服务器操作手册

效劳器操作手册应用效劳器操作系统的安装安装操作系统〔略〕全部设置依据默认，安装完成后仅安装需要的工具，不要乱装其他软件。安装驱动程序〔略〕C〕:C:\50gD:\100gE:\80gF:\20g〕安装关键系统补丁〔0安全卫士〔瑞星卡卡E〕安装反病毒软件〔0安全卫士〔瑞星卡卡F〕在线升级操作系统补丁，全部的安全补丁都打上，保持最。H〕在线升级反病毒软件病毒库。备注:360ARP防火墙开启GHOST重启后,SQLSERVER2023安装路径为D盘DSQL数据库文件夹E盘为数据备份文件夹F盘为程序,GHOST文件存储文件夹SQL2023自动备份局部1、SQL代理效劳选择启动2、创立数据库维护打算,下一步3、选择要维护的数据库4、修改调度时间5、设置作业时间6、设置备份路径7、设置备份事物日志8、完成9、9、选择备份的数据库，故障复原模型为“完全4IIS局部IIS匿名用户问题WindowsServer2023GS3.2或以前版本，然后登录时，401.1未经授权：由于S5处理此问题的步骤如下：Internet信息效劳〔IIS〕cwbase。右键点击cwbaseCtrl+Home到行首，Shift+End到行尾，Ctrl+C拷贝路径，翻开记事本，粘贴，用作下一步重创立虚拟名目用。cwbasecwbase，选择删除。重创立虚拟名目：右键点击【默认网站选择【下一步cwbase，然后选择【下一步来了原来的名目，则直接粘贴到输入框中即可，也可以通过扫瞄的方式手工选择路径，如以以下图：进入虚拟名目权限设置局部，选中【读取】与【运行脚本虚拟名目创立完毕。IIS其他安全选项最初安装IISIIS只为静态内容供给效劳－即，ASP、ASP.NET、在效劳器端的包含文件、WebDAV公布与FrontServerExtensions等功能只有在启用时才工作。假设您在安装IIS之后未启用该功能，则IIS返回一个404错误。您可以为动态IIS治理器中的Web效劳扩展节点启用这些功能。启用父路径、启用缓冲：启用匿名用户访问：文件夹权限：选择属性【安全】(Permissions)【添加】(Add…)-(Advanced…)IUSR_XXXX的用户权限。)Web效劳扩展：404，如以以下图IIS6ASP扩展的，因此不能访问，需要开启。从SberT也要允许如以以下图：C)IIS工作进程IIS6.0使用的恳求处理构造与应用程序隔离环境来使单个Web应用程序在独立的工作进程中工作。该环境防止一个应用程序或网站停顿另一个应用程序或网站，并削减了治理员在重启动效劳以订正与应用主动型应用程序池运行状况监视但是设置不当会带来一些麻烦。IIScwbase所在的应用程序池假设自己没有改动会在DefaultAppPool。翻开其属性，类似以以下图的设置可能导致问题：IISCPU5分钟检查一次，假设检查时的值超过了60%，那么将关闭IIS的工作进程。这是客户端访问会消灭下面的“效劳不行用的”提示：此设置默认是未开启的，假设有需要开启，请权衡阀值，假设刷时间较短，CPU阀值较低，那么消灭这种状况可能比较频繁。其他几个关于工作进程的设置也会导致类似问题，但是几率低一些，假设遇到类似问题，请从今出着手。独立的数据库效劳器与应用效劳器a) SQLServer的状况-数据库效劳器：端口协议作用设置方法1433TCP连接监听默认135TCPRPC默认动态安排TCPRPC动态端口安排错误!未找到引用源。其次章效劳器的安全配置一、windows权限设置1S效劳器有些细节地方需要留意的C盘只给administrators与system权限也不愿定需要给，只是由于某些第三方应用程序是以效劳形式启动的，需要加上这个用户，否则造成启动不了。2、Windows名目要加上给users的默认权限，否则ASPASPX另外在c:/DocumentsandSettings/这里相当重要，后面的名目里的权限根本不会继承从前的设置，假设仅仅只是设置了C盘给administrators权限，而在AllUsers\ApplicationDataeveryone用户有完全把握权限，这样入侵这可以跳转到这个名目，写入脚本或只文件，再结合其他漏洞来提升权限；譬如利用serv-u的本地溢出提升权限，或系统遗漏有补丁，数据库的弱点。在用做web\ftp3、每个盘都只给adinistrators权限。另外，还将：net.exe，cmd.exe，t，netstat.exe，regedit.exe，at.exe，attrib.exe，cacls.exe，这些文件都设置只允许administrators访问。4、硬盘或文件夹:C:\D:\E:\F:\Administrators完全把握无该文件夹，子文件夹及文件<不是继承的>CREATOROWNER完全把握只有子文件夹及文件<不是继承的>SYSTEM完全把握该文件夹，子文件夹及文件<不是继承的>二、网络设置1、在“网络连接”里，把不需要的协议与效劳都删掉，这里只安装了根本的Internet协议〔TCP/I，由于要把握带宽流量效劳，额外安装了Qos数据包打算程序。在高级tcp/ip设置里--“NetBIOS”设置“禁用tcp/IP上的NetBIO〔“Internet连接防火墙”，这是windows2023自带的_blank“2023能，但可以屏蔽端口，这样已经根本到达了一个IPSec2、SERV-UFTP“Block““attackandFXP”。什么是FXPFTPFTP“PORT”的IP与用户的连接。大多数状况下，上述过程不会消灭任何问题，但当客户端是一名恶意用户时，可能会通过在PORT命令中参与特定的地址信息，使FTP效劳器与其它非客户端的机器建立连接。虽然这名恶FTP就可以通过FTP效劳器作为中介，照旧能够最终实现与目标效劳器的连接。这就是FXP，也称跨效劳器攻击。选中后就可以防止发生此种状况。3、另外在“Blockantitime-outschemes“也可以选中。其次，在“Advanced”选项卡中，检查“Enablesecurity”是否被选中，假设没有，选择它们。三、IIS1、删掉c:/inetpub名目，删除iis2、首先是每一个web站点使用单独的IIS用户，譬如这里，建立了一个名为，权限为guest的。在IISWindowsweb的只给IISASP.ASPX,PHP，ASP，ASPXPHP，需要添加响应的映射脚本，然后web效劳扩展将ASP，ASPXphp以及CGIweb扩展名(X)：下输入php，再在要求的文件(E)：里添加地址C:\php\sapi\php4isapi.dll，并勾选设置状态为允许(S)IIS就支持PHPCGIASPX，还需要给webusersASPX3、不使用默认的WebIIS4、删除IIS默认创立的Inetpub〔在安装系统的盘上。5_vti_binIISSamplesScriptsIIShelpIISAdminIIShelp、MSADC。6IISWeb程序窗口，去掉不必要的应用程序映射。主要为.shtml,.shtm,.stm7、更改IIS日志的路径右键单击“默认Web四、windows1、系统治理员账户最好少建，更改默认的治理员帐户名〔Administrator〕与描述，密码最好承受数字加大小写字母加数字的上档键组合，长度最好不少于14位。2Administrator203、将Guest账户禁用并更改名称与描述，然后输入一个简洁的密码，翻开注册表程序，把HKEY_LOCAL_MACHINESAMDomainsAccountUsers下的两个相关键删掉。一个是000001F5，一个是NamesGuest，利用它来删除Guest4、在运行中输入gpedit.msc-Windows30305、在安全设置-本地策略-安全选项中将“不显示上次的用户名”设为启用6、在安全设置-本地策略-用户权利安排中将“从网络访问此计算机”中只保存Internet来宾账户、启动IISAAspnet7、创立一个User账户，运行系统，假设要运行特权命令使用Runas命令。五、网络效劳安全治理1、除非特别状况非开不行，以下系统效劳要停顿并禁用：1、Alerter2、ApplicationLayerGatewayService3、BackgroundIntelligentTransferService4、ComputerBrowser5、Distributed6、HelpandSupport、Messenger8、NetMeetingRemoteDesktopSharing、PrintSpooler10、RemoteRegistry11、TaskScheduler12、TCP/IPNetBIOSHelper13、Telnet14、Workstation以上是windows2023serverIIS器，以上效劳务必要停顿2A、卸载WScript.Shell与Shell.application组件，将下面的代码保存为一个.BAT〔2023〕win2023regsvr32/uC:\WINDOWS\System32\wshom.ocxdelC:\WINDOWS\System32\wshom.ocxregsvr32/uC:\WINDOWS\system32\shell32.dlldelC:\WINDOWS\system32\shell32.dllB、改名担忧全组件，需要留意的是组件的名称与Clsid都要改，并且要改彻底了，不要照抄，要自己改【开头→运行→regedit→回车】翻开注册表编辑器然后【编辑→查找→填写Shell.application→查找下一个】用这个方法能找到两个注册表项：{13709620-C279-11CE-A49E-444553540000}与Shell.application。第一步：为了确保万无一失，把这两个注册表项导出来，保存为xxxx.reg文件。其次步：比方我们想做这样的更改13709620-C279-11CE-A49E-444553540000改名为13709620-C279-11CE-A49E-444553540001Shell.application改名为Shell.application_nohack.reg.reg〔双击即可。这里需要留意一点，ClsidABCDEF其实，只要把对应注册表项导出来备份，然后直接改键名就可以了。WScript.Shell与Shell.application组件是脚本入侵过程中，提升权限的重要环节，这两个ASP与php类脚本提升权限的功能是无法实现了，再加上一些系统效劳、硬盘访问权限、端口过滤、本地安全策略的设置，虚拟主机因该说，安全性能有格外大的提高，黑客入侵的可能性是格外低ShellprelshellC、制止使用组件可以对文件进展常规操作,可以通过修改注册表，将此组件改名，来防止此类木马的危害。HKEY_CLASSES_ROOT\Scripting.\改名为其它的名字，如：改为自己以后调用的时候使用这个就可以正常调用此组件了也要将clsidHKEY_CLASSES_ROOT\Scripting.\CLSID\工程的值也可以将其删除，来防止此类木马的危害。2023RegSrv32/uC:\WINNT\SYSTEM\scrrun.dll2023RegSrv32/uC:\WINDOWS\SYSTEM\scrrun.dll如何制止Guestscrrun.dll使用这个命令：caclsC:\WINNT\system32\scrrun.dll/e/dguestsD、制止使用WScript.ShellWScript.ShellDOS可以通过修改注册表，将此组件改名，来防止此类木马的危害。HKEY_CLASSES_ROOT\WScript.Shell\及HKEY_CLASSES_ROOT\WScript.Shell.1\改名为其它的名字，如：改为WScript.Shell_ChangeName或WScript.Shell.1_ChangeName自己以后调用的时候使用这个就可以正常调用此组件了也要将clsidHKEY_CLASSES_ROOT\WScript.Shell\CLSID\工程的值HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\工程的值也可以将其删除，来防止此类木马的危害。E、制止使用Shell.ApplicationShell.Application可以调用系统内核运行DOS可以通过修改注册表，将此组件改名，来防止此类木马的危害。HKEY_CLASSES_ROOT\Shell.Application\HKEY_CLASSES_ROOT\Shell.Application.1\改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName自己以后调用的时候使用这个就可以正常调用此组件了也要将clsidHKEY_CLASSES_ROOT\Shell.Application\CLSID\工程的值HKEY_CLASSES_ROOT\Shell.Application\CLSID\工程的值也可以将其删除，来防止此类木马的危害。Guest用户使用shell32.dll2023caclsC:\WINNT\system32\shell32.dll/e/dguests2023caclsC:\WINDOWS\system32\shell32.dll/e/dguests注：操作均需要重启动WEBF、调用Cmd.exeGuests组用户调用cmd.exe2023caclsC:\WINNT\system32\Cmd.exe/e/dguests2023caclsC:\WINDOWS\system32\Cmd.exe/e/dguests1、制止C$、D$、ADMIN$一类的缺省共享翻开注册表，HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters，在右边的窗口中建DwordAutoShareServer02、解除NetBios与TCP/IP右击网上邻居-属性-右击本地连接-属性-双击Internet协议-高级-Wins-禁用TCP/IP上的NETBIOS3、关闭不需要的效劳，以下为建议选项ComputerBrowser:维护网络计算机更，禁用Distributed:局域网治理共享文件，不需要禁用Distributedlinktrackingclient：用于局域网更连接信息，不需要禁用Errorreportingservice：制止发送错误报告MicrosoftSerch：供给快速的单词搜寻，不需要可禁用NTLMSecuritysupportprovide：telnet效劳与MicrosoftSerchPrintSpooler：假设没有打印机可禁用RemoteRegistry：制止远程修改注册表RemoteDesktopHelpSessionManager：制止远程帮助四、翻开相应的审核策略在运行中输入gpedit.msc回车，翻开组策略编辑器，选择计算机配置-Windows效劳器安全设置之--本地安全策略设置设置-安全设置-审核策略在创立审核工程时需要留意的是假设审核的工程太多，生成的大事也就越多，那么要想觉察严峻的大事也越难固然假设审核的太少也会影响你觉察严峻的大事，你需要依据状况在这二者之间做出选择。 推举的要审核的工程是： 登录大事 成功失败账户登录大事成功失败 系统大事 成功失败 策略更改 成功失败 对象访问 失败 名目效劳访问失败 特权使用 失败安全策略自动更命令：GPUpdate/force(应用组策略自动生效不需重启动)开头菜单—>治理工具—>本地安全策略A、本地策略——>审核策略B、审核策略更改成功失败C、审核登录大事成功失败D、审核对象访问失败E、审核过程跟踪无审核F、审核名目效劳访问失败G、审核特权使用失败H、审核系统大事成功失败I、审核账户登录大事成功失败J、审核账户治理成功失败K、B、本地策略——>用户权限安排L、关闭系统：只有AdministratorsM、通过终端效劳拒绝登陆：参与Guests、UserN、通过终端效劳允许登陆：只参与AdministratorsC、本地策略——>安全选项O、交互式登陆：不显示上次的用户名启用P、网络访问：不允许SAMQR、网络访问：可匿名访问的共享全部删除S、网络访问：可匿名访问的命全部删除T、网络访问：可远程访问的注册表路径全部删除U、网络访问：可远程访问的注册表路径与子路径全部删除V、帐户：重命名来宾帐户重命名一个帐户W、帐户：重命名系统治理员帐户重命名一个帐户1、隐蔽重要文件/名目可以修改注册表实现完全隐蔽：“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”，鼠标右击“CheckedValue”，选择修改，把数值由103、防止SYNHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters建DWORD值，SynAttackProtect2制止响应ICMPHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface建DWORD值，名为PerformRouterDiscovery0防止ICMPHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\ParametersEnableICMPRedirects0不支持IGMPHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters建DWORDIGMPLevel07、禁用DCOM：运行中输入Dcomcnfg.exe。回车，单击“把握台根节点”下的“组件效劳”。翻开“计算机”子文件夹。对于本地计算机，请以右键单击“我的电脑”，然后选择“属性”。选择“默认属性”选项卡。去除“在这台计算机上启用分布式COM”复选框。7、使用UrlScanUrlScan是一个ISAPI量。目前最的版本是2.5，假设是2023Server1.02.0的链接假设没有特别的要求承受UrlScan默认配置就可以了。但假设你在效劳器运行ASP.NET程序，并要进展调试你需翻开要%WINDIR%\System32\Inetsrv\URLscan文件夹中的URLScan.ini文件，然后在UserAllowVerbs节添加debug分大小写的。假设你的网页是.asp网页你需要在DenyExtensions.asp假设你的网页使用了非ASCII代码，你需要在Option节中将AllowHighBitCharacters1在对URLScan.ini文件做了更改后，你需要重启IISiisreset假设你在配置后消灭什么问题，你可以通过添加/删除程序删除UrlScan。七、配置Sql1、SystemAdministrators角色最好不要超过两个2、假设是在本机最好将身份验证配置为Win3、不要使用Sa4、删除以下的扩展存储过程格式为：usemastersp_dropextendedproc”扩展存储过程名”xp_cmdshell：是进入操作系统的最正确捷径，删除访问注册表的存储过程，删除Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalueXp_regenumvaluesXp_regread Xp_regwrite Xp_regremovemultistringOLESp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetPropertySp_OAMethod Sp_OASetProperty Sp_OAStop5、隐蔽SQLServer1433右击实例选属性-常规-网络配置中选择TCP/IPSQLServer实例，并1433八、假设只做效劳器，不进展其它操作，使用IPSec1、治理工具—本地安全策略—右击IP安全策略—治理IP筛选器表与筛选器操作—在治理IP添加—名称设为Web筛选器—点击添加—在描述中输入Web效劳器—将源地址设为任何IP地址——将目标地址设为我的IP地址——协议类型设为Tcp——IP协议端口第一项设为从任意端80——点击完成——点击确定。2、再在治理IP添加—名称设为全部入站筛选器—点击添加—在描述中输入全部入站筛选—将源地址设为任何IP地址——将目标地址设为我的IP地址——协议类型设为任意——点击下一步——完成——点击确定。3——下一步——完成——关闭治理IP4IP安全策略——创立IP——取消默认激活响应原则——下一步——完成5、在翻开的IP安全策略属性窗口选择添加——下一步——不指定隧道——下一步——全部网络连接——下一步——在IP筛选器列表中选择建的Web操作中选择许可——下一步——完成——在IP筛选器列表中选择建的阻挡筛选器——下一步——在筛选器操作中选择阻挡——下一步——完成——确定6、在IP安全策略的右边窗口中右击建的数据包筛选器，点击指派，不需要重启，IPSec就可生效.九、建议每做一项更改就测试一下效劳器，假设有问题可以马上撤消更改。而假设更改的项数多，才觉察出问题，那就很难推断问题是出在哪一步上了。十、运行效劳器记录当前的程序与开放的端口1、将当前效劳器的进程抓图或记录下来，将其保存，便利以后比照查看是否有不明的程序。2假设你能区分每一个进程，与端口这一步可以省略。修改终端效劳的端口终端效劳由于使用简洁、便利等特点，备受众多治理员宠爱，很多治理员都利用它进展远程治理效劳器的一个重要工。然后就是由于它的简洁、便利，不与当前用户产生一个交互式登陆，可以在后台登陆操作，它也受到了黑客关注。现在我们来通过认真的配置来加强它的安全性。修改注册表:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp与HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\Wds\rdpwd\Tds\tcp将这两个分支下的portnumber2。隐蔽登陆的用户名隐蔽上次登陆的用户名，这样可防止恶意攻击者获得系统的治理用户名后进展穷举破解。HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\WinlogonDontDisplayLastUserName13。指定用户登陆。为了安全，我们没必要让效劳器上全部用户都登陆，譬如以下，我们只允许315safe这个用户登陆到终端效劳器，依据如下方法做限制：在“治理工具”---“终端效劳配置”---“连接”，再选择右边的“RDP-TCP”的属性，找到“权限”选项，删除administrators315safe4、启动审核“终端效劳”默认没有日志记录RDP-TCP”级”里有个“审核”添加everyone，然后选择需要记录的的大事。“大事查看器”里终端效劳日志很不完善。下面我们就来完善一下终端效劳器日志。在D盘名目下，创立2个文件“ts2023.BAT”〔用户登录时运行的脚本文件〕与“ts2023.LOG”〔日志文件〕。编写“ts2023.BAT”脚本文件：time/t>>ts2023.lognetstat-n-ptcp|find″:3389″>>ts2023.logstartExplorer第一行代码用于记录用户登录的时间，“time/t”的意思是返回系统时间，使用追加符号“>>”把这个时间记入“ts2023.LOG”作为日志的时间字段；其次行代码记录终端用户的IP地址，“netstat”是用来显示当前网络连接状况的命令，“-n”IPptcp”显示TCP“|”会将“netstat”命令的结果输出给“find”命令，再从输出结果中查找包含“3389”的行，最终把这个结果重定向到日志文件“ts2023.LOG”；最终一行为启动Explorer把“ts2023.BAT”设置成用户的登录脚本。在终端效劳器上，进入“RDP-Tcp属性”窗口，并切换到“环境”框，勾选“替代用户配置文件与远程桌面连接或终端效劳客户端的设置”，在“程序路径与文件名”栏中输入“D：\ts2023.bat”，在“开头位置”栏中输入“D：\”，点击“确定”即可完成设置。此时，我们就可通过终端效劳日志了解到每个用户的行踪了。5。限制、指定连接终端的地址启用效劳器自带的IPSEC来指定特定的IP地址连接效劳器。33891。在“本地安全策略”选择“IP安全策略，在本地机器”，在右边的空白处按右键，“创立IP安全策略”，下一步，给策略取名〔如3389〕，不选“激活默认响应规章”，完成，这是会翻开一个对话框，是建立策略〔3389〕的属性。2。添加建规章，消灭“IP筛选器列表”，起名叫all_3389，不选“使用添加向导”再按“添加”。按“确定”、“关闭”回到“规章”属性窗口，选中刚设置的规章“all_3389”,再按“筛选器操作”选项，“筛选器操作”里没有我们的“阻挡”我们建立一项阻挡。还是不选“使用添加向导”，按“添加”，在弹出的对话框中，在“安全措施”处选“阻挡”项。再按“常规”，在“名称”处给他起个名字，如”阻挡3389“，然后确定回到”规章“属性的”筛选器操作”处，选中刚刚建立的“阻挡3389”，再按“关闭”，回到开头时的“本地安全设置”对话框，选中“3389”后指派。这样全部的机器都无法连接到我们终端效劳器了。3。同样效劳器也被栏在外面了，下面我们建立一条规章，只允许效劳器信任的机器进展连接，譬如0.我们翻开“3389”的属性，不选“使用添加向导”，按“添加”再按“添加”，消灭“IP筛选器列表”，给它起个名字“OK_3389“,不选使用添加向导，再按”添加“，出现”筛选器“属性，”寻址“选项设置成如图。协议处设置TCP，3389，在”筛选器操作“里选择”允许“。这样就OK了，这样除了我们自己信任的机器，其他任何机器都无法登陆到终端效劳器了。也可以设置为一个网关的信任机器。把下面文本保存为:windows2023-2023.reg运行即可。[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]“NoRecentDocsMenu“=hex:01,00,00,00“NoRecentDocsHistory“=hex:01,00,00,00[HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon]“DontDisplayLastUserName“=“1“[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]“restrictanonymous“=dword:00000001[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\Parameters]“AutoShareServer“=dword:00000000“AutoShareWks“=dword:00000000[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]“EnableICMPRedirect“=dword:00000000“KeepAliveTime“=dword:000927c0“SynAttackProtect“=dword:00000002“TcpMaxHalfOpen“=dword:000001f4“TcpMaxHalfOpenRetried“=dword:00000190“TcpMaxConnectResponseRetransmissions“=dword:00000001“TcpMaxDataRetransmissions“=dword:00000003“TCPMaxPortsExhausted“=dword:00000005“DisableIPSourceRouting“=dword:00000002“TcpTimedWaitDelay“=dword:0000001e“TcpNumConnections“=dword:00004e20“EnablePMTUDiscovery“=dword:00000000“NoNameReleaseOnDemand“=dword:00000001“EnableDeadGWDetect“=dword:00000000“PerformRouterDiscovery“=dword:00000000“EnableICMPRedirects“=dword:00000000[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters]“BacklogIncrement“=dword:00000005“MaxConnBackLog“=dword:000007d0[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AFD\Parameters]“EnableDynamicBacklog“=dword:00000001“MinimumDynamicBacklog“=dword:00000014“MaximumDynamicBacklog“=dword:00007530“DynamicBacklogGrowthDelta“=dword:0000000a功能：可抵抗DDOS2-3万包，提高效劳器TCP-IP〔效果等于软件防火墙，节约了系统资源〕6、效劳器安全设置之--IP安全策略(仅仅列出需要屏蔽或阻挡的端口或协议)协议IPICMP------ICMPUDP135任何IP地址我的IP135-UDP阻挡UDP136任何IP地址我的IP136-UDP阻挡UDP137任何IP地址我的IP137-UDP阻挡UDP138任何IP地址我的IP138-UDP阻挡UDP139任何IP地址我的IP139-UDP阻挡TCP445任何IPIP-445445-TCP阻挡UDP445任何IPIP-445445-UDP阻挡UDP69任何IPIP-6969-入阻挡UDP69我的IP-69IP69-出阻挡TCP4444任何IPIP-44444444-TCP阻挡TCP1026我的IP-1026任何IP-1026阻挡TCP1027我的IP-1027任何IP-1027阻挡TCP1028我的IP-1028任何IP-1028阻挡UDP1026我的IP-1026任何IP-1026阻挡UDP1027我的IP-1027任何IP-1027阻挡UDP1028我的IP-1028任何IP-1028阻挡TCP21我的IPIP21端口阻挡tftpTCP99我的IP-99IP99shell阻挡以上是IP安全策略里的设置，可以依据实际状况，增加或删除端口SQLServer2023数据库的安全配置以及一些相关的安全与使用上的问题。SQLServer2023数据库的安全配置之前，首先你必需对操作系统进展安全配置，保证你的操作系统处于安全状态。然后对你要使用的操作数据库软件〔程序〕进展必要的安全审核，比方对ASP、PHP等脚本，这是很多基于数据库的WEB应用常消灭的安全隐患，对于脚本主要是一个过滤问题，需要过滤一些类似,‘;@/SQLSQLServer2023后请sp4在做完上面三步根底之后，我们再来争论SQLServer的安全配置。1、使用安全的密码策略我们把密码策略摆在全部安全配置的第一步，请留意，很多数据库帐号的密码过于简洁，这跟系统密sasa的密码是安全的第一步！SQLServer2023安装的时候，假设是使用混合模式，那么就需要输入sa的密码，除非你确认必需使用空密码。这比以前的版本有所改进。同时养成定期修改密码的好习惯。数据库治理员应当定期查看是否有不符合密码要求的帐号。比方使SQL语句：UsemasterSelectname,Passwordfromsysloginswherepasswordisnull2、使用安全的帐号策略。SQLServersa最强的保护，固然，包括使用一个格外强壮的密码，最好不要在数据库应用中使用sa帐号，只有当没有其它方法登录到SQLServer实例〔例如，当其它系统治理员不行用或遗忘了密码〕时才使用sa。建议数据库治理员建立一个拥有与sa一样权限的超级用户来治理数据库。安全的帐号策略还包括不要让治理员权限的帐号泛滥。SQLServerWindows身份认证与混合身份认证两种。假设数据库治理员不期望操作系统治理员来通过操作系统登陆来接触数据库的话，可以在帐号治理中把系统帐号“BUILTINAdministrators”sa很多主机使用数据库应用只是用来做查询、修改等简洁功能的，请依据实际需要安排帐号，并赐予仅仅能够满足应用要求与需要的权限public帐号能够select就可以了。3、加强数据库日志的记录。审核数据库登录大事的“失败与成功”，在实例属性中选择“安全性”，将其中的审核级别选定为全部，这样在数据库系统与操作系统日志里面，就具体记录了全部帐号的登录大事。SQLServer日志检查是否有可疑的登录大事发生，或者使用DOS命令。findstr/C:“登录“d:MicrosoftSQLServerMSSQLLOG*.*4、治理扩展存储过程对存储过程进展大手术，并且对帐号调用扩展存储过程的权限要慎重。其实在多数应用中根本用不到多少系统的存储过程，而SQLServer的这么多系统存储过程只是用来适应宽阔用户需求的，所以请删除不必要的存储过程，由于有些系统的存储过程能很简洁地被人利用起来提升权限或进展破坏。xp_cmdshellSQL语句：usemastersp_dropextendedproc”xp_cmdshell”xp_cmdshell是进入操作系统的最正确捷径，是数据库留给操作系统的一个大后门。假设你需要这个存储过程，请用这个语句也可以恢复过来。sp_addextendedproc”xp_cmdshell”,”xpsql70.dll”假设你不需要请丢弃OLE〔会造成治理器中的某些特征不能使用Sp_OACreateSp_OADestroySp_OAGetErrorInfoSp_OAGetPropertySp_OAMethodSp_OASetPropertySp_OAStop去掉不需要的注册表访问的存储过程，注册表存储过程甚至能够读出操作系统治理员的密码来，如下：Xp_regaddmultistringXp_regdeletekeyXp_regdeletevalueXp_regenumvaluesXp_regreadXp_regremovemultistringXp_regwrite还有一些其他的扩展存储过程，你也最好检查检查。使用系统帐户登陆查询分析器运行以下脚本usemasterexecsp_dropextendedproc”xp_cmdshell”execsp_dropextendedproc”xp_dirtree”execsp_dropextendedproc”xp_enumgroups”execsp_dropextendedproc”xp_fixeddrives”execsp_dropextendedproc”xp_loginconfig”execsp_dropextendedproc”xp_enumerrorlogs”execsp_dropextendedproc”xp_get”execsp_dropextendedproc”Sp_OACreate”execsp_dropextendedproc”Sp_OADestroy”execsp_dropextendedproc”Sp_OAGetErrorInfo”execsp_dropextendedproc”Sp_OAGetProperty”execsp_dropextendedproc”Sp_OAMethod”execsp_dropextendedproc”Sp_OASetProperty”execsp_dropextendedproc”Sp_OAStop”execsp_dropextendedproc”Xp_regaddmultistring”execsp_dropextendedproc”Xp_regdeletekey”execsp_dropextendedproc”Xp_regdeletevalue”execsp_dropextendedproc”Xp_regenumvalues”execsp_dropextendedproc”Xp_regread”execsp_dropextendedproc”Xp_regremovemultistring”execsp_dropextendedproc”Xp_regwrite”dropproceduresp_makewebtaskgo删除全部危急的扩展.在处理存储过程的时候，请确认一下，避开造成对数据库或应用程序的损害。5、使用协议加密SQLServer2023TabularDataStream协议来进展网络数据交换，假设不加密的话，全部的网络传输都是明文的，包括密码、数据库内容等等，这是一个很大的安全威逼。能被人在网络中截获到他们需要的东西，包括数据库帐号与密码。所以，在条件容许状况下，最好使用SSL来加密协议，固然，你需要一个证书来支持。6TCP/IP端口默认状况下，SQLServer1433SQLServer配置的时候要把这个端口转变，这样别人就不能很简洁地知道使用的什么端口了。惋惜，通过微软未公开的1434UDP探SQLServerTCP/IP端口了〔请参考《深入探究SQLServer网络连接的安全问题》〕。不过微软还是考虑到了这个问题，到底公开而且开放的端口会引起不必要的麻烦。在实TCP/IP协议的属性。选择隐蔽SQLServer实例。假设隐蔽了SQLServer实例，则将制止对试图枚举网络上现有的SQLServer实例的客户端所发出的播送作出响应。这样，别人就不能用1434TCP/IP端口了〔PortScan〕。7TCP/IP使用的端口请在上一步配置的根底上，更改原默认的1433端口。在实例属性中选择网络配置中的TCP/IP协议TCP/IP使用的默认端口变为其他端口。81434端口的探测1434DOS攻击让数据CPUWindows2023IPSec1434端口的UDPSQLServer。9IP限制SQLServer2023数据库系统本身没有供给网络连接的安全解决方法，但是Windows2023供给了IPSecIPIPIPIP进展的端口连接，把来自网络上的安全威逼进展有效的把握。WindowsServer2023IIS效劳器安全配置整理一、系统的安装Windows20232023IIS6.0安装在系统里面。２、IIS6.0的安装开头菜单—>把握面板—>添加或删除程序—>添加/Windows组件应用程序———ASP.NET〔可选〕|——启用网络COM+访问〔必选〕|——Internet信息效劳(IIS)———Internet信息效劳治理器〔必选〕|——公用文件〔必选〕|——万维网效劳———ActiveServers〔必选〕|——Internet数据连接器〔可选〕|——WebDAV公布〔可选〕|——万维网效劳〔必选〕|——在效劳器端的包含文件〔可选〕然后点击确定—>〔具体见本文附件1〕３、系统补丁的更点击开头菜单—>全部程序—>WindowsUpdate依据提示进展补丁的安装。４、备份系统GHOST备份系统。５、安装常用的软件例如：杀毒软件、解压缩软件等；安装完毕后,配置杀毒软件,扫描系统漏洞,安装之后用GHOST再次备份系统。6IPSEC策略在里，把不需要的协议与效劳都删掉，这里只安装了根本的t协议〔，由于要把握带宽流量Qostcp/ip设置里--“NetBIOS“设置“tcp/IPNetBIOS〔S〕“。在高级选项里，使用“Internet连接防火墙“windows20232023系统里没有的功能，虽然没什么IPSec的功能。3389远程连接端口修改注册表.开头--运行--regedit依次开放HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINALSERVER/WDS/RDPWD/TDS/TCP右边键值中PortNumber改为你想用的端口号.留意使用十进制(例10000)HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINALSERVER/WINSTATIONS/RDP-TCP/右边键值中PortNumber改为你想用的端口号.留意使用十进制(例10000)WINDOWS2023自带的防火墙给+10000端口修改完毕.重启动效劳器.设置生效.二、用户安全设置1Guest账号GuestGuest加一个简洁的密码。你可以翻开记事本，Guest用户的密码拷进去。2、限制不必要的用户去掉全部的DuplicateUser用户、测试用户、共享用户等等。用户组策略设置相应权限，并且常常检查系统的用户，删除已经不再使用的用户。这些用户很多时候都是黑客们入侵系统的突破口。3Administrator账号改名大家都知道，Windows2023Administrator用户是不能被停用的，这意味着别人可以一遍又一遍地尝试这个用户的Guesycludx。4、创立一个陷阱用户什么是陷阱用户?即创立一个名为“Administrator”的本地用户，把它的权限设置成最低，什么事也干不了的那种，并且10位的超级简洁密码。这样可以让那些Hacker们忙上一段时间，借此觉察它们的入侵企图。5Everyone组改成授权用户任何时候都不要把共享文件的用户设置成“Everyone”组，包括打印共享，默认的属性就是“Everyone”组的，确定不要忘了改。6、开启用户策略20203次。〔该项为可选〕7、不让系统显示上次登录的用户名默认状况下，登录对话框中会显示上次登录的用户名。这使得别人可以很简洁地得到系统的一些用户名，进而做密码猜测。修改注册表可以不让对话框里显示上次登录的用户名。方法为：翻开注册表编辑器并找到注册表MsZ的键值改成1。密码安全设置1、使用安全密码一些公司的治理员创立账号的时候往往用公司名、计算机名做用户名，然后又把这些用户的密码设置得太简洁，比方“welcome”等等。因此，要留意密码的简洁性，还要记住常常改密码。2、设置屏幕保护密码这是一个很简洁也很有必要的操作。设置屏幕保护密码也是防止内部人员破坏效劳器的一个屏障。3、开启密码策略6542天。4、考虑使用智能卡来代替密码对于密码，总是使安全治理员进退两难，密码设置简洁简洁受到黑客的攻击，密码设置简洁又简洁遗忘。假设条件允许，用智能卡来代替简洁的密码是一个很好的解决方法。三、系统权限的设置１、磁盘权限系统盘及全部磁盘只给Administrators组与SYSTEM的完全把握权限系统盘\DocumentsandSettings名目只给Administrators组与SYSTEM的完全把握权限系统盘\DocumentsandSettings\AllUsers名目只给Administrators组与SYSTEM的完全把握权限系统盘\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe、t、telnet.exe、netstat.exe、regedit.exe、at.exe、attrib.exe、format、del文件只给AdministratorsSYSTEM的完全把握权限另将<systemroot>\System32\cmd.exe、format、转移到其他名目或更名DocumentsandSettingsadinistrators权限。并且要一个一个名目查看，包括下面的全部子名目。c:\inetpub名目２、本地安全策略设置开头菜单—>治理工具—>本地安全策略A、本地策略——>审核策略审核策略更改成功失败审核登录大事成功失败审核对象访问失败审核过程跟踪 无审核审核名目效劳访问失败审核特权使用失败审核系统大事成功失败审核账户登录大事成功失败审核账户治理成功失败B、本地策略——>用户权限安排Administrators组、其它全部删除。Administrators,RemoteDesktopUsers组，其他全部删除C、本地策略——>安全选项交互式登陆：不显示上次的用户名 启用网络访问：不允许SAM帐户与共享的匿名枚举启用网络访问：不允许为网络身份验证储存凭证启用网络访问：可匿名访问的共享 全部删除网络访问：可匿名访问的命 全部删除网络访问：可远程访问的注册表路径 全部删除网络访问：可远程访问的注册表路径与子路径 全部删除帐户：重命名来宾帐户 重命名一个帐户帐户：重命名系统治理员帐户 重命名一个帐户３、禁用不必要的效劳开头-运行-services.mscTCP/IPNetBIOSHelper供给TCP/IP效劳上的NetBIOS与网络上客户端的NetBIOS名称解析的支持而使用户能够共享文件、打印与登录到网络Server支持此计算机通过网络的文件、打印、与命名管道共享ComputerBrowser维护网络上计算机的最列表以及供给这个列表Taskscheduler允许程序在指定时间运行Messenger传输客户端与效劳器之间的NETSEND与警报器效劳消息Distributed:局域网治理共享文件，不需要可禁用Distributedlinktrackingclient：用于局域网更连接信息，不需要可禁用Errorreportingservice：制止发送错误报告MicrosoftSerch：供给快速的单词搜寻，不需要可禁用NTLMSecuritysupportprovide：telnetMicrosoftSerch用的，不需要可禁用PrintSpooler：假设没有打印机可禁用RemoteRegistry：制止远程修改注册表RemoteDesktopHelpSessionManager：制止远程帮助Workstation 关闭的话远程NET命令列不出用户组WindowsServer2023４、修改注册表修改注册表，让系统更强壮1、隐蔽重要文件/名目可以修改注册表实现完全隐蔽HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”，鼠标右击“CheckedValue”102SYN洪水攻击HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\ParametersDWORDSynAttackProtect2EnablePMTUDiscoveryREG_DWORD0NoNameReleaseOnDemandREG_DWORD1EnableDeadGWDetectREG_DWORD0KeepAliveTimeREG_DWORD300,000PerformRouterDiscoveryREG_DWORD0EnableICMPRe