ARP联盟图文中心下载中心手机频道最近更新软件最近更新文章网络热点
您当前的位置→图文中心安全防范2003服务器终极安全及问题解决方案
站内搜索:

2003服务器终极安全及问题解决方案


2009/4/25  编辑:佚名 来源:本站整理 

二级目录给 Administr 完全控制权限和 Everyon 除了完全控制,更改,取得,其它全部打勾的权限和 IUSR 只有该文件夹的完全拒绝权限,三级目录是每个客户的虚拟主机网站,给 Administr 完全控制权限和 Everyon 除了完全控制,更改,取得,其它全部打勾的权限即可 最好在 C 盘以外 ( 如 D,E,F..... 根目录建立到三级目录 , 一级目录只给 Administr 权限。.

原来管理过三十多台 服务器 从多年积累的经验,写出以下详细的 Windows2003 服务系统的平安方案 , 电信 局做网管。应用以下方案,平安运行了二年,无黑客有成功入侵的记录,也有黑客入侵胜利的案,但最终还是没有拿到肉鸡的最高管理员身份 , 只是可以浏览跳转到服务器上所有客户的网站。

服务器平安设置

>> IIS6.0 装置

开始菜单 — > 控制面板 — > 添加或删除程序 — > 添加 / 删除 Windows 组件

应用顺序 ASP.NET 可选 )

| 启用 网络 COM+ 访问 ( 必选 )

| Internet 信息服务 ( IIS Internet 信息服务管理器 ( 必选 )

| 公用文件 ( 必选 )

| 万维网服务 — Active Server page 必选 )

| Internet 数据连接器 ( 可选 )

| WebDAV 发布 ( 可选 )

| 万维网服务 ( 必选 )

| 服务器端的包括文件 ( 可选 )

把不需要的协议和服务都删掉, >> 网络连接 ” 里。这里只安装了基本的 Internet 协议 ( TCP/IP 和 Microsoft 网络客户端。高级 tcp/ip 设置里 --"NetBIOS" 设置 " 禁用 tcp/IP 上的 NetBIOS S "

基本达到一个 IPSec 功能 , >> 外地连接 ” 打开 Window 2003 自带的 防火墙 可以屏蔽端口。只保留有用的端口 , 比如远程 ( 3389 和 Web 80 ,Ftp 21 , 邮件服务器 ( 25,110 ,http 443 ,SQL 1433

>> IIS Internet 信息服务器管理器 ) " 主目录 " 选项设置以下

读 允许

写 不允许

脚本源访问 不允许

目录浏览 建议关闭

记录访问 建议关闭

索引资源 建议关闭

执行权限 推荐选择 纯脚本 ”

每天记录客户 IP 地址, >> 建议使用 W3C 扩充日志文件格式。用户名,服务器端口,方法, URI 字根, HTTP 状态,用户代理,而且每天均要审查日志。

建议更换一个记日志的路径,最好不要使用缺省的目录。同时设置日志的访问权限,只允许管理员和 system 为 Full Control

>> IIS6.0 - 外地计算机 - 属性 - 允许直接编辑配置 数据库 IIS 中 属性 -> 主目录 -> 配置 -> 选项中。

>> 网站把 ” 启用父路径 “ 前面打上勾

>> IIS 中的 Web 服务扩展中选中 Active Server Page 点击 “ 允许 ”

>> 优化 IIS6 应用顺序池

1 取消 “ 空闲此段时间后关闭工作进程 ( 分钟 )

2 勾选 “ 回收工作进程 ( 请求数目 )

3 取消 “ 快速失败维护 ”

>> 解决 SERVER 2003 不能上传大附件的问题

服务 ” 里关闭 ii admin servic 服务。

找到 windows\system32\inetsrv\ 下的 metabase.xml 文件。

找到 ASPMaxRequestEntityAllow 把它修改为需要的值 ( 可修改为 20M 即: 20480000

然后重启 ii admin servic 服务。 存盘。

>> 解决 SERVER 2003 无法下载超越 4M 附件问题

服务 ” 里关闭 ii admin servic 服务。

找到 windows\system32\inetsrv\ 下的 metabase.xml 文件。

找到 AspBufferingLimit 把它修改为需要的值 ( 可修改为 20M 即: 20480000

然后重启 ii admin servic 服务。 存盘。

>> 超时问题

解决大附件上传容易超时失败的问题

操作方法是 IIS 站点或虚拟目录 ” 主目录 ” 下点击 “ 配置 ” 按钮, IIS 中调大一些脚本超时时间。

设置脚本超时时间为: 300 秒 注意:不是 Session 超时时间 )

按下发信按钮就会回到系统登录界面的问题 解决通过 WebMail 写信时间较长后。

适当增加会话时间 ( Session 为 60 分钟。 IIS 站点或虚拟目录属性的主目录 ” 下点击 “ 配置 --> 选项 ”

就可以进行设置了 Window 2003 默认为 20 分钟 )

>> 修改 3389 远程连接端口

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Termin Server\Wds\rdpwd\Tds\tcp]

"PortNumber"=dword:0000 端口号

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Termin Server\WinStations\RDP-Tcp]

"PortNumber"=dword:0000 端口号

添加 “ IUSR 完全拒绝 禁止显示端口号 设置这两个注册表的权限 .

>> 外地战略 ---> 用户权限分配

关闭系统:只有 Administr 组、其它全部删除。

其他全部删除 通过终端服务允许登陆:只加入 Administrators,Remot Desktop User 组。

通过终端服务拒绝登陆 加入 >> 平安设置里 外地战略 - 用户权利分配。

ASPNET

IUSR_

IWAM_

NETWORK SERVICE

注意不要添加进 user 组和 administr 组 添加进去以后就没有方法远程登陆了

>> 平安设置里 外地战略 - 平安选项

网络访问 : 可匿名访问的共享 ;

网络访问 : 可匿名访问的命名管道 ;

网络访问 : 可远程访问的注册表路径 ;

网络访问 : 可远程访问的注册表路径和子路径 ;

将以上四项全部删除

>> 不允许 SAM 账户的匿名枚举 更改为 " 已启用 "

>> 不允许 SAM 账户和共享的匿名枚举 更改为 " 已启用 " ;

>> 网络访问 : 不允许存储网络身份验证的凭据或 .NET Passport 更改为 " 已启用 " ;

更改为 " 已启用 " >> 网络访问 . 限制匿名访问命名管道和共享 .;

将以上四项通通设为 “ 已启用 ”

>> 计算机管理的外地用户和组

SQL 服务 ( SQLDebugg , 禁用终端服务 ( TsInternetUs . SUPPORT_388945a0

>> 禁用不必要的服务

sc config AeLookupSvc start= AUTO

sc config Alerter start= DISABLED

sc config ALG start= DISABLED

sc config AppMgmt start= DEMAND

sc config aspnet_st start= DEMAND

sc config AudioSrv start= DISABLED

sc config BITS start= DEMAND

sc config Browser start= DEMAND

sc config CiSvc start= DISABLED

sc config ClipSrv start= DISABLED

sc config clr_optimization_v2.0.50727_32 start= DEMAND

sc config COMSysApp start= DEMAND

sc config CryptSvc start= AUTO

sc config DcomLaunch start= AUTO

sc config Df start= DEMAND

sc config Dhcp start= AUTO

sc config dmadmin start= DEMAND

sc config dmserver start= AUTO

sc config Dnscach start= AUTO

sc config ERSvc start= DISABLED

sc config Eventlog start= AUTO

sc config EventSystem start= AUTO

sc config helpsvc start= DISABLED

sc config HidServ start= AUTO

sc config HTTPFilter start= DEMAND

sc config IISADMIN start= AUTO

sc config ImapiServic start= DISABLED

sc config IsmServ start= DISABLED

sc config kdc start= DISABLED

sc config lanmanworkst start= DISABLED

sc config LicenseServic start= DISABLED

sc config LmHost start= DISABLED

sc config Messeng start= DISABLED

sc config mnmsrvc start= DISABLED

sc config MSDTC start= AUTO

sc config MSIServer start= DEMAND

sc config MSSEARCH start= AUTO

sc config MSSQLSERVER start= AUTO

sc config MSSQLServerADHelp start= DEMAND

sc config NetDDE start= DISABLED

sc config NetDDEdsdm start= DISABLED

sc config Netlogon start= DEMAND

sc config Netman start= DEMAND

sc config Nla start= DEMAND

sc config NtFr start= DEMAND

sc config NtLmSsp start= DEMAND

sc config NtmsSvc start= DEMAND

sc config PlugPlai start= AUTO

sc config PolicyAg start= AUTO

sc config ProtectedStorag start= AUTO

sc config RasAuto start= DEMAND

sc config RasMan start= DEMAND

sc config RDSessMgr start= DEMAND

sc config RemoteAccess start= DISABLED

sc config RemoteRegistri start= DISABLED

sc config RpcLocat start= DEMAND

sc config RpcS start= AUTO

sc config RSoPProv start= DEMAND

sc config sacsvr start= DEMAND

sc config SamS start= AUTO

sc config SCardSvr start= DEMAND

sc config Schedul start= AUTO

sc config seclogon start= AUTO

sc config SENS start= AUTO

sc config SharedAccess start= DISABLED

sc config ShellHWDetect start= AUTO

sc config SMTPSVC start= AUTO

sc config Spooler start= DISABLED

sc config SQLSERVERAGENT start= AUTO

sc config stisvc start= DISABLED

sc config swprv start= DEMAND

sc config SysmonLog start= AUTO

sc config TapiSrv start= DEMAND

sc config TermServic start= AUTO

sc config Theme start= DISABLED

sc config TlntSvr start= DISABLED

sc config TrkSvr start= DISABLED

sc config TrkWk start= AUTO

sc config Tssdi start= DISABLED

sc config UMWdf start= DEMAND

sc config UPS start= DEMAND

sc config vd start= DEMAND

sc config VSS start= DEMAND

sc config W32Time start= AUTO

sc config W3SVC start= AUTO

sc config WebClient start= DISABLED

sc config WinHttpAutoProxySvc start= DEMAND

sc config winmgmt start= AUTO

sc config WmdmPmSN start= DEMAND

sc config Wmi start= DEMAND

sc config WmiApSrv start= DEMAND

sc config wuauserv start= DISABLED

sc config WZCSVC start= DISABLED

sc config xmlprov start= DEMAND

>> 删除默认共享

@echo off

::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::

::

然后再逐个删除以分区名命名的共享 :: 先列举存在分区。;

:: 通过修改注册表防止 admin$ 共享在下次开机时重新加载 ;

:: IPC$ 共享需要 administritor 权限才干胜利删除

::

::

::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::

titl 默认共享删除器

color 1f

echo.

echo ------------------------------------------------------

echo.

echo 开始删除每个分区下的默认共享 .

echo.

for %%a in C D E F G H I J K L M N O P Q R S T U V W X Y Z do @

if exist %%a:\nul

net share %%a$Content$nbsp;/delete>nul 2>nul && echo 胜利删除名为 %%a$Content$nbsp; 默认共享 || echo 名为 %%a$Content$nbsp; 默认共享不存在

net share admin$Content$nbsp;/delete>nul 2>nul && echo 胜利删除名为 admin$Content$nbsp; 默认共享 || echo 名为 admin$Content$nbsp; 默认共享不存在

echo.

echo ------------------------------------------------------

echo.

net stop Server /y>nul 2>nul && echo Server 服务已停止 .

net start Server>nul 2>nul && echo Server 服务已启动 .

echo.

echo ------------------------------------------------------

echo.

echo 修改注册表以更改系统默认设置 .

echo.

echo 正在创建注册表文件 .

echo Window Registri Editor Version 5.00> c:\delshare.reg

以防重启后再次加载 :: 通过注册表禁止 Admin$ 共享。

echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]>> c:\delshare.reg

echo "AutoShareWks"=dword:00000000>> c:\delshare.reg

echo "AutoShareServer"=dword:00000000>> c:\delshare.reg

本功能需要 administritor 权限才干胜利删除 :: 删除 IPC$ 共享。

echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]>> c:\delshare.reg

echo "restrictanonymous"=dword:00000001>> c:\delshare.reg

echo 正在导入注册表文件以更改系统默认设置 .

regedit /s c:\delshare.reg

del c:\delshare.reg && echo 临时文件已经删除 .

echo.

echo ------------------------------------------------------

echo.

echo 顺序已经胜利删除所有的默认共享 .

echo.

echo 按任意键退出 ...

pause>nul

>> 打开 C:\Window 目录 搜索以下 DOS 命令文件

NET1.EXE, NET.EXE.CMD.EXE,FTP.EXE,ATPIB.EXE,CACLS.EXE,AT.EXE,FORMAT.COM,TELNET.EXE,COMMAND.COM,NETSTAT.EXE,REGEDIT.EXE,ARP.EXE,NBTSTAT.EXE

把以上命令文件通通只给 Administr 和 SYSTEM 为完全控制权限

>> 卸载删除具有 CMD 命令功能的危险组件

WSHOM.OCX 对应于 WScript.Shel 组件

HKEY_CLASSES_ROOT\WScript.Shell\

HKEY_CLASSES_ROOT\WScript.Shell.1\

添加 IUSR 用户完全拒绝权限

Shell32.dll 对应于 Shell.Applic 组件

HKEY_CLASSES_ROOT\Shell.Application\

HKEY_CLASSES_ROOT\Shell.Application.1\

添加 IUSR 用户完全拒绝权限

regsvr32/u C:\Windows\System32\wshom.ocx

regsvr32/u C:\Windows\System32\shell32.dll

WSHOM.OCXx 和 Shell32.dl 这两个文件只给 Administr 完全权限

>>> SQL 权限设置

只给 PUBLIC 和 DB_OWNER 权限, SA 帐号基本是不使用的因为 SA 实在太危险了 1 一个数据库 , 一个帐号和密码 , 比如建立了一个数据库。.

任何情况下都不要用 sa 这个帐户 2 更改 sa 密码为你都不知道的超长密码 ..

请重试 ]" 问题 3 Web 登录时经常出现 "[ 超时。

一定要启用 “ 服务器网络实用工具 ” 中的多协议 ” 项。 如果装置了 SQL Server 时。

4 将有安全问题的 SQL 扩展存储过程删除 . 将以下代码全部复制到 "SQL 查询分析器 "

us master

EXEC sp_dropextendedproc xp_cmdshell

EXEC sp_dropextendedproc Sp_OACreat

EXEC sp_dropextendedproc Sp_OADestroi

EXEC sp_dropextendedproc Sp_OAGetErrorInfo

EXEC sp_dropextendedproc Sp_OAGetProperti

EXEC sp_dropextendedproc Sp_OAMethod

EXEC sp_dropextendedproc Sp_OASetProperti

EXEC sp_dropextendedproc Sp_OAStop

EXEC sp_dropextendedproc Xp_regaddmultistr

EXEC sp_dropextendedproc Xp_regdeletekei

EXEC sp_dropextendedproc Xp_regdeletevalu

EXEC sp_dropextendedproc Xp_regenumvalu

EXEC sp_dropextendedproc Xp_regread

EXEC sp_dropextendedproc Xp_regremovemultistr

EXEC sp_dropextendedproc Xp_regwrit

drop procedur sp_makewebtask

恢复的命令是

@dllname = 存储过程的 dll EXEC sp_addextendedproc 存储过程的名称 .

例如:恢复存储过程 xp_cmdshell

@dllnam = xplog70.dll EXEC sp_addextendedproc xp_cmdshell.

恢复时如果 xplog70.dll 已删除需要 copi 一个。 注意。

>> WEB 目录权限设置

参考消息:http://www.arpun.com/所有的用户, Everyone: 顾名思义。这个计算机上的所有用户都属于这个组。

更多精彩,请查看本类栏目: 安全防范
除非注明,ARP联盟文章来于网络,投稿原创等,转载请以链接形式标明本文地址。
本文地址:http://www.arpun.com/article/3247.html

相关文章
  • ·2016年3月27日爱奇艺会员账号共享 优酷会员账号共享
  • ·[组图]英媒:"登月度假"20年内或成真 中国受邀参建月球村
  • ·2016年3月25日爱奇艺会员账号共享 优酷会员账号共享
  • ·[图文]QQ2016设置密保教程
  • ·2016年3月18日爱奇艺会员账号共享 优酷会员账号共享
  • ·[图文]2016-3埃及金字塔上空多个UFO视频
  • ·2016年电脑杀毒软件哪个最好用
  • ·2016年3月13日爱奇艺会员账号共享 优酷会员账号共享
  • 发表评论
    栏目列表
    阅读排行
    本类最新
    网站帮助 - 广告合作 - 下载声明 - 网站地图