亚洲精品一区二区二三区-日韩一区二区二区在线-亚洲欧洲色黄a大片-亚洲激情av一区二区

法律法規(guī)
2003服務(wù)器安全設(shè)置 認(rèn)為還可以的一個(gè)
信息來(lái)源:一二三轉(zhuǎn)  /  發(fā)布時(shí)間:2010-6-21  /  瀏覽數(shù)量:
windows server2003是目前最為成熟的網(wǎng)絡(luò)服務(wù)器平臺(tái),安全性相對(duì)于windows 2000有大大的提高,但是2003默認(rèn)的安全配置不一定適合我們的需要,所以,我們要根據(jù)實(shí)際情況來(lái)對(duì)win2003進(jìn)行全面安全配置。說(shuō)實(shí)話(huà),安全配置是一項(xiàng)比較有難度的網(wǎng)絡(luò)技術(shù),權(quán)限配置的太嚴(yán)格,好多程序又運(yùn)行不起,權(quán)限配置的太松,又很容易被黑客入侵,做為網(wǎng)絡(luò)管理員,真的很頭痛,因此,我結(jié)合這幾年的網(wǎng)絡(luò)安全管理經(jīng)驗(yàn),總結(jié)出以下一些方法來(lái)提高我們服務(wù)器的安全性。 

第一招:正確劃分文件系統(tǒng)格式,選擇穩(wěn)定的操作系統(tǒng)安裝盤(pán) 

為了提高安全性,服務(wù)器的文件系統(tǒng)格式一定要?jiǎng)澐殖蒒TFS(新技術(shù)文件系統(tǒng))格式,它比FAT16、FAT32的安全性、空間利用率都大大的提高,我們可以通過(guò)它來(lái)配置文件的安全性,磁盤(pán)配額、EPS文件加密等。如果你已經(jīng)分成FAT32的格式了,可以用CONVERT 盤(pán)符 /FS:NTFS /V 來(lái)把FAT32轉(zhuǎn)換成NTFS格式。正確安裝windows 2003 server,在網(wǎng)安聯(lián)盟http://cqhk.14023/Soft/yyrj/bigsoft/200504/502.asp>有windows 2003的企業(yè)可升級(jí)版,這個(gè)一個(gè)完全破解了的版本,可以直接網(wǎng)上升級(jí),我們安裝時(shí)盡量只安裝我們必須要用的組件,安裝完后打上最新的補(bǔ)丁,到網(wǎng)上升級(jí)到最新版本!保證操作系統(tǒng)本身無(wú)漏洞。 

第二招:正確設(shè)置磁盤(pán)的安全性,具體如下(虛擬機(jī)的安全設(shè)置,我們以asp程序?yàn)槔?重點(diǎn): 

1、系統(tǒng)盤(pán)權(quán)限設(shè)置 

C:分區(qū)部分: 

c:\ 

administrators 全部(該文件夾,子文件夾及文件) 

CREATOR OWNER 全部(只有子文件來(lái)及文件) 

system 全部(該文件夾,子文件夾及文件) 

IIS_WPG 創(chuàng)建文件/寫(xiě)入數(shù)據(jù)(只有該文件夾) 

IIS_WPG(該文件夾,子文件夾及文件) 

遍歷文件夾/運(yùn)行文件 

列出文件夾/讀取數(shù)據(jù) 

讀取屬性 

創(chuàng)建文件夾/附加數(shù)據(jù) 

讀取權(quán)限 



c:\Documents and Settings 

administrators 全部(該文件夾,子文件夾及文件) 

Power Users (該文件夾,子文件夾及文件) 

讀取和運(yùn)行 

列出文件夾目錄 

讀取 

SYSTEM全部(該文件夾,子文件夾及文件) 



C:\Program Files 

administrators 全部(該文件夾,子文件夾及文件) 

CREATOR OWNER全部(只有子文件來(lái)及文件) 

IIS_WPG (該文件夾,子文件夾及文件) 

讀取和運(yùn)行 

列出文件夾目錄 

讀取 

Power Users(該文件夾,子文件夾及文件) 

修改權(quán)限 

SYSTEM全部(該文件夾,子文件夾及文件) 

TERMINAL SERVER USER (該文件夾,子文件夾及文件) 

修改權(quán)限 



2、網(wǎng)站及虛擬機(jī)權(quán)限設(shè)置(比如網(wǎng)站在E盤(pán)) 

說(shuō)明:我們假設(shè)網(wǎng)站全部在E盤(pán)wwwsite目錄下,并且為每一個(gè)虛擬機(jī)創(chuàng)建了一個(gè)guest用戶(hù),用戶(hù)名為vhost1...vhostn并且創(chuàng)建了一個(gè)webuser組,把所有的vhost用戶(hù)全部加入這個(gè)webuser組里面方便管理 

E:\ 

Administrators全部(該文件夾,子文件夾及文件) 

E:\wwwsite 



Administrators全部(該文件夾,子文件夾及文件) 

system全部(該文件夾,子文件夾及文件) 

service全部(該文件夾,子文件夾及文件) 



E:\wwwsite\vhost1 

Administrators全部(該文件夾,子文件夾及文件) 

system全部(該文件夾,子文件夾及文件) 

vhost1全部(該文件夾,子文件夾及文件) 



3、數(shù)據(jù)備份盤(pán) 

數(shù)據(jù)備份盤(pán)最好只指定一個(gè)特定的用戶(hù)對(duì)它有完全操作的權(quán)限 

比如F盤(pán)為數(shù)據(jù)備份盤(pán),我們只指定一個(gè)管理員對(duì)它有完全操作的權(quán)限 



4、其它地方的權(quán)限設(shè)置 

請(qǐng)找到c盤(pán)的這些文件,把安全性設(shè)置只有特定的管理員有完全操作權(quán)限 

下列這些文件只允許administrators訪(fǎng)問(wèn) 

net.exe 

net1.exet 

cmd.exe 

tftp.exe 

netstat.exe 

regedit.exe 

at.exe 

attrib.exe 

cacls.exe 

format 

5.刪除c:\inetpub目錄,刪除iis不必要的映射,建立陷阱帳號(hào),更改描述 

第三招:禁用不必要的服務(wù),提高安全性和系統(tǒng)效率 

Computer Browser 維護(hù)網(wǎng)絡(luò)上計(jì)算機(jī)的最新列表以及提供這個(gè)列表 

Task scheduler 允許程序在指定時(shí)間運(yùn)行 

Routing and Remote Access 在局域網(wǎng)以及廣域網(wǎng)環(huán)境中為企業(yè)提供路由服務(wù) 

Removable storage 管理可移動(dòng)媒體、驅(qū)動(dòng)程序和庫(kù) 

Remote Registry Service 允許遠(yuǎn)程注冊(cè)表操作 

Print Spooler 將文件加載到內(nèi)存中以便以后打印。要用打印機(jī)的朋友不能禁用這項(xiàng) 

I(yíng)PSEC Policy Agent 管理IP安全策略以及啟動(dòng)ISAKMP/OakleyIKE)和IP安全驅(qū)動(dòng)程序 

Distributed Link Tracking Client 當(dāng)文件在網(wǎng)絡(luò)域的NTFS卷中移動(dòng)時(shí)發(fā)送通知 

Com+ Event System 提供事件的自動(dòng)發(fā)布到訂閱COM組件 

Alerter 通知選定的用戶(hù)和計(jì)算機(jī)管理警報(bào) 

Error Reporting Service 收集、存儲(chǔ)和向 Microsoft 報(bào)告異常應(yīng)用程序 

Messenger 傳輸客戶(hù)端和服務(wù)器之間的 NET SEND 和 警報(bào)器服務(wù)消息 

Telnet 允許遠(yuǎn)程用戶(hù)登錄到此計(jì)算機(jī)并運(yùn)行程序 

第四招:修改注冊(cè)表,讓系統(tǒng)更強(qiáng)壯 

1、隱藏重要文件/目錄可以修改注冊(cè)表實(shí)現(xiàn)完全隱藏:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”,鼠標(biāo)右擊 “CheckedValue”,選擇修改,把數(shù)值由1改為0 

2、啟動(dòng)系統(tǒng)自帶的Internet連接_blank">防火墻,在設(shè)置服務(wù)選項(xiàng)中勾選Web服務(wù)器。 

3、防止SYN洪水攻擊 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 

新建DWORD值,名為SynAttackProtect,值為2 

EnablePMTUDiscovery REG_DWORD 0 

NoNameReleaseOnDemand REG_DWORD 1 

EnableDeadGWDetect REG_DWORD 0 

KeepAliveTime REG_DWORD 300,000 

PerformRouterDiscovery REG_DWORD 0 

EnableICMPRedirects REG_DWORD 0 

4. 禁止響應(yīng)ICMP路由通告報(bào)文 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface 

新建DWORD值,名為PerformRouterDiscovery 值為0 

5. 防止ICMP重定向報(bào)文的攻擊 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 

將EnableICMPRedirects 值設(shè)為0 

6. 不支持IGMP協(xié)議 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 

新建DWORD值,名為IGMPLevel 值為0 

7.修改終端服務(wù)端口 

運(yùn)行regedit,找到[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ Wds \ rdpwd \ Tds \ tcp],看到右邊的PortNumber了嗎?在十進(jìn)制狀態(tài)下改成你想要的端口號(hào)吧,比如7126之類(lèi)的,只要不與其它沖突即可。 

2、第二處HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp,方法同上,記得改的端口號(hào)和上面改的一樣就行了。 

8、禁止IPC空連接: 

cracker可以利用net use命令建立空連接,進(jìn)而入侵,還有net view,nbtstat這些都是基于空連接的,禁止空連接就好了。打開(kāi)注冊(cè)表,找到Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 把這個(gè)值改成”1”即可。 

9、更改TTL值 

cracker可以根據(jù)ping回的TTL值來(lái)大致判斷你的操作系統(tǒng),如: 

TTL=107(WINNT); 

TTL=108(win2000); 

TTL=127或128(win9x); 

TTL=240或241(linux); 

TTL=252(solaris); 

TTL=240(Irix); 

實(shí)際上你可以自己更改的:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters:DefaultTTL REG_DWORD 0-0xff(0-255 十進(jìn)制,默認(rèn)值128)改成一個(gè)莫名其妙的數(shù)字如258,起碼讓那些小菜鳥(niǎo)暈上半天,就此放棄入侵你也不一定哦 

10. 刪除默認(rèn)共享 
有人問(wèn)過(guò)我一開(kāi)機(jī)就共享所有盤(pán),改回來(lái)以后,重啟又變成了共享是怎么回事,這是2K為管理而設(shè)置的默認(rèn)共享,必須通過(guò)修改注冊(cè)表的方式取消它:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters:AutoShareServer類(lèi)型是REG_DWORD把值改為0即可 

11. 禁止建立空連接 

默認(rèn)情況下,任何用戶(hù)通過(guò)通過(guò)空連接連上服務(wù)器,進(jìn)而枚舉出帳號(hào),猜測(cè)密碼。我們可以通過(guò)修改注冊(cè)表來(lái)禁止建立空連接: 

Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成”1”即可。 

第五招:其它安全手段 

1.禁用TCP/IP上的NetBIOS 
網(wǎng)上鄰居-屬性-本地連接-屬性-Internet協(xié)議(TCP/IP)屬性-高級(jí)-WINS面板-NetBIOS設(shè)置-禁用TCP/IP上的NetBIOS。這樣cracker就無(wú)法用nbtstat命令來(lái)讀取你的NetBIOS信息和網(wǎng)卡MAC地址了。 

2. 賬戶(hù)安全 
首先禁止一切賬戶(hù),除了你自己,呵呵。然后把Administrator改名。我呢就順手又建了個(gè)Administrator賬戶(hù),不過(guò)是什么權(quán)限都沒(méi)有的那種,然后打開(kāi)記事本,一陣亂敲,復(fù)制,粘貼到“密碼”里去,呵呵,來(lái)破密碼吧~!破完了才發(fā)現(xiàn)是個(gè)低級(jí)賬戶(hù),看你崩潰不? 

創(chuàng)建2個(gè)管理員用帳號(hào) 

雖然這點(diǎn)看上去和上面這點(diǎn)有些矛盾,但事實(shí)上是服從上面的規(guī)則的。 創(chuàng)建一個(gè)一般權(quán)限帳號(hào)用來(lái)收信以及處理一些*常事物,另一個(gè)擁有Administrators 權(quán)限的帳戶(hù)只在需要的時(shí)候使用?梢宰尮芾韱T使用 “ RunAS” 命令來(lái)執(zhí)行一些需要特權(quán)才能作的一些工作,以方便管理 

3.更改C:\WINDOWS\Help\iisHelp\common\404b.htm內(nèi)容改為<META HTTP-EQUIV=REFRESH CONTENT="0;URL=/;">這樣,出錯(cuò)了自動(dòng)轉(zhuǎn)到首頁(yè) 

4. 安全日志 

我遇到過(guò)這樣的情況,一臺(tái)主機(jī)被別人入侵了,系統(tǒng)管理員請(qǐng)我去追查兇手,我登錄進(jìn)去一看:安全日志是空的,倒,請(qǐng)記住:Win2000的默認(rèn)安裝是不開(kāi)任何安全審核的!那么請(qǐng)你到本地安全策略->審核策略中打開(kāi)相應(yīng)的審核,推薦的審核是: 

賬戶(hù)管理 成功 失敗 

登錄事件 成功 失敗 

對(duì)象訪(fǎng)問(wèn) 失敗 

策略更改 成功 失敗 

特權(quán)使用 失敗 

系統(tǒng)事件 成功 失敗 

目錄服務(wù)訪(fǎng)問(wèn) 失敗 

賬戶(hù)登錄事件 成功 失敗 

審核項(xiàng)目少的缺點(diǎn)是萬(wàn)一你想看發(fā)現(xiàn)沒(méi)有記錄那就一點(diǎn)都沒(méi)轍;審核項(xiàng)目太多不僅會(huì)占用系統(tǒng)資源而且會(huì)導(dǎo)致你根本沒(méi)空去看,這樣就失去了審核的意義 

5. 運(yùn)行防毒軟件 

我見(jiàn)過(guò)的Win2000/Nt服務(wù)器從來(lái)沒(méi)有見(jiàn)到有安裝了防毒軟件的,其實(shí)這一點(diǎn)非常重要。一些好的殺毒軟件不僅能殺掉一些著名的病毒,還能查殺大量木馬和后門(mén)程序。這樣的話(huà),“黑客”們使用的那些有名的木馬就毫無(wú)用武之地了。不要忘了經(jīng)常升級(jí)病毒庫(kù),我們推薦mcafree殺毒軟件+blackice_blank">防火墻 

6.sqlserver數(shù)據(jù)庫(kù)服務(wù)器安全和serv-u ftp服務(wù)器安全配置,更改默認(rèn)端口,和管理密碼 

7.設(shè)置ip篩選、用blackice禁止木馬常用端口 

一般禁用以下端口 

135 138 139 443 445 4000 4899 7626 

8.本地安全策略和組策略的設(shè)置,如果你在設(shè)置本地安全策略時(shí)設(shè)置錯(cuò)了,可以這樣恢復(fù)成它的默認(rèn)值. 

打開(kāi) %SystemRoot%\Security文件夾,創(chuàng)建一個(gè) "OldSecurity"子目錄,將%SystemRoot%\Security下所有的.log文件移到這個(gè)新建的子文件夾中. 



在%SystemRoot%\Security\database\下找到"Secedit.sdb"安全數(shù)據(jù)庫(kù)并將其改名,如改為"Secedit.old". 



啟動(dòng)"安全配置和分析"MMC管理單元:"開(kāi)始"->"運(yùn)行"->"MMC",啟動(dòng)管理控制臺(tái),"添加/刪除管理單元",將"安全配置和分析"管理單元添加上. 



右擊"安全配置和分析"->"打開(kāi)數(shù)據(jù)庫(kù)",瀏覽"C:\WINNT\security\Database"文件夾,輸入文件名"secedit.sdb",單擊"打開(kāi)". 



當(dāng)系統(tǒng)提示輸入一個(gè)模板時(shí),選擇"Setup Security.inf",單擊"打開(kāi)". 



如果系統(tǒng)提示"拒絕訪(fǎng)問(wèn)數(shù)據(jù)庫(kù)",不管他. 



你會(huì)發(fā)現(xiàn)在"C:\WINNT\security\Database"子文件夾中重新生成了新的安全數(shù)據(jù)庫(kù),在"C:\WINNT\security"子文件夾下重新生成了log文件.安全數(shù)據(jù)庫(kù)重建成功. 


上一條: 什么是SEO 做網(wǎng)站SEO對(duì)網(wǎng)站有什么好處
下一條: 淺談?dòng)绊懖┌賰?yōu)優(yōu)化的百度因素
相關(guān)熱門(mén)資訊  News
一二三客戶(hù)案例

  123 NETWORK

合作共贏,助您打開(kāi)網(wǎng)絡(luò)營(yíng)銷(xiāo)財(cái)富之間!

sh-klkm.com

聯(lián)系方式

地址:湖南省長(zhǎng)沙市天心區(qū)韶山南路248號(hào)南園503室

電話(huà):13637482004    0731-88571521

網(wǎng)址:http://sh-klkm.com/

郵箱:123@123007.com

在線(xiàn)QQ咨詢(xún)

需求咨詢(xún)

價(jià)格咨詢(xún)

微信咨詢(xún)

掃一掃進(jìn)移動(dòng)端

版權(quán)所有 © 長(zhǎng)沙一二三網(wǎng)絡(luò)技術(shù)有限公司    統(tǒng)一社會(huì)信用代碼:91430103MACCH7984M    網(wǎng)站ICP備案號(hào):湘ICP備2023006748號(hào)     湘公網(wǎng)安備 43010302001803號(hào)        
大陆美女阴户特写毛片| 麻豆无限传媒免费在线观看| 91夜色在线精品国产| 极品少妇高潮喷水抽搐| 毛片免费观看一区二区三区| 欧美久久精品免费观看| 亚洲精品乱码一区二区| 国产精品亚洲av无人| 成人免费久久精品国产片久久影院| 久久精品免视看成人国产| 最全精品自拍视频在线| 日本一区二区在线观看av | 日本一区二区三区高清免费| 男人天堂亚洲天堂亚洲| 欧美日韩国产黄色免费| 国产第一页国产亚洲第一页| 色呦呦视频在线观看免费| 在线播放亚洲国产一区二区三| 精品国产高清在线观看国产| 91午夜精品福利视频| 日韩成人午夜福利影院| 日本高清视频在线网站不卡| 国产高清av在线免费播放| 亚洲簧片女同在线视频| 久久婷婷精品人人做人人爽| 蜜臀av一区二区三区久久| 国产人成视频在线观看| 国产老熟女视频一区二区| 亚洲综合精品一区二区| 亚洲综合精品一区二区| av成年女人毛片免费观看| 男人天堂手机在线视频| 中文系列一区二区人妻| 亚洲一级av高清在线观看| 麻豆视传媒视频在线观看| 日韩电影免费一区二区二| 日本福利网站亚洲区台| 国产人成精品综合欧美成人| 亚洲精品福利在线播放| 亚洲男人的天堂色偷免费| 麻豆91精品国产91|