本文是我做服務(wù)器維護(hù)的點(diǎn)擊經(jīng)驗(yàn)，部份是我根據(jù)入侵手段所做的相應(yīng)配置調(diào)整！大部份的內(nèi)容網(wǎng)上都有，可能有人認(rèn)為是抄襲，無(wú)所謂了，只要對(duì)大家有幫助就OK了，如果大家對(duì)本文有不同的看法，非常歡迎大家與我交流！

    還有一點(diǎn)我想說(shuō)的是，本文內(nèi)容討論的重點(diǎn)是服務(wù)器安全設(shè)置加固，是在有一定安全設(shè)置的基礎(chǔ)上進(jìn)行討論的，并且，對(duì)于基礎(chǔ)的內(nèi)容我在本文最后也列出了標(biāo)題，只是網(wǎng)上的好文章挺多的，我就不想再費(fèi)勁寫(xiě)了！所以，大家看后不要再說(shuō)一些對(duì)于磁盤(pán)之類設(shè)置沒(méi)有做之類的話！

1、修改管理員帳號(hào)名稱與來(lái)賓帳號(hào)名稱

此步驟主要是為了防止入侵者使用默認(rèn)的系統(tǒng)用戶名或者來(lái)賓帳號(hào)馬上進(jìn)行暴利破解，在更改完后，不要忘記修改強(qiáng)悍的密碼。
控制面板――管理工具――本地安全策略――本地策略――安全選項(xiàng)
在右邊欄的最下方，如圖所示：



2、修改遠(yuǎn)程桌面連接端口

    運(yùn)行 Regedt32 并轉(zhuǎn)到此項(xiàng):
　　HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
找到“PortNumber”子項(xiàng)，您會(huì)看到值 00000D3D，它是 3389 的十六進(jìn)制表示形式。使用十六進(jìn)制數(shù)值修改此端口號(hào)，并保存新值。

小巧門(mén)：各位，別一看到是十六進(jìn)制就頭疼，在修改鍵值的時(shí)候也同樣支持十進(jìn)制

3、禁止不常用服務(wù)

    禁用不必要的服務(wù)不但可以降低服務(wù)器的資源占用減輕負(fù)擔(dān)，而且可以增強(qiáng)安全性。下面列出了可以禁用的服務(wù):
　　Application Experience Lookup Service
　　Automatic Updates
　　BITS
　　Computer Browser
　　DHCP Client
　　Error Reporting Service
　　Help and Support
　　Network Location Awareness
　　Print Spooler
　　Remote Registry
　　Secondary Logon
　　Server
　　Smartcard
　　TCP/IP NetBIOS Helper
　　Workstation
　　Windows Audio
　　Windows Time
　　Wireless Configuration

4、設(shè)置組策略，加強(qiáng)系統(tǒng)安全策略

    設(shè)置帳號(hào)鎖定閥值為5次無(wú)效登錄，鎖定時(shí)間為30分鐘;
    從通過(guò)網(wǎng)絡(luò)訪問(wèn)此計(jì)算機(jī)中刪除Everyone組;
    在用戶權(quán)利指派下，從通過(guò)網(wǎng)絡(luò)訪問(wèn)此計(jì)算機(jī)中刪除Power Users和Backup Operators;
    為交互登錄啟動(dòng)消息文本。
    啟用 不允許匿名訪問(wèn)SAM帳號(hào)和共享;
    啟用 不允許為網(wǎng)絡(luò)驗(yàn)證存儲(chǔ)憑據(jù)或Passport;
    啟用 在下一次密碼變更時(shí)不存儲(chǔ)LANMAN哈希值;
    啟用 清除虛擬內(nèi)存頁(yè)面文件;
    禁止IIS匿名用戶在本地登錄;
    啟用 交互登錄:不顯示上次的用戶名;
    從文件共享中刪除允許匿名登錄的DFS$和COMCFG;
    禁用活動(dòng)桌面。

5、強(qiáng)化TCP協(xié)議棧

    Windows Registry Editor Version 5.00
　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
　　"SynAttackProtect"=dword:00000001
　　"EnablePMTUDiscovery"=dword:00000000
　　"NoNameReleaseOnDemand"=dword:00000001
　　"EnableDeadGWDetect"=dword:00000000
　　"KeepAliveTime"=dword:00300000
　　"PerformRouterDiscovery"=dword:00000000
　　"TcpMaxConnectResponseRetransmissions"=dword:00000003
　　"TcpMaxHalfOpen"=dword:00000100
　　"TcpMaxHalfOpenRetried"=dword:00000080
　　"TcpMaxPortsExhausted"=dword:00000005

6、加固IIS

    　　進(jìn)入Windows組件安裝，找到應(yīng)用程序服務(wù)器，進(jìn)入詳細(xì)信息，勾選ASP.NET后，IIS必須的組件就會(huì)被自動(dòng)選擇，如果你的服務(wù)器需要運(yùn)行ASP腳本，那么還需要進(jìn)入Internet信息服務(wù)(IIS)-萬(wàn)維網(wǎng)服務(wù)下勾選Active Server Pages。完成安裝后，應(yīng)當(dāng)在其他邏輯分區(qū)上單獨(dú)建立一個(gè)目錄用來(lái)存儲(chǔ)WEB網(wǎng)站程序及數(shù)據(jù)。
　　一臺(tái)WEB服務(wù)器上都運(yùn)行著多個(gè)網(wǎng)站，他們之間可能互不相干，所以為了起到隔離和提高安全性，需要建立一個(gè)匿名WEB用戶組，為每一個(gè)站點(diǎn)創(chuàng)建一個(gè)匿名訪問(wèn)賬號(hào)，將這些匿名賬號(hào)添加到之前建立的匿名WEB用戶組中，并在本地計(jì)算機(jī)策略中禁止此組有本地登錄權(quán)限。
    最后優(yōu)化IIS6應(yīng)用程序池設(shè)置:
    禁用缺省應(yīng)用程序池的空閑超時(shí);
    禁用緩存ISAPI擴(kuò)展;
    將應(yīng)用程序池標(biāo)識(shí)從NetworlService改為L(zhǎng)ocalService;
    禁用快速失敗保護(hù);
    將關(guān)機(jī)時(shí)間限制從

7、刪除MSSQL無(wú)用組件、注冊(cè)表及調(diào)用的SHELL

        將有安全問(wèn)題的SQL過(guò)程刪除.比較全面.一切為了安全!刪除了調(diào)用shell，注冊(cè)表，COM組件的破壞權(quán)限
use master
EXEC sp_dropextendedproc 'xp_cmdshell'
EXEC sp_dropextendedproc 'Sp_OACreate'
EXEC sp_dropextendedproc 'Sp_OADestroy'
EXEC sp_dropextendedproc 'Sp_OAGetErrorInfo'
EXEC sp_dropextendedproc 'Sp_OAGetProperty'
EXEC sp_dropextendedproc 'Sp_OAMethod'
EXEC sp_dropextendedproc 'Sp_OASetProperty'
EXEC sp_dropextendedproc 'Sp_OAStop'
EXEC sp_dropextendedproc 'Xp_regaddmultistring'
EXEC sp_dropextendedproc 'Xp_regdeletekey'
EXEC sp_dropextendedproc 'Xp_regdeletevalue'
EXEC sp_dropextendedproc 'Xp_regenumvalues'
EXEC sp_dropextendedproc 'Xp_regread'
EXEC sp_dropextendedproc 'Xp_regremovemultistring'
EXEC sp_dropextendedproc 'Xp_regwrite'
drop procedure sp_makewebtask

全部復(fù)制到"SQL查詢分析器"
點(diǎn)擊菜單上的--"查詢"--"執(zhí)行"，就會(huì)將有安全問(wèn)題的SQL過(guò)程刪除(以上是7i24的正版用戶的技術(shù)支持)

更改默認(rèn)SA空密碼.數(shù)據(jù)庫(kù)鏈接不要使用SA帳戶.單數(shù)據(jù)庫(kù)單獨(dú)設(shè)使用帳戶.只給public和db_owner權(quán)限.

數(shù)據(jù)庫(kù)不要放在默認(rèn)的位置.

SQL不要安裝在PROGRAM FILE目錄下面.
最近的SQL2000補(bǔ)丁是SP4

8、防ping處理

防ping處理建意大家用防火墻一類的軟件，這樣可以大大降低服務(wù)器被攻擊的可能性，為什么這樣說(shuō)呢？主要是現(xiàn)在大部份的入侵者都是利用軟件掃一個(gè)網(wǎng)段存活的主機(jī)，一般判斷主機(jī)是否存活就是看ping的通與不通了！

9、禁止（更改）常用DOS命令

    找到%windir%/system32下找到cmd.exe、cmd32.exe net.exe net1.exe ipconfig.exe tftp.exe ftp.exe user.exe reg.exe regedit.exe regedt32.exe regsvr32.exe 這些黑客常用的文件，在“屬性”→“安全”中對(duì)他們進(jìn)行訪問(wèn)的ACLs用戶進(jìn) 行定義，諸如只給administrator有權(quán)訪問(wèn)，如果需要防范一些溢出攻擊、以及溢出成功后對(duì)這些文件的非法利用;那么我們只需要將system用戶 在ACLs中進(jìn)行拒絕訪問(wèn)即可。

10、修改server_U默認(rèn)端口（網(wǎng)上有類似的視頻教程及文章，做的比較不錯(cuò)）  

11、關(guān)閉不常用端口（哪都有）

        在TCP/IP屬性――高級(jí)――篩選，只打開(kāi)一些常用的端口就可以了！例如：80 3389   1433 等 ，根據(jù)各人需求吧！

12、磁盤(pán)（網(wǎng)站目錄）、用戶、IIS權(quán)限設(shè)置（滿大街全是了）
        這類的文章和視頻也很多，不過(guò)在這里我想說(shuō)的是，現(xiàn)在網(wǎng)站很多的文章和視頻在給磁盤(pán)基本權(quán)限的時(shí)候，都是給的Administrors組權(quán)限，我個(gè)人建意大家用Administrator權(quán)限，這樣為了防止提權(quán)成功后，入侵者可以完全控制機(jī)器！這樣做后，即使入侵成功了，也只有一點(diǎn)點(diǎn)的瀏覽權(quán)限的！


                                       首發(fā)：skyjames.cn

最新評(píng)論