1、Windows Server 2003 服务器加固,前言,在网络日益发展的今天,网络作为我们日常生活获取信息不可分缺的一部分,针对网络的攻击也无时不刻的在我们身边,除了要注意个人PC的安全之外,还应该注重服务器安全,安全问题频发的网站服务器安全也就成了管理员们的最头疼的事。,WEB服务器所面临的威胁和安全问题,威胁,安全 问题,黑客的频繁攻击(DDOS攻击、CC攻击、跨站、注入) 程序的漏洞(敏感信息泄漏、应用程序BUG) 系统漏洞(溢出) 弱口令(简单密码、默认密码、常用密码) 数据库(列目录、差异备份、LOG备份、存储过程) 系统权限配置(运行、上传、写入) IIS设置(脚本执行权限) F
2、TP ARP,广泛的用户和组权限 启用不必要的数据库功能 失效的配置管理 特权升级 数据库未打补丁 敏感数据未加密,所带来的危害和损失,网站程序被破坏或篡改 内部文件或信息泄漏 服务器被入侵导致恶意利用 ARP嗅探致使用户或管理员信息泄漏 网站被植入木马、黑链接或广告 发布恶意内容并陷害 网站程序、作品或劳动成果被窃取 网站和数据库数据被恶意下载和利用 社会影响和公众影响,服务器和网站安全一直都是大家所关注的内容,我们今天以Windows Server 2003 Enterprise Edition Service Pack 1为例,为大家演示服务器的加固措施。,一、硬盘的分区,一般比较常用的
3、是FAT32和NTFS格式分区,1.1FAT32格式缺点,采用FAT32格式对硬盘进行分区是无法设置访问权限的 ,如果要搭建网站或对某个文件夹、文件设置单独的访问权限是不行的,一旦网站建立起来对服务器以及网站就非常危险。这是一大禁忌,因此目前已被性能更优异的NTFS分区格式所取代,1.2NTFS格式权限设置,系统盘和站点放置盘必须设置为NTFS格式,方便设置权限 针对系统盘和站点放置盘,将除administrators 和system的用户权限全部去除,1.3设置方法,二、防火墙设置,启用windows自带的防火墙可以满足我们平常的需要 只保留我们需要的端口,比如远程和Web,Ftp(3389
4、,80,21)等等 ,不使用的端口全部关闭掉,防止被恶意攻击者利用导致服务器沦陷,如果还有需要的端口,可以自行添加,三、系统账户安全,某些服务器管理员密码使用弱口令,而且默认的登录账户没有修改,许多无聊的攻击者会采用扫描终端的弱口令进行入侵 改名系统默认帐户名,并新建一个Administrator帐户作为陷阱帐户,设置超长密码,并让这个帐号不属于任何用户组。改名并禁用掉Guest用户,3.1本地安全策略设置,配置帐户锁定策略(在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略,将账户设为“三次登陆无效”,“锁定时间30分
5、钟”,“复位锁定计数设为30分钟”。),在安全设置里“本地策略-安全选项”将,网络访问 : 可匿名访 问的共享 ;,网络访问:可匿名访 问的命名 管道 ;,网络访问:可远程访 问的注册 表路径 ;,网络访问:可远程访 问的注册 表路径和 子路径 ;,在安全设置里“本地策略-安全选项”通过终端服务拒绝登陆加入: ASPNET Guest IUSR_* IWAM_* NETWORK SERVICE SQLDebugger (*表示你的机器名,具体查找可以点击“添加用户或组”选“高级”选“立即查找”在列出的用户列表里选择.注意,不要添加进user组和administrators组。如果添加进去以后,
6、就不能远程登陆了),更改本地安全策略的审核策略,3.2去掉默认共享,将以下文件存为reg后缀,然后执行导入即可. Windows Registry Editor Version 5.00 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters “AutoShareServer“=dword:00000000 “AutoSharewks“=dword:00000000 关闭掉默认共享可以有效防止空口令或弱密码入侵,3.3禁用危险的服务,禁用不需要的和危险的服务,以下列出服务都需要禁用: Alerter 发送管
7、理警报和通知 Computer Browser:维护网络计算机更新 Distributed File System: 局域网管理共享文件 Distributed linktracking client 用于局域网更新连接信息 Error reporting service 发送错误报告 Remote Procedure Call (RPC) Locator RpcNs*远程过程调用 (RPC) Remote Registry 远程修改注册表 Removable storage 管理可移动媒体、驱动程序和库 Remote Desktop Help Session Manager 远程协助 Rou
8、ting and Remote Access 在局域网以及广域网环境中为企业提供路由服务 Messenger 消息文件传输服务 Net Logon 域控制器通道管理 NT LMSecuritysupportprovide telnet服务和Microsoft Serch用的 PrintSpooler 打印服务 telnet telnet服务 Workstation 泄漏系统用户名列表,3.4设置系统文件权限,一些系统文件经常被黑客利用,应设置其运行权限或删除(不使用的情况下),也可放置到地方,并设置好权限 更改有可能会被提权利用的文件运行权限。找到以下文件,将其安全设置里除administra
9、tors用户组全部删除,重要的是连system也不能留.文件包括: net.exe net1.exe cmd.exe tftp.exe netstat.exe regedit.exe at.exe attrib.exe cacls.exe c.exe 特殊文件 有可能在你的计算机上找不到此文件. 在搜索框里输入 “net.exe“,“net1.exe“,“cmd.exe“,“tftp.exe“,“netstat.exe“,“regedit.exe“,“at.exe“,“attrib.exe“,“cacls.exe“,““,“c.exe“ 点击搜索 然后全选 右键 属性 安全,四、关闭无用的组
10、件,某些组件长期被黑客利用,因此不使用应及时的关闭或卸载该组件 FSO: 运行regsvr32 scrrun.dll即可。 如果想关闭FSO组件,请运行 regsvr32 /u scrrun.dll即可。 如何让IIS支持Adodb.stream组件: adodb.stream组件: 在开始运行 中 输入: regsvr32 “C:Program FilesCommon FilesSystemadomsado15.dll“ 即可再次支持adodb.stream组件,五、对FTP的设置,FTP也经常是黑客们拿到服务器权限的途径之一,也是管理员们最忽略的地方 电子政务厅服务器基本上都装有serve
11、r-U,再次我们需要防止Serv-U权限提升。其实,注销了Shell组件之后,侵入者运行提升工具的可能性就很小了,但是prel等别的脚本语言也有shell能力。为此我们需要对此进行设置,具体方法如下:用Ultraedit打开ServUDaemon.exe查找Ascii:LocalAdministrator,和#l$ak#.lk;0P,修改成等长度的其它字符就可以了,ServUAdmin.exe也一样处理。另外注意设置Serv-U所在的文件夹的权限,不要让IIS匿名用户有读取的权限。,根据长期的测试,我们发现国内大量的IDC服务商FTP都是采用Serv-U,并且未对注册表的权限进行设置,那么黑客
12、可以任意读取FTP信息。在注册表中的具体位置是HKEY_LOCAL_MACHINESOFTWARECat SoftServ-UDomains1UserSettings,这里包含serv-u的信息以及用户名和密码 对注册表的权限进行设置或采用比较安全的FTPS,六、针对WEB站点的权限设置,对于WEB服务器,除了要把以上的安全设置好以外,还需要对站点用户、目录、脚本等进行特别的设置,6.1用户设置,6.2IIS用户设置,在IIS中,站点最好不要使用默认的c:inetpubwwwroot目录,应放在其他盘,有利于备份和恢复,对网站目录的用户设置,根据实际需要设置IIS访问用户的权限,6.3身份验证
13、,有效防止黑客飞到网站权限后跨目录访问,6.4目录执行权限,对黑客容易利用的目录进行权限设置(比如文件上传目录),总结,如果不是远程对服务器进行安全配置,那么请在安装系统前就应该把网线拔掉 尽量安装和运行越少的应用程序和服务,安装时且不要使用默认的路径安装 安装完程序并对服务器设置完后,请将当前服务器的进程抓图或记录下来,将其保存,方便以后对照查看是否有不明的程序 将当前开放的端口抓图或记录下来,保存,方便以后对照查看是否开放了不明的端口。当然如果你能分辨每一个进程,和端口这一步可以省略 及时升级和更新最近的补丁文件 可以适量采用第三方软件或硬件对服务器进行加固 登录远程使用完后一定记得注销,Thank You !,
