還有一點我想說的是�����,本文內(nèi)容討論的重點是服務(wù)器安全設(shè)置加固���,是在有一定安全設(shè)置的基礎(chǔ)上進(jìn)行討論的�����,并且����,對于基礎(chǔ)的內(nèi)容我在本文最后也列出了標(biāo)題�����,只是網(wǎng)上的好文章挺多的��,我就不想再費勁寫了�����!所以�����,大家看后不要再說一些對于磁盤之類設(shè)置沒有做之類的話!
?1���、修改管理員帳號名稱與來賓帳號名稱
此步驟主要是為了防止入侵者使用默認(rèn)的系統(tǒng)用戶名或者來賓帳號馬上進(jìn)行暴利特別(合法性請自查)����,在更改完后����,不要忘記修改強(qiáng)悍的密碼���。
控制面板――管理工具――本地安全策略――本地策略――安全選項 在右邊欄的最下方
?
2��、修改遠(yuǎn)程桌面連接端口
運(yùn)行 Regedt32 并轉(zhuǎn)到此項:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
找到"PortNumber"子項����,您會看到值 00000D3D���,它是 3389 的十六進(jìn)制表示形式��。使用十六進(jìn)制數(shù)值修改此端口號��,并保存新值��。
小巧門:各位�,別一看到是十六進(jìn)制就頭疼,在修改鍵值的時候也同樣支持十進(jìn)制
3��、禁止不常用服務(wù)
禁用不必要的服務(wù)不但可以降低服務(wù)器的資源占用減輕負(fù)擔(dān)�����,而且可以增強(qiáng)安全性�����。下面列出了可以禁用的服務(wù):
Application Experience Lookup Service
Automatic Updates
BITS
Computer Browser
DHCP Client
Error Reporting Service
Help and Support
Network Location Awareness
Print Spooler
Remote Registry
Secondary Logon
Server
Smartcard
TCP/IP NetBIOS Helper
Workstation
Windows Audio
Windows Time
Wireless Configuration
4�、設(shè)置組策略,加強(qiáng)系統(tǒng)安全策略
? 設(shè)置帳號鎖定閥值為5次無效登錄���,鎖定時間為30分鐘;
? 從通過網(wǎng)絡(luò)訪問此計算機(jī)中刪除Everyone組;
? 在用戶權(quán)利指派下���,從通過網(wǎng)絡(luò)訪問此計算機(jī)中刪除Power Users和Backup Operators;
? 為交互登錄啟動消息文本。
? 啟用 不允許匿名訪問SAM帳號和共享;
? 啟用 不允許為網(wǎng)絡(luò)驗證存儲憑據(jù)或Passport;
? 啟用 在下一次密碼變更時不存儲LANMAN哈希值;
? 啟用 清除虛擬內(nèi)存頁面文件;
? 禁止IIS匿名用戶在本地登錄;
? 啟用 交互登錄:不顯示上次的用戶名;
? 從文件共享中刪除允許匿名登錄的DFS$和COMCFG;
? 禁用活動桌面��。
5�、強(qiáng)化TCP協(xié)議棧
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"SynAttackProtect"=dword:00000001
"EnablePMTUDiscovery"=dword:00000000
"NoNameReleaseOnDemand"=dword:00000001
"EnableDeadGWDetect"=dword:00000000
"KeepAliveTime"=dword:00300000
"PerformRouterDiscovery"=dword:00000000
"TcpMaxConnectResponseRetransmissions"=dword:00000003
"TcpMaxHalfOpen"=dword:00000100
"TcpMaxHalfOpenRetried"=dword:00000080
"TcpMaxPortsExhausted"=dword:00000005
6、加固IIS
進(jìn)入Windows組件安裝���,找到應(yīng)用程序服務(wù)器����,進(jìn)入詳細(xì)信息,勾選ASP.NET后���,IIS必須的組件就會被自動選擇���,如果你的服務(wù)器需要運(yùn)行ASP腳本,那么還需要進(jìn)入Internet信息服務(wù)(IIS)-萬維網(wǎng)服務(wù)下勾選Active Server Pages�。完成安裝后���,應(yīng)當(dāng)在其他邏輯分區(qū)上單獨建立一個目錄用來存儲WEB網(wǎng)站程序及數(shù)據(jù)����。
一臺WEB服務(wù)器上都運(yùn)行著多個網(wǎng)站�,他們之間可能互不相干,所以為了起到隔離和提高安全性�,需要建立一個匿名WEB用戶組,為每一個站點創(chuàng)建一個匿名訪問賬號�����,將這些匿名賬號添加到之前建立的匿名WEB用戶組中,并在本地計算機(jī)策略中禁止此組有本地登錄權(quán)限����。
? 最后優(yōu)化IIS6應(yīng)用程序池設(shè)置:
? 禁用缺省應(yīng)用程序池的空閑超時;
? 禁用緩存ISAPI擴(kuò)展;
? 將應(yīng)用程序池標(biāo)識從NetworlService改為LocalService;
? 禁用快速失敗保護(hù);
? 將關(guān)機(jī)時間限制從
7、刪除MSSQL無用組件��、注冊表及調(diào)用的SHELL
? ? ? ?將有安全問題的SQL過程刪除.比較全面.一切為了安全!刪除了調(diào)用shell����,注冊表,COM組件的破壞權(quán)限
use master
EXEC sp_dropextendedproc 'xp_cmdshell'
EXEC sp_dropextendedproc 'Sp_OACreate'
EXEC sp_dropextendedproc 'Sp_OADestroy'
EXEC sp_dropextendedproc 'Sp_OAGetErrorInfo'
EXEC sp_dropextendedproc 'Sp_OAGetProperty'
EXEC sp_dropextendedproc 'Sp_OAMethod'
EXEC sp_dropextendedproc 'Sp_OASetProperty'
EXEC sp_dropextendedproc 'Sp_OAStop'
EXEC sp_dropextendedproc 'Xp_regaddmultistring'
EXEC sp_dropextendedproc 'Xp_regdeletekey'
EXEC sp_dropextendedproc 'Xp_regdeletevalue'
EXEC sp_dropextendedproc 'Xp_regenumvalues'
EXEC sp_dropextendedproc 'Xp_regread'
EXEC sp_dropextendedproc 'Xp_regremovemultistring'
EXEC sp_dropextendedproc 'Xp_regwrite'
drop procedure sp_makewebtask
全部復(fù)制到"SQL查詢分析器"
點擊菜單上的--"查詢"--"執(zhí)行"�,就會將有安全問題的SQL過程刪除(以上是7i24的正版用戶的技術(shù)支持)
更改默認(rèn)SA空密碼.數(shù)據(jù)庫鏈接不要使用SA帳戶.單數(shù)據(jù)庫單獨設(shè)使用帳戶.只給public和db_owner權(quán)限.
數(shù)據(jù)庫不要放在默認(rèn)的位置.
SQL不要安裝在PROGRAM FILE目錄下面.
最近的SQL2000補(bǔ)丁是SP4
8、防ping處理
防ping處理建意大家用防火墻一類的軟件��,這樣可以大大降低服務(wù)器被攻擊的可能性�����,為什么這樣說呢����?主要是現(xiàn)在大部份的入侵者都是利用軟件掃一個網(wǎng)段存活的主機(jī),一般判斷主機(jī)是否存活就是看ping的通與不通了�!
9、禁止(更改)常用DOS命令
找到%windir%/system32下找到cmd.exe、cmd32.exe net.exe net1.exe ipconfig.exe tftp.exe ftp.exe user.exe reg.exe regedit.exe regedt32.exe regsvr32.exe 這些黑客常用的文件�����,在"屬性"→"安全"中對他們進(jìn)行訪問的ACLs用戶進(jìn) 行定義����,諸如只給administrator有權(quán)訪問,如果需要防范一些溢出攻擊�、以及溢出成功后對這些文件的非法利用;那么我們只需要將system用戶 在ACLs中進(jìn)行拒絕訪問即可。
10�����、修改server_U默認(rèn)端口(網(wǎng)上有類似的視頻教程及文章���,做的比較不錯) ?
? ?
11、關(guān)閉不常用端口(哪都有)
? ? ? ?在TCP/IP屬性――高級――篩選�����,只打開一些常用的端口就可以了���!例如:80 3389 1433 等 �����,根據(jù)各人需求吧�����!
12�����、磁盤(網(wǎng)站目錄)����、用戶、IIS權(quán)限設(shè)置(滿大街全是了)
? ? ? ?這類的文章和視頻也很多�,不過在這里我想說的是,現(xiàn)在網(wǎng)站很多的文章和視頻在給磁盤基本權(quán)限的時候��,都是給的Administrors組權(quán)限����,我個人建意大家用Administrator權(quán)限,這樣為了防止提權(quán)成功后��,入侵者可以完全控制機(jī)器���!這樣做后���,即使入侵成功了��,也只有一點點的瀏覽權(quán)限的��!
關(guān)鍵詞標(biāo)簽:安全,設(shè)置,服務(wù)器,如何
火絨安全軟件開啟懸浮窗的方法-怎么限制和設(shè)置軟件網(wǎng)速
火絨安全軟件怎么攔截廣告-火絨設(shè)置廣告攔截的方法
網(wǎng)絡(luò)安全管理軟件-PCHunter使用教程