win2003詳細系統安全設定(iis虛擬主機安全設定)
阿新 • • 發佈:2019-01-02
正確設定磁碟的安全性,具體如下(虛擬機器的安全設定,我們以asp程式為例子)重點:
1、系統盤許可權設定
C:分割槽部分:
c:/
administrators 全部(該資料夾,子資料夾及檔案)
CREATOR OWNER 全部(只有子檔案來及檔案)
system 全部(該資料夾,子資料夾及檔案)
IIS_WPG 建立檔案/寫入資料(只有該資料夾)
IIS_WPG(該資料夾,子資料夾及檔案)
遍歷資料夾/執行檔案
列出資料夾/讀取資料
讀取屬性
建立資料夾/附加資料
讀取許可權
c:/Documents and Settings
administrators 全部(該資料夾,子資料夾及檔案)
Power Users (該資料夾,子資料夾及檔案)
讀取和執行
列出資料夾目錄
讀取
SYSTEM全部(該資料夾,子資料夾及檔案)
C:/Program Files
administrators 全部(該資料夾,子資料夾及檔案)
CREATOR OWNER全部(只有子檔案來及檔案)
IIS_WPG (該資料夾,子資料夾及檔案)
讀取和執行
列出資料夾目錄
讀取
Power Users(該資料夾,子資料夾及檔案)
修改許可權
SYSTEM全部(該資料夾,子資料夾及檔案)
TERMINAL SERVER USER (該資料夾,子資料夾及檔案)
修改許可權
2、網站及虛擬機器許可權設定(比如網站在E盤)
說明:我們假設網站全部在E盤wwwsite目錄下,並且為每一個虛擬機器建立了一個guest使用者,使用者名稱為vhost1...vhostn並且建立了一個webuser組,把所有的vhost使用者全部加入這個webuser組裡面方便管理
E:/
Administrators全部(該資料夾,子資料夾及檔案)
E:/wwwsite
Administrators全部(該資料夾,子資料夾及檔案)
system全部(該資料夾,子資料夾及檔案)
service全部(該資料夾,子資料夾及檔案)
E:/wwwsite/vhost1
Administrators全部(該資料夾,子資料夾及檔案)
system全部(該資料夾,子資料夾及檔案)
vhost1全部(該資料夾,子資料夾及檔案)
3、資料備份盤
資料備份盤最好只指定一個特定的使用者對它有完全操作的許可權
比如F盤為資料備份盤,我們只指定一個管理員對它有完全操作的許可權
4、其它地方的許可權設定
請找到c盤的這些檔案,把安全性設定只有特定的管理員有完全操作許可權
下列這些檔案只允許administrators訪問
net.exe
net1.exet
cmd.exe
tftp.exe
netstat.exe
regedit.exe
at.exe
attrib.exe
cacls.exe
format.com
5.刪除c:/inetpub目錄,刪除iis不必要的對映,建立陷阱帳號,更改描述
第三招:禁用不必要的服務,提高安全性和系統效率
Computer Browser 維護網路上計算機的最新列表以及提供這個列表
Task scheduler 允許程式在指定時間執行
Routing and Remote Access 在區域網以及廣域網環境中為企業提供路由服務
Removable storage 管理可移動媒體、驅動程式和庫
Remote Registry Service 允許遠端登錄檔操作
Print Spooler 將檔案載入到記憶體中以便以後列印。要用印表機的朋友不能禁用這項
IPSEC Policy Agent 管理IP安全策略以及啟動ISAKMP/OakleyIKE)和IP安全驅動程式
Distributed Link Tracking Client 當檔案在網路域的NTFS卷中移動時傳送通知
Com+ Event System 提供事件的自動釋出到訂閱COM元件
Alerter 通知選定的使用者和計算機管理警報
Error Reporting Service 收集、儲存和向 Microsoft 報告異常應用程式
Messenger 傳輸客戶端和伺服器之間的 NET SEND 和 警報器服務訊息
Telnet 允許遠端使用者登入到此計算機並執行程式
第四招:修改登錄檔,讓系統更強壯
1、隱藏重要檔案/目錄可以修改登錄檔實現完全隱藏:HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/ Current-Version/Explorer/Advanced/Folder/Hi-dden/SHOWALL”,滑鼠右擊 “CheckedValue”,選擇修改,把數值由1改為0
2、啟動系統自帶的Internet連線_blank">防火牆,在設定服務選項中勾選Web伺服器。
3、防止SYN洪水攻擊
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters
新建DWORD值,名為SynAttackProtect,值為2
EnablePMTUDiscovery REG_DWORD 0
NoNameReleaseOnDemand REG_DWORD 1
EnableDeadGWDetect REG_DWORD 0
KeepAliveTime REG_DWORD 300,000
PerformRouterDiscovery REG_DWORD 0
EnableICMPRedirects REG_DWORD 0
4. 禁止響應ICMP路由通告報文
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters/Interfaces/interface
新建DWORD值,名為PerformRouterDiscovery 值為0
5. 防止ICMP重定向報文的攻擊
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters
將EnableICMPRedirects 值設為0
6. 不支援IGMP協議
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters
新建DWORD值,名為IGMPLevel 值為0
7.修改終端服務埠
執行regedit,找到[HKEY_LOCAL_MACHINE / SYSTEM / CurrentControlSet / Control / Terminal Server / Wds / rdpwd / Tds / tcp],看到右邊的PortNumber了嗎?在十進位制狀態下改成你想要的埠號吧,比如7126之類的,只要不與其它衝突即可。
2、第二處HKEY_LOCAL_MACHINE / SYSTEM / CurrentControlSet / Control / Terminal Server / WinStations / RDP-Tcp,方法同上,記得改的埠號和上面改的一樣就行了。
8、禁止IPC空連線:
cracker可以利用net use命令建立空連線,進而入侵,還有net view,nbtstat這些都是基於空連線的,禁止空連線就好了。開啟登錄檔,找到Local_Machine/System/CurrentControlSet/Control/LSA-RestrictAnonymous 把這個值改成”1”即可。
9、更改TTL值
cracker可以根據ping回的TTL值來大致判斷你的作業系統,如:
TTL=107(WINNT);
TTL=108(win2000);
TTL=127或128(win9x);
TTL=240或241(linux);
TTL=252(solaris);
TTL=240(Irix);
實際上你可以自己更改的:HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters:DefaultTTL REG_DWORD 0-0xff(0-255 十進位制,預設值128)改成一個莫名其妙的數字如258,起碼讓那些小菜鳥暈上半天,就此放棄入侵你也不一定哦
10. 刪除預設共享
有人問過我一開機就共享所有盤,改回來以後,重啟又變成了共享是怎麼回事,這是2K為管理而設定的預設共享,必須通過修改登錄檔的方式取消它:HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/LanmanServer/Parameters:AutoShareServer型別是REG_DWORD把值改為0即可
11. 禁止建立空連線
預設情況下,任何使用者通過通過空連線連上伺服器,進而枚舉出帳號,猜測密碼。我們可以通過修改登錄檔來禁止建立空連線:
Local_Machine/System/CurrentControlSet/Control/LSA-RestrictAnonymous 的值改成”1”即可。
第五招:其它安全手段
1.禁用TCP/IP上的NetBIOS
網路上的芳鄰-屬性-本地連線-屬性-Internet協議(TCP/IP)屬性-高階-WINS面板-NetBIOS設定-禁用TCP/IP上的NetBIOS。這樣cracker就無法用nbtstat命令來讀取你的NetBIOS資訊和網絡卡MAC地址了。
2. 賬戶安全
首先禁止一切賬戶,除了你自己,呵呵。然後把Administrator改名。我呢就順手又建了個Administrator賬戶,不過是什麼許可權都沒有的那種,然後開啟記事本,一陣亂敲,複製,貼上到“密碼”裡去,呵呵,來破密碼吧~!破完了才發現是個低階賬戶,看你崩潰不?
建立2個管理員用帳號
雖然這點看上去和上面這點有些矛盾,但事實上是服從上面的規則的。 建立一個一般許可權帳號用來收信以及處理一些*常事物,另一個擁有Administrators 許可權的帳戶只在需要的時候使用。可以讓管理員使用 “ RunAS” 命令來執行一些需要特權才能作的一些工作,以方便管理
3.更改C:/WINDOWS/Help/iisHelp/common/404b.htm內容改為 這樣,出錯了自動轉到首頁
4. 安全日誌
我遇到過這樣的情況,一臺主機被別人入侵了,系統管理員請我去追查凶手,我登入進去一看:安全日誌是空的,倒,請記住:Win2000的預設安裝是不開任何安全稽核的!那麼請你到本地安全策略->稽核策略中開啟相應的稽核,推薦的稽核是:
賬戶管理 成功 失敗
登入事件 成功 失敗
物件訪問 失敗
策略更改 成功 失敗
特權使用 失敗
系統事件 成功 失敗
目錄服務訪問 失敗
賬戶登入事件 成功 失敗
稽核專案少的缺點是萬一你想看發現沒有記錄那就一點都沒轍;稽核專案太多不僅會佔用系統資源而且會導致你根本沒空去看,這樣就失去了稽核的意義
5. 執行防毒軟體
我見過的Win2000/Nt伺服器從來沒有見到有安裝了防毒軟體的,其實這一點非常重要。一些好的防毒軟體不僅能殺掉一些著名的病毒,還能查殺大量木馬和後門程式。這樣的話,“黑客”們使用的那些有名的木馬就毫無用武之地了。不要忘了經常升級病毒庫,我們推薦mcafree防毒軟體+blackice_blank">防火牆
6.sqlserver資料庫伺服器安全和serv-u ftp伺服器安全配置,更改預設埠,和管理密碼
7.設定ip篩選、用blackice禁止木馬常用埠
一般禁用以下埠
135 138 139 443 445 4000 4899 7626
8.本地安全策略和組策略的設定,如果你在設定本地安全策略時設定錯了,可以這樣恢復成它的預設值.
開啟 %SystemRoot%/Security資料夾,建立一個 "OldSecurity"子目錄,將%SystemRoot%/Security下所有的.log檔案移到這個新建的子資料夾中.
在%SystemRoot%/Security/database/下找到"Secedit.sdb"安全資料庫並將其改名,如改為"Secedit.old".
啟動"安全配置和分析"MMC管理單元:"開始"->"執行"->"MMC",啟動管理控制檯,"新增/刪除管理單元",將"安全配置和分析"管理單元新增上.
右擊"安全配置和分析"->"開啟資料庫",瀏覽"C:/WINNT/security/Database"資料夾,輸入檔名"secedit.sdb",單擊"開啟".
當系統提示輸入一個模板時,選擇"Setup Security.inf",單擊"開啟".
如果系統提示"拒絕訪問資料庫",不管他.
你會發現在"C:/WINNT/security/Database"子資料夾中重新生成了新的安全資料庫,
在"C:/WINNT/security"子資料夾下重新生成了log檔案.安全資料庫重建成功.
1、系統盤許可權設定
C:分割槽部分:
c:/
administrators 全部(該資料夾,子資料夾及檔案)
CREATOR OWNER 全部(只有子檔案來及檔案)
system 全部(該資料夾,子資料夾及檔案)
IIS_WPG 建立檔案/寫入資料(只有該資料夾)
IIS_WPG(該資料夾,子資料夾及檔案)
遍歷資料夾/執行檔案
列出資料夾/讀取資料
讀取屬性
建立資料夾/附加資料
讀取許可權
c:/Documents and Settings
administrators 全部(該資料夾,子資料夾及檔案)
Power Users (該資料夾,子資料夾及檔案)
讀取和執行
列出資料夾目錄
讀取
SYSTEM全部(該資料夾,子資料夾及檔案)
C:/Program Files
administrators 全部(該資料夾,子資料夾及檔案)
CREATOR OWNER全部(只有子檔案來及檔案)
IIS_WPG (該資料夾,子資料夾及檔案)
讀取和執行
列出資料夾目錄
讀取
Power Users(該資料夾,子資料夾及檔案)
修改許可權
SYSTEM全部(該資料夾,子資料夾及檔案)
TERMINAL SERVER USER (該資料夾,子資料夾及檔案)
修改許可權
2、網站及虛擬機器許可權設定(比如網站在E盤)
說明:我們假設網站全部在E盤wwwsite目錄下,並且為每一個虛擬機器建立了一個guest使用者,使用者名稱為vhost1...vhostn並且建立了一個webuser組,把所有的vhost使用者全部加入這個webuser組裡面方便管理
E:/
Administrators全部(該資料夾,子資料夾及檔案)
E:/wwwsite
Administrators全部(該資料夾,子資料夾及檔案)
system全部(該資料夾,子資料夾及檔案)
service全部(該資料夾,子資料夾及檔案)
E:/wwwsite/vhost1
Administrators全部(該資料夾,子資料夾及檔案)
system全部(該資料夾,子資料夾及檔案)
vhost1全部(該資料夾,子資料夾及檔案)
3、資料備份盤
資料備份盤最好只指定一個特定的使用者對它有完全操作的許可權
比如F盤為資料備份盤,我們只指定一個管理員對它有完全操作的許可權
4、其它地方的許可權設定
請找到c盤的這些檔案,把安全性設定只有特定的管理員有完全操作許可權
下列這些檔案只允許administrators訪問
net.exe
net1.exet
cmd.exe
tftp.exe
netstat.exe
regedit.exe
at.exe
attrib.exe
cacls.exe
format.com
5.刪除c:/inetpub目錄,刪除iis不必要的對映,建立陷阱帳號,更改描述
第三招:禁用不必要的服務,提高安全性和系統效率
Computer Browser 維護網路上計算機的最新列表以及提供這個列表
Task scheduler 允許程式在指定時間執行
Routing and Remote Access 在區域網以及廣域網環境中為企業提供路由服務
Removable storage 管理可移動媒體、驅動程式和庫
Remote Registry Service 允許遠端登錄檔操作
Print Spooler 將檔案載入到記憶體中以便以後列印。要用印表機的朋友不能禁用這項
IPSEC Policy Agent 管理IP安全策略以及啟動ISAKMP/OakleyIKE)和IP安全驅動程式
Distributed Link Tracking Client 當檔案在網路域的NTFS卷中移動時傳送通知
Com+ Event System 提供事件的自動釋出到訂閱COM元件
Alerter 通知選定的使用者和計算機管理警報
Error Reporting Service 收集、儲存和向 Microsoft 報告異常應用程式
Messenger 傳輸客戶端和伺服器之間的 NET SEND 和 警報器服務訊息
Telnet 允許遠端使用者登入到此計算機並執行程式
第四招:修改登錄檔,讓系統更強壯
1、隱藏重要檔案/目錄可以修改登錄檔實現完全隱藏:HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/ Current-Version/Explorer/Advanced/Folder/Hi-dden/SHOWALL”,滑鼠右擊 “CheckedValue”,選擇修改,把數值由1改為0
2、啟動系統自帶的Internet連線_blank">防火牆,在設定服務選項中勾選Web伺服器。
3、防止SYN洪水攻擊
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters
新建DWORD值,名為SynAttackProtect,值為2
EnablePMTUDiscovery REG_DWORD 0
NoNameReleaseOnDemand REG_DWORD 1
EnableDeadGWDetect REG_DWORD 0
KeepAliveTime REG_DWORD 300,000
PerformRouterDiscovery REG_DWORD 0
EnableICMPRedirects REG_DWORD 0
4. 禁止響應ICMP路由通告報文
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters/Interfaces/interface
新建DWORD值,名為PerformRouterDiscovery 值為0
5. 防止ICMP重定向報文的攻擊
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters
將EnableICMPRedirects 值設為0
6. 不支援IGMP協議
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters
新建DWORD值,名為IGMPLevel 值為0
7.修改終端服務埠
執行regedit,找到[HKEY_LOCAL_MACHINE / SYSTEM / CurrentControlSet / Control / Terminal Server / Wds / rdpwd / Tds / tcp],看到右邊的PortNumber了嗎?在十進位制狀態下改成你想要的埠號吧,比如7126之類的,只要不與其它衝突即可。
2、第二處HKEY_LOCAL_MACHINE / SYSTEM / CurrentControlSet / Control / Terminal Server / WinStations / RDP-Tcp,方法同上,記得改的埠號和上面改的一樣就行了。
8、禁止IPC空連線:
cracker可以利用net use命令建立空連線,進而入侵,還有net view,nbtstat這些都是基於空連線的,禁止空連線就好了。開啟登錄檔,找到Local_Machine/System/CurrentControlSet/Control/LSA-RestrictAnonymous 把這個值改成”1”即可。
9、更改TTL值
cracker可以根據ping回的TTL值來大致判斷你的作業系統,如:
TTL=107(WINNT);
TTL=108(win2000);
TTL=127或128(win9x);
TTL=240或241(linux);
TTL=252(solaris);
TTL=240(Irix);
實際上你可以自己更改的:HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters:DefaultTTL REG_DWORD 0-0xff(0-255 十進位制,預設值128)改成一個莫名其妙的數字如258,起碼讓那些小菜鳥暈上半天,就此放棄入侵你也不一定哦
10. 刪除預設共享
有人問過我一開機就共享所有盤,改回來以後,重啟又變成了共享是怎麼回事,這是2K為管理而設定的預設共享,必須通過修改登錄檔的方式取消它:HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/LanmanServer/Parameters:AutoShareServer型別是REG_DWORD把值改為0即可
11. 禁止建立空連線
預設情況下,任何使用者通過通過空連線連上伺服器,進而枚舉出帳號,猜測密碼。我們可以通過修改登錄檔來禁止建立空連線:
Local_Machine/System/CurrentControlSet/Control/LSA-RestrictAnonymous 的值改成”1”即可。
第五招:其它安全手段
1.禁用TCP/IP上的NetBIOS
網路上的芳鄰-屬性-本地連線-屬性-Internet協議(TCP/IP)屬性-高階-WINS面板-NetBIOS設定-禁用TCP/IP上的NetBIOS。這樣cracker就無法用nbtstat命令來讀取你的NetBIOS資訊和網絡卡MAC地址了。
2. 賬戶安全
首先禁止一切賬戶,除了你自己,呵呵。然後把Administrator改名。我呢就順手又建了個Administrator賬戶,不過是什麼許可權都沒有的那種,然後開啟記事本,一陣亂敲,複製,貼上到“密碼”裡去,呵呵,來破密碼吧~!破完了才發現是個低階賬戶,看你崩潰不?
建立2個管理員用帳號
雖然這點看上去和上面這點有些矛盾,但事實上是服從上面的規則的。 建立一個一般許可權帳號用來收信以及處理一些*常事物,另一個擁有Administrators 許可權的帳戶只在需要的時候使用。可以讓管理員使用 “ RunAS” 命令來執行一些需要特權才能作的一些工作,以方便管理
3.更改C:/WINDOWS/Help/iisHelp/common/404b.htm內容改為 這樣,出錯了自動轉到首頁
4. 安全日誌
我遇到過這樣的情況,一臺主機被別人入侵了,系統管理員請我去追查凶手,我登入進去一看:安全日誌是空的,倒,請記住:Win2000的預設安裝是不開任何安全稽核的!那麼請你到本地安全策略->稽核策略中開啟相應的稽核,推薦的稽核是:
賬戶管理 成功 失敗
登入事件 成功 失敗
物件訪問 失敗
策略更改 成功 失敗
特權使用 失敗
系統事件 成功 失敗
目錄服務訪問 失敗
賬戶登入事件 成功 失敗
稽核專案少的缺點是萬一你想看發現沒有記錄那就一點都沒轍;稽核專案太多不僅會佔用系統資源而且會導致你根本沒空去看,這樣就失去了稽核的意義
5. 執行防毒軟體
我見過的Win2000/Nt伺服器從來沒有見到有安裝了防毒軟體的,其實這一點非常重要。一些好的防毒軟體不僅能殺掉一些著名的病毒,還能查殺大量木馬和後門程式。這樣的話,“黑客”們使用的那些有名的木馬就毫無用武之地了。不要忘了經常升級病毒庫,我們推薦mcafree防毒軟體+blackice_blank">防火牆
6.sqlserver資料庫伺服器安全和serv-u ftp伺服器安全配置,更改預設埠,和管理密碼
7.設定ip篩選、用blackice禁止木馬常用埠
一般禁用以下埠
135 138 139 443 445 4000 4899 7626
8.本地安全策略和組策略的設定,如果你在設定本地安全策略時設定錯了,可以這樣恢復成它的預設值.
開啟 %SystemRoot%/Security資料夾,建立一個 "OldSecurity"子目錄,將%SystemRoot%/Security下所有的.log檔案移到這個新建的子資料夾中.
在%SystemRoot%/Security/database/下找到"Secedit.sdb"安全資料庫並將其改名,如改為"Secedit.old".
啟動"安全配置和分析"MMC管理單元:"開始"->"執行"->"MMC",啟動管理控制檯,"新增/刪除管理單元",將"安全配置和分析"管理單元新增上.
右擊"安全配置和分析"->"開啟資料庫",瀏覽"C:/WINNT/security/Database"資料夾,輸入檔名"secedit.sdb",單擊"開啟".
當系統提示輸入一個模板時,選擇"Setup Security.inf",單擊"開啟".
如果系統提示"拒絕訪問資料庫",不管他.
你會發現在"C:/WINNT/security/Database"子資料夾中重新生成了新的安全資料庫,
在"C:/WINNT/security"子資料夾下重新生成了log檔案.安全資料庫重建成功.