Windows服务器管理全攻略.docx
《Windows服务器管理全攻略.docx》由会员分享,可在线阅读,更多相关《Windows服务器管理全攻略.docx(23页珍藏版)》请在冰点文库上搜索。
Windows服务器管理全攻略
Windows2000服务器管理全攻略 [日期:
2005-11-22] [来自:
leadbbs]
netkey
Windows2000服务器管理全攻略
一直以来,很少在网络上看到关于windows服务器管理的全方面的文章,即使是在windows网络安全设置方面,虽然网络上有着不少的关于这个方面的话题,但是这些文章当中并没有完全彻底的贯彻“最少的服务+最小的权限=最大的安全”这一原则,笔者由于前段时间工作于一家虚拟主机提供商,因工作需要对此进行了深入的探索。
本文所有的环境均是在windows 2000 adv server上测试,因此部分内容可能不适合于windows 2003系统,但是大部分内容是通用的。
这里我们以虚拟主机为例来探讨。
第一部分 服务器安全设置
安装之前的准备工作
很多时候,一部分的安全问题在你将windows安装光盘放入光驱中的时候就已产生,所以,在安装之前我们必须做好一些必要的准备工作。
主要包括安装源和物理介质的安全检查以及服务器的安全规划。
这部分内容主要包括以下几个方面:
1.确保你的安装光盘没有任何问题,这里所说的是指光盘内容没有经过第三方加以修改和光盘没有遭到物理损坏。
对于刻录的安装光盘请确认你的源文件安全可靠,尽量使用集成了SP4的安装光盘,以减少后面打补丁的工作量。
2.确保你的硬盘没有任何问题,请尽量使用新硬盘,对于使用过的硬盘应先进行低级格式化。
无论新旧硬盘需要确认硬盘本身没有遭受到病毒感染。
3.规划好系统安装过程与服务器的所需要的程序、服务等并准备好这些安装程序且确保这些安装程序没有任何问题,尽量使用官方提供的安装程序。
规划好硬盘的分区以及各分区的功用。
分区方案建议分四个分区,将系统存放在C盘,应用程序放在D盘,备份文件和一些重要的日志等放在E盘,用户站点等放在F盘中,尽可能少的向系统盘写入非系统文件以减少系统备份的工作量,至于各分区的容量视情况而定。
不要安装任何多余的程序或组件,遵循“最少的服务+最小的权限=最大的安全”原则。
4.完成之后以上工作,对bios进行所需的相关设置,便可以进行安装了,如需要做raid,则需要在安装前完成raid的设置工作。
安装时磁盘格式请务必使用NTFS格式,安装过程中请更改windows安装目录,避免使用默认的winnt目录,安装过程中的密码设置可在此处先简单设置一个熟悉的密码[此处不推荐使用空密码]。
安装过程中的安全问题
安装过程中需要注意的问题有以下几个方面:
1.磁盘的分区容量视情况而定,磁盘格式务必要使用NTFS格式,在安装过程中请更改windows安装目录,避免使用默认的winnt目录作为系统目录,安装过程中的密码设置可在此处简单设置一个密码,尽量不要使用空密码,尽管此时没有连接到网络,但是一些物理安全问题仍然要重视。
2.安装过程中对于组件的安装只安装必须的组件,对于不需要的组件或者所需要的组件中多余的部分一概舍弃不进行安装。
例如WEB服务器的IIS组件我们只安装Internet服务管理器、world wide web服务器、公用文件三部分即可。
对于这些组件、程序的安装一定要遵循“最少的服务+最小的权限=最大的安全”原则。
3.其他安装过程根据需要进行相关的设置即可,安装完毕之后重新启动系统,安装完驱动程序后重新启动系统,接下来将安装所有必须的软件部分如winrar等。
[如果部分应用软件需要到网络上下载请先做完后面的一些安全设置]
4.安装软件所必须注意的问题:
对于所有的软件安装在规划的软件安装盘下,软件安装目录尽量不要用默认的Program Files目录,可以建立一个其他名称的目录放置应用程序。
安装后的服务器安全设置
安装好操作系统之后,不要急于连上网络,此时的系统安全是十分脆弱的,需要首先进行一些基本的设置。
1.设置相关安全策略:
打开“本地安全策略”,推荐设置如下:
密码策略设置为:
启用密码必须符合复杂性要求,设置密码最小长度值为8,密码最长驻留期30天,最短0天,强制保留密码历史为5个记住的密码。
帐户锁定策略设置为:
复位帐户锁定计数器设置为30分钟之后,帐户锁定时间为60分钟,帐户锁定阈值为3次无效登陆。
审核策略设置为:
策略更改(成功、失败);登陆事件(成功、失败);对象访问(失败);目录服务访问(失败);特权使用(失败);系统事件(成功、失败);帐户登陆事件(成功、失败);帐户管理(成功、失败)。
用户权利指派中将拒绝从网络访问这台计算机中添加guest帐号。
安全选项中需要设置的有:
登陆屏幕不显示上次登陆的用户名
对匿名连接的额外限制更改为“不允许枚举SAM帐号和密码”
防止用户安装打印机驱动
禁止未签名驱动程序、非驱动程序的安装,禁止在未登陆前关机
设置只有本地登陆的用户才能访问CD-ROM和软盘
2. 重新命名administrator用户,按照密码策略修改密码。
[下文为阐述方便,仍将改名后的administrator称为administrator]。
可以另创建一个管理员用户,日常管理使用只其中一个,备用帐号只作为忘记密码或者系统被入侵管理帐号密码被更改时应急之用。
禁用或删除掉guest帐号(手工或工具均可,推荐删除guest)。
3.设置相关服务
=========================================================================
默认安装之后需要更改的服务设置有以下:
必须禁用的服务:
以下服务危险性较大,必须禁用[先停止服务再将属性设置为已禁用]。
禁用Remote Registry服务[说明:
禁止远程连接注册表]
禁用task schedule服务[说明:
禁止自动运行程序]
禁用server服务 [说明:
禁止默认共享]
禁用Telnet服务 [说明:
禁止telnet远程登陆]
禁用workstation服务[说明:
防止一些漏洞和系统敏感信息获取]
推荐设置的服务:
以下服务一般并不需要用到,推荐关闭并将启动方式设为手动和禁止:
服务名称 适用情况说明
Alerter[不需要管理警报]
ClipBook [不需要查看远程剪贴簿的剪贴页面]
Fax Service[不需要发送或接收传真]
Indexing Service [不提供远程文件索引和快速访问或者没有连上局域网]
Internet Connection Sharing[不需要共享连接网络]
IPSEC Policy Agent [如连接要windows域该服务需要开启]
Messager [未连接到Windows 2000的域并且不需要管理警报]
Net Logon[不需要让局域网的其他用户登陆]
NetMeeting Remote Desktop Sharing [不需要使用NetMeeting远程管理计算机]
Network DDE[提高安全性]
Network DDE DSDM [提高安全性]
TCP/IP NetBIOS Helper Service[服务器不需要开启共享]
RunAs Service[不需要在某一用户态下用另外一用户执行程序]
Wireless Configuration [不需要无线网络]
QoS RSVP [不需要使用依赖于QoS的程序]
Remote Access Auto Connection Manager [不需要让程序读取网络信息时自动连接到网络]
Routing and Remote Access [机器不做路由之用]
Smart Card[没有智能卡阅读器和智能卡]
Smart Card Helper [没有旧式智能卡阅读器和智能卡]
Uninterruptible Power Supply[没有使用UPS或者UPS不支持双向传输信号]
Utility Manager [不从一个窗口中启动和配置辅助工具]
经过以上设置之后,对服务进行复查,一般开放的服务为以下几个:
Automatic Updates
COM+ Event System
Event Log
IPSEC Policy Agent
Logical Disk Manager
Plug and Play
Protected Storage
Remote Access Connection Manager
Remote Procedure Call (RPC)
Removable Storage
Security Accounts Manager
System Event Notification
Telephony
Windows Management Instrumentation
Windows Management Instrumentation Driver Extensions
其他服务根据需要决定是否开放,如web服务需要开放的服务:
IIS Admin
World Wide Web
4.修改部分注册表项目[注意修改前要备份,修改完成后重新启动计算机]:
关闭 NTFS 8.3 名称生成:
NTFS 可以自动生成 8.3 个名称以与 16 位应用程序实现反向兼容。
由于 16 位应用程序不应该在安全 Web 服务器上使用,因此可以安全关闭 8.3 名称生成。
还应该注意,对此进行设置还存在性能上的优势。
关闭8.3文件名:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlFileSystem
将NtfsDisable8dot3NameCreation设置为1
删除OS/2和POSIX子系统:
删除HKEY_LOCAL_MACHINESOFTWAREMicrosoftOS/2 Subsystem for NT分支;删除HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerEnvironment中的Os2LibPath项;删除HKEY_LOCAL_MACHINESYSTEM
CurrentControlSetControlSession ManagerSubSystems中的Os2和Posix项。
然后删除winntsystem32下的os2文件夹。
抵御DDOS攻击设置:
抵御DDOS攻击的注册表修改可以直接导入下面的注册表文件,直接导入之后重新启动系统即可生效。
相关修改如下:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters]
"ForwardBroadcasts"=dword:
00000000
"IPEnableRouter"=dword:
00000000
"Domain"=""
"SearchList"=""
"UseDomainNameDevolution"=dword:
00000001
"EnableICMPRedirect"=dword:
00000001
"DeadGWDetectDefault"=dword:
00000001
"DontAddDefaultGatewayDefault"=dword:
00000000
"EnableSecurityFilters"=dword:
00000000
"AllowUnqualifiedQuery"=dword:
00000000
"PrioritizeRecordData"=dword:
00000001
"ReservedPorts"=hex(7):
31,00,34,00,33,00,33,00,2d,00,31,00,34,00,33,00,34,00,
00,00,00,00
"DisableTaskOffload"=dword:
00000001
"DefaultTTL"=dword:
00000040
"TcpRecvSegmentSize"=dword:
000005b4
"GlobalMaxTcpWindowSize"=dword:
00002000
"TcpWindowSize"=dword:
00002000
"EnablePMTUDiscovery"=dword:
00000000
"EnablePMTUBHDetect"=dword:
00000001
"SackOpts"=dword:
00000001
"Tcp1323Opts"=dword:
00000003
"SynAttackProtect"=dword:
00000002
"TcpMaxConnectResponseRetransmissions"=dword:
00000001
"TcpMaxPortsExhausted"=dword:
00000005
"TcpMaxHalfOpen"=dword:
000001f4
"TcpMaxHalfOpenRetried"=dword:
00000190
"KeepAliveTime"=dword:
00007530
"TcpTimedWaitDelay"=dword:
0000001e
4.重新启动服务器后检查各种服务运行是否正常,简单设置各磁盘权限,将C盘设置为administrator和system完全控制,D、E、F盘设置为administrator完全控制,并且重置所有子对象的权限。
5.安装防火墙和杀毒软件,可使用macfee的杀毒软件和防火墙。
6.更改日志文件默认保存目录,将应用程序日志、系统日志、安全日志更改到E:
event目录[需要修改注册表以更改],调整日志文件大小,将该目录只允许system有写入权限和administrator完全控制权限。
7.设置网络连接,在属性里只保留TCP/IP协议,禁用TCP/IP上的netbios。
[最彻底的禁用netbios的方法是在“设备管理器”中显示隐藏的设备,在“非即插即用设备”中禁用netbios。
]
8.重新启动系统,设置IE的安全等级为高,连接网络,打好所有可用补丁,升级杀毒软件。
重新启动计算机。
9.安装完成所有应用软件。
如PHP、ActivePerl、Serv-U、mysql、pcanywhere等,PHP、ActivePerl和mysql请不要安装在默认的php、usr、mysql目录下,其他程序可默认安装在ProgramFiles下,但不要采用默认目录。
安装相关所需要的组件(如jmail、动易组件等)和相关系统维护工具。
10.安装完所有的应用程序之后,重新启动服务器,调试所有的应用程序都工作正常之后,再根据需要对应用程序进行相关的安全设置,相关设置见第二章。
11.设置完成之后重新启动计算机,确定应用程序均工作正常。
然后进行权限设置[以下以web服务器权限设置为例],这是笔者反复实验所得到的最小的权限设置:
C盘根目录 给system和administrator用户完全控制权限,将权限继承下去
C:
Program filescommon filessystem 给users组读取、列目录、执行权限
C:
WINNTTemp给users组读取、写入权限
C:
winntsystem32inetsrv下的除MetaBase.bin外所有文件(不包含目录)给users组列目录、读取、执行权限
C:
winntsystem32下的所有非exe、com、msc文件(注意是文件,不包含目录) 给users组读取和执行权限
再给c:
winntsystem32dllhost.exe 给users读取和执行权限
如果有PHP给C:
WINNTphp.ini给users读取权限
还需要给PHP、MYSQL目录给users读取、列目录、执行权限
这样设置之后只有c:
winnttemp目录有写入权限了,如果你还有更高的要求,可更改环境变量将tmp和temp将c:
winnttemp更改为其他盘下的目录,权限设置成一样,然后重新启动删除掉c;winnttemp。
然后去除部分危险命令的system权限以防止缓冲区溢出等安全问题引发的安全问题。
首先可以将cacls设置为拒绝任何人访问,然后取消下列命令的system访问权限:
Atcmdcscriptftpnetnet1netstatrunastelnettftptlntadmnwscript
12.以上设置完成之后,设置TCP/IP筛选,TCP只开放80,20,21,25,110,5631,1433,3306,
4001-4003[根据各人主机情况按需要开放],这些端口分别对应于:
80:
web服务 20:
FTP主动模式21:
FTP服务
25:
SMTP[mail服务] 110:
POP3[mail服务] 5631:
远程管理[pcanywhere]
4001-4003:
FTP被动模式[需要在serv-u中将被动模式设置成该端口范围]
1433:
MSSQL服务3306:
MySQL服务
13.设置IP策略,IP策略的相关设置为:
允许的策略为:
允许所有IP连接本服务器策略设置和TCP/IP筛选一致,这里不做阐述。
除此之外可开放本机对外的ICMP协议。
拒绝的策略为:
禁止任何IP与本服务器的除TCP、UDP外的所有协议,禁止本机与任何IP的除TCP、UDP、ICMP的所有协议。
另外需要禁止任何IP对本机的TCP135、137、138、139、445、3389端口的访问,禁止UDP69端口的访问。
14.给一些黑客常用的文件类型更改掉打开的方式,在“文件类型”中将bat,vbs,vbe,reg文件类型修改成默认使用notepad打开。
设置使用Windows传统风格的桌面和文件夹。
如还有其他应用程序,安装完成之后给予对应权限。
15.所有工作均完成之后,重新启动计算机,设置macfee的病毒策略和防火墙策略,这里以web服务器和winwebmail邮件服务器为例进行设置。
Web服务器的设置为:
端口阻挡设置为:
除默认设置外,勾选以下几条:
禁止从玩维网下载,禁止FTP出站通讯。
文件、共享和文件夹保护设置为:
阻挡对所有共享资源的读写访问[除非有其他需要开放的设置],要阻挡的文件和文件夹可全部勾选,必须注意,在后期更新系统补丁或安装软件等工作时必须先将此处的相关保护取消。
缓冲区溢出保护设置为:
启用缓冲区溢出保护。
有害程序策略设置为:
全部勾选。
邮件服务器的设置为:
设置 WinWebMail 的杀毒产品名称为“McAfee VirusScan for Win32”并指定有效的执行程序路径。
请将执行程序路径指向:
系统盘符:
Program FilesCommon FilesNetwork Associates 目录或其子目录下的 SCAN.EXE 文件。
注意1:
必须使用缺省的执行程序文件名。
使用 McAfee 时就必须指向 SCAN.EXE 文件,而不能使用其他文件(如:
SCAN32.EXE),否则不但无法查毒,并且会影响邮件系统的正常工作。
注意2:
SCAN.EXE 文件并不在其安装目录下!
禁用 VirusScan 的电子邮件扫描功能。
在 VirusScan 扫描属性下“所有进程 | 检测”中的“排除磁盘、文件和文件夹”内,点击“排除”按钮,在其“设置排除”中添加一个排除设置将安装 WinWebMail 的目录以及所有子目录都设为排除。
必须要设置排除,否则有可能出现邮件计数错误,从而造成邮箱满的假象。
在 McAfee 控制台中有“访问保护”项中必须在其规则中不要选中“禁止大量发送邮件的蠕虫病毒发送邮件”项。
否则会引起“Service unavailable”错误。
至于防火墙策略和TCP/IP筛选和IP策略相近,这里不多说,只是在程序访问规则中将需要访问网络的程序要进行相关设置。
§1.2专用服务器的安全设置
WEB服务器安全设置
IIS的相关设置:
删除默认建立的站点的虚拟目录,停止默认web站点,删除对应的文件目录c:
inetpub,配置所有站点的公共设置,设置好相关的连接数限制,带宽设置以及性能设置等其他设置。
配置应用程序映射,删除所有不必要的应用程序扩展,只保留asp,php,cgi,pl,aspx应用程序扩展。
对于php和cgi,推荐使用isapi方式解析,用exe解析对安全和性能有所影响。
用户程序调试设置发送文本错误信息给客户。
对于数据库,尽量采用mdb后缀,不需要更改为asp,可在IIS中设置一个mdb的扩展映射,将这个映射使用一个无关的dll文件如C:
WINNTsystem32inetsrvssinc.dll来防止数据库被下载。
设置IIS的日志保存目录,调整日志记录信息。
设置为发送文本错误信息。
修改403错误页面,将其转向到其他页,可防止一些扫描器的探测。
另外为隐藏系统信息,防止telnet到80端口所泄露的系统版本信息可修改IIS的banner信息,可以使用winhex手工修改或者使用相关软件如banneredit修改。
对于用户站点所在的目录,在此说明一下,用户的FTP根目录下对应三个文件佳,wwwroot,database,logfiles,分别存放站点文件,数据库备份和该站点的日志。
如果一旦发生入侵事件可对该用户站点所在目录设置具体的权限,图片所在的目录只给予列目录的权限,程序所在目录如果不需要生成文件(如生成html的程序)不给予写入权限。
因为是虚拟主机平常对脚本安全没办法做到细致入微的地步,更多的只能在方法用户从脚本提升权限:
ASP的安全设置:
设置过权限和服务之后,防范asp木马还需要做以下工作,在cmd窗口运行以下命令:
regsvr32/u C:
WINNTSystem32wshom.ocx
del C:
WINNTSystem32wshom.ocx
regsvr32/u C:
WINNTsystem32shell32.dll
del C:
WINNTsystem32shell32.dll
即可将WScript.Shell, Shell.application, WScript.Network组件卸载,可有效防止asp木马通过wscript或shell.application执行命令以及使用木马查看一些系统敏感信息。
另法:
可取消以上文件的users用户的权限,重新启动IIS即可生效。
但不推荐该方法。
另外,对于FSO由于用户程序需要使用,服务器上可以不注销掉该组件,这里只提一下FSO的防范,但并不需要在自动开通空间的虚拟商服务器上使用,只适合于手工开通的站点。
可以针对需要FSO和不需要FSO的站点设置两个组,对于需要FSO的用户组给予c:
winntsystem32scrrun.dll文件的执行权限,不需要的不给权限。
重新启动服务器即可生效。
对于这样的设置结合上面的权限设置,你会发现海阳木马已经在这里失去了作用!
PHP的安全设置:
默认安装的php需要有以下几个注意的问题:
C:
winntphp.ini只给予users读权限即可。
在php.ini里需要做如下设置:
Safe_mode=on
register_globals = Off
allow_url_fopen = Off
display_errors = Off
magic_quotes_gpc = On[默认是on,但需检查一遍]
open_basedir =web目录
disable_functions =passthru,exec,shell_exec,system,phpinfo,get_cfg_va
升级会员 