstation 创建和维护到远程服务的客户端网络连接。[/color]
[color=#000080] 做过这一步了[[color=#006400] 6. 本地策略-安全选项-对匿名连接的额外限制.选择(不允许枚举 SAM 帐号和共享)[/color]].所以不禁用也可以。一般禁用.[/color]
[color=#000080] 注:新上架的服务器已经做过其他安全设置只开以下端口,需要开其他端口可以在。
右击网上邻居-属性-Internet协议(TCP/IP)属性-高级-选项-TCP/IP筛选-属性-TCP端口-添加
你想要开的端口.
默认开启的端口列表:
FTP:20.21
mail:25.110
Web:80
pcanywhere:5631
远程桌面:3389 (3389不要关闭,否则将无法远程连接)[/color]
[color=#000080] 这是个简单的办法。推荐使用2003的路由和远程访问来防护。[/color]
[color=#000080] 而且二次加密也是需要路由和远程访问协助完成的。
[/color]
[b]三 系统安全管理[/b]
[color=#8b0000] 1.对于系统的NTFS磁盘权限设置,C盘只给administrators 和system权限,其他的权限不给,
其他的盘也可以这样设置,这里给的system权限也不一定需要给,
只是由于某些第三方应用程序是以服务形式启动的,需要加上这个用户,否则造成启动不了。
2. Windows目录要加上给users的默认权限,否则ASP和ASPX等应用程序就无法运行。
3. 另外在c:/Documents and Settings/这里相当重要,
后面的目录里的权限根本不会继承从前的设置,如果仅仅只是设置了C盘给administrators权限,
而在All Users/Application Data目录下会 出现everyone用户有完全控制权限,
这样入侵这可以跳转到这个目录,写入脚本或只文件,再结合其他漏洞来提升权限.
4. net.exe,cmd.exe,tftp.exe,netstat.exe,regedit.exe,at.exe,attrib.exe,cacls.exe
这些文件都设置只允许administrators.system访问.guests禁止访问[/color]
[color=#8b0000][/color]
[color=#8b0000]
[/color][b]四 打开相应的审核策略[/b]
[color=#2f4f4f] 开始-程序-管理工具-本地安全策略-安全设置-本地策略-审核策略
注:windows2003已经开启部分.windows2000没有开启.可以根据实际情况来设置.
推荐的要审核的项目是:
登录事件 成功 失败
账户登录事件 成功 失败
系统事件 成功 失败
策略更改 成功 失败
对象访问 失败
目录服务访问 失败
特权使用 失败[/color]
[[i] 本帖最后由 安维 于 2007-6-30 18:24 编辑 [/i]] NND等着看你的呢,麻烦写快点啊 等你哟 我正想建个自己的2000 WEB服务器 :ohh: 哈哈
都是老东西! 新东西在后面啦~~~HOHO 一点点写 写到最后让你瞪眼睛 :ohh: 慢慢写吧,写完了联系出版社弄本书出来 :cool: 强贴 [quote]原帖由 [i]yangjiangh[/i] 于 2007-7-1 14:37 发表 [url=http://www.im286.com/redirect.php?goto=findpost&pid=20331751&ptid=2042595][img]http://www.im286.com/images/common/back.gif[/img][/url]
哈哈
都是老东西! [/quote] C:\Program Files
这个目录的权限不要设的? 还没写完,,, ado在这个目录 可以不设 毕竟这下面没啥重要的东西 rar不装在这里的 MJ的。。虽然现在有些用不上。但是我顶你 老东西,你自已整理一下,我看着也爽 快更新! 4、开始-程序-管理工具-本地安全策略,选择
计算机配置-Windows设置-安全设置-账户策略-账户锁定策略,
将账户设为“三次登陆无效”,“锁定时间为30分钟”,“复位锁定计数设为10分钟”。
这个如果对方知道你帐号,然后尝试登录你的帐号,那你也进不去,哭吧
页:
[1]