2000 Server 系統(tǒng)安全完全配置方案

時間：2023-01-19 07:28:01 | 來源：電子商務(wù)

時間：2023-01-19 07:28:01 來源：電子商務(wù)

一、 Windows 系統(tǒng)配置     

1．將所有磁盤分區(qū)為NTFS分區(qū)                                                             

   只安裝TCP/IP協(xié)議             

   安裝Service Pack 4                                        

   安裝最新的hotfix（到2004年8月30日為止共有25個補(bǔ)?。?nbsp;                           

2． 關(guān)閉所有不需要的服務(wù)                                                    

* Alerter (disable)                                       

* ClipBook Server (disable)                        

* Computer Browser (disable)                      

* DHCP Client (disable)                                

* License Logging Service (disable)        

* Messenger (disable)                                    

* Netlogon (disable)                                      

* Network DDE (disable)                                

* Network DDE DSDM (disable)                                           

* Plug and Play (disable after all hardware configuration)           

* Remote Procedure Call (RPC) locater (disable)

* Schedule (disable)                                      

* Server (disable)                                          

* Simple Services (disable)                        

* Spooler (disable)                                        

* TCP/IP Netbios Helper (disable)                                                                                                                                                                                                               

3．保護(hù)文件和目錄                                                            

將C:/winnt, C:/winnt/config, C:/限做限制，限制everyone的寫權(quán)限，限制winnt/system32, C:/winnt/system等目錄的訪問權(quán)，users組的讀寫權(quán)限。

4．注冊表一些條目的安全修改                                                                                              

1） 隱藏上次登陸的用戶名                                                    

將HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/Current Version/Winlogon/中

DontDisplayLastUserName REG_SZ 值設(shè)為1        

2）限制LSA匿名訪問                                                        

將HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/LSA中                

RestricAnonymous REG_DWord 值設(shè)為1                

3） 去除所有網(wǎng)絡(luò)共享                                                        

將HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/LanManServer/Parameters/中

AutoShareServer REG_DWord 值設(shè)為0   

5. 移動部分重要文件并加訪問控制：                                          

創(chuàng)建一個只有系統(tǒng)管理員能夠訪問的目錄，將system32目錄下的一些重要文件移動到此目錄

xcopy.exe, wscript.exe, CScript.exe, net.exe, ftp.exe, telnet.exe,arp.exe, edlin.exe,ping.exe,route.exe,

at.exe,finger.exe,posix.exe,rsh.exe,atsvc.exe, qbasic.exe,runonce.exe,syskey.exe,cacls.exe,

ipconfig.exe, rcp.exe, secfixup.exe, nbtstat.exe, rdisk.exe, debug.exe, regedt32.exe, regedit.exe,

edit.com, netstat.exe, tracert.exe, nslookup.exe, rexec.exe, cmd.exe

6. 使用Hisecweb.inf安全模板來配置                          

       該模板配置基本的 Windows 2000 系統(tǒng)安全策略將該模板復(fù)制到 %windir%/security

 /templates 目錄。

打開“安全模板”工具，查看這些設(shè)置。                                         

打開“安全配置和分析”工具，然后裝載該模板。                                 

右鍵單擊“安全配置和分析”工具，然后從上下文菜單中選擇“立即分析計(jì)算機(jī)”。   

等候操作完成。                                                               

查看結(jié)果，如有必要就更新該模板。                                             

右鍵單擊“安全配置和分析”工具，然后從上下文菜單中選擇“立即配置計(jì)算機(jī)”。  

7.安全日志的設(shè)置：“審核策略更改”的9個項(xiàng)目，在“成功、失敗”的選框上進(jìn)行選擇。

8. 禁止 Windows tftp 客戶端的使用:

使用文本編輯工具打開%systemroot%/system32/drivers/etc下的service文件找到對應(yīng)的tftp那一行,   將 69/udp 替換成 0/udp。保存退出.

9. 刪掉guest帳號：

C:/>regedt32
找到HKEY_LOCAL_MACHINE窗口，選中SAM/SAM，更改Administrators權(quán)限為全部控制，這樣我們就可以訪問SAM下的信息了。再次運(yùn)行regedit：
HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users/000001F5
和 HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users/Names/Guest
刪除000001F5和Guest，然后退出regedit，再次運(yùn)行regedt32，恢復(fù)Administrators對sam的權(quán)限。

10．終端服務(wù)的安全：

更改連接端口：

[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/TerminalServer/Wds/rdpwd/Tds/tcp]

PortNumber值，默認(rèn)是3389，修改成所希望的端口

還有個地方：

[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Terminal Server/WinStations/RDP-Tcp]

PortNumber值，默認(rèn)是3389，修改成所希望的端口

二、IIS的安全配置 

1. 刪除不必要的虛擬目錄

包括IISHelp、IISAdmin、IISSamples、MSADC等，這些目錄都沒有什么實(shí)際的作用，直接刪除。

2. 刪除危險(xiǎn)的IIS組件

默認(rèn)安裝后的有些IIS組件可能會造成安全威脅，例如 Internet服務(wù)管理器(HTML)、SMTP Service和NNTP Service、樣本頁面和腳本。

3. 為IIS中的文件分類設(shè)置權(quán)限

除了在操作系統(tǒng)里為IIS的文件設(shè)置必要的權(quán)限外，還要在IIS管理器中為它們設(shè)置權(quán)限。一個好的設(shè)置策略是：為Web 站點(diǎn)上不同類型的文件都建立目錄，然后給它們分配適當(dāng)權(quán)限。靜態(tài)文件文件夾允許讀、拒絕寫，ASP腳本文件夾允許執(zhí)行、拒絕寫和讀取，EXE等可執(zhí)行程序允許執(zhí)行、拒絕讀寫。

4. 刪除不必要的應(yīng)用程序映射

ISS中默認(rèn)存在很多種應(yīng)用程序映射，除了ASP的這個程序映射，其他的文件在網(wǎng)站上都很少用到。 

5. 修改IIS日志的設(shè)置

默認(rèn)情況下，IIS的日志存放在%WinDir%/System32/LogFiles，修改一下其存放路徑。修改日志訪問權(quán)限，設(shè)置只有管理員才能訪問。

    6.打開“應(yīng)用程序調(diào)試”，將“腳本錯誤消息”改為“發(fā)送文本”，再定義一個錯誤信息頁面。

三、Serv-U FTP Server的配置 

   1. 使用最新版的，避免舊版的緩沖區(qū)溢出漏洞。

   2.設(shè)置用戶的 “最大上傳速度、最大下載速度（KB/秒）”的選項(xiàng)。把“空閑超時、任務(wù)超時、最大用戶數(shù)”的選項(xiàng)設(shè)置默認(rèn)10分鐘。而最大用戶數(shù)限制在1～2個用戶，不必要采取無限制用戶的做法。

   3. 設(shè)置 “允許MDTM命令來更改文件的日期/時間”的選項(xiàng)取消，目的是不允許用戶更改文件的修改日期和時防止觸發(fā)緩沖區(qū)溢出。

四．MSSQL服務(wù)器配置 

    1. 刪除存儲過程：

刪除XP_cmdshell 存儲過程，sp_dropextendproc ‘XP_cmdshell’,最好直接刪除XPlog70.dll

  還有：XP_regenumvalues, XP_regread, XP_regwrite, XP_regdeletevalue,

XP_regdeletekey,XP_regaddmultistring,XP_regremovemutilstring,

XP_instance_regaddmutistring,XP_instance_regdeletevalue,XP-instance_regnumkeys,XP_instance_regread,

XP_instance_regremovemultistring,

XP_dirtree,XP_subdirs,XP_fileexit,XP_getfiledetails,

sp_OACreate,sp_Oageterrorinfo,sp_OAMethod,sp_getproperty,sp_Oamethod,sp_setproperty,sp_Oastop,

XP_makecab,XP_makewebtask,XP_runwebtask,XP_readerrorlog,

   2．用戶權(quán)限設(shè)置：

   只賦予連接數(shù)據(jù)庫用戶：db_reader,db_writer權(quán)限。

注：以上是詳細(xì)總結(jié)的安全配置過程，按照以上的配置一步一步實(shí)施，在不加載第三方軟件防火墻的情況下，你的系統(tǒng)基本上是很安全的了，當(dāng)然對于DDOS等攻擊，如果在服務(wù)器前，還有硬件防火墻的情況下，可以稱作堡壘機(jī)了。）