转--Admin5服务器安全讲座记录
|
源代码网整理以下 时间: 3月25日 星期二 14-16点 源代码网整理以下 主题: 服务器安全讲座 源代码网整理以下 QQ群: 56398857 源代码网整理以下 主讲人: 程良均 从事网络4年 对服务器安全工作熟悉 源代码网整理以下 我们现在讲的是以2003系统为列 源代码网整理以下 第一.在安装系统的时候首先需要把磁盘分区全部统一用NTFS格式 源代码网整理以下 系统安装好以后,首先更新系统所有补丁,其次是打好ARP补丁,因为ARP漏洞在微软站上不能下载,黑客可通过此漏洞进行大批量的挂马 源代码网整理以下 第二,修改硬盘权限. 源代码网整理以下 NTFS系统权限设置 在使用之前将每个硬盘根加上 Administrators 用户为全部权限(可选加入SYSTEM用户)删除其它用户, 源代码网整理以下 进入系统盘:权限如下 源代码网整理以下 C:WINDOWS Administrators SYSTEM用户全部权限 Users 用户默认权限不作修改 源代码网整理以下 其它目录删除Everyone用户,切记C:Documents and Settings下All UsersDefault User目录及其子目录 源代码网整理以下 如C:Documents and SettingsAll UsersApplication Data 目录默认配置保留了Everyone用户权限 源代码网整理以下 C:WINDOWS 目录下面的权限也得注意,如 C:WINDOWSPCHealth、C:windowsInstaller也是保留了Everyone权限. 源代码网整理以下 删除C:WINDOWSWebprinters目录,此目录的存在会造成IIS里加入一个.printers的扩展名,可溢出攻击 源代码网整理以下 默认IIS错误页面已基本上没多少人使用了。建议删除C:WINDOWSHelpiisHelp目录 源代码网整理以下 删除C:WINDOWSsystem32inetsrviisadmpwd,此目录为管理IIS密码之用,如一些因密码不同步造成500 源代码网整理以下 错误的时候使用 OWA 或 Iisadmpwd 修改同步密码,但在这里可以删掉,下面讲到的设置将会杜绝因系统 源代码网整理以下 设置造成的密码不同步问题。 源代码网整理以下 打开C:Windows 搜索 源代码网整理以下 net.exe;cmd.exe;tftp.exe;netstat.exe;regedit.exe;at.exe;attrib.exe;cacls.exe;format.com; 源代码网整理以下 regsvr32.exe;xcopy.exe;wscript.exe;cscript.exe;ftp.exe;telnet.exe;arp.exe;edlin.exe; 源代码网整理以下 ping.exe;route.exe;finger.exe;posix.exe;rsh.exe;atsvc.exe;qbasic.exe;runonce.exe;syskey.exe 源代码网整理以下 修改权限,删除所有的用户只保存Administrators 和SYSTEM为所有权限 源代码网整理以下 这些大家只要知道步骤 具体的操作我在结束后给大家相应的文档和路径去按照步骤来设置 源代码网整理以下 这些权限设置好以后 然后打开本地安全策略 源代码网整理以下 设置审核权限 更改GUSET帐户名字 并设置个很复杂的密码 源代码网整理以下 本地安全策略配置 源代码网整理以下 开始 > 程序 > 管理工具 > 本地安全策略 源代码网整理以下 账户策略 > 密码策略 > 密码最短使用期限 改成0天[即密码不过期,上面我讲到不会造成IIS密码不同步] 源代码网整理以下 账户策略 > 账户锁定策略 > 账户锁定阈值 5 次 账户锁定时间 10分钟 [个人推荐配置] 源代码网整理以下 本地策略 > 审核策略 > 源代码网整理以下 账户管理 成功 失败 源代码网整理以下 登录事件 成功 失败 源代码网整理以下 对象访问 失败 源代码网整理以下 策略更改 成功 失败 源代码网整理以下 特权使用 失败 源代码网整理以下 系统事件 成功 失败 源代码网整理以下 目录服务访问 失败 源代码网整理以下 账户登录事件 成功 失败 源代码网整理以下 地策略 > 安全选项 > 清除虚拟内存页面文件 更改为"已启用" 源代码网整理以下 > 不显示上次的用户名 更改为"已启用" 源代码网整理以下 > 不需要按CTRL+ALT+DEL 更改为"已启用" 源代码网整理以下 > 不允许 SAM 账户的匿名枚举 更改为"已启用" 源代码网整理以下 > 不允许 SAM 账户和共享的匿名枚举 更改为"已启用" 源代码网整理以下 > 重命名来宾账户 更改成一个复杂的账户名 源代码网整理以下 > 重命名系统管理员账号 更改一个自己用的账号 源代码网整理以下 这些都是在本地安全里设置的 源代码网整理以下 第三 ,关闭不需要的服务 源代码网整理以下 IPSEC Services 源代码网整理以下 Print Spooler 源代码网整理以下 TCP/IP NetBIOS Helper 源代码网整理以下 这3个需要停止其服务 源代码网整理以下 第四打开注册表 修改远程端口 关闭默认共享等 源代码网整理以下 关闭445端口 源代码网整理以下 HKEY_LOCAL_MACHINESystemCurrentControlSetServices etBTParameters 源代码网整理以下 新建 “DWORD值”值名为 “SMBDeviceEnabled” 数据为默认值“0” 源代码网整理以下 禁止建立空连接 源代码网整理以下 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa 源代码网整理以下 新建 “DWORD值”值名为 “RestrictAnonymous” 数据值为“1” [2003默认为1] 源代码网整理以下 禁止系统自动启动服务器共享 源代码网整理以下 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters 源代码网整理以下 新建 “DWORD值”值名为 “AutoShareServer” 数据值为“0” 源代码网整理以下 禁止系统自动启动管理共享 源代码网整理以下 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters 源代码网整理以下 新建 “DWORD值”值名为 “AutoShareWks” 数据值为“0” 源代码网整理以下 通过修改注册表防止小规模DDOS攻击 源代码网整理以下 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 源代码网整理以下 新建 “DWORD值”值名为 “SynAttackProtect” 数据值为“1” 源代码网整理以下 修改端口没列举出来 这个可以去搜索一下 源代码网整理以下 然后卸载不安全的组件 源代码网整理以下 主要是黑客用于提权的组件 源代码网整理以下 这个只需要保存一个BAT文件放在启动里面即可 源代码网整理以下 内容为 : 源代码网整理以下 regsvr32/u C:WINDOWSSystem32wshom.ocx 源代码网整理以下 del C:WINDOWSSystem32wshom.ocx 源代码网整理以下 regsvr32/u C:WINDOWSsystem32shell32.dll 源代码网整理以下 del C:WINDOWSsystem32shell32.dll 源代码网整理以下 然后在网卡那里只开放自己所需要的端口 源代码网整理以下 这样服务器基本安全已经设置好 源代码网整理以下 然后安装好杀毒软件 源代码网整理以下 推荐用MACFFE 或 源代码网整理以下 NOD32 源代码网整理以下 MACFFE的杀毒能力不强 但防御强 NOD32杀毒强 源代码网整理以下 并设置好自动更新 源代码网整理以下 然后我们在来看IIS和网站的权限 源代码网整理以下 因为很多黑客喜欢用网站漏洞进入提权 源代码网整理以下 那么IIS安全也很重要 源代码网整理以下 首先 更改IIS来宾帐号的名字 源代码网整理以下 其次 为他设置个复杂的密码 源代码网整理以下 第三 在放程序的磁盘里 把目录建立两层 源代码网整理以下 这样每个站的程序独立分开的 源代码网整理以下 那么刚才我们设置了卸载权限 他就无法提到ADMINISTRATR权限了 源代码网整理以下 这样即使一个站有漏洞 也不能影响到其他的站 源代码网整理以下 然后我们安装好SQL以后在用户里面会出现个SQLDUBEG这个用户 把他删除 源代码网整理以下 最后打开防火墙,注意开放自己所需要的端口 即可,如果你服务器不只放网站 那记得开放所需要的端口 源代码网整理以下 ARP补丁和ARP检测软件 杀毒软件 等一些服务器常用软件可到我站上下载 源代码网整理以下 这是系统补丁:http://www.pc5i.com/soft/sort02/down-1.html 源代码网供稿. |
