第一步:
一、先關(guān)閉不需要的端口
我比較小心,先關(guān)了端口。只開了3389 21 80 1433(MYSQL)有些人一直說什么默認(rèn)的3389不安全,對此我不否認(rèn),但是利用的途徑也只能一個一個的窮舉爆破,你把帳號改
了密碼設(shè)置為十五六位,我估計他要破上好幾年,哈哈!辦法:本地連接--屬性--Internet協(xié)議(TCP/IP)--高級--選項--TCP/IP篩選--屬性--把勾打上 然后添加你需要的端口即可。PS一句:設(shè)置完端口需要重新啟動!
當(dāng)然大家也可以更改遠(yuǎn)程連接端口方法:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]
"PortNumber"=dword:00002683
保存為.REG文件雙擊即可!更改為9859,當(dāng)然大家也可以換別的端口, 直接打開以上注冊表的地址,把值改為十進(jìn)制的輸入你想要的端口即可!重啟生效!
還有一點,在2003系統(tǒng)里,用TCP/IP篩選里的端口過濾功能,使用FTP服務(wù)器的時候,只開放21端口,在進(jìn)行FTP傳輸?shù)臅r候,F(xiàn)TP 特有的Port模式和Passive模式,在進(jìn)行數(shù)據(jù)傳輸?shù)臅r候,需要動態(tài)的打開高端口,所以在使用TCP/IP過濾的情況下,經(jīng)常會出現(xiàn)連接上后無法列出目錄和數(shù)據(jù)傳輸?shù)膯栴}。所以在2003系統(tǒng)上增加的windows連接防火墻能很好的解決這個問題,所以都不推薦使用網(wǎng)卡的TCP/IP過濾功能。所做FTP下載的用戶看仔細(xì)點,表怪俺說俺寫文章是垃圾...如果要關(guān)閉不必要的端口,在\\system32\\drivers\\etc\\services中有列表,記事本就可以打開的。如果懶惰的話,最簡單的方法是啟用WIN2003的自身帶的網(wǎng)絡(luò)防火墻,并進(jìn)行端口的改變。功能還可以!Internet 連接防火墻可以有效地攔截對Windows 2003服務(wù)器的非法入侵,防止非法遠(yuǎn)程主機對服務(wù)器的掃描,提高Windows 2003服務(wù)器的安全性。同時,也可以有效攔截利用操作系統(tǒng)漏洞進(jìn)行端口攻擊的病毒,如沖擊波等蠕蟲病毒。如果在用Windows 2003構(gòu)造的虛擬路由器上啟用此防火墻功能,能夠?qū)φ麄內(nèi)部網(wǎng)絡(luò)起到很好的保護(hù)作用。
二、關(guān)閉不需要的服務(wù) 打開相應(yīng)的審核策略
我關(guān)閉了以下的服務(wù)
Computer Browser 維護(hù)網(wǎng)絡(luò)上計算機的最新列表以及提供這個列表
Task scheduler 允許程序在指定時間運行
Routing and Remote Access 在局域網(wǎng)以及廣域網(wǎng)環(huán)境中為企業(yè)提供路由服務(wù)
Removable storage 管理可移動媒體、驅(qū)動程序和庫
Remote Registry Service 允許遠(yuǎn)程注冊表操作
Print Spooler 將文件加載到內(nèi)存中以便以后打印。要用打印機的朋友不能禁用這項
IPSEC Policy Agent 管理IP安全策略以及啟動ISAKMP/OakleyIKE)和IP安全驅(qū)動程序
Distributed Link Tracking Client 當(dāng)文件在網(wǎng)絡(luò)域的NTFS卷中移動時發(fā)送通知
Com+ Event System 提供事件的自動發(fā)布到訂閱COM組件
Alerter 通知選定的用戶和計算機管理警報
Error Reporting Service 收集、存儲和向 Microsoft 報告異常應(yīng)用程序
Messenger 傳輸客戶端和服務(wù)器之間的 NET SEND 和 警報器服務(wù)消息
Telnet 允許遠(yuǎn)程用戶登錄到此計算機并運行程序
把不必要的服務(wù)都禁止掉,盡管這些不一定能被攻擊者利用得上,但是按照安全規(guī)則和標(biāo)準(zhǔn)上來說,多余的東西就沒必要開啟,減少一份隱患。
在"網(wǎng)絡(luò)連接"里,把不需要的協(xié)議和服務(wù)都刪掉,這里只安裝了基本的Internet協(xié)議(TCP/IP),由于要控制帶寬流量服務(wù),額外安裝了Qos數(shù)據(jù)包計劃程序。在高級tcp/ip設(shè)置里--"NetBIOS"設(shè)置"禁用tcp/IP上的NetBIOS(S)"。在高級選項里,使用"Internet連接防火墻",這是windows 2003 自帶的防火墻,在2000系統(tǒng)里沒有的功能,雖然沒什么功能,但可以屏蔽端口,這樣已經(jīng)基本達(dá)到了一個IPSec的功能。
在運行中輸入gpedit.msc回車,打開組策略編輯器,選擇計算機配置-Windows設(shè)置-安全設(shè)置-審核策略在創(chuàng)建審核項目時需要注意的是如果審核的項目太多,生成的事件也就越多,那么要想發(fā)現(xiàn)嚴(yán)重的事件也越難當(dāng)然如果審核的太少也會影響你發(fā)現(xiàn)嚴(yán)重的事件,你需要根據(jù)情況在這二者之間做出選擇。
推薦的要審核的項目是:
登錄事件 成功 失敗
賬戶登錄事件 成功 失敗
系統(tǒng)事件 成功 失敗
策略更改 成功 失敗
對象訪問 失敗
目錄服務(wù)訪問 失敗
特權(quán)使用 失敗
三、磁盤權(quán)限設(shè)置
1.系統(tǒng)盤權(quán)限設(shè)置
C:分區(qū)部分:
c:\
administrators 全部(該文件夾,子文件夾及文件)
CREATOR OWNER 全部(只有子文件來及文件)
system 全部(該文件夾,子文件夾及文件)
IIS_WPG 創(chuàng)建文件/寫入數(shù)據(jù)(只有該文件夾)
IIS_WPG(該文件夾,子文件夾及文件)
遍歷文件夾/運行文件
列出文件夾/讀取數(shù)據(jù)
讀取屬性
創(chuàng)建文件夾/附加數(shù)據(jù)
讀取權(quán)限
c:\Documents and Settings
administrators 全部(該文件夾,子文件夾及文件)
Power Users (該文件夾,子文件夾及文件)
讀取和運行
列出文件夾目錄
讀取
SYSTEM全部(該文件夾,子文件夾及文件)
C:\Program Files
administrators 全部(該文件夾,子文件夾及文件)
CREATOR OWNER全部(只有子文件來及文件)
IIS_WPG (該文件夾,子文件夾及文件)
讀取和運行
列出文件夾目錄
讀取
Power Users(該文件夾,子文件夾及文件)
修改權(quán)限
SYSTEM全部(該文件夾,子文件夾及文件)
TERMINAL SERVER USER (該文件夾,子文件夾及文件)
修改權(quán)限
2.網(wǎng)站及虛擬機權(quán)限設(shè)置(比如網(wǎng)站在E盤)
說明:我們假設(shè)網(wǎng)站全部在E盤wwwsite目錄下,并且為每一個虛擬機創(chuàng)建了一個guest用戶,用戶名為vhost1...vhostn并且創(chuàng)建了一個webuser組,把所有的vhost用戶全部加入這個webuser組里面方便管理。
E:\
Administrators全部(該文件夾,子文件夾及文件)
E:\wwwsite
Administrators全部(該文件夾,子文件夾及文件)
system全部(該文件夾,子文件夾及文件)
service全部(該文件夾,子文件夾及文件)
E:\wwwsite\vhost1
Administrators全部(該文件夾,子文件夾及文件)
system全部(該文件夾,子文件夾及文件)
vhost1全部(該文件夾,子文件夾及文件)
3.數(shù)據(jù)備份盤
數(shù)據(jù)備份盤最好只指定一個特定的用戶對它有完全操作的權(quán)限。比如F盤為數(shù)據(jù)備份盤,我們只指定一個管理員對它有完全操作的權(quán)限。
4.其它地方的權(quán)限設(shè)置
請找到c盤的這些文件,把安全性設(shè)置只有特定的管理員有完全操作權(quán)限。
下列這些文件只允許administrators訪問
net.exe
net1.exet
cmd.exe
tftp.exe
netstat.exe
regedit.exe
at.exe
attrib.exe
cacls.exe
format.com
5.刪除c:\inetpub目錄,刪除iis不必要的映射,建立陷阱帳號,更改描述。
四、防火墻、殺毒軟件的安裝
我見過的Win2000/Nt服務(wù)器從來沒有見到有安裝了防毒軟件的,其實這一點非常重要。一些好的殺毒軟件不僅能殺掉一些著名的病毒,還能查殺大量木馬和后門程序。這樣的話,“黑客”們使用的那些有名的木馬就毫無用武之地了。不要忘了經(jīng)常升級病毒庫,我們推薦mcafree殺毒軟件+blackice防火墻
五、SQL2000 SERV-U FTP安全設(shè)置
SQL安全方面
1.System Administrators 角色最好不要超過兩個
2.如果是在本機最好將身份驗證配置為Win登陸
3.不要使用Sa賬戶,為其配置一個超級復(fù)雜的密碼
4.刪除以下的擴(kuò)展存儲過程格式為:
use master
sp_dropextendedproc '擴(kuò)展存儲過程名'
xp_cmdshell:是進(jìn)入操作系統(tǒng)的最佳捷徑,刪除
訪問注冊表的存儲過程,刪除
Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvalues
Xp_regread Xp_regwrite Xp_regremovemultistring
OLE自動存儲過程,不需要刪除
Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty
Sp_OAMethod Sp_OASetProperty Sp_OAStop
5.隱藏 SQL Server、更改默認(rèn)的1433端口
右擊實例選屬性-常規(guī)-網(wǎng)絡(luò)配置中選擇TCP/IP協(xié)議的屬性,選擇隱藏 SQL Server 實例,并改原默認(rèn)的1433端口
serv-u的幾點常規(guī)安全需要設(shè)置下:
選中"Block "FTP_bounce"attack and FXP"。什么是FXP呢?通常,當(dāng)使用FTP協(xié)議進(jìn)行文件傳輸時,客戶端首先向FTP服務(wù)器發(fā)出一個"PORT"命令,該命令中包含此用戶的IP地址和將被用來進(jìn)行數(shù)據(jù)傳輸?shù)亩丝谔,服?wù)器收到后,利用命令所提供的用戶地址信息建立與用戶的連接。大多數(shù)情況下,上述過程不會出現(xiàn)任何問題,但當(dāng)客戶端是一名惡意用戶時,可能會通過在PORT命令中加入特定的地址信息,使FTP服務(wù)器與其它非客戶端的機器建立連接。雖然這名惡意用戶可能本身無權(quán)直接訪問某一特定機器,但是如果FTP服務(wù)器有權(quán)訪問該機器的話,那么惡意用戶就可以通過FTP服務(wù)器作為中介,仍然能夠最終實現(xiàn)與目標(biāo)服務(wù)器的連接。這就是FXP,也稱跨服務(wù)器攻擊。選中后就可以防止發(fā)生此種情況。