WIN2003服务器加固

1、在网络日益发展的今天，网络作为我们日常生活获取信息不可分缺的一部分，针对网络的攻击也无时不刻的在我们身边,除了要注意个人PC的安全之外，还应该注重服务器安全，安全问题频发的网站服务器安全也就成了管理员们的最头疼的事。威胁威胁安全安全问题问题黑客的频繁攻击(DDOS攻击、CC攻击、跨站、注入)程序的漏洞(敏感信息泄漏、应用程序BUG)系统漏洞(溢出)弱口令(简单密码、默认密码、常用密码)数据库(列目录、差异备份、LOG备份、存储过程)系统权限配置(运行、上传、写入)IIS设置(脚本执行权限)FTPARP广泛的用户和组权限启用不必要的数据库功能失效的配置管理特权升级数据库未打补丁敏感数据未加密网站

2、程序被破坏或篡改内部文件或信息泄漏服务器被入侵导致恶意利用ARP嗅探致使用户或管理员信息泄漏网站被植入木马、黑链接或广告发布恶意内容并陷害网站程序、作品或劳动成果被窃取网站和数据库数据被恶意下载和利用社会影响和公众影响 服务器和网站安全一直都是大家所关注的内容，我们今天以Windows Server 2003 Enterprise Edition Service Pack 1为例，为大家演示服务器的加固措施。一般比较常用的是FAT32和NTFS格式分区 采用FAT32格式对硬盘进行分区是无法设置访问权限的 ，如果要搭建网站或对某个文件夹、文件设置单独的访问权限是不行的，一旦网站建立起来对服务器

3、以及网站就非常危险。这是一大禁忌，因此目前已被性能更优异的NTFS分区格式所取代系统盘和站点放置盘必须设置为NTFS格式,方便设置权限针对系统盘和站点放置盘，将除administrators 和system的用户权限全部去除启用windows自带的防火墙可以满足我们平常的需要只保留我们需要的端口,比如远程和Web,Ftp(3389,80,21)等等 ，不使用的端口全部关闭掉,防止被恶意攻击者利用导致服务器沦陷某些服务器管理员密码使用弱口令,而且默认的登录账户没有修改，许多无聊的攻击者会采用扫描终端的弱口令进行入侵改名系统默认帐户名，并新建一个Administrator帐户作为陷阱帐户,设置超长

4、密码,并让这个帐号不属于任何用户组。改名并禁用掉Guest用户 配置帐户锁定策略(在运行中输入gpedit.msc回车，打开组策略编辑器，选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略，将账户设为“三次登陆无效”，“锁定时间30分钟”，“复位锁定计数设为30分钟”。)以上四项清空以上四项清空1234网络访问 :可匿名访问的共享 ;网络访问:可匿名访问的命名管道 ;网络访问:可远程访问的注册表路径 ;网络访问:可远程访问的注册表路径和子路径 ;在安全设置里“本地策略-安全选项”通过终端服务拒绝登陆加入： ASPNET GuestIUSR_*IWAM_*NETWORK SER

5、VICESQLDebugger (*表示你的机器名,具体查找可以点击“添加用户或组”选“高级”选“立即查找”在列出的用户列表里选择.注意，不要添加进user组和administrators组。如果添加进去以后，就不能远程登陆了) 账户登录事件账户登录事件成功成功 失败失败目录服务访问目录服务访问失败失败 系统事件系统事件成功成功 失败失败特权使用特权使用失败失败 策略更改策略更改成功成功 失败失败对象访问对象访问失败失败 登录事件登录事件成功成功 失败失败账户管理账户管理成功成功 失败失败审核策略审核策略将以下文件存为reg后缀,然后执行导入即可.Windows Registry Editor

6、 Version 5.00HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparametersAutoShareServer=dword:00000000AutoSharewks=dword:00000000关闭掉默认共享可以有效防止空口令或弱密码入侵禁用不需要的和危险的服务,以下列出服务都需要禁用：Alerter 发送管理警报和通知Computer Browser:维护网络计算机更新Distributed File System: 局域网管理共享文件Distributed linktracking client 用于局

7、域网更新连接信息Error reporting service 发送错误报告Remote Procedure Call (RPC) Locator RpcNs*远程过程调用 (RPC) Remote Registry 远程修改注册表Removable storage 管理可移动媒体、驱动程序和库Remote Desktop Help Session Manager 远程协助Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务Messenger 消息文件传输服务Net Logon 域控制器通道管理NT LMSecuritysupportprovide t

8、elnet服务和Microsoft Serch用的PrintSpooler 打印服务telnet telnet服务Workstation 泄漏系统用户名列表一些系统文件经常被黑客利用，应设置其运行权限或删除（不使用的情况下）,也可放置到地方，并设置好权限更改有可能会被提权利用的文件运行权限。找到以下文件,将其安全设置里除administrators用户组全部删除,重要的是连system也不能留.文件包括：c.exe 特殊文件 有可能在你的计算机上找不到此文件.在搜索框里输入 net.exe,net1.exe,cmd.exe,tftp.exe,netstat.exe,regedit.exe,at

9、.exe,attrib.exe,cacls.exe,c.exe 点击搜索 然后全选 右键 属性 安全某些组件长期被黑客利用，因此不使用应及时的关闭或卸载该组件FSO:运行regsvr32 scrrun.dll即可。如果想关闭FSO组件，请运行 regsvr32 /u scrrun.dll即可。如何让IIS支持Adodb.stream组件：adodb.stream组件：在开始-运行 中 输入：regsvr32 C:Program FilesCommon FilesSystemadomsado15.dll即可再次支持adodb.stream组件FTP也经常是黑客们拿到服务器权限的途径之一，也是管理

10、员们最忽略的地方电子政务厅服务器基本上都装有server-U，再次我们需要防止Serv-U权限提升。其实，注销了Shell组件之后，侵入者运行提升工具的可能性就很小了，但是prel等别的脚本语言也有shell能力。为此我们需要对此进行设置，具体方法如下：用Ultraedit打开ServUDaemon.exe查找Ascii：LocalAdministrator，和#l$ak#.lk;0P，修改成等长度的其它字符就可以了，ServUAdmin.exe也一样处理。另外注意设置Serv-U所在的文件夹的权限，不要让IIS匿名用户有读取的权限。根据长期的测试,我们发现国内大量的IDC服务商FTP都是采用

11、Serv-U,并且未对注册表的权限进行设置，那么黑客可以任意读取FTP信息。在注册表中的具体位置是HKEY_LOCAL_MACHINESOFTWARECat SoftServ-UDomains1UserSettings，这里包含serv-u的信息以及用户名和密码对注册表的权限进行设置或采用比较安全的FTPS对于WEB服务器，除了要把以上的安全设置好以外，还需要对站点用户、目录、脚本等进行特别的设置在IIS中，站点最好不要使用默认的c:inetpubwwwroot目录,应放在其他盘，有利于备份和恢复有效防止黑客飞到网站权限后跨目录访问对黑客容易利用的目录进行权限设置(比如文件上传目录)如果不是远程对服务器进行安全配置，那么请在安装系统前就应该把网线拔掉尽量安装和运行越少的应用程序和服务，安装时且不要