《服务器安全设置培训》由会员分享,可在线阅读,更多相关《服务器安全设置培训(20页珍藏版)》请在金锄头文库上搜索。
1、技术部网络安全培训,一、系统管理员账户最好少建,更改默认的管理员帐户名(Administrator)和描述,密码最好采用数字加大小写字母加数字的上档键组合,长度最好不少于14位。二、新建一个名为Administrator的陷阱帐号,为其设置最小的权限,然后随便输入组合的最好不低于20位的密码。三、将Guest账户禁用并更改名称和描述,然后输入一个复杂的密码。四、在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略,将账户设为“三次登陆无效”,“锁定时阈值0分钟”,“复位锁定计数设为30分钟”。五、在安全设置-本地策略-安全
2、选项中将“不显示上次的用户名”设为启用;六、 创建一个User账户,运行系统,如果要运行特权命令使用Runas命令。,一、设置和管理账户,二、网络服务安全管理,一、禁止C$、D$、ADMIN$一类的缺省共享(打开注册表,HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/lanmanserver/parameters,在右边的窗口中新建Dword值,名称设为AutoShareServer值设为0)二、 解除NetBios与TCP/IP协议的绑定(右击网上邻居-属性-右击本地连接-属性-双击Internet协议-高级-Wins-禁用TCP/I
3、P上的NETBIOS)三、关闭不需要的服务,以下为建议选项Computer Browser:维护网络计算机更新,禁用Distributed File System: 局域网管理共享文件,不需要禁用Distributed linktracking client:用于局域网更新连接信息,不需要禁用Error reporting service:禁止发送错误报告Microsoft Serch:提供快速的单词搜索,不需要可禁用NTLMSecuritysupportprovide:telnet服务和Microsoft Serch用的,不需要禁用PrintSpooler:如果没有打印机可禁用Remote
4、Registry:禁止远程修改注册表Remote Desktop Help Session Manager:禁止远程协助Server:支持此计算机通过网络的文件、打印、和命名管道共享。,三、其它安全相关设置,一 、隐藏重要文件/目录可以修改注册表实现完全隐藏:“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrent-VersionExplorerAdvancedFolderHiddenSHOWALL”,鼠标右击“CheckedValue”,选择修改,把数值由1改为0二、启动系统自带的Internet连接防火墙,在设置服务选项中勾选Web服务器。三、防
5、止SYN洪水攻击 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 新建DWORD值,名为SynAttackProtect,值为2,四、 禁止响应ICMP路由通告报文HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfacesinterface 新建DWORD值,名为PerformRouterDiscovery 值为0五、防止ICMP重定向报文的攻击HKEY_LOCAL_MACHINESYSTEMCurrentControlSe
6、tServicesTcpipParameters 将EnableICMPRedirects 值设为0六、不支持IGMP协议 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 新建DWORD值,名为IGMPLevel 值为0,四、配置 IIS 服务,1、不使用默认的Web站点,如果使用也要将 将IIS目录与系统磁盘分开。2、删除IIS默认创建的Inetpub目录(在安装系统的盘上)。3、删除系统盘下的虚拟目录,如:_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp
7、、MSADC。4、删除不必要的IIS扩展名映射。右键单击“默认Web站点属性主目录配置”,打开应用程序窗口,去掉不必要的应用程序映射。主要为.shtml, .shtm, .stm5、更改IIS日志的路径 右键单击“默认Web站点属性-网站-在启用日志记录下点击属性6、如果使用的是2000可以使用iislockdown来保护IIS,在2003运行的IE6.0的版本不需要。,五、配置SQL服务器,一、SQL Server 2000的安全配置二、SQL 服务安全设置三、SQL Server 2005 安全设置教程,六、使用IPSec,一、管理工具本地安全策略右击IP安全策略管理IP筛选器表和筛选器操
8、作在管理IP筛选器表选项下点击 添加名称设为Web筛选器点击添加在描述中输入Web服务器将源地址设为任何IP地址将目标地址设为我的IP地址协议类型设为TcpIP协议端口第一项设为从任意端口,第二项到此端口80点击完成点击确定。二、再在管理IP筛选器表选项下点击添加名称设为所有入站筛选器点击添加在描述中输入所有入站筛选将源地址设为任何IP地址将目标地址设为我的IP地址协议类型设为任意点击下一步完成点击确定。 三、在管理筛选器操作选项下点击添加下一步名称中输入阻止下一步选择阻止下一步完成关闭管理IP筛选器表和筛选器操作窗口,七、更改远程桌面端口,注册表键值一:HKEY_LOCAL_MACHINES
9、ystemCurrentControlSetControlTerminal ServerWdsRepwdTdsTcp中PortNumber键值0xd3d,这个是16进制中 的3389,切换为10进制后更改为你想要的端口。注册表键值二:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminalServerWinStations的子健PortNumber 按第一种方式更改。,八、修改系统日志保存地址,一、概述:应用程序日志、安全日志、系统日志、DNS日志默认位置:%systemroot%system32config,默认文件大小512KB,管理
10、员都会改变这个默认大小。二、日志路径安全日志文件:%systemroot%system32configSecEvent.EVT 系统日志文件:%systemroot%system32configSysEvent.EVT 应用程序日志文件:%systemroot%system32configAppEvent.EVT Internet信息服务FTP日志默认位置:%systemroot%system32logfilesmsftpsvc1,默认每天一个日志Internet信息服务WWW日志默认位置:%systemroot%system32logfilesw3svc1,默认每天一个日志 Schedule
11、r(任务计划)服务日志默认位置:%systemroot%schedlgu.txt,三、应用程序日志,安全日志,系统日志,DNS服务器日志,它们这些LOG文件在注册表中的: HKEY_LOCAL_MACHINESystemCurrentControlSetServicesEventlog 四、Schedluler(任务计划)服务日志在注册表中 HKEY_LOCAL_MACHINESOFTWAREMicrosoftSchedulingAgent,九、本地安全策略,一、封TCP端口:21(FTP,换FTP端口);23(TELNET);53(DNS);135;136;137;138;139;443;4
12、45;1028;1433;3389;封TCP端口:1080,3128,6588,8080(以上为代理端口)25(SMTP),161(SNMP),67(引导)封UDP端口:1434(SQL)封所有ICMP,即封PING以上是最常被扫的端口,有别的同样也封,当然因为80是做WEB用的,十、密码策略,一、启用“密码必须符合复杂性要求“,“密码长度最小值“为6个字符,“强制密码历史“为5次,“密码最长存留期“为30天.二、在账户锁定策略中设置:“复位账户锁定计数器“为30分钟之后,“账户锁定时间“为30分钟,“账户锁定值“为30分钟.,十一、网络服务安全管理,一、关闭不需要的服务只留必需的服务,多一些
13、服务可能会给系统带来更多的安全因素。二、关闭不用的端口只开放服务需要的端口与协议。 具体方法为:按顺序打开“网上邻居属性本地连接属性Internet 协议属性高级选项TCP/IP筛选属性”,添加需要的TCP、UDP端口以及IP协议即可。根据服务开设口,常用的TCP口有:80口用于Web服务;21用于FTP服务;25口用于SMTP;23口用于Telnet服务;110口用于POP3。常用的UDP端口有:53口DNS域名解析服务;161口snmp简单的网络管理协议。8000、4000用于OICQ,服务器用8000来接收信息,客户端用4000发送信息。,十二、网络服务安全配置,1、修改默认端口。终端服
14、务的默认端口为3389,可考虑修改为别的端口。2、安全配置Internet 服务管理器。对IIS服务安全配置如下:(1)停止默认的Web服务,建立新的Web服务,将其主目录设为其他(非inetpub)目录,最好不和主系统点用一个分区。如果使用系统默认的Web服务,那么通过较简单的攻击,就可以黑掉服务器。(2) 删除原默认安装的Inetpub目录(在安装系统的盘上)。(3) 删除系统盘下的虚拟目录,如:_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。 3、不要设置Frontpage服务器扩展服务,如果开设,那么就可以远程在Fr
15、ontpage下打开您的主页文件进行修改。4、删除不必要的IIS扩展名映射。方法是:右键单击“默认Web站点属性主目录配置”,打开应用程序窗口,去掉不必要的应用程序映射。如不用到其他映射,只保留.asp、.asa两映射即可。,十三、Serv-U设置,一、概述:Serv-u是windows系统下比较常用的ftp服务端软件,功能强大,但是历史版本存在多个安全漏洞,并且默认安装已经默认的权限设置存在严重的安全问题,以下为serv-u安全加固方法。二、serv-u用户保存为注册表的设置方式1创建用户(创建一个名为Ftp_aiya的用户,设置一个随机密码,密码的长度最好不要少于20位,为避免出错,可打开
16、记事本随机输入)。2、设置用户的身份(将Ftp_aiya的users组删除,不要加到任何组)。3、设置该用户本地安全策略(在本地安全策略-本地策略-用户权限分配-拒绝本地登录-添加Ftp_aiya用户即可)4、设置磁盘权限(假设Serv-U安装在如下目录中D:hostingsystemServ-U;并把Serv-U的服务运行者修改为Ftp_aiya,设置方法:运行services.msc,找到serv-u服务,右键属性-修改启动默认权限。),5、目录权限设置如下D:hostingsystemserv-U Administrators 完全控制 Ftp_aiya 列出文件夹目录 读取Serv-U目录下的文件权限 该目录下所有.dll文件和.exe文件 Administrators 完全控制 System 完全控制 Ftp_aiya 读取和运行 读取,
