1份具体的服务器安全解决方案
核心提示:在2003系统里,不推荐用TCP/IP挑选里的端口过滤功能,比方在使用FTP服务器的时候,假设仅仅只开放21端口,由于FTP协议的特殊性,在进行FTP传输的时候,由于FTP 独有的Port模式和Passive模式,在进行数据传输的时候,需要动态的打开高端口,所以在使用TCP/IP过滤的情况下
1、操纵系统配置
1.安装操纵系统(NTFS分区)后,装杀毒软件,我选用的是卡巴。
2.安装系统补钉。扫描漏洞全面杀毒
3.删除Windows Server 2003默许共享
首先编写以下内容的批处理文件:
@echo off
net share C$ /del
net share D$ /del
net share E$ /del
net share F$ /del
net share admin$ /del
文件名为delshare.bat,放到启动项中,每次开机时会自动删除共享。
4.禁用IPC连接
打开CMD后输进以下命令即可进行连接:net use\\ip\ipc$ "password" /user:"usernqme"。我们可以通过修改注册表来禁用IPC连接。打开注册表编辑器。找到以下组建HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa中的restrictanonymous子键,将其值改成1即可禁用IPC连接。
5.删除"网络连接"里的协议和服务
在"网络连接"里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP),同时在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS(S)"。
6.启用windows连接防火墙,只开放web服务(80端口)。
注:在2003系统里,不推荐用TCP/IP挑选里的端口过滤功能,比方在使用FTP服务器的时候,假设仅仅只开放21端口,由于FTP协议的特殊性,在进行FTP传输的时候,由于FTP 独有的Port模式和Passive模式,在进行数据传输的时候,需要动态的打开高端口,所以在使用TCP/IP过滤的情况下,常常会出现连接上后没法列出目录和数据传输的题目。所以在2003系统上增加的windows连接防火墙能很好的解决这个题目,所以都不推荐使用网卡的TCP/IP过滤功能。
7.磁盘权限
1
2
3
4
下1页
核心提示:在2003系统里,不推荐用TCP/IP挑选里的端口过滤功能,比方在使用FTP服务器的时候,假设仅仅只开放21端口,由于FTP协议的特殊性,在进行FTP传输的时候,由于FTP 独有的Port模式和Passive模式,在进行数据传输的时候,需要动态的打开高端口,所以在使用TCP/IP过滤的情况下 8.本地安全策略设置 A、本地策略——>审核策略 (可选用) B、本地策略——>用户权限分配 C、本地策略——>安全选项
上1页
1
2
3
4
下1页
核心提示:在2003系统里,不推荐用TCP/IP挑选里的端口过滤功能,比方在使用FTP服务器的时候,假设仅仅只开放21端口,由于FTP协议的特殊性,在进行FTP传输的时候,由于FTP 独有的Port模式和Passive模式,在进行数据传输的时候,需要动态的打开高端口,所以在使用TCP/IP过滤的情况下 2、iis配置(包括网站所在目录) 1.新建自己的网站(*留意:在利用程序设置中履行权限设为无,在需要的目录里再更改),目录不在系统盘 2.删掉系统盘\inetpub目录 3.删除不用的映照 4.为网站创建系统用户 5.设置利用程及子目录的履行权限 6.利用程序池设置
上1页
1
2
3
4
下1页
核心提示:在2003系统里,不推荐用TCP/IP挑选里的端口过滤功能,比方在使用FTP服务器的时候,假设仅仅只开放21端口,由于FTP协议的特殊性,在进行FTP传输的时候,由于FTP 独有的Port模式和Passive模式,在进行数据传输的时候,需要动态的打开高端口,所以在使用TCP/IP过滤的情况下 3、sql server 2000 配置 1.密码设置 2.删除危险的扩大存储进程和相干.dll。 4、其它设置(选用) 1.任何用户密码都要复杂,不需要的用户---删。 2.避免SYN洪水攻击 3.制止响应ICMP路由通告报文 4.避免ICMP重定向报文的攻击 5.不支持IGMP协议 6.禁用DCOM:
开始菜单—>治理工具—>本地安全策略
审核策略更改 成功 失败
审核登录事件 成功 失败
审核对象访问 失败
审核进程跟踪 无审核
审核目录服务访问 失败
审核特权使用 失败
审核系统事件 成功 失败
审核账户登录事件 成功 失败
审核账户治理 成功 失败
封闭系统:只有Administrators组、其它全部删除。
通过终端服务拒尽登陆:加进Guests、Users组
通过终端服务答应登陆:只加进Administrators组,其他全部删除
交互式登陆:不显示上次的用户名 启用
网络访问:可匿名访问的共享 全部删除
网络访问:可匿名访问的命名管道 全部删除
**网络访问:可远程访问的注册表路径 全部删除
**网络访问:可远程访问的注册表路径和子路径 全部删除
帐户:重命名来宾帐户 重命名1个帐户
(下面1项更改可能导致sqlserver不能使用)
帐户:重命名系统治理员帐户 重命名1个帐户
注:为支持asp.net,将系统盘\Inetpub\wwwroot中的aspnet_client文件夹复制到web根目录下,并给web根目录加上users权限。
在"利用程序配置"里,只给必要的脚本履行权限:ASP、ASPX。
A.例如:网站为yushan43436.net,新建用户yushan43436.net权限为guests。然后在web站点属性里"目录安全性"---"身份验证和访问控制"里设置匿名访问使用以下Windows 用户帐户"的用户名和密码都使用yushan43436.net这个用户的信息。(用户名:主机名\yushan43436.net)
B.给网站所在的磁盘目录添加用户yushan43436.net,只给读取和写进的权限。
A.主利用程序目录中的"属性--利用程序设置--履行权限"设为纯脚本
B.在不需要履行asp、asp.net的子目录中,例如上传文件目录,履行权限设为无
我的网站使用的是默许利用程序池。设置"内存回收":这里的最大虚拟内存为:1000M,最大使用的物理内存为256M,这样的设置几近是没限制这个站点的性能的。
回收工作进程(分钟):1440
在以下时间回收工作进程:06:00
我编的程序用了sa用户,密码设置超复杂(自己记不住,保存在手机里,嘿嘿)。
Xp_cmdshell(这个肯定首当其冲,不用说了)、Xp_regaddmultistring、Xp_regdeletekey、Xp_regdeletevalue、Xp_regenumvalues、Xp_regread、Xp_regwrite、Xp_regremovemultistring
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名为SynAttackProtect,值为2
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Inte***ces\inte***ce
新建DWORD值,名为PerformRouterDiscovery 值为0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
将EnableICMPRedirects 值设为0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名为IGMPLevel 值为0
运行中输进 Dcomcnfg.exe。 回车, 单击“控制台根节点”下的“组件服务”。 打开“计算机”子文件夹。
对本地计算机,请以右键单击“我的电脑”,然后选择“属性”。选择“默许属性”选项卡。
清除“在这台计算机上启用散布式 COM”复选框。
其它盘,有安装程序运行的(我的sql server 2000 在D盘)给 Administrators 和 SYSTEM 权限,无只给 Administrators 权限。
系统盘只给 Administrators 和 SYSTEM 权限 系统盘\Documents and Settings 目录只给 Administrators 和 SYSTEM 权限; 系统盘\Documents and Settings\All Users 目录只给 Administrators 和 SYSTEM 权限; 系统盘\Documents and Settings\All Users\Application Data目录只给 Administrators 和 SYSTEM 权限; 系统盘\Windows 目录只给 Administrators 、 SYSTEM 和 users 权限; 系统盘\Windows\System32\net.exe,net1.exe,cmd.exe,command.exe,ftp.exe,netstat.exe,regedit.exe,at.exe,attrib.exe,cacls.exe 文件只给 Administrators 权限(假设觉得没用就 |
TAG:系统,权限,目录,端口,模式
|
评论加载中...
|
邮 箱:admin@fw8.net 