Win2003服務器(qì)IIS6安全防(fáng)木馬、權(quán)限(xiàn)設(shè)置方法
一、係統的安裝
1、按照Windows2003安裝光盤的(de)提示安裝(zhuāng),默認情況下(xià)2003沒(méi)有把IIS6.0安裝(zhuāng)在係統(tǒng)裏麵。
2、IIS6.0的(de)安裝
開始菜單—>控製(zhì)麵板—>添加(jiā)或刪除程序—>添加/刪(shān)除Windows組件
應(yīng)用程序 ———ASP.NET(可(kě)選)
|——啟用網絡 COM+ 訪(fǎng)問(必選)
|——Internet 信息服務(wù)(IIS)———Internet 信息服務(wù)管理器(qì)(必選(xuǎn))
|——公用文件(jiàn)(必選)
|——萬維(wéi)網(wǎng)服務———Active Server pages(必(bì)選)
|——Internet 數據連接器(可選)
|——WebDAV 發布(bù)(可選)
|——萬維(wéi)網服務(必選)
|——在服(fú)務器端(duān)的(de)包含文件(可選)
然後(hòu)點擊確定—>下一(yī)步(bù)安裝。(具體見本文(wén)附件1)
3、係統補丁的更新
點擊開(kāi)始菜單—>所有程序—>Windows Update
按照提示進行補丁的(de)安裝。
4、備份係(xì)統
用GHOST備(bèi)份係統。
5、安(ān)裝常(cháng)用的軟(ruǎn)件
例如:殺毒軟件、解壓縮軟(ruǎn)件等;安裝完畢後,配(pèi)置殺毒軟件,掃(sǎo)描係統漏洞,安裝之後用GHOST再次(cì)備份(fèn)係統(tǒng)。
6、先關閉不(bú)需要的(de)端口 開啟防火牆 導入IPSEC策略
在”網絡連接”裏,把不(bú)需要的協議和服務都(dōu)刪掉,這裏隻安裝了基本的Internet協(xié)議(TCP/IP),由於要控製帶寬流量服務,額外安裝了Qos數據包計劃程序。在高級tcp/ip設置裏--"NetBioses"設置"禁用tcp/IP上的NetBioses(S)"。在高級選項裏,使用"Internet連接防火牆",這是windows 2003 自(zì)帶的防火牆,在2000係統(tǒng)裏沒有的(de)功能,雖然沒(méi)什麽(me)功(gōng)能,但可以屏蔽(bì)端口,這樣已經基本達到了一個IPSec的功能。
修改3389遠程連接端口
修改(gǎi)注冊表.
開始--運(yùn)行(háng)--regedit
依次展開 HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/
TERMINAL SERVER/WDS/RDPWD/TDS/TCP
右(yòu)邊鍵值(zhí)中 PortNumber 改為你想(xiǎng)用的端口號.注意使用十進(jìn)製(例 10000 )
HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/
WINSTATIONS/RDP-TCP/
右邊鍵值中 PortNumber 改為(wéi)你想(xiǎng)用的端(duān)口號.注意使用十進製(zhì)(例(lì) 10000 )
注意:別忘(wàng)了在WINDOWS2003自帶的防火牆給+上(shàng)10000端(duān)口(kǒu)
修改完畢(bì).重新啟動服務器(qì).設置生效.
二、用戶安全設置
1、禁用Guest賬號
在計算機管理的(de)用戶裏(lǐ)麵把Guest賬號禁用。為了保險起見,最好給Guest加(jiā)一個複雜的密碼。你可以(yǐ)打開記事本,在裏麵輸入(rù)一串(chuàn)包含特殊字符、數字、字母的長(zhǎng)字(zì)符串,然後把它作為Guest用戶的密(mì)碼拷進(jìn)去。
2、限(xiàn)製不必要的用戶(hù)
去(qù)掉所有的Duplicate User用戶、測(cè)試用戶、共(gòng)享用戶等等。用戶組策(cè)略(luè)設置相應權限,並且經常檢查係統的用戶,刪除已經不再使用的用戶。這些用戶(hù)很(hěn)多時候都是黑客們入侵係統的突破口。
3、把係統(tǒng)Administrator賬號改名
大家都知道,Windows 2003 的Administrator用戶是不能(néng)被停用的,這(zhè)意味著(zhe)別人(rén)可以一遍又一遍地嚐試(shì)這個用戶的密(mì)碼(mǎ)。盡量把它偽裝成普通用戶,比如改(gǎi)成Guesycludx。
4、創建一個陷阱(jǐng)用戶
什麽是陷(xiàn)阱用(yòng)戶?即創建一個名為“Administrator”的本地用戶,把(bǎ)它的權限設置成(chéng)最(zuì)低,什麽事(shì)也幹不了的那種,並且加上一個(gè)超過10位的超級複(fù)雜密碼。這樣可以讓那些 Hacker們忙上(shàng)一段時間,借此(cǐ)發現(xiàn)它們的入(rù)侵企圖。
5、把共享文件的權限從Everyone組改成授權用戶
任何時(shí)候都不要把共享文件的用(yòng)戶設置(zhì)成“Everyone”組,包括打(dǎ)印共享,默(mò)認的屬性就是“Everyone”組的,一定不(bú)要忘了改。
6、開啟(qǐ)用(yòng)戶策略
使(shǐ)用用戶(hù)策略(luè),分別設置複(fù)位用戶鎖定計數(shù)器(qì)時間為20分鍾,用戶鎖定時間為20分鍾,用戶鎖定閾值為3次。 (該項為(wéi)可選)
7、不讓係統顯示(shì)上次登錄的用戶名
默認情(qíng)況下,登錄(lù)對(duì)話框中會顯(xiǎn)示上次登(dēng)錄的用(yòng)戶名。這使得別(bié)人可以很容易地得到係統的一些(xiē)用戶(hù)名,進而做密碼猜測(cè)。修改注冊表可以(yǐ)不讓對(duì)話框裏顯示上次登錄的用戶名。方法為:打開注冊表編(biān)輯器並找(zhǎo)到注(zhù)冊表“HKLM\Software\Microsoft\Windows T\CurrentVersion\Winlogon\Dont-DisplayLastUserName”,把(bǎ)REG_SZ的鍵值改成1。
密碼(mǎ)安(ān)全設置
1、使用安(ān)全密碼
一些(xiē)公司(sī)的管理員創建賬號(hào)的時(shí)候往往用公司名、計算機名做用戶名,然後又把這些用戶的密碼設置(zhì)得(dé)太簡單,比如“welcome”等等。因(yīn)此,要(yào)注意密碼的複雜性,還要記住經常改密碼。
2、設置屏幕保護(hù)密碼
這是一個(gè)很(hěn)簡單也很有必要的操作。設(shè)置屏幕保護密(mì)碼也是防止內(nèi)部人員(yuán)破壞服務器的一個屏障。
3、開(kāi)啟密碼策略
注意應用密碼策略,如啟(qǐ)用密碼複(fù)雜(zá)性要求,設置密(mì)碼(mǎ)長度最小值(zhí)為6位 ,設置強製密碼曆史為5次,時(shí)間為(wéi)42天。
4、考慮使用智能卡來代替密(mì)碼
對於密碼,總是使安全管理(lǐ)員(yuán)進退兩難,密碼設置(zhì)簡單容易受到黑客的(de)攻擊,密碼設置(zhì)複雜又容易忘(wàng)記。如果條件允許,用智能卡來(lái)代(dài)替複雜的密碼(mǎ)是一個很好的解決方(fāng)法。
三、係統(tǒng)權限的設置
1、磁盤權限
係(xì)統盤(pán)及(jí)所有磁盤隻給 Administrators 組和 SYSTEM 的(de)完全(quán)控(kòng)製權限
係統盤\Documents and Settings 目錄(lù)隻給 Administrators 組和 SYSTEM 的完全控製權限
係統(tǒng)盤\Documents and Settings\All Users 目錄隻給 Administrators 組和 SYSTEM 的(de)完全控(kòng)製權限
係統(tǒng)盤\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe、ftp.exe、tftp.exe、telnet.exe 、 netstat.exe、regedit.exe、at.exe、attrib.exe、format.com、del文件隻給 Administrators 組和SYSTEM 的完全 控製(zhì)權限(xiàn)
另將\System32\cmd.exe、format.com、ftp.exe轉移到其(qí)他目錄或更名
Documents and Settings下所有些目錄都設置隻給adinistrators權限。並且要一個一個目(mù)錄查看,包括下麵的所有子目錄。
刪除c:\inetpub目錄
2、本地安(ān)全策略設置
開始菜單—>管理工(gōng)具—>本地安全(quán)策略
A、本地策略——>審核策略(luè)
審(shěn)核策(cè)略更改 成(chéng)功 失敗
審核登錄事件(jiàn) 成功(gōng) 失(shī)敗
審核(hé)對象訪問 失(shī)敗
審核過程跟蹤 無(wú)審(shěn)核(hé)
審核目錄服務訪問(wèn) 失敗
審核特權使(shǐ)用 失敗
審核係統事件 成功 失敗(bài)
審核賬戶(hù)登(dēng)錄(lù)事件 成功(gōng) 失敗
審核賬戶管(guǎn)理(lǐ) 成(chéng)功 失敗(bài)
B、本地策略——>用戶權限分配
關閉係統:隻有Administrators組、其它全部刪(shān)除(chú)。
通(tōng)過終端服務允(yǔn)許登陸:隻加入Administrators,Remote Desktop Users組,其他全(quán)部刪除
C、本地(dì)策略——>安全選項
交(jiāo)互式登陸:不顯示上(shàng)次的用戶(hù)名 啟用
網絡訪問(wèn):不允(yǔn)許SAM帳戶(hù)和共享的匿名枚舉 啟用
網絡(luò)訪問(wèn):不允(yǔn)許(xǔ)為網絡身份(fèn)驗證儲存憑證 啟(qǐ)用
網絡訪(fǎng)問:可(kě)匿名訪問的共(gòng)享 全部(bù)刪除
網(wǎng)絡訪問:可匿名訪問的命 全部刪除(chú)
網絡訪問(wèn):可遠程訪問(wèn)的注冊(cè)表路(lù)徑 全部刪除
網(wǎng)絡訪問:可(kě)遠(yuǎn)程訪(fǎng)問的注(zhù)冊(cè)表路徑和子路徑 全部刪(shān)除
帳戶:重(chóng)命名來賓帳戶(hù) 重命名(míng)一個帳戶
帳戶(hù):重命名係統管理員帳戶 重(chóng)命名(míng)一個帳戶
3、禁用不必(bì)要的服務 開始-運行-services.msc
TCP/IPNetBioses Helper提(tí)供 TCP/IP 服務上的 NetBioses 和網絡上客戶端(duān)的 NetBioses 名稱解(jiě)析的支持而使用戶能夠共享
文件、打印(yìn)和登錄(lù)到(dào)網絡
Server支持此計算機通過網絡的文(wén)件、打印(yìn)、和(hé)命名管道(dào)共享
Computer Browser 維(wéi)護網絡(luò)上計算(suàn)機的最(zuì)新列(liè)表以及提供(gòng)這個列表
Task scheduler 允許程(chéng)序在指定時間運行
Messenger 傳輸客戶端和(hé)服務器之間的 NET SEND 和 警報器(qì)服務消(xiāo)息
Distributed File System: 局(jú)域網管理共(gòng)享文(wén)件,不需要(yào)可禁(jìn)用
Distributed linktracking client:用(yòng)於局域網更(gèng)新連接信息,不需要可禁用
Error reporting service:禁止發送錯誤報告
關鍵詞:Win2003,服務器,IIS6安(ān)全,木馬
閱讀本文後您有什(shí)麽感(gǎn)想? 已有 人給出評價(jià)!
- 0
- 0
- 0
- 0
- 0
- 0