比較精簡的,大略的服務(wù)器安全設(shè)置類小知識
1. 系統(tǒng)分區(qū)
a) 所有分區(qū)使用ntfs, C: System系統(tǒng)分區(qū) 10G, D: Software軟件安裝10G E: Website網(wǎng)站所在目錄 F: 工具及備份50G soft,backup,other
2. 安裝操作系統(tǒng):
Windows Server 2003 Enterprise Edition With Service Pack 1, 用WindowsUpdate 進(jìn)行升級.
并打上sp2及所有補丁
Serv-U6.0(替換servadmin.exe和servudaemon.exe替換安裝目錄下的對應(yīng)文件,并采用ODBC存儲方式)
3. 禁止Guest用戶
4. 安裝組件(jmial,動易,upload,aspjepg,等)
5. 新建IISuser用戶組,以及servu用戶,不屬于任何組,servu密碼設(shè)復(fù)雜些: 如: servu_pass_IP地址. 即所有iis用戶加入IISuser組 ServU啟動選擇使用服務(wù)啟動. 然后在services.msc中設(shè)置ServUDaemond的啟動用戶為servu.
6. 刪除 c:Inetpub 目錄
7. 禁用TCP/IP上的NetBIOS
網(wǎng)上鄰居-屬性-本地連接-屬性-Internet協(xié)議(TCP/IP)屬性-高級-WINS面板-NetBIOS設(shè)置-禁用TCP/IP上的NetBIOS。這樣cracker就無法用nbtstat命令來讀取你的NetBIOS信息和網(wǎng)卡MAC地址了。
8. 把Administrator 改名為 cytz_admin_ip尾數(shù).
9. 修改3389端口
1. 運行 Regedt32 并轉(zhuǎn)到此項:
HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp
及: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWds dpwdTds cp
注意:上面的注冊表項是一個路徑;它已換行以便于閱讀。
2. 找到“PortNumber”子項,您會看到值 00000D3D,它是 3389 的十六進(jìn)制表示形式。使用十六進(jìn)制數(shù)值修改此端口號(F79D)即十進(jìn)制的63389,并保存新值。
10. 運行g(shù)pedit.msc => 計算機管理 => Windows設(shè)置 => 安全設(shè)置 => 本地策略 => 審核策略 按如下設(shè)置:
賬戶管理 成功 失敗
登錄事件 成功 失敗
對象訪問 失敗
策略更改 成功 失敗
特權(quán)使用 失敗
系統(tǒng)事件 成功 失敗
目錄服務(wù)訪問 失敗
賬戶登錄事件 成功 失敗
11. 安裝mcafree 或 卡巴斯基服務(wù)器版, vnc 安裝 blackice防火墻. 打開 21,80, 443, 6900, 10000-10020, 63389. 并設(shè)置serv-u使用10000-10020端口進(jìn)行pasv傳送. 防火墻里第二頁選擇鏈接的網(wǎng)卡, 把里面FTP服務(wù)器的勾一定要去掉.
12. 運行權(quán)限設(shè)置腳本 priv.bat
13. 禁用以下服務(wù)
14. Computer Browser 維護網(wǎng)絡(luò)上計算機的最新列表以及提供這個列表
Routing and Remote Access 在局域網(wǎng)以及廣域網(wǎng)環(huán)境中為企業(yè)提供路由服務(wù)
Removable storage 管理可移動媒體、驅(qū)動程序和庫
Remote Registry Service 允許遠(yuǎn)程注冊表操作
Print Spooler 將文件加載到內(nèi)存中以便以后打印。要用打印機的朋友不能禁用這項
IPSEC Policy Agent 管理IP安全策略以及啟動ISAKMP/OakleyIKE)和IP安全驅(qū)動程序
Distributed Link Tracking Client 當(dāng)文件在網(wǎng)絡(luò)域的NTFS卷中移動時發(fā)送通知
Com+ Event System 提供事件的自動發(fā)布到訂閱COM組件
Alerter 通知選定的用戶和計算機管理警報
Error Reporting Service 收集、存儲和向 Microsoft 報告異常應(yīng)用程序
Messenger 傳輸客戶端和服務(wù)器之間的 NET SEND 和 警報器服務(wù)消息
Telnet 允許遠(yuǎn)程用戶登錄到此計算機并運行程序
15. 防止SYN洪水攻擊
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters]
"SynAttackProtect"=dword:00000002
"EnablePMTUDiscovery"=dword:00000000
"NoNameReleaseOnDemand"=dword:00000001
"EnableDeadGWDetect"=dword:00000000
"KeepAliveTime"=dword:00300000
"PerformRouterDiscovery"=dword:00000000
"TcpMaxConnectResponseRetransmissions"=dword:00000003
"TcpMaxHalfOpen"=dword:00000100
"TcpMaxHalfOpenRetried"=dword:00000080
"TcpMaxPortsExhausted"=dword:00000005
"EnableICMPRedirects"= dword:00000000
禁止IPC空連接:
cracker可以利用net use命令建立空連接,進(jìn)而入侵,還有net view,nbtstat這些都是基于空連接的,禁止空連接就好了。打開注冊表,找到Local_Machine/System/CurrentControlSet/Control/LSA RestrictAnonymous 把這個值改成”1”即可。
更改TTL
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameter
DefaultTTL REG_DWORD 0-0xff(0-255 十進(jìn)制,默認(rèn)值128)改成一個莫名其妙的數(shù)字如258
刪除默認(rèn)共享
有人問過我一開機就共享所有盤,改回來以后,重啟又變成了共享是怎么回事,這是2K為管理而設(shè)置的默認(rèn)共享,必須通過修改注冊表的方式取消它:HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/LanmanServer/Parameters
AutoShareServer類型是REG_DWORD把值改為0即可
重起后檢查共享目錄是否還存在. ipc$, c$, d$, e$,f$, admin$等
禁止建立空連接
默認(rèn)情況下,任何用戶通過通過空連接連上服務(wù)器,進(jìn)而枚舉出帳號,猜測密碼。我們可以通過修改注冊表來禁止建立空連接: Local_Machine/System/CurrentControlSet/Control/LSA-RestrictAnonymous 的值改成”1”即可。
1. 系統(tǒng)分區(qū)
a) 所有分區(qū)使用ntfs, C: System系統(tǒng)分區(qū) 10G, D: Software軟件安裝10G E: Website網(wǎng)站所在目錄 F: 工具及備份50G soft,backup,other
2. 安裝操作系統(tǒng):
Windows Server 2003 Enterprise Edition With Service Pack 1, 用WindowsUpdate 進(jìn)行升級.
并打上sp2及所有補丁
Serv-U6.0(替換servadmin.exe和servudaemon.exe替換安裝目錄下的對應(yīng)文件,并采用ODBC存儲方式)
3. 禁止Guest用戶
4. 安裝組件(jmial,動易,upload,aspjepg,等)
5. 新建IISuser用戶組,以及servu用戶,不屬于任何組,servu密碼設(shè)復(fù)雜些: 如: servu_pass_IP地址. 即所有iis用戶加入IISuser組 ServU啟動選擇使用服務(wù)啟動. 然后在services.msc中設(shè)置ServUDaemond的啟動用戶為servu.
6. 刪除 c:Inetpub 目錄
7. 禁用TCP/IP上的NetBIOS
網(wǎng)上鄰居-屬性-本地連接-屬性-Internet協(xié)議(TCP/IP)屬性-高級-WINS面板-NetBIOS設(shè)置-禁用TCP/IP上的NetBIOS。這樣cracker就無法用nbtstat命令來讀取你的NetBIOS信息和網(wǎng)卡MAC地址了。
8. 把Administrator 改名為 cytz_admin_ip尾數(shù).
9. 修改3389端口
1. 運行 Regedt32 并轉(zhuǎn)到此項:
HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp
及: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWds dpwdTds cp
注意:上面的注冊表項是一個路徑;它已換行以便于閱讀。
2. 找到“PortNumber”子項,您會看到值 00000D3D,它是 3389 的十六進(jìn)制表示形式。使用十六進(jìn)制數(shù)值修改此端口號(F79D)即十進(jìn)制的63389,并保存新值。
10. 運行g(shù)pedit.msc => 計算機管理 => Windows設(shè)置 => 安全設(shè)置 => 本地策略 => 審核策略 按如下設(shè)置:
賬戶管理 成功 失敗
登錄事件 成功 失敗
對象訪問 失敗
策略更改 成功 失敗
特權(quán)使用 失敗
系統(tǒng)事件 成功 失敗
目錄服務(wù)訪問 失敗
賬戶登錄事件 成功 失敗
11. 安裝mcafree 或 卡巴斯基服務(wù)器版, vnc 安裝 blackice防火墻. 打開 21,80, 443, 6900, 10000-10020, 63389. 并設(shè)置serv-u使用10000-10020端口進(jìn)行pasv傳送. 防火墻里第二頁選擇鏈接的網(wǎng)卡, 把里面FTP服務(wù)器的勾一定要去掉.
12. 運行權(quán)限設(shè)置腳本 priv.bat
13. 禁用以下服務(wù)
14. Computer Browser 維護網(wǎng)絡(luò)上計算機的最新列表以及提供這個列表
Routing and Remote Access 在局域網(wǎng)以及廣域網(wǎng)環(huán)境中為企業(yè)提供路由服務(wù)
Removable storage 管理可移動媒體、驅(qū)動程序和庫
Remote Registry Service 允許遠(yuǎn)程注冊表操作
Print Spooler 將文件加載到內(nèi)存中以便以后打印。要用打印機的朋友不能禁用這項
IPSEC Policy Agent 管理IP安全策略以及啟動ISAKMP/OakleyIKE)和IP安全驅(qū)動程序
Distributed Link Tracking Client 當(dāng)文件在網(wǎng)絡(luò)域的NTFS卷中移動時發(fā)送通知
Com+ Event System 提供事件的自動發(fā)布到訂閱COM組件
Alerter 通知選定的用戶和計算機管理警報
Error Reporting Service 收集、存儲和向 Microsoft 報告異常應(yīng)用程序
Messenger 傳輸客戶端和服務(wù)器之間的 NET SEND 和 警報器服務(wù)消息
Telnet 允許遠(yuǎn)程用戶登錄到此計算機并運行程序
15. 防止SYN洪水攻擊
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters]
"SynAttackProtect"=dword:00000002
"EnablePMTUDiscovery"=dword:00000000
"NoNameReleaseOnDemand"=dword:00000001
"EnableDeadGWDetect"=dword:00000000
"KeepAliveTime"=dword:00300000
"PerformRouterDiscovery"=dword:00000000
"TcpMaxConnectResponseRetransmissions"=dword:00000003
"TcpMaxHalfOpen"=dword:00000100
"TcpMaxHalfOpenRetried"=dword:00000080
"TcpMaxPortsExhausted"=dword:00000005
"EnableICMPRedirects"= dword:00000000
禁止IPC空連接:
cracker可以利用net use命令建立空連接,進(jìn)而入侵,還有net view,nbtstat這些都是基于空連接的,禁止空連接就好了。打開注冊表,找到Local_Machine/System/CurrentControlSet/Control/LSA RestrictAnonymous 把這個值改成”1”即可。
更改TTL
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameter
DefaultTTL REG_DWORD 0-0xff(0-255 十進(jìn)制,默認(rèn)值128)改成一個莫名其妙的數(shù)字如258
刪除默認(rèn)共享
有人問過我一開機就共享所有盤,改回來以后,重啟又變成了共享是怎么回事,這是2K為管理而設(shè)置的默認(rèn)共享,必須通過修改注冊表的方式取消它:HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/LanmanServer/Parameters
AutoShareServer類型是REG_DWORD把值改為0即可
重起后檢查共享目錄是否還存在. ipc$, c$, d$, e$,f$, admin$等
禁止建立空連接
默認(rèn)情況下,任何用戶通過通過空連接連上服務(wù)器,進(jìn)而枚舉出帳號,猜測密碼。我們可以通過修改注冊表來禁止建立空連接: Local_Machine/System/CurrentControlSet/Control/LSA-RestrictAnonymous 的值改成”1”即可。
