Windows服务器安全设置手册

1、作者：Pan Hon glia ng仅供个人学习Windows2003服务器安全设置一、系统的安装编辑本段回目录1、按照Windows2003安装光盘的提示安装，默认情况下2003没有把IIS6.0安装在系统里面。2、IIS6.0 的安装开始菜单一 控制面板一 添加或删除程序一 添加/删除Windows组件应用程序ASP.NET （可选）| 启用网络COM+访问（必选）|In ternet信息服务（IIS）In ternet信息服务管理器（必选）In ternet信息服务管理器（必选）| 公用文件（必选）|万维网服务Active Server pages （必选）|In ternet 数据连接

2、器（可选）| WebDAV发布（可选）| 万维网服务（必选）| 在服务器端的包含文件（可选）然后点击确定一 下一步安装。（具体见本文附件1）3、系统补丁的更新点击开始菜单一 所有程序一Windows Update按照提示进行补丁的安装。4、备份系统用GHOSTS份系统。5、安装常用的软件例如：杀毒软件、解压缩软件等；安装完毕后，配置杀毒软件，扫描系统漏洞，安装之后用GHOST再次备份系统。6、先关闭不需要的端口开启防火墙 导入IPSEC策略在“网络连接”里，把不需要的协议和服务都删掉，这里只安装了基本的In ternet协议（TCP/IP），由于要控制带宽流量服务，额外安装了 Qos数据包计划

3、程序。在高级 tcp/ip 设置里-"NetBIOS"设置"禁用tcp/IP 上的NetBIOS （S）"。在高级选项里，使用"Internet 连接防火墙”，这是windows 2003 自 带的防火墙，在2000系统里没有的功能，虽然没什么功能，但可以屏蔽端口，这样已经基 本达到了一个IPSec的功能。修改3389远程连接端口修改注册表.开始-运行-regedit依次展开HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/WDS/RDPWD/TDS/TCP右

4、边键值中PortNumber 改为你想用的端口号注意使用十进制（例10000 ）HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMRVER/WINSTATIONS/RDP-TCP/右边键值中PortNumber 改为你想用的端口号.注意使用十进制（例10000 ）注意：别忘了在 WINDOWS200自带的防火墙给+上 10000端口修改完毕.重新启动服务器.设置生效.二、用户安全设置 编辑本段回目录1、禁用Guest账号在计算机管理的用户里面把 Guest账号禁用。为了保险起见，最好给Guest加一个复杂的密 码。你可以打开记事本，

5、在里面输入一串包含特殊字符、数字、字母的长字符串，然后把它 作为Guest用户的密码拷进去。2、限制不必要的用户去掉所有的Duplicate User用户、测试用户、共享用户等等。用户组策略设置相应权限， 并且经常检查系统的用户，删除已经不再使用的用户。这些用户很多时候都是黑客们入侵系统的突破口。3、 把系统Administrator账号改名大家都知道， Windows 2003 的Administrator 用户是不能被停用的，这意味着别人可以 一遍又一遍地尝试这个用户的密码。尽量把它伪装成普通用户，比如改成Guesycludx。4、创建一个陷阱用户什么是陷阱用户？即创建一个名为"

6、Administrator”的本地用户，把它的权限设置成最低，什么事也干不了的那种，并且加上一个超过 10位的超级复杂密码。这样可以让那些Hacker们忙上一段时间，借此发现它们的入侵企图。5、 把共享文件的权限从Everyone组改成授权用户任何时候都不要把共享文件的用户设置成“ Everyone ”组，包括打印共享，默认的属性就是“Everyone ”组的，一定不要忘了改。6、开启用户策略使用用户策略，分别设置复位用户锁定计数器时间为20分钟，用户锁定时间为20分钟，用户锁定阈值为3次。（该项为可选）7、不让系统显示上次登录的用户名默认情况下，登录对话框中会显示上次登录的用户名。这使得别人

7、可以很容易地得到系统的一些用户名，进而做密码猜测。修改注册表可以不让对话框里显示上次登录的用户名。方法为：打开注册表编辑器并找到注册表“ HKLMSoftwareMicrosoftWi ndowsTCurre ntVersio nWinlogonDont-DisplayLastUserName"，把 REG_SZ勺键值改成 1。密码安全设置1使用安全密码一些公司的管理员创建账号的时候往往用公司名、计算机名做用户名，然后又把这些用户的密码设置得太简单，比如" welcome ”等等。因此，要注意密码的复杂性，还要记住经常改 密码。2、设置屏幕保护密码这是一个很简单也很有必要的

8、操作。设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。3、开启密码策略注意应用密码策略， 如启用密码复杂性要求，设置密码长度最小值为 6位，设置强制密码历史为5次，时间为42天。4、考虑使用智能卡来代替密码对于密码，总是使安全管理员进退两难，密码设置简单容易受到黑客的攻击，密码设置复杂又容易忘记。如果条件允许，用智能卡来代替复杂的密码是一个很好的解决方法。三、系统权限的设置编辑本段回目录1、磁盘权限系统盘及所有磁盘只给Admi nistrators组禾口SYSTEM的完全控制权限系统盘 DocumentsandSetti ngs目录只给Admi nistrators组和 SYSTEM 的

9、完全控制权限系统盘 DocumentsandSett in gsAllUsers目录只给Admi nistrators组和 SYSTEM的完全控制权限系统盘 WindowsSystem32cacls.exe、cmd.exe、net.exe、net1.exe、ftp.exe 、tftp.exe、teInet.exe、netstat.exe、regedit.exe 、at.exe 、attrib.exe 、 、del文件只给Administrators 组和SYSTEM的完全 控制权限另将System32cmd.exe、ftp.exe 转移到其他目录或更名Docume nts and Setti

10、ngs 下所有些目录都设置只给adi nistrators权限。并且要一个一个目录查看，包括下面的所有子目录。删除c:inetpub 目录2、本地安全策略设置开始菜单一 管理工具一 本地安全策略A、本地策略 审核策略审核策略更改成功失败审核登录事件成功失败审核对象访问失败审核过程跟踪无审核审核目录服务访问失败审核特权使用失败审核系统事件成功失败审核账户登录事件成功失败审核账户管理成功失败B本地策略一一 用户权限分配关闭系统：只有 Admi nistrators组、其它全部删除。Desktop Users 组，其他全通过终端服务允许登陆：只加入Administrators,Remote部删除C本

11、地策略一一 安全选项交互式登陆：不显示上次的用户名启用网络访问：不允许 SAM帐户和共享的匿名枚举启用网络访问：不允许为网络身份验证储存凭证启用网络访问：可匿名访问的共享全部删除网络访问：可匿名访问的命全部删除网络访问：可远程访问的注册表路径全部删除网络访问：可远程访问的注册表路径和子路径全部删除帐户：重命名来宾帐户重命名一个帐户帐户：重命名系统管理员帐户重命名一个帐户3、禁用不必要的服务 开始-运行-services.mscTCP/IPNetBIOS Helper提供 TCP/IP服务上的NetBIOS 和网络上客户端的 NetBIOS名称解析的支持而使用户能够共享文件、打印和登录到网络Se

12、rver支持此计算机通过网络的文件、打印、和命名管道共享Computer Browser 维护网络上计算机的最新列表以及提供这个列表Task scheduler允许程序在指定时间运行Messenger传输客户端和服务器之间的NET SEND和警报器服务消息Distributed File System:局域网管理共享文件，不需要可禁用Distributedlin ktracki ngclie nt :用于局域网更新连接信息，不需要可禁用Errorreportingservice :禁止发送错误报告MicrosoftSerch :提供快速的单词搜索，不需要可禁用NTLMSecuritysuppo

13、rtprovide : tel net 服务和 Microsoft Serch 用的，不需要可禁用Prin tSpooler :如果没有打印机可禁用Remote Registry :禁止远程修改注册表Remote Desktop Help Sessi on Man ager:禁止远程协助Workstation关闭的话远程NET命令列不出用户组以上是在 Windows Server 2003 系统上面默认启动的服务中禁用的，默认禁用的服务如没特别需要的话不要启动。4、修改注册表修改注册表，让系统更强壮1隐藏重要文件/目录可以修改注册表实现完全隐藏HKEY_LOCAL_MACHINESOFTWAR

14、EMicrosoftWi ndowsCurre nt-Versio nExplorerAdva ncedFolderHi-dden'SHOWAL”，鼠标右击“CheckedValue ”，选择修改，把数值由1改为02. 防止SYN洪水攻击HKEY_LOCAL_MACHINESYSTEMCurre ntCo ntrolSetServicesTcpipParameters 新建 DWOR值，名为 SynAttackProtect，值为 2新建 EnablePMTUDiscoveryREG_DWORD)新建 NoNameRelease On Dema nd REG_DWORD新建 Enabl

15、eDeadGWDetect REG_DWORD)新建 KeepAliveTime REG_DWORD300,000新建 PerformRouterDiscoveryREG_DWORD)新建 EnableICMPRedirectsREG_DWORD)3. 禁止响应ICMP路由通告报文HKEY_LOCAL_MACHINESYSTEMCurre ntCon trolSetServicesTcpipParametersI nterfacesi nterface新建 DWOR值，名为 PerformRouterDiscovery 值为 04. 防止ICMP重定向报文的攻击HKEY_LOCAL_MACHI

16、NESYSTEMCurre ntCo ntrolSetServicesTcpipParameters将 EnableICMPRedirects值设为 05. 不支持IGMP协议HKEY_LOCAL_MACHINESYSTEMCurre ntCo ntrolSetServicesTcpipParameters 新建DWOR值，名为IGMPLevel 值为06、禁止IPC空连接：cracker可以利用net use命令建立空连接，进而入侵，还有net view , nbtstat 这些都是基于空连接的，禁止空连接就好了。Local_Machi neSystemCurre ntCon trolSet

17、'C on trol'LSA-RestrictA non ymous把这个值改成” 1”即可。7、更改TTL值cracker可以根据ping回的TTL值来大致判断你的操作系统，如：TTL=107(WINNT);TTL=108(wi n2000);TTL=127 或 128(win9x);TTL=240 或 241(linux);TTL=252(solaris);TTL=240(lrix);实际上你可以自己改的：HKEY_LOCAL_MACHINESYSTEMCurre ntCo ntrolSetServicesTcpip Parameters:DefaultTTL REG_DW

18、ORDD-0xff(0-255 十进制，默认值128)改成一个莫名其妙的数字如258,起码让那些小菜鸟晕上半天，就此放弃入侵你也不一定哦8. 删除默认共享有人问过我一开机就共享所有盘，改回来以后，重启又变成了共享是怎么回事，这是2K为管理而设置的默认共享，HKEY_LOCAL_MACHINESYSTEMCurre ntCo ntrolSetServicesLanmanServerParameters: AutoShareServer 类型是 REG_DWORD值改为 0 即可9. 禁止建立空连接猜测密码。我们可以的值改成”默认情况下，任何用户通过通过空连接连上服务器，进而枚举出帐号，通过修改注

19、册表来禁止建立空连接：Local_Machi neSystemCurre ntC on trolSetC on trol'LSA-RestrictA non ymous1”即可。10、建立一个记事本，填上以下代码。保存为 *.bat并加到启动项目中netsharec$/delnetshared$/delnetsharee$/delnetsharef$/delnetshareipc$/delnet share adm in$ /del5、IIS站点设置：1将IIS目录&数据与系统磁盘分开，保存在专用磁盘空间内。2、启用父级路径3、在IIS管理器中删除必须之外的任何没有用到的映射（

20、保留 asp等必要映射即可）4、 在IIS中将HTTP404 Object Not Found出错页面通过 URL重定向到一个定制 HTM文件5、Web站点权限设定（建议）读允许写不允许脚本源访问 不允许目录浏览建议关闭日志访问建议关闭索引资源建议关闭执行推荐选择“仅限于脚本”6、 建议使用 W3C扩充日志文件格式，每天记录客户IP地址，用户名，服务器端口，方法，URI字根，HTTP状态，用户代理，而且每天均要审查日志。（最好不要使用缺省的目录，建议更换一个记日志的路径，同时设置日志的访问权限，只允许管理员和system为FullControl ）。7、程序安全：1）涉及用户名与口令的程序最好

21、封装在服务器端，尽量少的在ASP文件里出现，涉及到与数据库连接地用户名与口令应给予最小的权限；2）需要经过验证的ASP页面，可跟踪上一个页面的文件名，只有从上一页面转进来的会话 才能读取这个页面。3）防止ASP主页.inc文件泄露问题；4）防止UE等编辑器生成文件泄露问题。6、IIS权限设置的思路?要为每个独立的要保护的个体（比如一个网站或者一个虚拟目录）创建一个系统用户，让这个站点在系统中具有惟一的可以设置权限的身份。?在IIS的【站点属性或者虚拟目录属性t目录安全性t匿名访问和验证控制t编辑t匿名访问t编辑】填写刚刚创建的那个用户名。?设置所有的分区禁止这个用户访问，而刚才这个站点的主目录

22、对应的那个文件夹设置允许这个用户访问（要去掉继承父权限，并且要加上超管组和SYSTEM!）。7、卸载最不安全的组件.BAT文件,最简单的办法是直接卸载后删除相应的程序文件。将下面的代码保存为一个（ 以下均以 WIN2000为例，如果使用 2003，则系统文件夹应该是C:WINDOWS ）regsvr32/u C:WINDOWSSystem32wshom.ocxdel C:WINDOWSSystem32wshom.ocxregsvr32/u C:WINDOWSsystem32shell32.dlldel C:WINNTWINDOWSshell32.dllWScript.Network就会被卸载了

23、。然后运行一下，WScript.Shell,Shell. applicatio n.可能会提示无法删除文件，不用管它，重启一下服务器，你会发现这三个都提示“x安全” 了。服务器溢岀提权攻击的解决办法 编辑本段回目录一、如何防止溢出类攻击1、 尽最大的可能性将系统的漏洞补丁都打完，最好是比如Microsoft Win dows Server系列的系统可以将自动更新服务打开，然后让服务器在您指定的某个时间段内自动连接到 Microsoft Update网站进行补丁的更新。如果您的服务器为了安全起见禁止了对公网外部的连接的话，可以用 Microsoft WSUS服务在内网进行升级。2、停掉一切不需要

24、的系统服务以及应用程序，最大限能的降底服务器的被攻击系数。比如前阵子的MSDT（溢出，就导致很多服务器挂掉了。其实如果 WEBO服务器根本没有用到MSDTC艮务时，您大可以把 MSDTC艮务停掉，这样 MSDT（溢出就对您的服务器不构成任何威 胁了。3、 启动TCP/IP端口的过滤，仅打开常用的TCP如 21、80、25、110、3389等端口 ；如果安全要求级别高一点可以将UDP端口关闭，当然如果这样之后缺陷就是如在服务器上连外部就不方便连接了，这里建议大家用IPSec来封UDP在协议筛选中”只允许"TCP协议（协议 号为：6）、UDP协议（协议号为：17）以及RDP协议（协议号为

25、：27）等必需用协议即可；其它 无用均不开放。4、 启用IPSec策略：为服务器的连接进行安全认证，给服务器加上双保险。如所说，可以在这里封掉一些危险的端品诸如:135 145 139 445 以及UDP对外连接之类、以及对通读进行加密与只与有信任关系的IP或者网络进行通讯等等。（注:其实防反弹类木马用IPSec简单的禁止UDP或者不常用TCP端口的对外访问就成了 ，关于IPSec的如何应用这里就不再敖续，可以到服安讨论 Search "IPSec"，就会有N多关于IPSec的应用资料.）5、 删除、移动、更名或者用访问控制表列Access Co ntrol Lists （

26、ACLs）控制关键系统文件、命令及文件夹：（1）.黑客通常在溢出得到 shell后，来用诸如 net.exe net1.exe ipconfig.exeuser.exe query.exe regedit.exe regsvr32.exe来达到进一步控制服务器的目的如：加账号了，克隆管理员了等等；这里可以将这些命令程序删除或者改名。（注意:在删除与改名时先停掉文件复制服务（FRS）或者先将下的对应文件删除或改名。）（2） .也或者将这些.exe文件移动到指定的文件夹，这样也方便以后管理员自己使用。（3）.访问控制表列 ACLS控制：找到 windir%system32 下找到 cmd.exe、

27、cmd32.exe n et.exe n et1.exe ipc on fig.exe tftp.exe ftp.exe user.exe reg.exe regedit.exeregedt32.exe regsvr32.exe这些黑客常用的文件，在"属性”宀"安全”中对他们进行访问的ACLs用户进行定义，诸如只给administrator有权访问，如果需要防范一些溢出攻击、以及溢出成功后对这些文件的非法利用，那么只需要将system用户在ACLs中进行拒绝访问即可。（4） .如果觉得在GUI下面太麻烦的话，也可以用系统命令的 CACLS.EXE来对这些.exe 文件的Ac

28、ls进行编辑与修改，或者说将他写成一个.bat批处理文件来执行以及对这些命令进行修改。（具体用户自己参见 cacls /?帮助进行，由于这里的命令太多就不一一列举写成批处理代码给各位了!）（5） .对磁盘如C/D/E/F等进行安全的ACLS设置从整体安全上考虑的话也是很有必要 的，另外特别是 win2k，对 Winnt、WinntSystem、Document and Setting等文件夹。6、 进行注册表的修改禁用命令解释器：（如果您觉得用的方法太烦琐的话，那么您不防试试下面一劳永逸的办法来禁止CMD勺运行，通过修改注册表，可以禁止用户使用命令解释器（CMD.exe）和运行批处理文件（.b

29、at文件）。具体方法：新建一个双字节（REG_DWORD） 行 HKEY_CURRENT_USERSoftwarePolicies MicrosoftWi ndowsSystemDisableCMD ，修 改其值为1,命令解释器和批处理文件都不能被运行。修改其值为2,则只是禁止命令解释器的运行，反之将值改为0,则是打开CMS命令解释器。如果您赚手动太麻烦的话，请将下面的代码保存为*.reg文件，然后导入。Win dows Registry Editor Version 5.00HKEY_CURRENT_USERSoftwarePoliciesMicrosoftWi ndows'Syst

30、em"DisableCMD"=dword:000000017、对一些以System权限运行的系统服务进行降级处理。（诸如：将Serv-U、Imail、IIS、Php、Mssql、Mysql等一系列以System权限运行的服务或者应用程序换成其它administrators成员甚至users权限运行，这样就会安全得多了 但前提是需要对这些基本运行状态、调用 API等相关情况较为了解.）其实，关于防止如 Overflow溢出类攻击的办法除了用上述的几点以外，还有N多种办法：诸如用组策略进行限制，写防护过滤程序用DLL方式加载windows到相关的SHell以及动态链接程序之中这

31、类。当然自己写代码来进行验证加密就需要有相关深厚的Win32编程基础了，以及对Shellcode较有研究；由于此文仅仅是讨论简单的解决办法，因此其它办法就 不在这里详述了。二、如何防止溢出获取 Shell后对系统的进一步入侵1、 在做好1中上述的工作之后， 基本上可以防目骇客在溢出之后得到shell 了 ;因为即使Overflow溢出成功，但在调用CMDSHELL以及对外联接时就卡了。（为什么呢，因为:1.溢出后程序无法再调用到CMDSHL已经禁止system访问CMD.exe了。2.溢出之后在进行反弹时已经无法对外部IP进行连接了。所以，基本上要能过system权限来反弹shell就较困 难

32、的了）2、 当然世界上是不存在绝对的安全的，假设入侵者在得到了用户的shell之后，做些什么呢？一般入侵者在在得到 shell之后，就会诸如利用系统命令加账号了通过tftp、ftp、vbs等方式传文件了等等来达到进一步控制服务器。这里通过1上述的办法对命令进行了限制，入侵者是没有办法通过tftp、ftp来传文件了，但他们仍然可以能过echo写批处理，用批处理通过脚本 BAT/VBS/VBA等从WEBt下载文件，以及修改其它盘类的文件等潜在破坏 行为。所以用户需要将 echo命令也限制以及将其它盘的System写、修改文件的权限进行处理。以及将VBS/VBA类脚本以及XMLhttp等组件进行禁用或者限制system的运行权。这样的话别人得到Shell也无法对服务器上的文件进行删除以及进行步的控制系统了；以及本地提权反弹Shell 了。版权申明本文部分内容，包括文字、图片、以及设计等在网上搜集整理。版权为潘宏亮个人所有This article in eludes someparts, in cludi ng text, pictures, and desig n. Copyright is Pa