网站服务器的安全,除了需要去安全厂家提供的补丁,更重要的是要去设置一些常见的安全问题,这些可以抵挡一些菜鸟用工具的攻击。
基本安全设置
一、调整测试环境(设置分辨率,IP地址等工作,以便进行服务器设置。在接入网络前,应该先关闭DCOM组件服务,安装驱动程序)
二、配置服务器。用“管理您的服务器”进行配置服务器向导,将所需的服务功能全部配置好,比如IIS。
三、设置输入法,以便以后维护输入汉字所需。
四、如果在安装系统前只分了系统区,现在可以将其它区分出来了。
为了提高安全性,服务器的文件系统格式一定要划分成NTFS(新技术文件系统)格式,它比FAT16、FAT32的安全性、空间利用率都大大的提高,我们可以通过它来配置文件的安全性,磁盘配额、EPS文件加密等。如果你已经分成FAT32的格式了,可以用CONVERT 盘符 /FS:NTFS /V 来把FAT32转换成NTFS格式。
五、设置文件夹选项,以方便文件的设置。比如显示系统文件和显示隐藏文件。
六、设置虚拟内存。不要把虚拟内存放在C盘。可以把它移到其他盘。一来节省宝贵的系统盘空间,二来减少C盘读写次数。
七、设置电源管理。服务器当然不能空间XX分钟后关闭硬盘或者自动休眠了,对吧?
八、系统服务优化设置。系统默认状态下很多服务是没有必要的。可以根据你提供的服务来设置系统服务。甚至还有些服务会影响到系统的安全性。禁用不必要的服务,提高安全性和系统效率:
Computer Browser 维护网络上计算机的最新列表以及提供这个列表
Task scheduler 允许程序在指定时间运行
Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务
Removable storage 管理可移动媒体、驱动程序和库
Remote Registry Service 允许远程注册表操作
Print Spooler 将文件加载到内存中以便以后打印。要用打印机的朋友不能禁用这项
IPSEC Policy Agent 管理IP安全策略以及启动ISAKMP/OakleyIKE)和IP安全驱动程序
Distributed Link Tracking Client 当文件在网络域的NTFS卷中移动时发送通知
Com+ Event System 提供事件的自动发布到订阅COM组件
Alerter 通知选定的用户和计算机管理警报
Error Reporting Service 收集、存储和向 Microsoft 报告异常应用程序
Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息
Telnet 允许远程用户登录到此计算机并运行程序
九、更改终端服务端口及安全设置。系统默认的终端服务端口为3389,用这个服务可以很方便地远程管理服务器。就是你电脑里的“远程桌面连接”。如果你没有找到这个功能,也可以用http://www.xtit.net/d
为了避免此端口遭到一些黑客软件的扫描和暴力攻击,导致你无法通过这个端口来远程管理服务器,把它改了吧。修改这个端口,是需要重启服务器才会生效的。切记改了3389后不要立即重启,你得开放了对应端口后再重启,否则你远程就连不上了,得跑机房了。
改远程桌面服务端口的方法:
步骤1:打开注册表编辑器。
开始——运行——regedit
步骤2:查找注册表里的3389默认端口。
HKEY_LOCAL_MACHINE//SYSTEM//CurrentControlSet//Control//Terminal Server//WinStations//RDP-Tcp
步骤3:我们找到rdp-tcp然后在注册表的右边查找PortNumber,大家注意!在PortNumber后面有3389的一串数字。
然后在点PortNumber(右键)这个时候会出来一个提示框----点修改----点10进制,修改3389为你想要的数字比如3721什么的----再点16进制(系统会自动转换)----最后确定!
还有一个键值:
HKEY_LOCAL_MACHINE//SYSTEM//CurrentControlSet//Control//TerminalServer //WinStations这里应该有一个或多个类似RDP-TCP的子健(取决于你建立了多少个RDP服务),一样改掉PortNumber。
就这样端口就修改成功了。
对于日志的问题,其实Terminal Service自己是有日志功能的,在管理工具中打开远程控制服务配置(Terminal Service Configration),点击“连接”,右击你想配置的RDP服务(比如RDP-TCP(Microsoft RDP5.0)),选中书签“权限”,点击左下角的“高级”,看见上面那个“审核”了吗?我们来加入一个Everyone组,这代表所有的用户,然后审核他的“连接”、“断开”、“注销”的成功和“登陆”的功能和失败就足够了,审核太多了反而不好,这个审核试记录在安全日志中的,可以从“管理工具”->“日志查看器”中查看。
现在什么人什么时候登陆都一清二楚了。
十、如果是更换服务器,那么必需将老服务器上的文件COPY到新服务器上来。在COPY完成后,需要检查文件里是否已经包含了病毒和木马。
十一、帐户安全设置
将Guest组改名。
将系统默认的管理员帐户Administrator改名,然后再建立一个陷阱帐户:administrator,把它伪装得跟系统默认管理员帐户一样,但把它分配到Guest组里。
Guest帐户禁用,改成一个复杂的名称并加上密码,将Guest用户改名禁用并且更改一个复杂的密码,加设帐户错误登陆锁定的次数,设置不让系统显示上次登录的用户名。
十二、初步全盘权限的设置
对于Windows Server来说,磁盘权限是安全问题里最重要的一环。那么我们必须对服务器的磁盘权限设置了如直掌。而且,咱们必须讲究一个“最小化”原则:在保证正常服务的前提下,给磁盘分配最低权限。磁盘权限的设置需要配合帐户安全设置来做。所以这方面的配置也放到日后的进阶安全配置中详述。这里我们只做基本的全盘权限设置。我的方法跟网上的不一样,网上大多没有做到最小化。将你每个分区里的所有组或用户都删掉,除了Administrators组。像这样:
十三、重要系统文件权限设置
请找到c盘的这些文件,把安全性设置只有特定的管理员有完全操作权限。
下列这些文件只允许administrators访问:
net.exe
net1.exet
cmd.exe
tftp.exe
netstat.exe
regedit.exe
at.exe
attrib.exe
cacls.exe
format.com
十四、安装杀毒软件。杀毒软件有许多,但适合服务器使用的,绝对要安全稳定可靠。Jarry推荐使用Symantec AntiVirus。可以到这里下载。
十五、防火墙测试及初步设置。防火墙软件不推荐使用第三方的。系统自带的防火墙就非常强大。用它来配合TCP/IP筛选,非常棒。
十六、IIS及相关服务初步设置。IIS安全配置另立章节阐述。
十七、进行IIS和FTP测试。确定功能正常使用。
十八、只保留TCP/IP协议,其他全部删除。
十九、删除C:windowsWeb下的两个子目录
二十、NetBIOS禁用 操作方法:网络连接->本地连接属性->高级->WINS选项->禁用Tcp/Ip上的NetBIOS->确定。
二十一、网卡属性里的tcp/ip协议属性--->高级-->选项-->tcp/ip筛选属性-->
IP筛选:
第一项:TCP端口:
只允许: ---(看具体这台服务器提供什么服务添加)
80 (www服务)
21 (一般的ftp默认)
53 (DNS服务)
110 (MAIL的SMTP服务)
25 (MAIL的POP3服务)
还有例如你的远程终端的端口(默认为3389,也有可能你改为别的端口,如6666,则加上6666)
第二项UDP端口:
此项可不添加,因为限制了以后,服务器则不能打开网页等操作(当然,也安全多了)
第三项IP协议:
ip协议:只允许6
二十二、删除没有必要的共享,提高安全性
不容许枚举SAM账号和共享(在本地策略里做也可以)
操作方法:运行Regedit,
(1) 在HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters下增加一值
Name: AutoShareServer
Type:REG-DWORD
Value:0
(2) 在HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa 下增加一值
Name:restrictanonymous
Type:REG_DWORD
Value:0
二十三、修改计算机某些特性
操作方法:控制面板->系统->高级->启动和故障恢复->取消显示操作系统列表->取消发送警报->取消写入调试信息->完成。
二十四、安全日志配置
本地安全策略->审核策略中打开相应的审核,推荐的审核是:
账户管理 成功 失败
登录事件 成功 失败
对象访问 失败
策略更改 成功 失败
特权使用 失败
系统事件 成功 失败
目录服务访问 失败
账户登录事件 成功 失败
在账户策略->密码策略中设定:
密码复杂性要求 启用
密码长度最小值 6位
强制密码历史 5次
最长存留期 30天
在账户策略->账户锁定策略中设定:
账户锁定 3次错误登录
锁定时间 20分钟
复位锁定计数 20分钟
二十五、取消关机对话框
Windows Server 2003中关机是需要“充分”理由的,要取消它很容易。按下“WIN+R”组合键,打开“运行”对话框,输入gpedit.msc,打开“组策略编辑器”,选择“本地计算机策略→计算机配置→管理模板→系统”,接着双击右侧窗口中的“显示关闭事件跟踪程序”,最后在“设置”选项卡中“已禁用”即可备注:Windows Server 2003穿上Windows XP的美丽服装呢?我们只要进入Windows Server 2003的“服务”窗口,按“T”键寻找“Themes”并双击它,然后在“启动”类型中选择“自动”,下次开机时,就可以看到效果了。
二十六、修改注册表,让系统更强壮。
1、隐藏重要文件/目录可以修改注册表实现完全隐藏:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows Current-VersionExplorerAdvancedFolderHi-ddenSHOWALL”,鼠标右击 “CheckedValue”,选择修改,把数值由1改为0
2、启动系统自带的Internet连接_blank>防火墙,在设置服务选项中勾选Web服务器。
3、防止SYN洪水攻击
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
新建DWORD值,名为SynAttackProtect,值为2
EnablePMTUDiscovery REG_DWORD 0
NoNameReleaseOnDemand REG_DWORD 1
EnableDeadGWDetect REG_DWORD 0
KeepAliveTime REG_DWORD 300,000
PerformRouterDiscovery REG_DWORD 0
EnableICMPRedirects REG_DWORD 0
4. 禁止响应ICMP路由通告报文
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfacesinterface
新建DWORD值,名为PerformRouterDiscovery 值为0
5. 防止ICMP重定向报文的攻击
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
将EnableICMPRedirects 值设为0
6. 不支持IGMP协议
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
新建DWORD值,名为IGMPLevel 值为0
7. 禁止IPC空连接:
cracker可以利用net use命令建立空连接,进而入侵,还有net view,nbtstat这些都是基于空连接的,禁止空连接就好了。打开注册表,找到 Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous 把这个值改成”1”即可。
8. 更改TTL值
cracker可以根据ping回的TTL值来大致判断你的操作系统,如:
TTL=107(WINNT);
TTL=108(win2000);
TTL=127或128(win9x);
TTL=240或241(linux);
TTL=252(solaris);
TTL=240(Irix);
实际上你可以自己更改的:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters:DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)改成一个莫名其妙的数字如258,起码让那些小菜鸟晕上半天,就此放弃入侵你也不一定
9. 删除默认共享
有人问过我一开机就共享所有盘,改回来以后,重启又变成了共享是怎么回事,这是2K为管理而设置的默认共享,必须通过修改注册表的方式取消它:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters:AutoShareServer 类型是REG_DWORD把值改为0即可。
10. 禁止建立空连接
默认情况下,任何用户通过通过空连接连上服务器,进而枚举出帐号,猜测密码。我们可以通过修改注册表来禁止建立空连接:
Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous 的值改成”1”即可。
OK。看了这么一大堆资料,是不是头有点晕了?起身活动一下吧。身体最重要啊。但是,现在你的系统已经有了一个比较基本的安全体系。再加上鲜甜服安日后为大家介绍的安全知识,相信你一定可以成长为安全领域的高手哦。这一期的内容有点长,希望大家不会介意。当然,如果你有对服务器安全方面有更多的见解,欢迎您在本文后评论!