仓酷云

标题: linux教程之Windows2003 服务器平安设置具体篇 [打印本页]

作者: 因胸联盟    时间: 2015-1-16 12:26
标题: linux教程之Windows2003 服务器平安设置具体篇
如果你让他去用linux搭建一个web服务器,做一个linux网关,他就什么都不会了.他们把时间都浪费在了版本的转换上了.
这个分歧于之前做的两个演示,此演示基础上保存体系默许的那些权限组稳定,保存原味,以避免作废不妥形成稀里糊涂的毛病.
  看过这个演示,之前的"超具体web服务器权限设置,准确到每一个文件夹"和"超具体web服务器权限设置,事务检察器完整无报错"就不必再看了.这个比本来做的有所改善.操纵体系用的是雨林木风的ghost镜像,补钉是打上停止11.2号最新的
  PowerUsers组是不是作废无所谓
  详细操纵看演示
  windows下根目次的权限设置:
  C:WINDOWSApplicationCompatibilityScripts不必做任何修正,包含其下一切子目次
  C:WINDOWSAppPatchAcWebSvc.dll已有users组权限,别的文件加上users组权限
  C:WINDOWSConnectionWizard作废users组权限
  C:WINDOWSDebugusers组的默许不改
  C:WINDOWSDebugUserMode默许不修正有写进文件的权限,作废users组权限,给出格的权限,看演示
  C:WINDOWSDebugWPD不作废AuthenticatedUsers组权限能够写进文件,创立目次.
  C:WINDOWSDriverCache作废users组权限,给i386文件夹下一切文件加上users组权限
  C:WINDOWSHelp作废users组权限
  C:WINDOWSHelpiisHelpcommon作废users组权限
  C:WINDOWSIISTemporaryCompressedFiles默许不修正
  C:WINDOWSime不必做任何修正,包含其下一切子目次
  C:WINDOWSinf不必做任何修正,包含其下一切子目次
  C:WINDOWSInstaller删除everyone组权限,给目次下的文件加上everyone组读取和运转的权限
  C:WINDOWSjava作废users组权限,给子目次下的一切文件加上users组权限
  C:WINDOWSMAGICSET默许稳定
  C:WINDOWSMedia默许稳定
  C:WINDOWSMicrosoft.NET不必做任何修正,包含其下一切子目次
  C:WINDOWSmsagent作废users组权限,给子目次下的一切文件加上users组权限
  C:WINDOWSmsapps不必做任何修正,包含其下一切子目次
  C:WINDOWSmui作废users组权限
  C:WINDOWSPCHEALTH默许不改
  C:WINDOWSPCHEALTHERRORREPQHEADLES作废everyone组的权限
  C:WINDOWSPCHEALTHERRORREPQSIGNOFF作废everyone组的权限
  C:WINDOWSPCHealthUploadLB删除everyone组的权限,别的上级目次不必管,没有user组和everyone组权限
  C:WINDOWSPCHealthHelpCtr删除everyone组的权限,别的上级目次不必管,没有user组和everyone组权限(这个不必依照演示中的搜刮那些文件了,不须增加users组权限就行)
  C:WINDOWSPIF默许不改
  C:WINDOWSPolicyBackup默许不改,给子目次下的一切文件加上users组权限
  C:WINDOWSPrefetch默许不改
  C:WINDOWSprovisioning默许不改,给子目次下的一切文件加上users组权限
  C:WINDOWSpss默许不改,给子目次下的一切文件加上users组权限
  C:WINDOWSRegisteredPackages默许不改,给子目次下的一切文件加上users组权限
  C:WINDOWSRegistrationCRMLog默许不改会有写进的权限,作废users组的权限
  C:WINDOWSRegistration作废everyone组权限.加NETWORKSERVICE给子目次下的文件加everyone可读取的权限,
  C:WINDOWSepair作废users组权限
  C:WINDOWSResources作废users组权限
  C:WINDOWSsecurityusers组的默许不改,其下Database和logs目次默许不改.作废templates目次users组权限,给文件加上users组
  C:WINDOWSServicePackFiles不必做任何修正,包含其下一切子目次
  C:WINDOWSSoftwareDistribution不必做任何修正,包含其下一切子目次
  C:WINDOWSsrchasst不必做任何修正,包含其下一切子目次
  C:WINDOWSsystem坚持默许
  C:WINDOWSTAPI作废users组权限,其下谁人tsec.ini权限不要改
  C:WINDOWS        wain_32作废users组权限,给目次下的文件加users组权限
  C:WINDOWSvnDrvBas不必做任何修正,包含其下一切子目次
  C:WINDOWSWeb作废users组权限给其下的一切文件加上users组权限
  C:WINDOWSWinSxS作废users组权限,搜刮*.tlb,*.policy,*.cat,*.manifest,*.dll,给这些文件加上everyone组和users权限
  给目次加NETWORKSERVICE完整把持的权限
  C:WINDOWSsystem32wbem这个目次有主要感化。假如不给users组权限,翻开一些使用软件时会十分慢。而且事务检察器中偶然会报出一堆毛病。招致一些程序不克不及一般运转。但为了不让webshell有扫瞄体系所属目次的权限,给wbem目次下一切的*.dll文件users组和everyone组权限。
  *.dll
  users;everyone
  我先停息。你操纵时挨个反省就好了
  C:WINDOWS#$$#%^$^@!#$%$^S#@#$#$%$#@@@$%!!WERa(我用的temp文件夹路径)temp因为必需给写进的权限,以是修正了默许路径和称号。避免webshell往此目次中写进。修正路径后要重启失效。
  至此,体系盘任何一个目次是不成扫瞄的,独一一个可写进的C:WINDOWS        emp,又修正了默许路径和称号酿成C:WINDOWS#$$#%^$^@!#$%$^S#@#$#$%$#@@@$%!!WERa
  如许设置应当绝对平安了些。
  我先往安装一下几款盛行的网站程序,先停息.几款经常使用的网站程序在如许的权限设置下完整一般。还没有装上sql2000数据库,没法测试动易2006SQL版了。一定一般。人人能够尝尝。
  服务设置:
  1.设置win2k的屏幕回护,用pcanywhere的时分,偶然候下线时健忘锁定盘算机了,假如他人破解了你的pcanywhere暗码,就间接能够进进你盘算机,假如设置了屏保,当你几分钟不必后就主动锁定盘算机,如许就避免了用pcanyhwerer间接进进你盘算机的大概,也是避免外部职员损坏服务器的一个屏蔽
  2.封闭光盘和磁盘的主动播放功效,在组战略内里设.如许能够避免进侵者编纂歹意的autorun.inf让你以办理员的身份运转他的木马,来到达提拔权限的目标。能够用netshare检察默许共享。因为没开server服务,即是已封闭默许共享了,最好仍是禁用server服务。www.cnzz.cc
  附删除默许共享的命令:
  netsharec$/del
  netshared$/del
  netsharee$/del
  netsharef$/del
  netshareipc$/del
  netshareadmin$/del
  3.封闭不必要的端口和服务,在收集毗连里,把不必要的协定和服务都删失落,这里只安装了基础的Internet协定(TCP/IP),因为要把持带宽流量服务,分外安装了Qos数据包企图程序。在初级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS。
  修正3389远程毗连端口(也能够用工具修正更便利)
  修正注册表.
  入手下手--运转--regedit
  顺次睁开HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/
  TERMINALSERVER/WDS/RDPWD/TDS/TCP
  右侧键值中PortNumber改成你想用的端标语.注重利用十进制(例1989)
  HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINALSERVER/
  WINSTATIONS/RDP-TCP/
  右侧键值中PortNumber改成你想用的端标语.注重利用十进制(例1989)
  注重:别忘了在WINDOWS2003自带的防火墙给+上10000端口
  修正终了.从头启动服务器.设置失效.
  这里就不改了,你能够本人决意是不是修正.权限设置的好后,团体感到改不改无所谓
  4.禁用Guest账号
  在盘算机办理的用户内里把Guest账号禁用。为了保险起见,最好给Guest加一个庞大的暗码。你能够翻开记事本,在内里输出一串包括特别字符、数字、字母的长字符串,然后把它作为Guest用户的暗码拷出来.我这里任意复制了一段文本内容出来.
  假如设置暗码时提醒:事情站服务没有启动先往当地平安战略里把暗码战略里启动暗码庞大性给禁用后就能够修正了
  5.创立一个圈套用户
  即创立一个名为“Administrator”的当地用户,把它的权限设置成最低,甚么事也干不了的那种,而且加上一个凌驾10位的超等庞大暗码。如许可让那些Hacker们忙上一段工夫,借此发明它们的进侵妄图。
  6.当地平安战略设置
  入手下手菜单―>办理工具―>当地平安战略
  A、当地战略――>考核战略
  考核战略变动   乐成 失利
  考核登录事务   乐成 失利
  考核工具会见      失利
  考核历程跟踪   无考核
  考核目次服务会见    失利
  考核特权利用      失利
  考核体系事务   乐成 失利
  考核账户登录事务 乐成 失利
  考核账户办理   乐成 失利
  B、当地战略――>用户权限分派
  封闭体系:只要Administrators组、别的全体删除。
  经由过程终端服务同意上岸:只到场Administrators,RemoteDesktopUsers组,其他全体删除
  运转gpedit.msc盘算机设置>办理模板>体系显现“封闭事务跟踪程序”变动为已禁用
  用户办理,创建另外一个备用办理员账号,避免特别情形产生。安装有终端服务与SQL服务的服务器停用TsInternetUser,SQLDebugger这两个账号
  C、当地战略――>平安选项
  交互式上岸:不显现前次的用户名       启用
  收集会见:不同意SAM帐户和共享的匿名列举 启用
  收集会见:不同意为收集身份考证贮存凭据   启用
  收集会见:可匿名会见的共享         全体删除
  收集会见:可匿名会见的命          全体删除
  收集会见:可远程会见的注册表路径      全体删除
  收集会见:可远程会见的注册表路径和子路径  全体删除
  帐户:重定名宾客帐户            重定名一个帐户
  帐户:重定名体系办理员帐户         重定名一个帐户
  7.克制dumpfile的发生
  dump文件在体系溃散和蓝屏的时分是一份很有效的查找成绩的材料。但是,它也可以给黑客供应一些敏感
  信息好比一些使用程序的暗码等。把持面板>体系属性>初级>启动和妨碍恢复把写进调试信息改成无。
  封闭华大夫Dr.Watson
  在入手下手-运转中输出“drwtsn32”,大概入手下手-程序-附件-体系工具-体系信息-工具-DrWatson,修改体系
  里的华大夫Dr.Watson,只保存“转储全体线程高低文”选项,不然一旦程序堕落,硬盘会读好久,并占
  用大批空间。假如之前有此情形,请查找user.dmp文件,删除后可节俭几十MB空间。.
  在命令交运行drwtsn32-i能够间接封闭华大夫,一般用户没甚么用途
  8.禁用不用要的服务入手下手-运转-services.msc
  TCP/IPNetBIOSHelper供应TCP/IP服务上的NetBIOS和收集上客户真个NetBIOS称号剖析的撑持而利用户可以共享
  文件、打印和登录到收集
  Server撑持此盘算机经由过程收集的文件、打印、和定名管道共享
  ComputerBrowser保护收集上盘算机的最新列表和供应这个列表
  Taskscheduler同意程序在指准时间运转
  Messenger传输客户端和服务器之间的NETSEND和警报器服务动静
  DistributedFileSystem:局域网办理共享文件,不必要可禁用
  Distributedlinktrackingclient:用于局域网更新毗连信息,不必要可禁用
  Errorreportingservice:克制发送毛病呈报
  MicrosoftSerch:供应疾速的单词搜刮,倡议禁用****不由用挪动*.msc文件后启动体系时会报错。禁用后没影响
  NTLMSecuritysupportprovide:telnet服务和MicrosoftSerch用的,不必要可禁用
  PrintSpooler:假如没有打印机可禁用
  RemoteRegistry:克制远程修正注册表
  RemoteDesktopHelpSessionManager:克制远程帮忙
  Workstation封闭的话远程NET命令列不出用户组
  以上是在WindowsServer2003体系下面默许启动的服务中禁用的,默许禁用的服务如没出格必要的话不要启动。
  看下我开了些甚么服务,人人能够参考设置一下.假如把不应禁用的服务禁了,事务检察器大概会呈现一些报错.
  9.设置IP选择,只开放你所要用到的端口,如许能够避免他人的木马程序毗连,由于任何一个收集程序要和你服务器通讯,都要经由过程端口。检察本机所开的端口是用netstat-na命令,这儿我们开放了801989211433(sqlserver),5631(pcanywhere)和ip6端口,如许设置后,一样平常的后门程序就没法毗连到本机了,注重要从头启动了才无效果
  附经常使用服务的各个端口:
  IIS80
  FTP21启用后必要FTP客户端封闭PSAV才干毗连
  SMTP25
  POP3110
  MSSQL1433
  Mysql3306
  PcAnywhere5631
  Windows远程客户端3389
  10.修正相干注册表,团体感到如许的效果不年夜。没往修正,仅供参考:
  A、避免SYN大水打击
  HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
  新建DWORD值,名为SynAttackProtect,值为2
  新建EnablePMTUDiscoveryREG_DWORD0
  新建NoNameReleaseOnDemandREG_DWORD1
  新建EnableDeadGWDetectREG_DWORD0
  新建KeepAliveTimeREG_DWORD300,000
  新建PerformRouterDiscoveryREG_DWORD0
  新建EnableICMPRedirectsREG_DWORD03.克制呼应ICMP路由公告报文
  HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfacesinterface
  新建DWORD值,名为PerformRouterDiscovery值为0
  B、避免ICMP重定向报文的打击
  HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
  将EnableICMPRedirects值设为0
  C、不撑持IGMP协定
  HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
  新建DWORD值,名为IGMPLevel值为0
  D、克制IPC空毗连:
  cracker能够使用netuse命令创建空毗连,进而进侵,另有netview,nbtstat这些都是基于空毗连的,克制空毗连就行了。
  Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous把这个值改成”1”便可。
  E、变动TTL值
  cracker能够依据ping回的TTL值来大抵判别你的操纵体系,如:
  TTL=107(WINNT);
  TTL=108(win2000);
  TTL=127或128(win9x);
  TTL=240或241(linux);
  TTL=252(solaris);
  TTL=240(Irix);
  实践上你能够本人改的:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters:DefaultTTLREG_DWORD0-0xff(0-255十进制,默许值128)改成一个稀里糊涂的数字如250
  11.把体系Administrator账号更名,我的已改成了中心国民当局。能够把硬盘的别的分区或主要目次设置成仅这个用户能够会见。如许即便进侵者把本人提拔成了超等办理员构成员。也没法会见这些中央。将Administrators组更名为其他,如许即便体系呈现了溢露马脚,但体系盘下的net.exe程序已被转移删除,想到场办理员组基础难以完成。况且Administrators组已被更名,用谁人netlocalgroupadministratorsxxx/add,不晓得办理员组的名字,会提醒指定的当地组不存在。如许即便net命令可用也加不上了。
  最初给你的办理员帐户设定一个十分庞大的暗码.
  设置当地用户帐号,把办理员和宾客帐号从头定名,克制不用用的帐号,最好还要创建一个办理员备用帐号,以防万一(提醒:养成常常看一看当地用户帐号属性的习气,以防后门帐号)
  12.把持面板的设置:
  修正*.cpl(把持面板文件)的权限为只要办理员能够会见
  挪动一切*.msc(办理把持台文件)到你的一个流动目次,并设置这个目次的会见权限(只要办理员能够防问,好比下面11中说的,把这个目次加上只要中心国民当局这个用户能够会见.如许就是他人进进你服务器也没举措操纵,另有就是把net.exe更名大概挪动.搜刮net.exe;net1.exe只给办理员能够会见的权限
  设置arp.exe;attrib.exe;cmd.exe;format.com;ftp.exe;tftp.exe;net.exe;net1.exe;netstat.exe;ping.exe;regedit.exe;regsvr32.exe;telnet.exe;xcopy.exe;at.exe的权限只要办理员权限能够会见(注重net1.exe与net一样感化)搜刮这些文件时注重选择别的初级选项,勾选搜刮埋没的文件和文件夹。
  13.卸载wscript.shell工具(激烈倡议卸载.命令行实行组件.能够经由过程上传cmd.exe到网站目次下或间接挪用服务器上的从而运转相干命令)
  在cmd下运转:regsvr32WSHom.Ocx/u
  卸载FSO工具(不倡议卸载.文件操纵组件.一样平常假造主机服务供应商都开放着,禁用后一些asp程序不克不及一般运转)
  在cmd下运转:regsvr32.exescrrun.dll/u
  禁用Workstation服务,假如不由用,asp网马能够检察体系用户与服务,晓得你的一切用户称号
  14.IIS站点设置:
  1、将IIS目次数据与体系磁盘分隔,保留在公用磁盘空间内。
  2、启用父级路径
  3、在IIS办理器中删除必需以外的任何没有效到的映照(保存asp等需要映照便可)
  4、在IIS中将HTTP404ObjectNotFound堕落页面经由过程URL重定向到一个定制HTM文件
  5、Web站点权限设定(倡议)
  读同意
  写不同意
  剧本源会见不同意
  目次扫瞄倡议封闭
  日记会见倡议封闭
  索引资本倡议封闭
  实行保举选择“仅限于剧本”
  经由以上的设置后,服务器基础上已平安了。注重常更新体系平安补钉,存眷一些最新毛病的伤害,并做响应的防备。好了,假如依照以上Jack讲的对服务器举行设置的话,您的服务器平安级别最少在80分以上,一样平常的ASP马和小黑客就能够拒之门外了,假如还必要进一步深切的做平安设置请接洽站长平安网Jack帮你。
学习python,无论你是打算拿他当主要开发语言,还是当辅助开发语言,你都应该学习他,因为有些时间我们耗不起。
作者: 金色的骷髅    时间: 2015-1-18 09:46
未来的学习之路将是以指数增加的方式增长的。从网管员来说,命令行实际上就是规则,它总是有效的,同时也是灵活的。
作者: 乐观    时间: 2015-1-24 17:41
另外Linux上也有很多的应用软件,安装运行了这些软件后,你就可以在Linux上编辑文档、图?片,玩游戏、上网、播放多媒体文件等。
作者: 小女巫    时间: 2015-2-2 11:50
首先Linux是开源的,这也是最主要的原因,想学windows,Unix,对不起我们没源代码。也正是因为这样,Linux才能够像滚雪球一样越滚越大,发展到现在这种规模。
作者: 柔情似水    时间: 2015-2-7 20:08
熟读Linux系统有关知识,如系统目录树,有关内容可购书阅读或搜索论坛。
作者: 只想知道    时间: 2015-2-23 10:26
一定要学好命令,shell是命令语言,命令解释程序及程序设计语言的统称,shell也负责用户和操作系统之间的沟通。
作者: 透明    时间: 2015-3-7 08:25
工具书对于学习者而言是相当重要的。一本错误观念的工具书却会让新手整个误入歧途。目前国内关于Linux的书籍有很多不过精品的不多。
作者: 不帅    时间: 2015-3-14 19:01
再次,Linux是用C语言编写的,我们有学习C语言的基础,读程序和编写代码方面存在的困难小一点,也是我们能较快掌握的原因之一。?
作者: 兰色精灵    时间: 2015-3-21 15:18
学习Linux应具备的。[书籍+网络资源]




欢迎光临 仓酷云 (http://ckuyun.com/) Powered by Discuz! X3.2