自己不维护服务器,不知道维护服务器的辛苦。刚开始为了嫌麻烦,抱有侥幸心理,一些繁琐的安全设置没有配置,结果服务器连一天都没撑过去。经过10天的反复摸索和努力,现在服务器已经稳定工作一个月了,特此整理本文。
我的服务器的应用含:
APACHE:80
IIS:81,由APACHE映射过来
MySql: 3306
SQLServer2005: 5687
svn: 80
FTP: 21
远程桌面:9898
一:关于TCP/IP筛选
TCP/IP的筛选,我是不做的。如你只开发80端口,则外网可以访问你的WEB服务器,但是,你不能访问别人的WEB服务。因为访问别人的WEB服务的时候,你本地不是从80出去,而是WINDOWS随机创建了一个端口。
不能访问外网的WEB服务,导致的直接后果是有些软件,如360、杀毒软件、个人防火墙、WINDOWS系统漏洞等不能升级。这些升级全部是使用WEB服务的。
二:防火墙
1:使用瑞星个人防火墙,在端口筛选中,开放题头中的端口。
2:同时,开放WINDOWS防火墙,在例外和高级中,都要对端口进行开发。尤其注意,服务器一般放置在机房,一定要开放远程桌面的端口。
三:用户管理
1:改名guest,设置超复杂密码,然后停用。;
2:改名administrator,可带中文,设置超复杂密码;然后建立一个名为administrator的诱饵账户,属于user组。设立超复杂密码。
四:IP安全策略
IP安全策略,个人认为很重要,无论是个人防火墙还是WINDOWS,都不能做出、入限制,在安全策略中却可以。
五:IIS安全设置
1:删除默认网站对应的interpub;
2:停掉默认网站;
3:WEB日志更改到别处;
这里举例4个不同类型脚本的虚拟主机 权限设置例子
MDB是共用映射,下面用红色表示
ASP.NET 进程帐户所需的 NTFS 权限
六:SQLServer2005安全设置
1:停掉CMDSHELL,使用如下语句:
— To allow advanced options to be changed
EXEC sp_configure ‘show advanced options’, 1;
GO
— To update the currently configured value for — advanced options
RECONFIGURE;
GO
— To disable xp_cmdshell
EXEC sp_configure ‘xp_cmdshell’, 0;
GO
— To update the currently configured value for this — feature
RECONFIGURE;
GO
2:更改SA名,设置超复杂密码;
3:删除不必要用户,但是要保留系统自己创建的用户。如果你不想让使用windows身份验证登录,则也可以删除sqlserver登录中的xxx/administrator这个用户。
4:更改1433这个默认的端口号,这里是5687。
七:组件设置
八:部分安全设置
九:服务
在我的系统中,停掉或禁用的服务有:
十:系统文件权限设置
这里着重谈需要的权限,也就是最终文件夹或硬盘需要的权限,可以防御各种木马入侵,提权攻击,跨站攻击等。本实例经过多次试验,安全性能很好,服务器基本没有被木马威胁的担忧了。
十一:本地安全策略设置
开始菜单—>管理工具—>本地安全策略
A、本地策略——>审核策略
审核策略更改 成功 失败
审核登录事件 成功 失败
审核对象访问 失败
审核过程跟踪 无审核
审核目录服务访问 失败
审核特权使用 失败
审核系统事件 成功 失败
审核账户登录事件 成功 失败
审核账户管理 成功 失败
B、本地策略——>用户权限分配
关闭系统:只有Administrators组、其它全部删除。
通过终端服务拒绝登陆:加入Guests(注意一定不能加入user组,否则不能远程桌面)
通过终端服务允许登陆:只加入Administrators组,其他全部删除
C、本地策略——>安全选项
交互式登陆:不显示上次的用户名 启用
网络访问:不允许SAM帐户和共享的匿名枚举 启用
网络访问:不允许为网络身份验证储存凭证 启用
网络访问:可匿名访问的共享 全部删除
网络访问:可匿名访问的命 全部删除
网络访问:可远程访问的注册表路径 全部删除
网络访问:可远程访问的注册表路径和子路径 全部删除
帐户:重命名来宾帐户 重命名一个帐户
帐户:重命名系统管理员帐户 重命名一个帐户
十二:其它注册表项
1、防止SYN洪水攻击
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters
新建DWORD值,名为SynAttackProtect,值为2
2、 禁止响应ICMP路由通告报文
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters/Interfaces/interface
新建DWORD值,名为PerformRouterDiscovery 值为0
3. 防止ICMP重定向报文的攻击
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters
将EnableICMPRedirects 值设为0
4. 不支持IGMP协议
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters
新建DWORD值,名为IGMPLevel 值为0
十三:如果有非法用户,要删除,则
如果您是一名网络管理员,请保持经常检查服务器帐户的良好习惯,如果您看到一名陌生的帐户,而且发现这名帐户不属于任何用户组的时候,那么恭喜你,你的管理员帐户可能被克隆了,该用户很可能拥有服务器的超管权限,因为那是通过克隆你的超管帐号的sam信息建立的帐户,该用户不属于任何用户组,使用用户管理器或命令行下删除该用户时将提示“用户不属于此组 ”,正确删除方法如下:
运行注册表编辑器,依次展开 HKEY_LOCAL_MACHINE/SAM/SAM,右键点击,选择权限,更改Administrators的权限为完全控制.刷新后依次展开该项下的的Domains/Account/Users/Names/ 删除该子项下的陌生帐号及与之相对应的Domains/Account/Users里的项;返回,删除administrator在 HKEY_LOCAL_MACHINE/SAM/SAM下的权限。
重启系统搞定。
补充一下,以便于大家回答,本来是可以在注册表中,将些账号删除
过程我想大家想知道了,我要么再罗嗦一下,
1.在cmd下进入regedt32下提高sam/sam文件夹的权限(在菜单的“安全”里),提高到当前用户完全控制,关掉(要不这么做regedit中HKEY_local_machine/sam/sam是没有权限查看的!).
2. 进入regedit中HKEY_local_machine/sam/sam/domains/account/users/names/那个黑账号,删除它,删除前先看一下其对应的文件夹,在HKEY_local_machine/sam/sam/domains/account/users下,一起删除掉。
十四:端口检测
安装端口实时监测软件如ActivePorts,它的最大好处在于在监视端口的同时,能把活动端口所对应的应用程序列出来。
十五:安全扫描
对计算机进行全方位的立体检测,可用微软为我们提供的免费工具MBSA(Microsoft Baseline Security Analyzer,微软基准安全分析器)进行检测。
原文链接:https://www.cnblogs.com/lhws/p/3807530.html
原创文章,作者:优速盾-小U,如若转载,请注明出处:https://www.cdnb.net/bbs/archives/18436
