|
 | 作者: lilefang [lilefang]
 论坛用户 |
登录 |
| 新装2000服务器简单的安全维护与优化 现在你的2000服务器已经装好了``SERVER或者ADVSERVER的`都可以新做好的系统很脆弱,我们还要提供很多服务比如IIS。FTP等等 .所以漏洞就会很多,装补丁?呵呵``这个不是我要说的重点,因为微软的补丁很多,大家也应该知道了如果还不知道的那我就帮大家列几个出来: ★补丁名称★:<W2Ksp3.exe> 大家不应该会陌生,就是人们长说的Windows 2000 Service Pack 3(SP3)提供了Windows 2000操作系统家族的最新更新。这些更新包括以下部分的内容:应用程序兼容性、操作系统 可靠性、安全性及安装过程。如果您的爱鸡还没有装过这个补丁,那您的爱鸡已经可以吃了``(鲜美的肉鸡) 下载地址:http://www.binzhong.com/rjxz/soft/tools/W2Ksp3.exe <雪注>:打好此补丁后,可以设置自动更新服务为启动,并定期或自动(推荐)安装自动下载的补丁程序,当然这只适合长期连接网络的机器,但既然是服务器,一般是可以达到这一点的. ★补丁名称★:<Q815021_W2K_sp4_x86_CN.EXE> 这个也许大家比较陌生,但是存在这样漏洞的机器还真不少,也是一个比较新的漏洞Microsoft Windows 2000 ntdll.dll WebDAV接口远程缓冲区溢出漏洞 ,Microsoft IIS 5.0带有WebDaV组件对用户输入的传递给ntdll.dll程序处理的请求未做充分的边界检查,远程入侵者可以通过向WebDaV提交一个精心构造的超长的数据请求而导致发生缓冲区溢出,这可能使入侵者以LocalSystem的权限在主机上执行任意指令。 益出工具我觉得还是webdavx3.exe比较好用(呵呵我们今天谈怎么防御,就不说这个工具拉:) 下载地址http://www.ccert.edu.cn/pub/patch/MS/Win2k_Cn/Q815021_W2K_sp4_x86_CN.EXE ★补丁名称★:〈ie6setup.exe〉 如果您觉得您的IE已经是6.0了 `感觉安全还不错 `那希望再加上这个补丁`:)Microsoft Internet Explorer 6 Service Pack 1] 下载地址http://www.microsoft.com/windows/ie/downloads/critical/ie6sp1/download.asp ★补丁名称★:<Q323875_SQL2000_SP2_en.EXE> 这个大家应该很熟悉了``就是前一段时间最猖獗的〈蠕虫王〉2003年1月25日,互联网遭遇到全球性的病毒攻击。这个病毒名叫Win32.SQLExp.Worm,病毒体极其短小,却具有极强的传播性,它利用Microsoft SQL Server的漏洞进行传播,由于Microsoft SQL Server在世界范围内都很普及,因此此次病毒攻击导致全球范围内的互联网瘫痪,在中国80%以上网民受此次全球性病毒袭击影响而不能上网,很多企业的服务器被此病毒感染引起网络瘫痪。而美国、泰国、日本、韩国、马来西亚、菲律宾和印度等国家的互联网也受到严重影响。这是继红色代码、尼姆达,求职信病毒后又一起极速病毒传播案例。所以“蠕虫王”蠕虫的出现,应该成为一个传奇…… <雪注>:本补丁只在系统安装有SQL SERVER 2000时才需要安装. 下载地址:官方:http://duba.net/download/othertools/Q323875_SQL2000_SP2_en.EXE 金山:http://www.duba.net/download/othertools/chs_sql2ksp3.exe 简单的补丁我们已经装过了,现在就来看看安全怎么设置,先打开管理工具找到 ★internet服务管理器★(我最喜欢的)先从它来开刀:) 打开后`我们会发现以计算机名称命名的总目录,展开后会有默认的WEB站点和FTP站点 先在总目录点右键--属性 (我的计算机叫wufeng所以就叫wufeng的属性)好,看wufeng属性--WWW服务--后面的编辑在WEB站点导航条下点W3C扩充日志文件格式后面的属性(先设置好日志是很关键的),在为文件命名回卷使用本地时间上打勾,点浏览然后把日志文件换个地方保存``:)然后点扩充的属性,设置日志文件的属性,把服务名,和服务器名都打上勾,(系统默认这两个是不做记录的) 好``现在回到WWW主属性的主目录导航栏,在执行许可后点配置(因为我的机器个人使用,所以不需要它支持那么多的映射,所以建议把不用的映射都删除,我自己只保留了ASP,您可根据服务器需要添加和删除)这样可以避免很多不必要的CGI漏洞,应用--确定--继承覆盖--全选 <雪注>:此处请按自己的需要修改,有些程序需要特殊文件名支持,请谨慎删除. 现在回到wufeng 的主目录下`点默认WEB站点(来删除所有的虚拟目录,自己需要自己创建,因为默认的很不安全) 然后看看默认WEB站点的属性--如果你是固定的IP`或LAN内的IIS服务器,请设置好IP地址,还是到主目录下,选择你的WEB目录地址(和你刚才配置的日志文件在一起)应用--确定,默认的WEB暂时设置完毕(呵呵``是不是有点头大呢?不要着急,只要一步步跟着来,会很好明白的) <雪注>:一般情况下,请严格限制WEB服务所可以访问的IP地址,即绑定在特定的IP上,如无在多个地址段访问的要求,不要绑定在全部地址上.默认WEB的主目录不应该和系统盘在同一逻辑分区,如不觉得编程麻烦,请在网页中全部使用绝对路径,并在WEB站点设置中禁止使用父路径,这样可有效的防止UNICODE漏洞. 来看★FTP站点★--属性--在安全帐号选项卡下把允许匿名连接的勾取消(安全第一,除有特殊需要)这样别人访问你的FTP时,就必须需要一个密码,再看主目录,选择路径,然后把写入的权限取消。然后确定 退出internet服务管理器,IIS已经简单的设置完毕了。 <雪注>:写入权限的取消要看你的目的,建议设置一个独立的虚拟目录,并赋予可写权限,作为用户上传的文件存储区域,该虚拟目录所对应的物理目录应和FTP的主目录在不同分区. ★好,继续来看管理工具中非常重要的服务,现在我们需要停止禁用一些有风险的服务,★ 第一,windows remote mangan 停止--禁用 第二,telnet 停止,禁用,允许远程用户登录到系统并且使用命令行运行控制台程序。这个我不想多说了 `呵呵``开这个服务真没啥用 第三,TCP/IP NetBIOS Helper Service 停止--禁用 允许对“TCP/IP 上 NetBIOS (NetBT)”服务以及 NetBIOS 名称解析的支持。如果不做内部网络的话,这个服务是有风险的。 <雪注>:如计算机在内部网络上,并有计算机需要用网上邻居访问或处理数据,该服务不能停止. 第四,Task Scheduler 停止--禁用 允许程序在指定时间运行。我们平时给肉鸡用的最普遍的命令AT也就是根据这个服务运行的 第五,Remote Registry Service 停止--禁用 允许远程注册表操作。????我们真的需要这个服务吗?呵呵`` <雪注>:此服务禁止后,一些安装程序在安装时将不能改写注册表,有可能会导致安装失败,因此在安装软件之前,请记得打开该服务哦. 第六,Print Spooler 停止--禁用 将文件加载到内存中以便迟后打印。 第七,Messenger 停止--禁用 发送和接收系统管理员或者“警报器”服务传递的消息。 网页的广告我们已经很讨厌了,这个我们一定要封杀 <雪注>:此服务禁止后,所有的系统警告消息也不能在屏幕上显示了,请注意. 呵呵```也差不多了 ``累啊 `~~服务我们先搞到这里````继续下面的操作 ★本地安全策略★ 安全设置下的帐户策略--密码策略-看右边的密码必须符复杂的安全性--点右键,来起用这个安全性密码长度最小值(我设置为8个字符,个人定拉~~~) <雪注>:一般7个字符就可以了,并且在前7个字符中应至少有一个特殊字符. 密码最短存留期(我设置为5天) <雪注>:此参数的意义是,当密码成功修改后,5天内不能再次修改口令. 来到安全设置下的帐户锁定策略--复位帐户锁定计数器(5分钟之后)帐户锁定时间(30分钟)帐户锁定阈(yu)值(5次无效登陆) <雪注>:此参数的意义是,当在5分钟内有5次登录失败就将将帐户锁定30分钟.注意复位计数器时间的含义是指在指定时间内的瞪录失败次数.并不是一定要连续的5次失败,请注意,尤其是当你把复位计数器的时间设置的过长时,要考虑到可能的用户误操作. 到本地策略下的--审核策略--审核策略更改(成功和失败都要勾上,安全日志要越仔细越好)审核登陆事件(成功+失败)审核对象访问(成功+失败)审核过程追踪(只跟踪失败的)审核目录服务访问(成功+失败)审核特权使用(成功+失败)审核系统事件(成功+失败)审核帐户登陆事件(只需要查看失败的)审核帐户管理(成功+失败)呵呵 ``够细致了吧~~~~~~一台安全的主机,就是需要多方面的审核``` <雪注>:不必要跟踪如此多的审核,一般只要跟踪登录和策略改变即可,太多的审核会产生太多的日志,这不仅要注意设置日志的存储时间和处理,还要管理员每天查看日志分析日志,光有审核没有分析也是无意义的. 顺便说一下,日志需要按需要定义设置,一般安全日志要设置1000-5000MB大小.其他日志根据需要设置. 用户权利指派--更改系统时间(去掉power users,只保留管理员:)关闭系统也一样 `只允许管理员有这个权利 <雪注>:这样设置后,没有管理员在的时候,就不能关机了,请注意哦. 安全选项下``登陆屏幕不要显示上次登陆的用户名(设置成启用状态,为了安全)对匿名连接的额外限制(本地策略下面选,没有显示匿名权限就无法访问) <雪注>:此处一般不应该设置为此项,而应是:匿名用户不能列举SAM用户,如果设置为此项,很多服务会有启动问题. 在关机时清理虚拟内存页面交换文件(设置为启用状态) 好,现在来看看网上邻居的属性怎么设置 打开本地连接`查看属性,删除不需要的服务,只保留TCP/IP协议--点属性--高级TCP/IP设置--WINS--禁用TCP/IP上的NETBIOS 选项--TCP/IP筛选--属性--启用TCP/IP筛选,把你允许的端口添加进去,其他的一律不允许, <雪注>:做此操作请明确服务所需要协议和类型(注意类型是数字的),否则还是不要做的好,如果可能,用IPEC设置会比较安全可靠. (这要看你这太服务器需要做什么用了) 好了应用--确定`` 我的电脑右键--属性-把用户配置文件中为知用户删除,到高级--性能选项(现在来设置一下虚拟内存),不要把虚拟内存设置到系统分区内 我选择到了F:因为没什么东西,空间大,调用少,一般设置成物理内存的1--2倍为最嘉, 启动和故障恢复--写入调试信息--选无 <雪注:>这里设置根据需要确定,如是MAIL服务器,虚拟内存是物理内存的1-2倍就不够了,通常应是3-5倍,视情况而定.未知的用户配置文件不要随意删除,应确定无用后再处理. ★来看看关键的环境变量★``选ComSpec--编辑系统变量 先在运行内打入CMD``然后在C:\>dir/s cmd.exe找到后我们需要给他改名 copy c:\winnt\system32\cmd.exe @#$df2.exe 然后把COMSPEC的变量值删除,到搜索中搜索原来的CMD.exe把CMD等都删除掉,呵呵这样就没有办法得到shell了吧~`然后再把SYSTEM32下的net1.exe和net.exe,telnet.exe,ftp.exe等等都删除,这样你的系统会更安全, <雪注:>注意NTFS分区有自动修复功能,删除和修改以上文件,需同时修改备份文件. 回到我的电脑下,查看你的硬盘共享,你会发现都是完全共享的,我们需要修改它, 禁止C$、D$一类的缺省共享: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters AutoShareServer、REG_DWORD、0x0 禁止ADMIN$缺省共享 : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters AutoShareWks、REG_DWORD、0x0 <雪注:>以上默认共享的作用是用于远程管理,如果服务器在内部网络中有其他功能,或安装有网络版的防病毒系统的中央控制台或有活动目录存在并设置有组策略,请不要禁止以上共享和NETBIOS服务,否则组策略将无法定期刷新. 限制IPC$缺省共享: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa restrictanonymous REG_DWORD 0x0 缺省 0x1 匿名用户无法列举本机用户列表 0x2 匿名用户无法连接本机IPC$共享 说明:不建议使用2,否则可能会造成你的一些服务无法启动,如SQL Server 资料是偶像给我的``我也一直保存(因为偶像说是最后一次给我了555) 好``从新启动您的计算机,感觉是不是现在很无敌了呢?这样的配置我们连防火墙都不要 呵呵``好了````12点多了```今天先写到这里吧!本人菜的很 `所以写的教程也是给菜鸟看的,高手们就不给您碍眼了````晚安哦` 无风3003.4.20晚凌晨QQ8554217<雪注:>写的不错,不过有 |
| 地主 发表时间: 05/03 13:20 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 黑客进阶 标题: 新装2000服务器简单的安全维护与优化