熱搜:win11繞過(guò)硬件限制安裝 一鍵重裝Win10系統(tǒng) 最干凈的u盤(pán)啟動(dòng)盤(pán) 真正純凈版的win7系統(tǒng)
時(shí)間:2013-11-08 09:33:00 作者:jiaoru 來(lái)源:系統(tǒng)之家 1. 掃描二維碼隨時(shí)看資訊 2. 請(qǐng)使用手機(jī)瀏覽器訪問(wèn): https://m.xitongzhijia.net/xtjc/20131106/19699.html 手機(jī)查看 評(píng)論 反饋
高手支招之網(wǎng)絡(luò)服務(wù)器安全配置的技巧
系統(tǒng)更新?lián)Q代速度很快,但是對(duì)于win2003系統(tǒng)還是有很多用戶(hù)鐘愛(ài)的。所以這里就與大家分享下在win2003系統(tǒng)中網(wǎng)絡(luò)服務(wù)器安全配置的技巧,滿(mǎn)足win2003用戶(hù)的需求。
系統(tǒng):Windows2003
服務(wù):[IIS] [SERV-U] [IMAIL] [SQL SERVER 2000] [php] [MySQL]
1. WINDOWS本地安全策略 端口限制
A. 對(duì)于我們的例子來(lái)說(shuō),需要開(kāi)通以下端口
外->本地 80
外->本地 20
外->本地 21
外->本地 PASV所用到的一些端口
外->本地 25
外->本地 110
外->本地 3389
然后按照具體情況,打開(kāi)SQL SERVER和MYSQL的端口
外->本地 1433
外->本地 3306
B. 接著是開(kāi)放從內(nèi)部往外需要開(kāi)放的端口
按照實(shí)際情況,如果無(wú)需郵件服務(wù),則不要打開(kāi)以下兩條規(guī)則
本地->外 53 TCP,UDP
本地->外 25
按照具體情況,如果無(wú)需在服務(wù)器上訪問(wèn)網(wǎng)頁(yè),盡量不要開(kāi)以下端口
本地->外 80
C. 除了明確允許的一律阻止,這個(gè)是安全規(guī)則的關(guān)鍵
外->本地 所有協(xié)議 阻止
2. 用戶(hù)帳號(hào)
A. 將administrator改名,例子中改為root
B. 取消所有除管理員root外所有用戶(hù)屬性中的
遠(yuǎn)程控制->啟用遠(yuǎn)程控制 以及
終端服務(wù)配置文件->允許登陸到終端服務(wù)器
C. 將guest改名為administrator并且修改密碼
D. 除了管理員root、IUSER以及IWAM以及aspNET用戶(hù)外,禁用其他一切用戶(hù),包括SQL DEBUG以及TERMINAL USER等等
3. 目錄權(quán)限
將所有盤(pán)符的權(quán)限,全部改為只有
administrators組 全部權(quán)限
ystem 全部權(quán)限
將C盤(pán)的所有子目錄和子文件繼承C盤(pán)的administrator(組或用戶(hù))和SYSTEM所有權(quán)限的兩個(gè)權(quán)限
然后做如下修改
C:\PRogram Files\Common Files 開(kāi)放Everyone默認(rèn)的讀取及運(yùn)行 列出文件目錄 讀取三個(gè)權(quán)限
C:\WINDOWS\ 開(kāi)放Everyone默認(rèn)的讀取及運(yùn)行 列出文件目錄 讀取三個(gè)權(quán)限
C:\WINDOWS\Temp 開(kāi)放Everyone 修改、讀取及運(yùn)行、列出文件目錄、讀取、寫(xiě)入權(quán)限
現(xiàn)在WebShell就無(wú)法在系統(tǒng)目錄內(nèi)寫(xiě)入文件了。當(dāng)然也可以使用更嚴(yán)格的權(quán)限,在WINDOWS下分別目錄設(shè)置權(quán)限?墒潜容^復(fù)雜,效果也并不明顯。
4. IIS
在IIS 6下,應(yīng)用程序擴(kuò)展內(nèi)的文件類(lèi)型對(duì)應(yīng)ISAPI的類(lèi)型已經(jīng)去掉了IDQ、PRINT等等危險(xiǎn)的腳本類(lèi)型,
在IIS 5下我們需要把除了ASP以及ASA以外所有類(lèi)型刪除。
安裝URLSCAN
在[DenyExtensions]中一般加入以下內(nèi)容 . cer
. cdx
. mdb
.bat
. cmd
. com
. htw
. ida
. idq
. htr
. idc
. shtm
. shtml
. stm
. printer
這樣入侵者就無(wú)法下載.mdb數(shù)據(jù)庫(kù),這種方法比外面一些在文件頭加入特殊字符的方法更加徹底。
因?yàn)榧幢阄募^加入特殊字符,還是可以通過(guò)編碼構(gòu)造出來(lái)的
5. WEB目錄權(quán)限
比較保險(xiǎn)的做法就是為每個(gè)客戶(hù)建立一個(gè)Windows用戶(hù),然后在IIS的響應(yīng)的站點(diǎn)項(xiàng)內(nèi)把IIS執(zhí)行的匿名用戶(hù),綁定成這個(gè)用戶(hù)并且把他指向的目錄,權(quán)限變更為administrators 全部權(quán)限
system 全部權(quán)限
單獨(dú)建立的用戶(hù)(或者IUSER) 選擇高級(jí)->打開(kāi)除 完全控制、遍歷文件夾/運(yùn)行程序、取得所有權(quán) 3個(gè)外的其他權(quán)限
如果服務(wù)器上站點(diǎn)不多,并且有論壇,我們可以把每個(gè)論壇的上傳目錄去掉此用戶(hù)的執(zhí)行權(quán)限,只有讀寫(xiě)權(quán)限這樣入侵者即便繞過(guò)論壇文件類(lèi)型檢測(cè)上傳了webshell也是無(wú)法運(yùn)行的。
6. MS SQL SERVER2000
使用系統(tǒng)帳戶(hù)登陸查詢(xún)分析器運(yùn)行以下腳本 use master
e xec sp_dropextendedproc 'xp_cmdshell'
e xec sp_dropextendedproc 'xp_dirtree'
e xec sp_dropextendedproc 'xp_enumgroups'
e xec sp_dropextendedproc 'xp_fixeddrives'
e xec sp_dropextendedproc 'xp_loginconfig'
e xec sp_dropextendedproc 'xp_enumerrorlogs'
e xec sp_dropextendedproc 'xp_getfiledetails'
e xec sp_dropextendedproc 'Sp_OACreate'
e xec sp_dropextendedproc 'Sp_OADestroy'
e xec sp_dropextendedproc 'Sp_OAGetErrorInfo'
e xec sp_dropextendedproc 'Sp_OAGetProperty'
e xec sp_dropextendedproc 'Sp_OAMethod'
e xec sp_dropextendedproc 'Sp_OASetProperty'
e xec sp_dropextendedproc 'Sp_OAStop'
e xec sp_dropextendedproc 'Xp_regaddmultistring'
e xec sp_dropextendedproc 'Xp_regdeletekey'
e xec sp_dropextendedproc 'Xp_regdeletevalue'
e xec sp_dropextendedproc 'Xp_regenumvalues'
e xec sp_dropextendedproc 'Xp_regread'
e xec sp_dropextendedproc 'Xp_regremovemultistring'
e xec sp_dropextendedproc 'Xp_regwrite'
drop procedure sp_makewebtask
go 刪除所有危險(xiǎn)的擴(kuò)展
7. 修改CMD.EXE以及NET.EXE權(quán)限
將兩個(gè)文件的權(quán)限修改到特定管理員才能訪問(wèn),比如本例中,我們?nèi)缦滦薷?/p>
cmd.e xe root用戶(hù) 所有權(quán)限
et.e xe root用戶(hù) 所有權(quán)現(xiàn)
這樣就能防止非法訪問(wèn)
還可以使用例子中提供的comlog程序?qū)om.exe改名_com.e xe,然后替換com文件,這樣可以記錄所有執(zhí)行的命令行指令
8. 備份
使用ntbackup軟件備份系統(tǒng)狀態(tài),使用reg.e xe 備份系統(tǒng)關(guān)鍵數(shù)據(jù),如reg export
LM\SOFTWARE\ODBC e:\backup\system\odbc.reg /y
來(lái)備份系統(tǒng)的ODBC
9. 殺毒
在MCAFEE中,我們還能夠加入規(guī)則阻止在windows目錄建立和修改E XE. DLL文件等,我們?cè)谲浖屑尤雽?duì)WEB目錄的殺毒計(jì)劃,每天執(zhí)行一次,并且打開(kāi)實(shí)時(shí)監(jiān)控。
10. 關(guān)閉無(wú)用的服務(wù)
我們一般關(guān)閉如下服務(wù)
Computer Browser
Help and Support
Messenger
Print Spooler
Remote Registry
TCP/ip NetBIOS Helper
如果服務(wù)器不用作域控,我們也可以禁用Workstation
11. 取消危險(xiǎn)組件
如果服務(wù)器不需要fso,regsvr32 /u c:windows\system32\scrrun.dll注銷(xiāo)組件,使用regedit將/HKEY_CLASSES_ROOT下的 WScript.Network
WScript.Network.1
WScript.Shell
WScript.Shell.1
Shell.application
Shell.Application.1
鍵值改名或刪除
將這些鍵值下CLSID中包含的字串
如{72C24DD5-D70A-438B-8A42-98424B88AFB8}
到/HKEY_CLASSES_ROOT/CLSID下找到以這些字串命名的鍵值
全部刪除
12. 審計(jì)
本地安全策略->本地策略->審核策略
打開(kāi)以下內(nèi)容
審核策略更改 成功,失敗
審核系統(tǒng)事件 成功,失敗
審核帳戶(hù)登陸事件 成功,失敗
審核帳戶(hù)管理 成功,失敗
網(wǎng)絡(luò)服務(wù)器對(duì)系統(tǒng)來(lái)說(shuō)是一個(gè)重要的組成部分,對(duì)網(wǎng)絡(luò)服務(wù)器進(jìn)行安全配置,能夠保障上網(wǎng)的需求。雖然步驟很繁瑣,但是這些操作都是很有必要的,不可忽略。
發(fā)表評(píng)論
共0條
評(píng)論就這些咯,讓大家也知道你的獨(dú)特見(jiàn)解
立即評(píng)論以上留言?xún)H代表用戶(hù)個(gè)人觀點(diǎn),不代表系統(tǒng)之家立場(chǎng)