[重要通告]如您遇疑難雜癥,本站支持知識(shí)付費(fèi)業(yè)務(wù),掃右邊二維碼加博主微信,可節(jié)省您寶貴時(shí)間哦!

1、服務(wù)器安全設(shè)置之--硬盤權(quán)限篇

這里著重談需要的權(quán)限,也就是最終文件夾或硬盤需要的權(quán)限,可以防御各種木馬入侵,提權(quán)攻擊,跨站攻擊等。本實(shí)例經(jīng)過多次試驗(yàn),安全性能很好,服務(wù)器基本沒有被木馬威脅的擔(dān)憂了。

硬盤或文件夾: C:\ D:\ E:\ F:\ 類推
主要權(quán)限部分:
Administrators 完全控制 無
該文件夾,子文件夾及文件
<不是繼承的>
CREATOR OWNER 完全控制
只有子文件夾及文件
<不是繼承的>
SYSTEM 完全控制
該文件夾,子文件夾及文件
<不是繼承的>

其他權(quán)限部分:
如果安裝了其他運(yùn)行環(huán)境,比如PHP等,則根據(jù)PHP的環(huán)境功能要求來設(shè)置硬盤權(quán)限,一般是安裝目錄加上users讀取運(yùn)行權(quán)限就足夠了,比如c:\php的話,就在根目錄權(quán)限繼承的情況下加上users讀取運(yùn)行權(quán)限,需要寫入數(shù)據(jù)的比如tmp文件夾,則把users的寫刪權(quán)限加上,運(yùn)行權(quán)限不要,然后把虛擬主機(jī)用戶的讀權(quán)限拒絕即可。如果是mysql的話,用一個(gè)獨(dú)立用戶運(yùn)行MYSQL會(huì)更安全,下面會(huì)有介紹。如果是winwebmail,則最好建立獨(dú)立的應(yīng)用程序池和獨(dú)立IIS用戶,然后整個(gè)安裝目錄有users用戶的讀/運(yùn)行/寫/權(quán)限,IIS用戶則相同,這個(gè)IIS用戶籅 6揮迷趙inwebmail的WEB訪問中,其他IIS站點(diǎn)切勿使用
硬盤設(shè)置需要根據(jù)你的實(shí)際需要來設(shè)置權(quán)限!
2、服務(wù)器安全設(shè)置之--系統(tǒng)服務(wù)篇(設(shè)置完畢需要重新啟動(dòng))

*除非特殊情況非開不可,下列系統(tǒng)服務(wù)要停止并禁用:
1、Alerter 2、Application Layer Gateway Service 3、
Background Intelligent Transfer Service
4、Computer Browser 5、Distributed File System 6、Help and Support 7、Messenger 8、NetMeeting Remote Desktop Sharing 9、Print Spooler 10、Remote Registry 11、Task Scheduler 12、TCP/IP NetBIOS Helper 13、Telnet 14、Workstation 以上是windows2003server標(biāo)準(zhǔn)服務(wù)當(dāng)中需要停止的服務(wù),作為IIS網(wǎng)絡(luò)服務(wù)器,以上服務(wù)務(wù)必要停止,如果需要SSL證書服務(wù),則設(shè)置方法不同。如果你裝有虛擬主機(jī)系統(tǒng),設(shè)置當(dāng)然也不一樣!更詳細(xì)設(shè)置可以根據(jù)自己的需要找更詳細(xì)的參考資料。

3、服務(wù)器安全設(shè)置之--組件安全設(shè)置篇 (非常重要?。?!)
A、卸載WScript.Shell 和 Shell.application 組件,將下面的代碼保存為一個(gè).BAT文件執(zhí)行(分2000和2003系統(tǒng))
win2000
regsvr32/u C:\WINNT\System32\wshom.ocx
del C:\WINNT\System32\wshom.ocx
regsvr32/u C:\WINNT\system32\shell32.dll
del C:\WINNT\system32\shell32.dll
win2003
regsvr32/u C:\WINDOWS\System32\wshom.ocx
del C:\WINDOWS\System32\wshom.ocx
regsvr32/u C:\WINDOWS\system32\shell32.dll
del C:\WINDOWS\system32\shell32.dll
B、改名不安全組件,需要注意的是組件的名稱和Clsid都要改,并且要改徹底了,不要照抄,要自己改
【開始→運(yùn)行→regedit→回車】打開注冊(cè)表編輯器

然后【編輯→查找→填寫Shell.application→查找下一個(gè)】

用這個(gè)方法能找到兩個(gè)注冊(cè)表項(xiàng):

{13709620-C279-11CE-A49E-444553540000} 和 Shell.application 。

第一步:為了確保萬無一失,把這兩個(gè)注冊(cè)表項(xiàng)導(dǎo)出來,保存為xxxx.reg 文件。

第二步:比如我們想做這樣的更改

13709620-C279-11CE-A49E-444553540000 改名為 13709620-C279-11CE-A49E-444553540001

Shell.application 改名為 Shell.application_nohack

第三步:那么,就把剛才導(dǎo)出的.reg文件里的內(nèi)容按上面的對(duì)應(yīng)關(guān)系替換掉,然后把修改好的.reg文件導(dǎo)入到注冊(cè)表中(雙擊即可),導(dǎo)入了改名后的注冊(cè)表項(xiàng)之后,別忘記了刪除原有的那兩個(gè)項(xiàng)目。這里需要注意一點(diǎn),Clsid中只能是十個(gè)數(shù)字和ABCDEF六個(gè)字母。

其實(shí),只要把對(duì)應(yīng)注冊(cè)表項(xiàng)導(dǎo)出來備份,然后直接改鍵名就可以了。
WScript.Shell 和 Shell.application 組件是 腳本入侵過程中,提升權(quán)限的重要環(huán)節(jié),這兩個(gè)組件的卸載和修改對(duì)應(yīng)注冊(cè)鍵名,可以很大程度的提高虛擬主機(jī)的腳本安全性能,一般來說,ASP和php類腳本提升權(quán)限的功能是無法實(shí)現(xiàn)了,再加上一些系統(tǒng)服務(wù)、硬盤訪問權(quán)限、端口過濾、本地安全策略的設(shè)置,虛擬主機(jī)因該說,安全性能有非常大的提高,黑客入侵的可能性是非常低了。注銷了Shell組件之后,侵入者運(yùn)行提升工具的可能性就很小了,但是prel等別的腳本語言也有shell能力,為防萬一,還是設(shè)置一下為好。下面是另外一種設(shè)置,大同小異。
一、禁止使用FileSystemObject組件
FileSystemObject可以對(duì)文件進(jìn)行常規(guī)操作,可以通過修改注冊(cè)表,將此組件改名,來防止此類木馬的危害。

HKEY_CLASSES_ROOT\Scripting.FileSystemObject\

改名為其它的名字,如:改為 FileSystemObject_ChangeName

自己以后調(diào)用的時(shí)候使用這個(gè)就可以正常調(diào)用此組件了

也要將clsid值也改一下

HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\項(xiàng)目的值

也可以將其刪除,來防止此類木馬的危害。

2000注銷此組件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll

2003注銷此組件命令:RegSrv32 /u C:\WINDOWS\SYSTEM\scrrun.dll

如何禁止Guest用戶使用scrrun.dll來防止調(diào)用此組件?

使用這個(gè)命令:cacls C:\WINNT\system32\scrrun.dll /e /d guests

二、禁止使用WScript.Shell組件

WScript.Shell可以調(diào)用系統(tǒng)內(nèi)核運(yùn)行DOS基本命令

可以通過修改注冊(cè)表,將此組件改名,來防止此類木馬的危害。

HKEY_CLASSES_ROOT\WScript.Shell\及HKEY_CLASSES_ROOT\WScript.Shell.1\

改名為其它的名字,如:改為WScript.Shell_ChangeName 或 WScript.Shell.1_ChangeName

自己以后調(diào)用的時(shí)候使用這個(gè)就可以正常調(diào)用此組件了

也要將clsid值也改一下

HKEY_CLASSES_ROOT\WScript.Shell\CLSID\項(xiàng)目的值

HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\項(xiàng)目的值

也可以將其刪除,來防止此類木馬的危害。

三、禁止使用Shell.Application組件

Shell.Application可以調(diào)用系統(tǒng)內(nèi)核運(yùn)行DOS基本命令

可以通過修改注冊(cè)表,將此組件改名,來防止此類木馬的危害。

HKEY_CLASSES_ROOT\Shell.Application\

HKEY_CLASSES_ROOT\Shell.Application.1\

改名為其它的名字,如:改為Shell.Application_ChangeName 或 Shell.Application.1_ChangeName

自己以后調(diào)用的時(shí)候使用這個(gè)就可以正常調(diào)用此組件了

也要將clsid值也改一下

HKEY_CLASSES_ROOT\Shell.Application\CLSID\項(xiàng)目的值

HKEY_CLASSES_ROOT\Shell.Application\CLSID\項(xiàng)目的值

也可以將其刪除,來防止此類木馬的危害。

禁止Guest用戶使用shell32.dll來防止調(diào)用此組件。

2000使用命令:cacls C:\WINNT\system32\shell32.dll /e /d guests
2003使用命令:cacls C:\WINDOWS\system32\shell32.dll /e /d guests

注:操作均需要重新啟動(dòng)WEB服務(wù)后才會(huì)生效。

四、調(diào)用Cmd.exe

禁用Guests組用戶調(diào)用cmd.exe

2000使用命令:cacls C:\WINNT\system32\Cmd.exe /e /d guests
2003使用命令:cacls C:\WINDOWS\system32\Cmd.exe /e /d guests

通過以上四步的設(shè)置基本可以防范目前比較流行的幾種木馬,但最有效的辦法還是通過綜合安全設(shè)置,將服務(wù)器、程序安全都達(dá)到一定標(biāo)準(zhǔn),才可能將安全等級(jí)設(shè)置較高,防范更多非法入侵。

C、防止Serv-U權(quán)限提升 (適用于 Serv-U6.0 以前版本,之后可以直接設(shè)置密碼)
先停掉Serv-U服務(wù)

用Ultraedit打開ServUDaemon.exe

查找 Ascii:LocalAdministrator 和 #l@$ak#.lk;0@P

修改成等長(zhǎng)度的其它字符就可以了,ServUAdmin.exe也一樣處理。

另外注意設(shè)置Serv-U所在的文件夾的權(quán)限,不要讓IIS匿名用戶有讀取的權(quán)限,否則人家下走你修改過的文件,照樣可以分析出你的管理員名和密碼。

4、服務(wù)器安全設(shè)置之--IIS用戶設(shè)置方法
不同站點(diǎn)使用不用的IIS用戶。另外權(quán)限的設(shè)置要細(xì)致。
5、服務(wù)器安全設(shè)置之--服務(wù)器安全和性能配置
把下面文本保存為: windows2000-2003服務(wù)器安全和性能注冊(cè)表自動(dòng)配置文件.reg 運(yùn)行即可。[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoRecentDocsMenu"=hex:01,00,00,00
"NoRecentDocsHistory"=hex:01,00,00,00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"DontDisplayLastUserName"%2&nb"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"restrictanonymous"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\Parameters]
"AutoShareServer"=dword:00000000
"AutoShareWks"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"EnableICMPRedirect"=dword:00000000
"KeepAliveTime"=dword:000927c0
"SynAttackProtect"=dword:00000002
"TcpMaxHalfOpen"=dword:000001f4
"TcpMaxHalfOpenRetried"=dword:00000190
"TcpMaxConnectResponseRetransmissions"=dword:00000001
"TcpMaxDataRetransmissions"=dword:00000003
"TCPMaxPortsExhausted"=dword:00000005
"DisableIPSourceRouting"=dword:00000002
"TcpTimedWaitDelay"=dword:0000001e
"TcpNumConnections"=dword:00004e20
"EnablePMTUDiscovery"=dword:00000000
"NoNameReleaseOnDemand"=dword:00000001
"EnableDeadGWDetect"=dword:00000000
"PerformRouterDiscovery"=dword:00000000
"EnableICMPRedirects"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters]
"BacklogIncrement"=dword:00000005
"MaxConnBackLog"=dword:000007d0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AFD\Parameters]
"EnableDynamicBacklog"=dword:00000001
"MinimumDynamicBacklog"=dword:00000014
"MaximumDynamicBacklog"=dword:00007530
"DynamicBacklogGrowthDelta"=dword:0000000a
功能:可抵御DDOS攻擊2-3萬包,提高服務(wù)器TCP-IP整體安全性能(效果等于軟件防火墻,節(jié)約了系統(tǒng)資源)
6、服務(wù)器安全設(shè)置之--IP安全策略 (僅僅列出需要屏蔽或阻止的端口或協(xié)議)

協(xié)議 IP協(xié)議端口 源地址 目標(biāo)地址 描述 方式
ICMP -- -- -- ICMP 阻止
UDP 135 任何IP地址 我的IP地址 135-UDP 阻止
UDP 136 任何IP地址 我的IP地址 136-UDP 阻止
UDP 137 任何IP地址 我的IP地址 137-UDP 阻止
UDP 138 任何IP地址 我的IP地址 138-UDP 阻止
UDP 139 任何IP地址 我的IP地址 139-UDP 阻止
TCP 445 任何IP地址-從任意端口 我的IP地址-445 445-TCP 阻止
UDP 445 任何IP地址-從任意端口 我的IP地址-445 445-UDP 阻止
UDP 69 任何IP地址-從任意端口 我的IP地址-69 69-入 阻止
UDP 69 我的IP地址-69 任何IP地址-任意端口 69-出 阻止
TCP 4444 任何IP地址-從任意端口 我的IP地址-4444 4444-TCP 阻止
TCP 1026 我的IP地址-1026 任何IP地址-任意端口 灰鴿子-1026 阻止
TCP 1027 我的IP地址-1027 任何IP地址-任意端口 灰鴿子-1027 阻止
TCP 1028 我的IP地址-1028 任何IP地址-任意端口 灰鴿子-1028 阻止
UDP 1026 我的IP地址-1026 任何IP地址-任意端口 灰鴿子-1026 阻止
UDP 1027 我的IP地址-1027 任何IP地址-任意端口 灰鴿子-1027 阻止
UDP 1028 我的IP地址-1028 任何IP地址-任意端口 灰鴿子-1028 阻止
TCP 21 我的IP地址-從任意端口 任何IP地址-到21端口 阻止tftp出站 阻止
TCP 99 我的IP地址-99 任何IP地址-任意端口 阻止99shell 阻止

以上是IP安全策略里的設(shè)置,可以根據(jù)實(shí)際情況,增加或刪除端口
7、服務(wù)器安全設(shè)置之--本地安全策略設(shè)置

安全策略自動(dòng)更新命令:GPUpdate /force (應(yīng)用組策略自動(dòng)生效不需重新啟動(dòng))

開始菜單—>管理工具—>本地安全策略

A、本地策略——>審核策略

審核策略更改 成功 失敗
審核登錄事件 成功 失敗
審核對(duì)象訪問 失敗
審核過程跟蹤 無審核
審核目錄服務(wù)訪問 失敗
審核特權(quán)使用 失敗
審核系統(tǒng)事件 成功 失敗
審核賬戶登錄事件 成功 失敗
審核賬戶管理 成功 失敗
B、本地策略——>用戶權(quán)限分配

關(guān)閉系統(tǒng):只有Administrators組、其它全部刪除。
通過終端服務(wù)拒絕登陸:加入Guests、User組
通過終端服務(wù)允許登陸:只加入Administrators組,其他全部刪除

gt;安全選項(xiàng)

交互式登陸:不顯示上次的用戶名 啟用
網(wǎng)絡(luò)訪問:不允許SAM帳戶和共享的匿名枚舉 啟用
網(wǎng)絡(luò)訪問:不允許為網(wǎng)絡(luò)身份驗(yàn)證儲(chǔ)存憑證 啟用
網(wǎng)絡(luò)訪問:可匿名訪問的共享 全部刪除
網(wǎng)絡(luò)訪問:可匿名訪問的命 全部刪除
網(wǎng)絡(luò)訪問:可遠(yuǎn)程訪問的注冊(cè)表路徑 全部刪除
網(wǎng)絡(luò)訪問:可遠(yuǎn)程訪問的注冊(cè)表路徑和子路徑 全部刪除
帳戶:重命名來賓帳戶 重命名一個(gè)帳戶
帳戶:重命名系統(tǒng)管理員帳戶 重命名一個(gè)帳戶

問題未解決?付費(fèi)解決問題加Q或微信 2589053300 (即Q號(hào)又微信號(hào))右上方掃一掃可加博主微信

所寫所說,是心之所感,思之所悟,行之所得;文當(dāng)無敷衍,落筆求簡(jiǎn)潔。 以所舍,求所獲;有所依,方所成!

支付寶贊助
微信贊助

免責(zé)聲明,若由于商用引起版權(quán)糾紛,一切責(zé)任均由使用者承擔(dān)。

您必須遵守我們的協(xié)議,如您下載該資源,行為將被視為對(duì)《免責(zé)聲明》全部?jī)?nèi)容的認(rèn)可->聯(lián)系老梁投訴資源
LaoLiang.Net部分資源來自互聯(lián)網(wǎng)收集,僅供用于學(xué)習(xí)和交流,請(qǐng)勿用于商業(yè)用途。如有侵權(quán)、不妥之處,請(qǐng)聯(lián)系站長(zhǎng)并出示版權(quán)證明以便刪除。 敬請(qǐng)諒解! 侵權(quán)刪帖/違法舉報(bào)/投稿等事物聯(lián)系郵箱:service@laoliang.net
意在交流學(xué)習(xí),歡迎贊賞評(píng)論,如有謬誤,請(qǐng)聯(lián)系指正;轉(zhuǎn)載請(qǐng)注明出處: » Windows服務(wù)器設(shè)置

發(fā)表回復(fù)

本站承接,網(wǎng)站推廣(SEM,SEO);軟件安裝與調(diào)試;服務(wù)器或網(wǎng)絡(luò)推薦及配置;APP開發(fā)與維護(hù);網(wǎng)站開發(fā)修改及維護(hù); 各財(cái)務(wù)軟件安裝調(diào)試及注冊(cè)服務(wù)(金蝶,用友,管家婆,速達(dá),星宇等);同時(shí)也有客戶管理系統(tǒng),人力資源,超市POS,醫(yī)藥管理等;

立即查看 了解詳情