服务器安全设置说明10.docx

服务器安全设置说明10.docx

《服务器安全设置说明10.docx》由会员分享，可在线阅读，更多相关《服务器安全设置说明10.docx（21页珍藏版）》请在冰豆网上搜索。

服务器安全设置说明10

win2003服务器安全设置说明

目录

系统权限的设置2

对注册表的修改6

本地安全策略的配置7

系统服务的关闭和开启8

FTP的安全设置10

网站安全维护14

Windows自带的防火墙18

数据库安全设置19

远程登录账户密码的要求21

系统权限的设置

1、先介绍一下权限设置的方案：

a）被授予权限的对象分为用户和用户组两类。

b）批量的设置分为两大方案，当设置某个目录的权限时，进入高级。

i.可设置是否继承父级权限设置（第一个勾）。

ii.可设置是否替换子目录及文件的权限设置（第二个勾）。

2、系统使用之前将每个硬盘根加上Administrators用户为全部权限（可选加system用户），同时删除掉其他所有的用户。

操作步骤：

i.在硬盘盘符上，鼠标右击，选择属性。

ii.选择“安全”选项卡，看到安全设置，其中“组或用户名称”中是对当前磁盘有操作权限的所有的用户组或用户。

下面则是对这个用户组或用户进行的权限设置。

iii.点击“高级”按钮，进入“高级安全设置”，如果想把此应用同时应用到子目录中是，则可以选择下面的单选框。

3、对系统盘我们特殊处理。

先具体文件夹的权限如下：

i.C盘：

只授予 System 和 Administrators 完全控制权限，删除其他用户或组，不替换子目录。

ii.C:

\Documents and Settings:

仅继承父级，并替换子目录。

iii.C:

\Inetpub :

删除之，不要使用该目录作为网站发布的目录、

iv.C:

\Program Files:

仅继承父级，并替换子目录。

v.C:

\Program Files\Common Files\Microsoft Shared：

删除继承并保设置（在“高级”中取消第一个勾，再在弹出的对话中选“复制”）添加 Users 组，只授予读取权限 ，将该目录的设置替换它的子目录（勾中第二个勾）。

vi.C:

\Windows：

删除继承并保留设置，添加 Users 组，只授予读取权限，将该目录的设置替换它的子目录（具体做法和上面 /Microsoft Shared　目录设置一样）。

vii.在\Windows搜索一下文件，并修改权限，删除所有的用户只保存Administrators和SYSTEM为所有权限。

net.exe;cmd.exe;tftp.exe;netstat.exe;regedit.exe;at.exe;attrib.exe;cacls.exe;;regsvr32.exe;xcopy.exe;wscript.exe;cscript.exe;ftp.exe;telnet.exe;arp.exe;edlin.exe;ping.exe;route.exe;finger.exe;posix.exe;rsh.exe;atsvc.exe;qbasic.exe;runonce.exe;syskey.exe

操作步骤：

i.选择要需改权限的文件夹或文件，然后右击，选择属性，打开“安全”选项卡。

ii.“组或用户名称”中显示的当前文件或文件夹有权限操作的用户组或用户，他们的权限可以在下面进行设定。

iii.点击“高级”按钮，进入“高级安全设置”，其中下面有两个复选框，这两个复选框的主要介绍可以参见上面的“权限设置的方案”。

对注册表的修改

1、修改注册表的准备工作：

对当前注册表进行导出备份，以防修改失败可以马上恢复。

2、关闭445端口：

445端口也是一种TCP端口，具体地说，它是提供局域网中文件或打印机共享服务。

不过该端口是基于CIFS协议（通用因特网文件系统协议）工作的，而139端口是基于SMB协议（服务器协议族）对外提供共享服务。

同样地，攻击者与445端口建立请求连接，也能获得指定局域网内的各种共享信息。

具体的关闭方式如下：

进入注册表找到一下菜单HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\netBT\Parameters新建“DWORD值”值名为“SMBDeviceEnabled”数据为默认值“0”。

3、禁止建立空连接：

空连接是黑客攻击一种方式，也叫ipc漏洞。

解决方式如下：

在注册表中找到一下目录，HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa新建“DWORD值”值名为“RestrictAnonymous”数据值为“1”。

2003默认的值为“0”。

4、禁止系统自动启动服务器共享：

在注册表中找到下面的目录，HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters，新建“DWORD值”值名为“AutoShareServer”数据值为“0”。

本地安全策略的配置

1、怎样进入本地安全策略：

开始->管理工具->本地安全策略.

2、对审核策略的修改：

本地策略->审核策略

审核策略更改

成功

失败

审核登录事件

成功

失败

审核对象访问

失败

审核过程追踪

不审核

审核目录服务访问

失败

审核特权使用

失败

审核系统事件

成功

失败

审核账户登录事件

成功

失败

审核账户管理

成功

失败

3、用户权限分配修改：

本地策略->用户权限分配。

a）关闭系统：

只有administrators组，其他的全部删掉。

b）通过终端服务器拒绝登录：

加入users、guests组。

c）通过终端服务器允许登录：

只加入administratros组，其他的全部删除。

4、安全选项修改：

本地策略->安全选项。

a）交互式登陆：

不显示上次的用户名。

启用

b）网络访问：

不允许SAM账户和共享的匿名枚举。

启用

c）网络访问：

可匿名访问的共享全部删除

d）网络访问：

可匿名访问的命名管道全部删除

e）网络访问：

可远程访问的注册表路径全部删除

f）网络访问：

可远程访问的注册表路径和子路径全部删除

g）账户：

重命名来宾账户重新命名

h）账户：

重命名系统管理员账户重新命名

系统服务的关闭和开启

1、以下服务设置为自启动：

a）AutomaticUpdates[Windows自动更新,可选项]

b）COM+EventSystem

c）DCOMServerProcessLauncher

d）EventLog

e）IISAdminService

f）LogicalDiskManager[可选，多硬盘建议自动]

g）MicrosoftSearch

h）MSSQLSERVER

i）PlugandPlay

j）ProtectedStorage

k）RemoteProcedureCall（RPC）

l）SecurityAccountsManager

m）SystemEventNotification

n）TerminalServices

o）WindowsManagementInstrumentation

p）WirelessConfiguration

q）WorldWideWebPublishingService

2、以下服务设置为禁用

a）Alerter

b）ClipBook

c）DistributedLinkTrackingServer

d）FileReplication

e）HelpandSupport

f）IMAPICD-BuringCOMService

g）IndexingService

h）IntersiteMessaging

i）IPSECServices（如果试用了ip安全策略则自动，否则就禁止）

j）KerberosKeyDistributionCenter

k）LicenseLogging

l）Messenger

m）NetMeetingRemoteDesktopSharing

n）NetworkDDE

o）NetworkDDEDSDM

p）PortableMediaSerialNumberService（微软的反盗版服务，但是当前只对多媒体管用）

q）PrintSpooler

r）RemoteRegistry

s）RoutingandRemoteAccess

t）SecondaryLogon

u）ShellHardwareDetection

v）TaskScheduler

w）TCP/IPNetBIOSHelper

x）Telnet

y）TerminalServicesSessionDirectory

zz）Themes

aa）WindowsAudio（服务器没必要试用声音）

bb）WindowsImageAcquisition

FTP的安全设置

一、ftp属性的安全设置

1、在创建的ftp站点上单击右键，选择属性。

弹出ftp站点属性对话框。

2、设置新的tcp端口号。

如6000。

3、ftp站点连接中选择“连接限制为3”，连接超时：

“120”。

4、启动ftp日志记录，点击属性，设置日志的属性。

i.常规中选择日志的保存路径，最好不要选择默认路径，防止黑客的删除。

ii.高级里面选择记录的项目，选择一下项目：

客户端ip地址，用户名，方法，uti资源，协议状态，win32状态，所用时间。

iii.点击应用。

5、安全账户中将允许匿名连接去掉。

6、主目录中选择ftp站点的目录，并设置写入权限。

7、目录安全性。

二、ftp站点权限的设置

1、右键单击ftp站点，选择权限，弹出权限设置对话框。

2、除了administrators和system保留外，其他的组全部删掉。

给ftp最少的操作人员。

防止黑客非法进入后提升自己的权限。

三、ftp的当前设置的导出

1、选择要导出配置的站点，并鼠标右击，选择所有任务，“将配置保存到一个文件”。

2、选择要保存的文件名和保存路径，如果有需要还可以使用密码进行加密。

然后点击确定。

系统将会生成一个xml文件。

四、网站配置文档的导入

1、在“FTP”上鼠标右击，选新建—>FTP（来自文件）。

弹出“导入配置”对话框。

2、单击“浏览”，选择要导入的配置文件，然后点击“读文件”。

当导入的FTP目前已经存在时，则弹出“iis管理器”对话框，让你选择是否要覆盖当前网站。

选择完后，则可点击确定按钮，完成配置文件的导入工作。

网站安全维护

五、网站属性维护

1、选择要维护的网站，右击，选择属性。

弹出网站属性窗口。

2、选择启用日志记录，日志属性的设置与ftp设置基本相同，唯一不同的是日志记录的项目中选择默认即可。

3、在主目录的设置中，不要给写入权限。

4、在主目录设置中，点击配置按钮，进入“应用程序配置”窗体，再选择“选项”卡，选中启用父路径。

5、还是在“应用程序配置”窗体中，选择“调试”层，并选中“想客户端发送下列文本错误信息”。

6、在目录安全性的设置中，根据对网站日志的查看，找出非法的ip地址，在“ip地址和域名限制”中将其拒绝访问即可。

点击“ip地址和域名限制”的编辑，进入“ip地址和域名限制”编辑窗口。

在除外列表中添加上非法的ip地址，点击确定。

7、

六、网站的当前设置的导出

1、选择要导出配置的站点，并鼠标右击，选择所有任务，“将配置保存到一个文件”。

2、选择要保存的文件名和保存路径，如果有需要还可以使用密码进行加密。

然后点击确定。

系统将会生成一个xml文件。

七、网站配置文档的导入

3、在“网站”上鼠标右击，选新建—>网站（来自文件）。

弹出“导入配置”对话框。

4、单击“浏览”，选择要导入的配置文件，然后点击“读文件”。

当导入的网站目前已经存在时，则弹出“iis管理器”对话框，让你选择是否要覆盖当前网站。

选择完后，则可点击确定按钮，完成配置文件的导入工作。

Windows自带的防火墙

1、启用windows自带的防火墙。

2、在例外中将tomcat的访问端口设置上。

i.点击添加端口按钮。

弹出添加端口的编辑窗体。

ii.设置相应名称及端口号，一般tomcat的默认端口是“8080”。

3、相同的可以设置其他的允许开放的端口，但尽量保持开放最少的端口。

4、选择高级->本地连接->设置。

选择web服务器，要是有想开远程桌面的话，把远程桌面也选择上（在没有修改远程桌面端口前提下）。

数据库安全设置

一、权限设置

1、首先不要在程序中不要试用sa账户连接数据库。

2、新建立一个public权限的数据库用户，例如:

chelian。

并用这个用户访问数据库。

3、在数据库表中选择用户，在左侧选择要操作的用户名，并右击，选择属性。

4、然后进入此用户的属性设置。

单击权限按钮。

5、进入此帐号的权限设置，找到下面的两个sysobjects与syscolumns对象的select访问权限，并在上面打“×”。

6、在企业管理其中：

安全性->登录->右击chelian账户->属性->服务器角色->将服务器角色中所有的角色前面的勾去掉。

7、进行安全测试：

在查询分析器中执行以下代码，如果没有显示则表示安全级别设置比较高，否则需要从新设定。

DECLARE@Tvarchar（255）,

@Cvarchar（255）

DECLARETable_CursorCURSORFOR

Selecta.name,b.namefromsysobjectsa,syscolumnsb

wherea.id=b.idanda.xtype='u'and（b.xtype=99orb.xtype=35orb.xtype=231orb.xtype=167）

OPENTable_Cursor

FETCHNEXTFROMTable_CursorINTO@T,@C

WHILE（@@FETCH_STATUS=0）

BEGINprint@c

FETCHNEXTFROMTable_CursorINTO@T,@C

END

CLOSETable_Cursor

DEALLOCATETable_Cursor

远程登录账户密码的要求

1、远程登录密码有两部分组成：

前半部分是固定密码，后半部分是动态密码，动态密码是由每个月的英文单词的前四个字母，然后他们中间由下划线连接。

具体的密码的设置请参照服务器配置文件。