總結(jié)的六大條Windows2003Web服務(wù)器安全策略
時(shí)間:2022-07-24 18:39:01 | 來源:建站知識(shí)
時(shí)間:2022-07-24 18:39:01 來源:建站知識(shí)
上個(gè)工作是做網(wǎng)站服務(wù)器維護(hù)���,在網(wǎng)上搜索了好多教程���,感覺亂的很����。干脆自己總結(jié)了一套Windows2003服務(wù)器安全策略。絕非是網(wǎng)上轉(zhuǎn)載的����。都是經(jīng)過測(cè)試的。自己感覺還行吧!歡迎大家測(cè)試����,也希望與我一起交流服務(wù)器的安全問題。希望對(duì)大家有幫助!
我的博客:
策略一:關(guān)閉windows2003不必要的服務(wù)
·Computer Browser 維護(hù)網(wǎng)絡(luò)上計(jì)算機(jī)的最新列表以及提供這個(gè)列表
·Task scheduler 允許程序在指定時(shí)間運(yùn)行
·Routing and Remote Access 在局域網(wǎng)以及廣域網(wǎng)環(huán)境中為企業(yè)提供路由服務(wù)
·Removable storage 管理可移動(dòng)媒體���、驅(qū)動(dòng)程序和庫
·Remote Registry Service 允許遠(yuǎn)程注冊(cè)表操作
·Print Spooler 將文件加載到內(nèi)存中以便以后打印��。
·IPSEC Policy Agent 管理IP安全策略及啟動(dòng)ISAKMP/OakleyIKE)和IP安全驅(qū)動(dòng)程序
·Distributed Link Tracking Client 當(dāng)文件在網(wǎng)絡(luò)域的NTFS卷中移動(dòng)時(shí)發(fā)送通知
·Com+ Event System 提供事件的自動(dòng)發(fā)布到訂閱COM組件
·Alerter 通知選定的用戶和計(jì)算機(jī)管理警報(bào)
·Error Reporting Service 收集�����、存儲(chǔ)和向 Microsoft 報(bào)告異常應(yīng)用程序
·Messenger 傳輸客戶端和服務(wù)器之間的 NET SEND 和 警報(bào)器服務(wù)消息
·Telnet 允許遠(yuǎn)程用戶登錄到此計(jì)算機(jī)并運(yùn)行程序
策略二:磁盤權(quán)限設(shè)置
C盤只給administrators和system權(quán)限���,其他的權(quán)限不給,其他的盤也可以這樣設(shè)置�,這里給的system權(quán)限也不一定需要給,只是由于某些第三方應(yīng)用程序是以服務(wù)形式啟動(dòng)的�,需要加上這個(gè)用戶,否則造成啟動(dòng)不了���。
Windows目錄要加上給users的默認(rèn)權(quán)限�����,否則ASP和ASPX等應(yīng)用程序就無法運(yùn)行��。
策略三:禁止 Windows 系統(tǒng)進(jìn)行空連接
在注冊(cè)表中找到相應(yīng)的鍵值HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/LSA�����,將DWORD值RestrictAnonymous的鍵值改為1
策略四:關(guān)閉不需要的端口
本地連接--屬性--Internet協(xié)議(TCP/IP)--高級(jí)--選項(xiàng)--TCP/IP篩選--屬性--把勾打上����,然后添加你需要的端口即可。(如:3389�、21、1433����、3306、80)
更改遠(yuǎn)程連接端口方法
開始-->運(yùn)行-->輸入regedit
查找3389:
請(qǐng)按以下步驟查找:
1����、HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Terminal Server/Wds/rdpwd/Tds/tcp下的PortNumber=3389改為自寶義的端口號(hào)
2、HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Terminal Server/WinStations/RDP-Tcp下的PortNumber=3389改為自寶義的端口號(hào)
修改3389為你想要的數(shù)字(在十進(jìn)制下)----再點(diǎn)16進(jìn)制(系統(tǒng)會(huì)自動(dòng)轉(zhuǎn)換)----最后確定!這樣就ok了�����。
這樣3389端口已經(jīng)修改了���,但還要重新啟動(dòng)主機(jī)��,這樣3389端口才算修改成功!如果不重新啟動(dòng)3389還
是修改不了的!重起后下次就可以用新端口進(jìn)入了!
禁用TCP/IP上的NETBIOS
本地連接--屬性--Internet協(xié)議(TCP/IP)--高級(jí)—WINS--禁用TCP/IP上的NETBIOS
策略五:關(guān)閉默認(rèn)共享的空連接
首先編寫如下內(nèi)容的批處理文件:
@echo off
net share C$ /delete
net share D$ /delete
net share E$ /delete
net share F$ /delete
net share admin$ /delete
以上文件的內(nèi)容用戶可以根據(jù)自己需要進(jìn)行修改���。保存為delshare.bat,存放到系統(tǒng)所在文件夾下的system32/GroupPolicy/User/Scripts/Logon目錄下���。然后在開始菜單→運(yùn)行中輸入gpedit.msc���,
回車即可打開組策略編輯器���。點(diǎn)擊用戶配置→Windows設(shè)置→腳本(登錄/注銷)→登錄.
在出現(xiàn)的“登錄 屬性”窗口中單擊“添加”,會(huì)出現(xiàn)“添加腳本”對(duì)話框���,在該窗口的“腳本名”欄中輸入delshare.bat�����,然后單擊“確定”按鈕即可。
重新啟動(dòng)計(jì)算機(jī)系統(tǒng)����,就可以自動(dòng)將系統(tǒng)所有的隱藏共享文件夾全部取消了,這樣就能將系統(tǒng)安全隱患降低到最低限度��。
策略五:IIS安全設(shè)置
1����、不使用默認(rèn)的Web站點(diǎn),如果使用也要將IIS目錄與系統(tǒng)磁盤分開����。
2��、刪除IIS默認(rèn)創(chuàng)建的Inetpub目錄(在安裝系統(tǒng)的盤上)��。
3�、刪除系統(tǒng)盤下的虛擬目錄���,如:_vti_bin���、IISSamples、Scripts�����、IIShelp�����、IISAdmin��、IIShelp���、MSADC�。
4、刪除不必要的IIS擴(kuò)展名映射�。
右鍵單擊“默認(rèn)Web站點(diǎn)→屬性→主目錄→配置”,打開應(yīng)用程序窗口���,去掉不必要的應(yīng)用程序映射�����。主要為.shtml��、shtm�、stm����。
5�����、更改IIS日志的路徑
右鍵單擊“默認(rèn)Web站點(diǎn)→屬性-網(wǎng)站-在啟用日志記錄下點(diǎn)擊屬性
策略六:注冊(cè)表相關(guān)安全設(shè)置
1��、隱藏重要文件/目錄
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/Current-Version/Explorer/Advanced/Folder/Hidden/SHOWALL”
鼠標(biāo)右擊 “CheckedValue”�����,選擇修改,把數(shù)值由1改為0�。
2、防止SYN洪水攻擊
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters
新建DWORD值�����,名為SynAttackProtect���,值為2
3�、禁止響應(yīng)ICMP路由通告報(bào)文
HKEY_LOCAL_MACHINE/SYSTEM / CurrentControlSet/ Services/Tcpip/Parameters/Interfaces/interface
新建DWORD值����,名為PerformRouterDiscovery 值為0。
4��、防止ICMP重定向報(bào)文的攻擊
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters
將EnableICMPRedirects 值設(shè)為0
5����、不支持IGMP協(xié)議
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters
新建DWORD值,名為IGMPLevel 值為0����。
策略七:組件安全設(shè)置篇
A、 卸載WScript.Shell 和 Shell.application 組件�����,將下面的代碼保存為一個(gè).BAT文件執(zhí)行(分2000和2003系統(tǒng))
windows2000.bat
regsvr32/u C:/WINNT/System32/wshom.ocx
del C:/WINNT/System32/wshom.ocx
regsvr32/u C:/WINNT/system32/shell32.dll
del C:/WINNT/system32/shell32.dll
windows2003.bat
regsvr32/u C:/WINDOWS/System32/wshom.ocx
del C:/WINDOWS/System32/wshom.ocx
regsvr32/u C:/WINDOWS/system32/shell32.dll
del C:/WINDOWS/system32/shell32.dll
B、改名不安全組件����,需要注意的是組件的名稱和Clsid都要改,并且要改徹底了�����,不要照抄���,要自己改
【開始→運(yùn)行→regedit→回車】打開注冊(cè)表編輯器
然后【編輯→查找→填寫Shell.application→查找下一個(gè)】
用這個(gè)方法能找到兩個(gè)注冊(cè)表項(xiàng):
{13709620-C279-11CE-A49E-444553540000} 和 Shell.application �。
第一步:為了確保萬無一失��,把這兩個(gè)注冊(cè)表項(xiàng)導(dǎo)出來�,保存為xxxx.reg 文件。
第二步:比如我們想做這樣的更改
13709620-C279-11CE-A49E-444553540000 改名為 13709620-C279-11CE-A49E-444553540001
Shell.application 改名為 Shell.application_nohack
第三步:那么���,就把剛才導(dǎo)出的.reg文件里的內(nèi)容按上面的對(duì)應(yīng)關(guān)系替換掉,然后把修改好的.reg文件導(dǎo)入到注冊(cè)表中(雙擊即可)�����,導(dǎo)入了改名后的注冊(cè)表項(xiàng)之后,別忘記了刪除原有的那兩個(gè)項(xiàng)目���。這里需要注意一點(diǎn)�,Clsid中只能是十個(gè)數(shù)字和ABCDEF六個(gè)字母�����。
其實(shí)�����,只要把對(duì)應(yīng)注冊(cè)表項(xiàng)導(dǎo)出來備份�����,然后直接改鍵名就可以了��,
改好的例子
建議自己改
應(yīng)該可一次成功
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT/CLSID/{13709620-C279-11CE-A49E-444553540001}]
@="Shell Automation Service"
[HKEY_CLASSES_ROOT/CLSID/{13709620-C279-11CE-A49E-444553540001}/InProcServer32]
@="C://WINNT//system32//shell32.dll"
"ThreadingModel"="Apartment"
[HKEY_CLASSES_ROOT/CLSID/{13709620-C279-11CE-A49E-444553540001}/ProgID]
@="Shell.Application_nohack.1"
[HKEY_CLASSES_ROOT/CLSID/{13709620-C279-11CE-A49E-444553540001}/TypeLib]
@="{50a7e9b0-70ef-11d1-b75a-00a0c90564fe}"
[HKEY_CLASSES_ROOT/CLSID/{13709620-C279-11CE-A49E-444553540001}/Version]
@="1.1"
[HKEY_CLASSES_ROOT/CLSID/{13709620-C279-11CE-A49E-444553540001}/VersionIndependentProgID]
@="Shell.Application_nohack"
[HKEY_CLASSES_ROOT/Shell.Application_nohack]
@="Shell Automation Service"
[HKEY_CLASSES_ROOT/Shell.Application_nohack/CLSID]
@="{13709620-C279-11CE-A49E-444553540001}"
[HKEY_CLASSES_ROOT/Shell.Application_nohack/CurVer]
@="Shell.Application_nohack.1"
評(píng)論:
WScript.Shell 和 Shell.application 組件是 腳本入侵過程中���,提升權(quán)限的重要環(huán)節(jié)����,這兩個(gè)組件的卸載和修改對(duì)應(yīng)注冊(cè)鍵名,可以很大程度的提高虛擬主機(jī)的腳本安全性能����,一般來說,ASP和php類腳本提升權(quán)限的功能是無法實(shí)現(xiàn)了����,再加上一些系統(tǒng)服務(wù)、硬盤訪問權(quán)限��、端口過濾����、本地安全策略的設(shè)置,虛擬主機(jī)因該說�,安全性能有非常大的提高,黑客入侵的可能性是非常低了����。注銷了Shell組件之后,侵入者運(yùn)行提升工具的可能性就很小了��,但是prel等別的腳本語言也有shell能力�����,為防萬一���,還是設(shè)置一下為好�。下面是另外一種設(shè)置�����,大同小異��。
C���、禁止使用FileSystemObject組件
FileSystemObject可以對(duì)文件進(jìn)行常規(guī)操作,可以通過修改注冊(cè)表��,將此組件改名��,來防止此類木馬的危害�����。
HKEY_CLASSES_ROOT/Scripting.FileSystemObject/
改名為其它的名字�����,如:改為 FileSystemObject_ChangeName
自己以后調(diào)用的時(shí)候使用這個(gè)就可以正常調(diào)用此組件了
也要將clsid值也改一下
HKEY_CLASSES_ROOT/Scripting.FileSystemObject/CLSID/項(xiàng)目的值
也可以將其刪除���,來防止此類木馬的危害�����。
2000注銷此組件命令:RegSrv32 /u C:/WINNT/SYSTEM/scrrun.dll
2003注銷此組件命令:RegSrv32 /u C:/WINDOWS/SYSTEM/scrrun.dll
如何禁止Guest用戶使用scrrun.dll來防止調(diào)用此組件?
使用這個(gè)命令:cacls C:/WINNT/system32/scrrun.dll /e /d guests
D��、禁止使用WScript.Shell組件
WScript.Shell可以調(diào)用系統(tǒng)內(nèi)核運(yùn)行DOS基本命令
可以通過修改注冊(cè)表���,將此組件改名,來防止此類木馬的危害����。
HKEY_CLASSES_ROOT/WScript.Shell/及HKEY_CLASSES_ROOT/WScript.Shell.1/
改名為其它的名字,如:改為WScript.Shell_ChangeName 或 WScript.Shell.1_ChangeName
自己以后調(diào)用的時(shí)候使用這個(gè)就可以正常調(diào)用此組件了
也要將clsid值也改一下
HKEY_CLASSES_ROOT/WScript.Shell/CLSID/項(xiàng)目的值
HKEY_CLASSES_ROOT/WScript.Shell.1/CLSID/項(xiàng)目的值
也可以將其刪除��,來防止此類木馬的危害�����。
E�����、禁止使用Shell.Application組件
Shell.Application可以調(diào)用系統(tǒng)內(nèi)核運(yùn)行DOS基本命令
可以通過修改注冊(cè)表�,將此組件改名�,來防止此類木馬的危害�。
HKEY_CLASSES_ROOT/Shell.Application/及
HKEY_CLASSES_ROOT/Shell.Application.1/
改名為其它的名字,如:改為Shell.Application_ChangeName 或 Shell.Application.1_ChangeName
自己以后調(diào)用的時(shí)候使用這個(gè)就可以正常調(diào)用此組件了
也要將clsid值也改一下
HKEY_CLASSES_ROOT/Shell.Application/CLSID/項(xiàng)目的值
HKEY_CLASSES_ROOT/Shell.Application/CLSID/項(xiàng)目的值
也可以將其刪除��,來防止此類木馬的危害��。
禁止Guest用戶使用shell32.dll來防止調(diào)用此組件�����。
2000使用命令:cacls C:/WINNT/system32/shell32.dll /e /d guests
2003使用命令:cacls C:/WINDOWS/system32/shell32.dll /e /d guests
注:操作均需要重新啟動(dòng)WEB服務(wù)后才會(huì)生效���。
F、調(diào)用Cmd.exe
禁用Guests組用戶調(diào)用cmd.exe
2000使用命令:cacls C:/WINNT/system32/Cmd.exe /e /d guests
2003使用命令:cacls C:/WINDOWS/system32/Cmd.exe /e /d guests
通過以上四步的設(shè)置基本可以防范目前比較流行的幾種木馬����,但最有效的辦法還是通過綜合安全設(shè)置,將服務(wù)器��、程序安全都達(dá)到一定標(biāo)準(zhǔn)�����,才可能將安全等級(jí)設(shè)置較高��,防范更多非法入侵。
希望對(duì)大家有幫助!
關(guān)鍵詞:服務(wù),安全,策略,總結(jié)
在線咨詢
