Windows2003服务器安全策略大全.doc

上传人:sk****8 文档编号:3543950 上传时间:2019-06-03 格式:DOC 页数:7 大小:83KB
下载 相关 举报
Windows2003服务器安全策略大全.doc_第1页
第1页 / 共7页
Windows2003服务器安全策略大全.doc_第2页
第2页 / 共7页
Windows2003服务器安全策略大全.doc_第3页
第3页 / 共7页
Windows2003服务器安全策略大全.doc_第4页
第4页 / 共7页
Windows2003服务器安全策略大全.doc_第5页
第5页 / 共7页
点击查看更多>>
资源描述

1、上海电信 IDC 机房服务器托管与租用 樊继龙 QQ:465959026上海电信 IDC 机房服务器托管与租用 樊继龙 QQ:465959026Windows2003 服务器安全策略总结策略一:关闭 windows2003 不必要的服务Computer Browser 维护网络上计算机的最新列表以及提供这个列表Task scheduler 允许程序在指定时间运行Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务Removable storage 管理可移动媒体、驱动程序和库Remote Registry Service 允许远程注册表操作Print

2、Spooler 将文件加载到内存中以便以后打印。IPSEC Policy Agent 管理 IP 安全策略及启动 ISAKMP/OakleyIKE)和 IP 安全驱动程序Distributed Link Tracking Client 当文件在网络域的 NTFS 卷中移动时发送通知Com+ Event System 提供事件的自动发布到订阅 COM 组件Alerter 通知选定的用户和计算机管理警报Error Reporting Service 收集、存储和向 Microsoft 报告异常应用程序Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息Telnet 允

3、许远程用户登录到此计算机并运行程序策略二:磁盘权限设置C 盘只给 administrators 和 system 权限,其他的权限不给,其他的盘也可以这样设置,这里给的system 权限也不一定需要给,只是由于某些第三方应用程序是以服务形式启动的,需要加上这个用户,否则造成启动不了。Windows 目录要加上给 users 的默认权限,否则 ASP 和 ASPX 等应用程序就无法运行。策略三:禁止 Windows 系统进行空连接在注册表中找到相应的键值 HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/LSA,将DWORD 值 Restri

4、ctAnonymous 的键值改为 1上海电信 IDC 机房服务器托管与租用 樊继龙 QQ:465959026上海电信 IDC 机房服务器托管与租用 樊继龙 QQ:465959026策略四:关闭不需要的端口本地连接-属性-Internet 协议(TCP/IP)-高级-选项-TCP/IP 筛选-属性-把勾打上,然后添加你需要的端口即可。(如:3389、21、1433、3306、80)更改远程连接端口方法开始运行输入 regedit查找 3389:请按以下步骤查找:1、HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWd

5、srdpwdTdstcp 下的 PortNumber=3389 改为自宝义的端口号2、HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp下的 PortNumber=3389 改为自宝义的端口号修改 3389 为你想要的数字(在十进制下)-再点 16 进制(系统会自动转换)-最后确定!这样就 ok了。这样 3389 端口已经修改了,但还要重新启动主机,这样 3389 端口才算修改成功!如果不重新启动 3389还是修改不了的!重起后下次就可以用新端口进入了!禁用 TCP/IP 上的 NE

6、TBIOS本地连接-属性-Internet 协议(TCP/IP)-高级WINS-禁用 TCP/IP 上的 NETBIOS上海电信 IDC 机房服务器托管与租用 樊继龙 QQ:465959026上海电信 IDC 机房服务器托管与租用 樊继龙 QQ:465959026策略五:关闭默认共享的空连接首先编写如下内容的批处理文件: echo off net share C$ /delete net share D$ /delete net share E$ /delete net share F$ /delete net share admin$ /delete 以上文件的内容用户可以根据自己需要进行修

7、改。保存为 delshare.bat,存放到系统所在文件夹下的 system32GroupPolicyUserScriptsLogon 目录下。然后在开始菜单运行中输入 gpedit.msc, 回车即可打开组策略编辑器。点击用户配置Windows 设置脚本(登录/注销)登录. 在出现的“登录 属性”窗口中单击“添加” ,会出现“添加脚本”对话框,在该窗口的“脚本名”栏中输入 delshare.bat,然后单击“确定”按钮即可。 重新启动计算机系统,就可以自动将系统所有的隐藏共享文件夹全部取消了,这样就能将系统安全隐患降低到最低限度。策略五:IIS 安全设置1、不使用默认的 Web 站点,如果使

8、用也要将 IIS 目录与系统磁盘分开。上海电信 IDC 机房服务器托管与租用 樊继龙 QQ:465959026上海电信 IDC 机房服务器托管与租用 樊继龙 QQ:4659590262、删除 IIS 默认创建的 Inetpub 目录(在安装系统的盘上) 。3、删除系统盘下的虚拟目录,如:_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。4、删除不必要的 IIS 扩展名映射。右键单击“默认 Web 站点属性主目录配置” ,打开应用程序窗口,去掉不必要的应用程序映射。主要为.shtml、shtm、stm。5、更改 IIS 日志的路

9、径右键单击“默认 Web 站点属性-网站-在启用日志记录下点击属性策略六:注册表相关安全设置1、隐藏重要文件/目录HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrent-VersionExplorerAdvancedFolderHiddenSHOWALL”鼠标右击 “CheckedValue” ,选择修改,把数值由 1 改为 0。2、防止 SYN 洪水攻击HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 新建 DWORD 值,名为 SynAttackProtect,值为

10、2 3、禁止响应 ICMP 路由通告报文HKEY_LOCAL_MACHINESYSTEM CurrentControlSet ServicesTcpipParametersInterfacesinterface新建 DWORD 值,名为 PerformRouterDiscovery 值为 0。4、防止 ICMP 重定向报文的攻击HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters将 EnableICMPRedirects 值设为 05、不支持 IGMP 协议HKEY_LOCAL_MACHINESYSTEMCurrent

11、ControlSetServicesTcpipParameters新建 DWORD 值,名为 IGMPLevel 值为 0。策略七:组件安全设置篇A、 卸载 WScript.Shell 和 Shell.application 组件,将下面的代码保存为一个.BAT 文件执行(分2000 和 2003 系统)windows2000.batregsvr32/u C:WINNTSystem32wshom.ocxdel C:WINNTSystem32wshom.ocxregsvr32/u C:WINNTsystem32shell32.dlldel C:WINNTsystem32shell32.dllwi

12、ndows2003.bat上海电信 IDC 机房服务器托管与租用 樊继龙 QQ:465959026上海电信 IDC 机房服务器托管与租用 樊继龙 QQ:465959026regsvr32/u C:WINDOWSSystem32wshom.ocxdel C:WINDOWSSystem32wshom.ocxregsvr32/u C:WINDOWSsystem32shell32.dlldel C:WINDOWSsystem32shell32.dllB、改名不安全组件,需要注意的是组件的名称和 Clsid 都要改,并且要改彻底了,不要照抄,要自己改【开始运行regedit回车】打开注册表编辑器然后【编

13、辑查找填写 Shell.application查找下一个】用这个方法能找到两个注册表项:13709620-C279-11CE-A49E-444553540000 和 Shell.application 。第一步:为了确保万无一失,把这两个注册表项导出来,保存为 xxxx.reg 文件。第二步:比如我们想做这样的更改13709620-C279-11CE-A49E-444553540000 改名为 13709620-C279-11CE-A49E-444553540001Shell.application 改名为 Shell.application_nohack第三步:那么,就把刚才导出的.reg

14、文件里的内容按上面的对应关系替换掉,然后把修改好的.reg文件导入到注册表中(双击即可) ,导入了改名后的注册表项之后,别忘记了删除原有的那两个项目。这里需要注意一点,Clsid 中只能是十个数字和 ABCDEF 六个字母。其实,只要把对应注册表项导出来备份,然后直接改键名就可以了,改好的例子建议自己改应该可一次成功Windows Registry Editor Version 5.00HKEY_CLASSES_ROOTCLSID13709620-C279-11CE-A49E-444553540001=“Shell Automation Service“HKEY_CLASSES_ROOTCLS

15、ID13709620-C279-11CE-A49E-444553540001InProcServer32=“C:WINNTsystem32shell32.dll“ThreadingModel“=“Apartment“HKEY_CLASSES_ROOTCLSID13709620-C279-11CE-A49E-444553540001ProgID=“Shell.Application_nohack.1“HKEY_CLASSES_ROOTCLSID13709620-C279-11CE-A49E-444553540001TypeLib=“50a7e9b0-70ef-11d1-b75a-00a0c905

16、64fe“HKEY_CLASSES_ROOTCLSID13709620-C279-11CE-A49E-444553540001Version=“1.1“HKEY_CLASSES_ROOTCLSID13709620-C279-11CE-A49E-444553540001VersionIndependentProgID=“Shell.Application_nohack“HKEY_CLASSES_ROOTShell.Application_nohack=“Shell Automation Service“HKEY_CLASSES_ROOTShell.Application_nohackCLSID=

17、“13709620-C279-11CE-A49E-444553540001“HKEY_CLASSES_ROOTShell.Application_nohackCurVer=“Shell.Application_nohack.1“评论:WScript.Shell 和 Shell.application 组件是 脚本入侵过程中,提升权限的重要环节,这两个组件的卸载和修改对应注册键名,可以很大程度的提高虚拟主机的脚本安全性能,一般来说,ASP 和 php 类脚上海电信 IDC 机房服务器托管与租用 樊继龙 QQ:465959026上海电信 IDC 机房服务器托管与租用 樊继龙 QQ:46595902

18、6本提升权限的功能是无法实现了,再加上一些系统服务、硬盘访问权限、端口过滤、本地安全策略的设置,虚拟主机因该说,安全性能有非常大的提高,黑客入侵的可能性是非常低了。注销了 Shell 组件之后,侵入者运行提升工具的可能性就很小了,但是 prel 等别的脚本语言也有 shell 能力,为防万一,还是设置一下为好。下面是另外一种设置,大同小异。C、禁止使用 FileSystemObject 组件FileSystemObject 可以对文件进行常规操作,可以通过修改注册表,将此组件改名,来防止此类木马的危害。HKEY_CLASSES_ROOTScripting.FileSystemObject改名为

19、其它的名字,如:改为 FileSystemObject_ChangeName自己以后调用的时候使用这个就可以正常调用此组件了也要将 clsid 值也改一下HKEY_CLASSES_ROOTScripting.FileSystemObjectCLSID项目的值也可以将其删除,来防止此类木马的危害。2000 注销此组件命令:RegSrv32 /u C:WINNTSYSTEMscrrun.dll2003 注销此组件命令:RegSrv32 /u C:WINDOWSSYSTEMscrrun.dll如何禁止 Guest 用户使用 scrrun.dll 来防止调用此组件?使用这个命令:cacls C:WIN

20、NTsystem32scrrun.dll /e /d guestsD、禁止使用 WScript.Shell 组件WScript.Shell 可以调用系统内核运行 DOS 基本命令可以通过修改注册表,将此组件改名,来防止此类木马的危害。HKEY_CLASSES_ROOTWScript.Shell及 HKEY_CLASSES_ROOTWScript.Shell.1改名为其它的名字,如:改为 WScript.Shell_ChangeName 或 WScript.Shell.1_ChangeName自己以后调用的时候使用这个就可以正常调用此组件了也要将 clsid 值也改一下HKEY_CLASSES_

21、ROOTWScript.ShellCLSID项目的值HKEY_CLASSES_ROOTWScript.Shell.1CLSID项目的值也可以将其删除,来防止此类木马的危害。E、禁止使用 Shell.Application 组件Shell.Application 可以调用系统内核运行 DOS 基本命令可以通过修改注册表,将此组件改名,来防止此类木马的危害。HKEY_CLASSES_ROOTShell.Application及HKEY_CLASSES_ROOTShell.Application.1改名为其它的名字,如:改为 Shell.Application_ChangeName 或 Shell.

22、Application.1_ChangeName自己以后调用的时候使用这个就可以正常调用此组件了也要将 clsid 值也改一下HKEY_CLASSES_ROOTShell.ApplicationCLSID项目的值HKEY_CLASSES_ROOTShell.ApplicationCLSID项目的值也可以将其删除,来防止此类木马的危害。禁止 Guest 用户使用 shell32.dll 来防止调用此组件。2000 使用命令:cacls C:WINNTsystem32shell32.dll /e /d guests上海电信 IDC 机房服务器托管与租用 樊继龙 QQ:465959026上海电信 I

23、DC 机房服务器托管与租用 樊继龙 QQ:4659590262003 使用命令:cacls C:WINDOWSsystem32shell32.dll /e /d guests注:操作均需要重新启动 WEB 服务后才会生效。F、调用 Cmd.exe禁用 Guests 组用户调用 cmd.exe2000 使用命令:cacls C:WINNTsystem32Cmd.exe /e /d guests2003 使用命令:cacls C:WINDOWSsystem32Cmd.exe /e /d guests通过以上四步的设置基本可以防范目前比较流行的几种木马,但最有效的办法还是通过综合安全设置,将服务器、程序安全都达到一定标准,才可能将安全等级设置较高,防范更多非法入侵。

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 教育教学资料库 > 精品笔记

Copyright © 2018-2021 Wenke99.com All rights reserved

工信部备案号浙ICP备20026746号-2  

公安局备案号:浙公网安备33038302330469号

本站为C2C交文档易平台,即用户上传的文档直接卖给下载用户,本站只是网络服务中间平台,所有原创文档下载所得归上传人所有,若您发现上传作品侵犯了您的权利,请立刻联系网站客服并提供证据,平台将在3个工作日内予以改正。