WIN2003服務(wù)器六條安全策略
策略一:關(guān)閉windows2003不必要的服務(wù)
·computer browser 維護(hù)網(wǎng)絡(luò)上計(jì)算機(jī)的最新列表以及提供這個列表
·task scheduler 允許程序在指定時間運(yùn)行
·routing and remote access 在局域網(wǎng)以及廣域網(wǎng)環(huán)境中為企業(yè)提供路由服務(wù)
·removable storage 管理可移動媒體、驅(qū)動程序和庫
·remote registry service 允許遠(yuǎn)程注冊表操作
·print spooler 將文件加載到內(nèi)存中以便以后打印����。
·ipsec policy agent 管理ip安全策略及啟動isakmp/oakleyike)和ip安全驅(qū)動程序
·distributed link tracking client 當(dāng)文件在網(wǎng)絡(luò)域的ntfs卷中移動時發(fā)送通知
·com+ event system 提供事件的自動發(fā)布到訂閱com組件
·alerter 通知選定的用戶和計(jì)算機(jī)管理警報
·error reporting service 收集、存儲和向 microsoft 報告異常應(yīng)用程序
·messenger 傳輸客戶端和服務(wù)器之間的 net send 和 警報器服務(wù)消息
·telnet 允許遠(yuǎn)程用戶登錄到此計(jì)算機(jī)并運(yùn)行程序
策略二:磁盤權(quán)限設(shè)置
c盤只給administrators和system權(quán)限���,其他的權(quán)限不給�,其他的盤也可以這樣設(shè)置��,這里給的system權(quán)限也不一定需要給�����,只是由于某些第三方應(yīng)用程序是以服務(wù)形式啟動的����,需要加上這個用戶�,否則造成啟動不了����。
windows目錄要加上給users的默認(rèn)權(quán)限,否則asp和aspx等應(yīng)用程序就無法運(yùn)行����。
策略三:禁止 windows 系統(tǒng)進(jìn)行空連接
在注冊表中找到相應(yīng)的鍵值hkey_local_machine/system/currentcontrolset/control/lsa��,將dword值restrictanonymous的鍵值改為1
策略四:關(guān)閉不需要的端口
本地連接--屬性--internet協(xié)議(tcp/ip)--高級--選項(xiàng)--tcp/ip篩選--屬性--把勾打上���,然后添加你需要的端口即可�����。(如:3389��、21��、1433��、3306�����、80)
更改遠(yuǎn)程連接端口方法
開始-->運(yùn)行-->輸入regedit
查找3389:
請按以下步驟查找:
1�、hkey_local_machine\system\currentcontrolset\control\terminal server\wds\rdpwd\tds\tcp下的portnumber=3389改為自寶義的端口號
2、hkey_local_machine\system\currentcontrolset\control\terminal server\winstations\rdp-tcp下的portnumber=3389改為自寶義的端口號
修改3389為你想要的數(shù)字(在十進(jìn)制下)----再點(diǎn)16進(jìn)制(系統(tǒng)會自動轉(zhuǎn)換)----最后確定!這樣就ok了���。
這樣3389端口已經(jīng)修改了���,但還要重新啟動主機(jī),這樣3389端口才算修改成功!如果不重新啟動3389還
是修改不了的!重起后下次就可以用新端口進(jìn)入了!
禁用tcp/ip上的netbios
本地連接--屬性--internet協(xié)議(tcp/ip)--高級—wins--禁用tcp/ip上的netbios
策略五:關(guān)閉默認(rèn)共享的空連接
首先編寫如下內(nèi)容的批處理文件:
@echo off
net share c$ /delete
net share d$ /delete
net share e$ /delete
net share f$ /delete
net share admin$ /delete
以上文件的內(nèi)容用戶可以根據(jù)自己需要進(jìn)行修改���。保存為delshare.bat�,存放到系統(tǒng)所在文件夾下的system32\grouppolicy\user\scripts\logon目錄下�。然后在開始菜單→運(yùn)行中輸入gpedit.msc,
回車即可打開組策略編輯器��。點(diǎn)擊用戶配置→windows設(shè)置→腳本(登錄/注銷)→登錄.
在出現(xiàn)的“登錄 屬性”窗口中單擊“添加”����,會出現(xiàn)“添加腳本”對話框,在該窗口的“腳本名”欄中輸入delshare.bat���,然后單擊“確定”按鈕即可����。
重新啟動計(jì)算機(jī)系統(tǒng),就可以自動將系統(tǒng)所有的隱藏共享文件夾全部取消了���,這樣就能將系統(tǒng)安全隱患降低到最低限度�。
策略五:iis安全設(shè)置
1��、不使用默認(rèn)的web站點(diǎn)����,如果使用也要將iis目錄與系統(tǒng)磁盤分開����。
2、刪除iis默認(rèn)創(chuàng)建的inetpub目錄(在安裝系統(tǒng)的盤上)�。
3、刪除系統(tǒng)盤下的虛擬目錄���,如:_vti_bin�����、iissamples�����、scripts��、iishelp���、iisadmin�����、iishelp��、msadc���。
4、刪除不必要的iis擴(kuò)展名映射���。
右鍵單擊“默認(rèn)web站點(diǎn)→屬性→主目錄→配置”���,打開應(yīng)用程序窗口,去掉不必要的應(yīng)用程序映射�����。主要為.shtml、shtm�����、stm�。
5、更改iis日志的路徑
右鍵單擊“默認(rèn)web站點(diǎn)→屬性-網(wǎng)站-在啟用日志記錄下點(diǎn)擊屬性
策略六:注冊表相關(guān)安全設(shè)置
1����、隱藏重要文件/目錄
hkey_local_machine\software\microsoft\windows\current-version\explorer\advanced\folder\hidden\showall”
鼠標(biāo)右擊 “checkedvalue”,選擇修改�����,把數(shù)值由1改為0�。
2��、防止syn洪水攻擊
hkey_local_machine\system\currentcontrolset\services\tcpip\parameters
新建dword值����,名為synattackprotect,值為2
3����、禁止響應(yīng)icmp路由通告報文
hkey_local_machine\system \ currentcontrolset\ services\tcpip\parameters\interfaces\interface
新建dword值,名為performrouterdiscovery 值為0。
4�、防止icmp重定向報文的攻擊
hkey_local_machine\system\currentcontrolset\services\tcpip\parameters
將enableicmpredirects 值設(shè)為0
5、不支持igmp協(xié)議
hkey_local_machine\system\currentcontrolset\services\tcpip\parameters
新建dword值�,名為igmplevel 值為0。
策略七:組件安全設(shè)置篇
a�����、 卸載wscript.shell 和 shell.application 組件���,將下面的代碼保存為一個.bat文件執(zhí)行(分2000和2003系統(tǒng))
windows2000.bat
regsvr32/u c:\winnt\system32\wshom.ocx
del c:\winnt\system32\wshom.ocx
regsvr32/u c:\winnt\system32\shell32.dll
del c:\winnt\system32\shell32.dll
windows2003.bat
regsvr32/u c:\windows\system32\wshom.ocx
del c:\windows\system32\wshom.ocx
regsvr32/u c:\windows\system32\shell32.dll
del c:\windows\system32\shell32.dll
b�����、改名不安全組件�,需要注意的是組件的名稱和clsid都要改���,并且要改徹底了���,不要照抄,要自己改
【開始→運(yùn)行→regedit→回車】打開注冊表編輯器
然后【編輯→查找→填寫shell.application→查找下一個】
用這個方法能找到兩個注冊表項(xiàng):
{13709620-c279-11ce-a49e-444553540000} 和 shell.application �。
第一步:為了確保萬無一失,把這兩個注冊表項(xiàng)導(dǎo)出來���,保存為xxxx.reg 文件�����。
第二步:比如我們想做這樣的更改
13709620-c279-11ce-a49e-444553540000 改名為 13709620-c279-11ce-a49e-444553540001
shell.application 改名為 shell.application_nohack
第三步:那么���,就把剛才導(dǎo)出的.reg文件里的內(nèi)容按上面的對應(yīng)關(guān)系替換掉��,然后把修改好的.reg文件導(dǎo)入到注冊表中(雙擊即可)�����,導(dǎo)入了改名后的注冊表項(xiàng)之后���,別忘記了刪除原有的那兩個項(xiàng)目。這里需要注意一點(diǎn)���,clsid中只能是十個數(shù)字和abcdef六個字母。
其實(shí)���,只要把對應(yīng)注冊表項(xiàng)導(dǎo)出來備份���,然后直接改鍵名就可以了�,
改好的例子
建議自己改
應(yīng)該可一次成功
windows registry editor version 5.00
[hkey_classes_root\clsid\{13709620-c279-11ce-a49e-444553540001}]
@="shell automation service"
[hkey_classes_root\clsid\{13709620-c279-11ce-a49e-444553540001}\inprocserver32]
@="c:\\winnt\\system32\\shell32.dll"
"threadingmodel"="apartment"
[hkey_classes_root\clsid\{13709620-c279-11ce-a49e-444553540001}\progid]
@="shell.application_nohack.1"
[hkey_classes_root\clsid\{13709620-c279-11ce-a49e-444553540001}\typelib]
@="{50a7e9b0-70ef-11d1-b75a-00a0c90564fe}"
[hkey_classes_root\clsid\{13709620-c279-11ce-a49e-444553540001}\version]
@="1.1"
[hkey_classes_root\clsid\{13709620-c279-11ce-a49e-444553540001}\versionindependentprogid]
@="shell.application_nohack"
[hkey_classes_root\shell.application_nohack]
@="shell automation service"
[hkey_classes_root\shell.application_nohack\clsid]
@="{13709620-c279-11ce-a49e-444553540001}"
[hkey_classes_root\shell.application_nohack\curver]
@="shell.application_nohack.1"
評論:
wscript.shell 和 shell.application 組件是 腳本入侵過程中��,提升權(quán)限的重要環(huán)節(jié)����,這兩個組件的卸載和修改對應(yīng)注冊鍵名,可以很大程度的提高虛擬主機(jī)的腳本安全性能�,一般來說,asp和php類腳本提升權(quán)限的功能是無法實(shí)現(xiàn)了�����,再加上一些系統(tǒng)服務(wù)����、硬盤訪問權(quán)限、端口過濾��、本地安全策略的設(shè)置����,虛擬主機(jī)因該說,安全性能有非常大的提高�����,黑客入侵的可能性是非常低了。注銷了shell組件之后����,侵入者運(yùn)行提升工具的可能性就很小了,但是prel等別的腳本語言也有shell能力�,為防萬一,還是設(shè)置一下為好�����。下面是另外一種設(shè)置��,大同小異�。
c、禁止使用filesystemobject組件
filesystemobject可以對文件進(jìn)行常規(guī)操作,可以通過修改注冊表����,將此組件改名,來防止此類木馬的危害�����。
hkey_classes_root\scripting.filesystemobject\
改名為其它的名字���,如:改為 filesystemobject_changename
自己以后調(diào)用的時候使用這個就可以正常調(diào)用此組件了
也要將clsid值也改一下
hkey_classes_root\scripting.filesystemobject\clsid\項(xiàng)目的值
也可以將其刪除�����,來防止此類木馬的危害��。
2000注銷此組件命令:regsrv32 /u c:\winnt\system\scrrun.dll
2003注銷此組件命令:regsrv32 /u c:\windows\system\scrrun.dll
如何禁止guest用戶使用scrrun.dll來防止調(diào)用此組件?
使用這個命令:cacls c:\winnt\system32\scrrun.dll /e /d guests
d��、禁止使用wscript.shell組件
wscript.shell可以調(diào)用系統(tǒng)內(nèi)核運(yùn)行dos基本命令
可以通過修改注冊表����,將此組件改名�,來防止此類木馬的危害。
hkey_classes_root\wscript.shell\及hkey_classes_root\wscript.shell.1\
改名為其它的名字���,如:改為wscript.shell_changename 或 wscript.shell.1_changename
自己以后調(diào)用的時候使用這個就可以正常調(diào)用此組件了
也要將clsid值也改一下
hkey_classes_root\wscript.shell\clsid\項(xiàng)目的值
hkey_classes_root\wscript.shell.1\clsid\項(xiàng)目的值
也可以將其刪除�,來防止此類木馬的危害���。
e���、禁止使用shell.application組件
shell.application可以調(diào)用系統(tǒng)內(nèi)核運(yùn)行dos基本命令
可以通過修改注冊表,將此組件改名�����,來防止此類木馬的危害。
hkey_classes_root\shell.application\及
hkey_classes_root\shell.application.1\
改名為其它的名字��,如:改為shell.application_changename 或 shell.application.1_changename
自己以后調(diào)用的時候使用這個就可以正常調(diào)用此組件了
也要將clsid值也改一下
hkey_classes_root\shell.application\clsid\項(xiàng)目的值
hkey_classes_root\shell.application\clsid\項(xiàng)目的值
也可以將其刪除��,來防止此類木馬的危害�����。
禁止guest用戶使用shell32.dll來防止調(diào)用此組件���。
2000使用命令:cacls c:\winnt\system32\shell32.dll /e /d guests
2003使用命令:cacls c:\windows\system32\shell32.dll /e /d guests
注:操作均需要重新啟動web服務(wù)后才會生效�。
f�、調(diào)用cmd.exe
禁用guests組用戶調(diào)用cmd.exe
2000使用命令:cacls c:\winnt\system32\cmd.exe /e /d guests
2003使用命令:cacls c:\windows\system32\cmd.exe /e /d guests
通過以上四步的設(shè)置基本可以防范目前比較流行的幾種木馬,但最有效的辦法還是通過綜合安全設(shè)置�����,將服務(wù)器�、程序安全都達(dá)到一定標(biāo)準(zhǔn),才可能將安全等級設(shè)置較高��,防范更多非法入侵���。
|
