windowsserver2013服务器加固

1、Windows Server 2003 服务器加固服务器加固前言前言v在网络日益发展的今天，网络作为我们日常生活获取信息不可分缺的一部分，针对网络的攻击也无时不刻的在我们身边,除了要注意个人PC的安全之外，还应该注重服务器安全，安全问题频发的网站服务器安全也就成了管理员们的最头疼的事。WEB服务器所面临的威胁和安全问题服务器所面临的威胁和安全问题威胁威胁安全安全问题问题黑客的频繁攻击(DDOS攻击、CC攻击、跨站、注入)程序的漏洞(敏感信息泄漏、应用程序BUG)系统漏洞(溢出)弱口令(简单密码、默认密码、常用密码)数据库(列目录、差异备份、LOG备份、存储过程)系统权限配置(运行、上传、写入)

2、IIS设置(脚本执行权限)FTPARP广泛的用户和组权限启用不必要的数据库功能失效的配置管理特权升级数据库未打补丁敏感数据未加密所带来的危害和损失所带来的危害和损失v网站程序被破坏或篡改v内部文件或信息泄漏v服务器被入侵导致恶意利用vARP嗅探致使用户或管理员信息泄漏v网站被植入木马、黑链接或广告v发布恶意内容并陷害v网站程序、作品或劳动成果被窃取v网站和数据库数据被恶意下载和利用v社会影响和公众影响 服务器和网站安全一直都是大家所关注的内容，我们今天以Windows Server 2003 Enterprise Edition Service Pack 1为例，为大家演示服务器的加固措施。一

3、、硬盘的分区一、硬盘的分区v一般比较常用的是FAT32和NTFS格式分区1.1FAT32格式缺点 采用FAT32格式对硬盘进行分区是无法设置访问权限的 ，如果要搭建网站或对某个文件夹、文件设置单独的访问权限是不行的，一旦网站建立起来对服务器以及网站就非常危险。这是一大禁忌，因此目前已被性能更优异的NTFS分区格式所取代1.2NTFS格式权限设置格式权限设置v系统盘和站点放置盘必须设置为NTFS格式,方便设置权限v针对系统盘和站点放置盘，将除administrators 和system的用户权限全部去除1.3设置方法设置方法二、防火墙设置二、防火墙设置v启用windows自带的防火墙可以满足我们

4、平常的需要v只保留我们需要的端口,比如远程和Web,Ftp(3389,80,21)等等 ，不使用的端口全部关闭掉,防止被恶意攻击者利用导致服务器沦陷如果还有需要的端口，可以自行添加如果还有需要的端口，可以自行添加三、系统账户安全三、系统账户安全v某些服务器管理员密码使用弱口令,而且默认的登录账户没有修改，许多无聊的攻击者会采用扫描终端的弱口令进行入侵v改名系统默认帐户名，并新建一个Administrator帐户作为陷阱帐户,设置超长密码,并让这个帐号不属于任何用户组。改名并禁用掉Guest用户 3.1本地安全策略设置本地安全策略设置 配置帐户锁定策略(在运行中输入gpedit.msc回车，打开

5、组策略编辑器，选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略，将账户设为“三次登陆无效”，“锁定时间30分钟”，“复位锁定计数设为30分钟”。)在安全设置里在安全设置里“本地策略本地策略-安全选项安全选项”将将以上四项清空以上四项清空1234网络访问 :可匿名访问的共享 ;网络访问:可匿名访问的命名管道 ;网络访问:可远程访问的注册表路径 ;网络访问:可远程访问的注册表路径和子路径 ;v 在安全设置里“本地策略-安全选项”通过终端服务拒绝登陆加入： ASPNET GuestIUSR_*IWAM_*NETWORK SERVICESQLDebugger (*表示你的机器名,具

6、体查找可以点击“添加用户或组”选“高级”选“立即查找”在列出的用户列表里选择.注意，不要添加进user组和administrators组。如果添加进去以后，就不能远程登陆了)更改更改本地安全策略的审核策略本地安全策略的审核策略 账户登录事件账户登录事件成功成功 失败失败目录服务访问目录服务访问失败失败 系统事件系统事件成功成功 失败失败特权使用特权使用失败失败 策略更改策略更改成功成功 失败失败对象访问对象访问失败失败 登录事件登录事件成功成功 失败失败账户管理账户管理成功成功 失败失败审核策略审核策略3.2去掉默认共享去掉默认共享v将以下文件存为reg后缀,然后执行导入即可.Windows

7、Registry Editor Version 5.00HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparametersAutoShareServer=dword:00000000AutoSharewks=dword:00000000关闭掉默认共享可以有效防止空口令或弱密码入侵3.3禁用危险的服务禁用危险的服务禁用不需要的和危险的服务,以下列出服务都需要禁用：Alerter 发送管理警报和通知Computer Browser:维护网络计算机更新Distributed File System: 局域网管理共享文件Dis

8、tributed linktracking client 用于局域网更新连接信息Error reporting service 发送错误报告Remote Procedure Call (RPC) Locator RpcNs*远程过程调用 (RPC) Remote Registry 远程修改注册表Removable storage 管理可移动媒体、驱动程序和库Remote Desktop Help Session Manager 远程协助Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务Messenger 消息文件传输服务Net Logon 域控制器通

9、道管理NT LMSecuritysupportprovide telnet服务和Microsoft Serch用的PrintSpooler 打印服务telnet telnet服务Workstation 泄漏系统用户名列表3.4设置系统文件权限设置系统文件权限v 一些系统文件经常被黑客利用，应设置其运行权限或删除（不使用的情况下）,也可放置到地方，并设置好权限v 更改有可能会被提权利用的文件运行权限。找到以下文件,将其安全设置里除administrators用户组全部删除,重要的是连system也不能留.文件包括：c.exe 特殊文件 有可能在你的计算机上找不到此文件.在搜索框里输入 net.e

10、xe,net1.exe,cmd.exe,tftp.exe,netstat.exe,regedit.exe,at.exe,attrib.exe,cacls.exe,c.exe 点击搜索 然后全选 右键 属性 安全四、关闭无用的组件四、关闭无用的组件v 某些组件长期被黑客利用，因此不使用应及时的关闭或卸载该组件FSO:运行regsvr32 scrrun.dll即可。如果想关闭FSO组件，请运行 regsvr32 /u scrrun.dll即可。如何让IIS支持Adodb.stream组件：adodb.stream组件：在开始-运行 中 输入：regsvr32 C:Program FilesComm

11、on FilesSystemadomsado15.dll即可再次支持adodb.stream组件五、对五、对FTP的设置的设置v FTP也经常是黑客们拿到服务器权限的途径之一，也是管理员们最忽略的地方v 电子政务厅服务器基本上都装有server-U，再次我们需要防止Serv-U权限提升。其实，注销了Shell组件之后，侵入者运行提升工具的可能性就很小了，但是prel等别的脚本语言也有shell能力。为此我们需要对此进行设置，具体方法如下：用Ultraedit打开ServUDaemon.exe查找Ascii：LocalAdministrator，和#l$ak#.lk;0P，修改成等长度的其它字符

12、就可以了，ServUAdmin.exe也一样处理。另外注意设置Serv-U所在的文件夹的权限，不要让IIS匿名用户有读取的权限。v根据长期的测试,我们发现国内大量的IDC服务商FTP都是采用Serv-U,并且未对注册表的权限进行设置，那么黑客可以任意读取FTP信息。在注册表中的具体位置是HKEY_LOCAL_MACHINESOFTWARECat SoftServ-UDomains1UserSettings，这里包含serv-u的信息以及用户名和密码v对注册表的权限进行设置或采用比较安全的FTPS六、针对六、针对WEB站点的权限设置站点的权限设置v对于WEB服务器，除了要把以上的安全设置好以外，还需要对站点用户、目录、脚本等进行特别的设置6.1用户设置用户设置6.2IIS用户设置用户设置v在IIS中，站点最好不要使用默认的c:inetpubwwwroot目录,应放在其他盘，有利于备份和恢复对网站目录的用户设置对网站目录的用户设置根据实际需要设置根据实际需要设置IIS访问用户的权限访问用户的权限6.3身份验证身份验证v有效防止黑客飞到网站权限后跨目录访问6.4目录执行权限目录执行权限v对黑客容易利用的目录进行权限设置(比如文件上传目录)总结总结v 如果不是远程对服务器进行安全配置，那么请在安装系统前就应该把网线拔掉v 尽量安装和运行