Windows Server 优化及安全配置文档格式.docx
《Windows Server 优化及安全配置文档格式.docx》由会员分享,可在线阅读,更多相关《Windows Server 优化及安全配置文档格式.docx(16页珍藏版)》请在冰点文库上搜索。
打开开始菜单->
运行->
输入gpedit.msc,在出现的窗口的左边部分,选择计算机配置->
管理模板->
系统,在右边窗口双击“显示关闭事件跟踪程序”在出现的对话框中选择“禁止”,点击然后“确定”保存后退出
1.5禁用自动播放功能
近来许多病毒及木马程序利用Windows操作系统的自动播放功能进行传播,从安全的角度考虑,最好的选择是关闭Windows自动播放功能
打开开始菜单->
系统,在右边窗口双击“关闭自动播放”在出现的对话框中选择“禁止”,并选择“所有驱动器”,点击然后“确定”保存后退出
1.6工具软件的选择
服务器上只可以安装少量用于系统维护的工具软件,严禁安装任何娱乐、聊天及大型应用软件,慎用系统优化软件,并严格控制软件对外网的访问。
推荐安装:
WinRAR
UltraEdit(文本/16进制编辑软件)
Diskeeper(磁盘碎片整理软件)
反病毒软件(自行选择)
防火墙(自行选择)
二、操作系统权限与安全配置
配置格言:
1、最小的权限+最少的服务=最大的安全。
2、没有绝对的安全,只有相对完善的配置!
2.1最小的权限如何实现?
NTFS系统权限设置
在使用之前将每个硬盘根加上Administrators用户为全部权限(可选加入SYSTEM用户)
删除其它用户,进入系统盘:
权限如下
∙C:
\WINDOWSAdministratorsSYSTEM用户全部权限Users用户默认权限不作修改
∙其它目录删除Everyone用户,切记C:
\DocumentsandSettings下AllUsers\DefaultUser目录及其子目录
如C:
\DocumentsandSettings\AllUsers\ApplicationData目录默认配置保留了Everyone用户权限
C:
\WINDOWS目录下面的权限也得注意,如C:
\WINDOWS\PCHealth、C:
\windows\Installer也是保留了Everyone权限.
∙删除C:
\WINDOWS\Web\printers目录,此目录的存在会造成IIS里加入一个.printers的扩展名,可溢出攻击
∙默认IIS错误页面已基本上没多少人使用了。
建议删除C:
\WINDOWS\Help\iisHelp目录
∙打开C:
\Windows搜索
net.exe
cmd.exe
tftp.exe
netstat.exe
regedit.exe
at.exe
attrib.exe
cacls.exe
regsvr32.exe
xcopy.exe
wscript.exe
cscript.exe
ftp.exe
telnet.exe
arp.exe
edlin.exe
ping.exe
route.exe
finger.exe
posix.exe
rsh.exe
atsvc.exe
qbasic.exe
runonce.exe
syskey.exe
修改权限,删除所有的用户只保存Administrators和SYSTEM为所有权限。
关闭139、445端口
TCP139、445端口对应的是NetBios服务,简单的说就是“网上邻居”功能,也是最常受攻击的端口,推荐在服务器上关闭此端口:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\netBT\Parameters
新建"
DWORD值"
值名为"
SMBDeviceEnabled"
数据为默认值"
0"
同时推荐以下操作:
打开本地连接属性,卸载“Microsoft网络的文件与打印机共享”
禁止建立空连接
空连接和ipc$(internetprocessconnection)是不同的概念。
空连接是在没有信任的情况下与服务器建立的会话,换句话说,它是一个到服务器的匿名访问。
ipc$是为了让进程间通信而开放的命名管道,可以通过验证用户名和密码获得相应的权限,通过它黑客可以采用暴力法、穷举法进行密码破解。
默认共享是为了方便远程管理而开放的共享,包含了所有的逻辑盘(c$,d$,e$……)和系统目录winnt或windows(admin$)。
相信大家不难看出这些共享的危险性,应对些威胁,我们可以进行以下配置:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
RestrictAnonymous"
数据值为"
1"
[2003默认为1]
禁止系统自动启动服务器共享
理由同上
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
AutoShareServer"
禁止系统自动启动管理共享
AutoShareWks"
通过修改注册表防止小规模DDOS攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
SynAttackProtect"
应对DDOS攻击的最好方法是安装应用层防火墙。
禁止dumpfile的产生
dump文件在系统崩溃和蓝屏的时候是一份很有用的查找问题的资料。
然而,它也能够给黑客提供一些敏感信息比如一些应用程序的密码等。
控制面板>
系统属性>
高级>
启动和故障恢复把写入调试信息改成无。
关闭“华生医生”Dr.Watson
在开始-运行中输入"
drwtsn32"
,或者开始-程序-附件-系统工具-系统信息-工具-DrWatson,调出系统里的华医生Dr.Watson,只保留"
转储全部线程上下文"
选项,否则一旦程序出错,硬盘会读很久,并占用大量空间。
如果以前有此情况,请查找user.dmp文件,删除后可节省几十MB空间。
本地安全策略配置
开始>
程序>
管理工具>
本地安全策略
∙账户策略>
密码策略>
密码最短使用期限改成0天(即密码不过期,上面我讲到不会造成IIS密码不同步)
账户锁定策略>
账户锁定阈值5次账户锁定时间10分钟(个人推荐配置)
∙本地策略>
审核策略>
∙账户管理成功失败
∙登录事件成功失败
∙对象访问失败
∙策略更改成功失败
∙特权使用失败
∙系统事件成功失败
∙目录服务访问失败
∙账户登录事件成功失败
安全选项>
o清除虚拟内存页面文件更改为"
已启用"
o不显示上次的用户名更改为"
o不需要按CTRL+ALT+DEL更改为"
o不允许SAM账户的匿名枚举更改为"
o不允许SAM账户和共享的匿名枚举更改为"
o重命名来宾账户更改成一个复杂的账户名
o重命名系统管理员账号更改一个自己用的账号(同时可建立一个无用户组的Administrator账户作为诱饵)
组策略编辑器
运行gpedit.msc计算机配置>
管理模板>
系统显示"
关闭事件跟踪程序"
更改为已禁用
删除不安全组件
WScript.Shell、Shell.application这两个组件一般一些ASP木马或一些恶意程序都会使用到。
1.方案一:
regsvr32/uwshom.ocx卸载WScript.Shell组件
regsvr32/ushell32.dll卸载Shell.application组件
2.方案二:
删除注册表HKEY_CLASSES_ROOT\CLSID\{72C24DD5-D70A-438B-8A42-98424B88AFB8}对应WScript.Shell
删除注册表HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540000}对应Shell.application
用户管理
建立另一个备用管理员账号,防止特殊情况发生。
安装有终端服务与SQL服务的服务器停用TsInternetUser,SQLDebugger这两个账号
用户组说明
在将来要使用到的IIS中,IIS用户一般使用Guests组,也可以再重新建立一个独立的专供IIS使用的组,但要将这个组赋予C:
\Windows目录为读取权限[单一读取]
二、系统权限与安全配置
2.2最少的服务如果实现
黑色为自动绿色为手动红色为禁用
∙Alerter
∙ApplicationExperienceLookupService
∙ApplicationLayerGatewayService
∙ApplicationManagement
∙AutomaticUpdates(Windows自动更新,可选项)
∙BackgroundIntelligentTransferService
∙ClipBook
∙COM+EventSystem
∙COM+SystemApplication
∙ComputerBrowser
∙CryptographicServices
∙DCOMServerProcessLauncher
∙DHCPClient
∙DistributedFileSystem
∙DistributedLinkTrackingClient
∙DistributedLinkTrackingServer
∙DistributedTransactionCoordinator
∙DNSClient
∙ErrorReportingService
∙EventLog
∙FileReplication
∙HelpandSupport
∙HTTPSSL
∙HumanInterfaceDeviceAccess
∙IISAdminService
∙IMAPICD-BurningCOMService
∙IndexingService
∙IntersiteMessaging
∙IPSECServices(如果使用了IP安全策略则自动,如无则禁用,可选操作)
∙KerberosKeyDistributionCenter
∙LicenseLogging
∙LogicalDiskManager(可选,多硬盘建议自动)
∙LogicalDiskManagerAdministrativeService
∙Messenger
∙MicrosoftSearch
∙MicrosoftSoftwareShadowCopyProvider
∙MSSQLSERVER
∙MSSQLServerADHelper
∙NetLogon
∙NetMeetingRemoteDesktopSharing
∙NetworkConnections
∙NetworkDDE
∙NetworkDDEDSDM
∙NetworkLocationAwareness(NLA)
∙NetworkProvisioningService
∙NTLMSecuritySupportProvider
∙PerformanceLogsandAlerts
∙PlugandPlay
∙PortableMediaSerialNumberService(微软反盗版工具,目前只针对移动多媒体设备)
∙PrintSpooler
∙ProtectedStorage
∙RemoteAccessAutoConnectionManager
∙RemoteAccessConnectionManager
∙RemoteDesktopHelpSessionManager
∙RemoteProcedureCall(RPC)
∙RemoteProcedureCall(RPC)Locator
∙RemoteRegistry
∙RemovableStorage
∙ResultantSetofPolicyProvider
∙RoutingandRemoteAccess
∙SecondaryLogon
∙SecurityAccountsManager
∙Server
∙ShellHardwareDetection
∙SmartCard
∙SpecialAdministrationConsoleHelper
∙SQLSERVERAGENT
∙SystemEventNotification
∙TaskScheduler
∙TCP/IPNetBIOSHelper
∙Telephony
∙Telnet
∙TerminalServices
∙TerminalServicesSessionDirectory
∙Themes
∙UninterruptiblePowerSupply
∙UploadManager
∙VirtualDiskService
∙VolumeShadowCopy
∙WebClient
∙WindowsAudio(服务器没必要使用声音)
∙WindowsFirewall/InternetConnectionSharing(ICS)
∙WindowsImageAcquisition(WIA)
∙WindowsInstaller
∙WindowsManagementInstrumentation
∙WindowsManagementInstrumentationDriverExtensions
∙WindowsTime
∙WindowsUserModeDriverFramework
∙WinHTTPWebProxyAuto-DiscoveryService
∙WirelessConfiguration
∙WMIPerformanceAdapter
∙Workstation
∙WorldWideWebPublishingService
以上操作完成以后是否就"
最小的权限+最少的服务=最大的安全"
呢?
其实不然,任何事物都是相对的。
三、IIS、终端服务、FTP、SQL的配置
3.1IIS配置
很多网管在用IIS6架网站的时候遇到不少问题,因为IIS6在IIS5的基础上做了不小的改动,现就我自己配置的经验列出以下几个常见问题,希望对大家有所帮助!
问题1:
未启用父路径
症状举例:
ActiveServerPages错误'
ASP0131'
不允许的父路径
/exam/admin/login.asp,行1
包含文件'
../include/conn.asp'
不能用'
..'
表示父目录。
原因分析:
许多Web页面里要用到诸如../格式的语句(即回到上一层的页面,也就是父路径),而IIS6.0出于安全考虑,这一选项默认是关闭的。
解决方法:
在IIS中属性->
主目录->
配置->
选项中。
把”启用父路径“前面打上勾。
确认刷新。
问题2:
ASP的Web扩展配置不当(同样适用于ASP.NET、CGI)
HTTP错误404-文件或目录未找到。
在IIS6.0中新增了web程序扩展这一选项,你可以在其中对ASP、ASP.NET、CGI、IDC等程序进行允许或禁止,默认情况下ASP等程序是禁止的。
在IIS中的Web服务扩展中选中ActiveServerPages,点击“允许”。
症状举例:
上传文件到Windows2003server+IIS6.0服务器的时候遇到下列错误:
请求对象错误'
ASP0104:
80004005'
操作被禁止
/Upload.asp,line40
原因分析:
IIS6.0禁止上传超过200kB的文件.因此你需要修改IIS的默认设置.
解决方法
1、运行:
Iisreset/stop
2、找到c:
\windows\system32\inetsrv\metabase.xml,去掉它的只读属性
3、用记事本编辑其中的ASPMaxRequestEntityAllowed把他修改为需要的值,默认为204800,即200K,把它改成你需要的值后保存。
4、运行:
iisreset/start
注意!
不要用Word或写字板修改否则会出现错误,并导致IIS服务不能启动!
推荐使用EditPlus或UltraEdit。
IIS基本参数配置实例
打开IIS管理器>
网站>
属性>
网站>
启动日志记录>
关闭
主目录>
配置>
应用程序扩展>
只保留asp,asa
选项>
启用父目录
调试>
向客户端发送文本错误消息
自定义错误>
全部改成默认值
IIS管理器>
WEB服务扩展>
启用ActiveServerPages
注:
停用IIS默认站点,切勿删除,有可能会造成IIS的不稳定。
站点的建立将在第四节中详细介绍。
3.2终端服务配置
建议使用NetOPRemoteControl实现服务器远程控制,如必需使用终端服务,请进行以下配置:
终端服务配置>
连接
选择右侧列出的连接属性>
权限
删除所有用户组添加单一的允许使用的管理员账户,这样即使服务器被创建了其它的管理员.也无法使用终端服务。
另外在会话设置中可以进一步设置断开、注销等一些参数。
3.3FTP的配置
目前大多数服务器使用Serv-UServer为FTP服务。
我们建议使用此软件的最新版本以降低遭受攻击的可能性。
安装原版至D:
\
升级会员 