一、Windows Server2003的安裝
1、安裝系統最少兩需要個分區,分區格式都采用NTFS格式
2、在斷開網絡的情況安裝好2003系統
3、安裝IIS,僅安裝必要的 IIS 元件(禁用不需要的如FTP 和 SMTP 服務)。預設情況下,IIS服務沒有安裝,在添加/删除Win元件中選擇“應用程式伺服器”,然後點選“詳細資訊”,輕按兩下Internet資訊服務(iis),勾選以下選項:
Internet 資訊服務管理器;
公用檔案;
背景智能傳輸服務 (BITS) 伺服器擴充;
網際網路服務。
如果你使用 FrontPage 擴充的 Web 站點再勾選:FrontPage 2002 Server Extensions
4、安裝MSSQL及其它所需要的軟體然後進行Update。
5、使用Microsoft 提供的 MBSA(Microsoft Baseline Security Analyzer) 工具分析計算機的安全配置,并辨別缺少的修補程式和更新。下載下傳位址:見頁末的連結
二、設定和管理賬戶
1、系統管理者賬戶最好少建,更改預設的管理者帳戶名(Administrator)和描述,密碼最好采用數字加大小寫字母加數字的上檔鍵組合,長度最好不少于14位。
2、建立一個名為Administrator的陷阱帳号,為其設定最小的權限,然後随便輸入組合的最好不低于20位的密碼
3、将Guest賬戶禁用并更改名稱和描述,然後輸入一個複雜的密碼,當然現在也有一個DelGuest的工具,也許你也可以利用它來删除Guest賬戶,但我沒有試過。
4、在運作中輸入gpedit.msc回車,打開組政策編輯器,選擇計算機配置-Windows設定-安全設定-賬戶政策-賬戶鎖定政策,将賬戶設為“三次登陸無效”,“鎖定時渖栉?0分鐘”,“複位鎖定計數設為30分鐘”。
5、在安全設定-本地政策-安全選項中将“不顯示上次的使用者名”設為啟用
6、在安全設定-本地政策-使用者權利配置設定中将“從網絡通路此計算機”中隻保留Internet來賓賬戶、啟動IIS程序賬戶。如果你使用了Asp.net還要保留Aspnet賬戶。
7、建立一個User賬戶,運作系統,如果要運作特權指令使用Runas指令。
三、網絡服務安全管理
1、禁止C$、D$、ADMIN$一類的預設共享
打開系統資料庫,HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/lanmanserver/parameters,在右邊的視窗中建立Dword值,名稱設為AutoShareServer值設為0
2、 解除NetBios與TCP/IP協定的綁定
右擊網路上的芳鄰-屬性-右擊本地連接配接-屬性-輕按兩下Internet協定-進階-Wins-禁用TCP/IP上的NETBIOS
3、關閉不需要的服務,以下為建議選項
Computer Browser:維護網絡計算機更新,禁用
Distributed File System: 區域網路管理共享檔案,不需要禁用
Distributed linktracking client:用于區域網路更新連接配接資訊,不需要禁用
Error reporting service:禁止發送錯誤報告
Microsoft Serch:提供快速的單詞搜尋,不需要可禁用
NTLMSecuritysupportprovide:telnet服務和Microsoft Serch用的,不需要禁用
PrintSpooler:如果沒有列印機可禁用
Remote Registry:禁止遠端修改系統資料庫
Remote Desktop Help Session Manager:禁止遠端協助
四、打開相應的稽核政策
在運作中輸入gpedit.msc回車,打開組政策編輯器,選擇計算機配置-Windows設定-安全設定-稽核政策在建立稽核項目時需要注意的是如果稽核的項目太多,生成的事件也就越多,那麼要想發現嚴重的事件也越難當然如果稽核的太少也會影響你發現嚴重的事件,你需要根據情況在這二者之間做出選擇。
推薦的要稽核的項目是:
登入事件 成功 失敗
賬戶登入事件 成功 失敗
系統事件 成功 失敗
政策更改 成功 失敗
對象通路 失敗
目錄服務通路 失敗
特權使用 失敗
五、其它安全相關設定
1、隐藏重要檔案/目錄
可以修改系統資料庫實作完全隐藏:“HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/Current-Version/Explorer/Advanced/Folder/Hi-dden/SHOWALL”,滑鼠右擊“CheckedValue”,選擇修改,把數值由1改為0
2、啟動系統自帶的Internet連接配接防火牆,在設定服務選項中勾選Web伺服器。
3、防止SYN洪水攻擊
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters
建立DWORD值,名為SynAttackProtect,值為2
4. 禁止響應ICMP路由通告封包
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters/Interfaces
建立DWORD值,名為PerformRouterDiscovery 值為0
5. 防止ICMP重定向封包的攻擊
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters
将EnableICMPRedirects 值設為0
6. 不支援IGMP協定
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters
建立DWORD值,名為IGMPLevel 值為0
7、禁用DCOM:
運作中輸入 Dcomcnfg.exe。 回車, 單擊“控制台根節點”下的“元件服務”。 打開“計算機”子檔案夾。
對于本地計算機,請以右鍵單擊“我的電腦”,然後選擇“屬性”。選擇“預設屬性”頁籤。
清除“在這台計算機上啟用分布式 COM”複選框。
注:3-6項内容我采用的是Server2000設定,沒有測試過對2003是否起作用。但有一點可以肯定我用了一段的時間沒有發現其它副面的影響。
六、配置 IIS 服務:
1、不使用預設的Web站點,如果使用也要将 将IIS目錄與系統磁盤分開。
2、删除IIS預設建立的Inetpub目錄(在安裝系統的盤上)。
3、删除系統盤下的虛拟目錄,如:_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。
4、删除不必要的IIS擴充名映射。
右鍵單擊“預設Web站點→屬性→主目錄→配置”,打開應用程式視窗,去掉不必要的應用程式映射。主要為.shtml, .shtm, .stm
5、更改IIS日志的路徑
右鍵單擊“預設Web站點→屬性-網站-在啟用日志記錄下點選屬性
6、如果使用的是2000可以使用iislockdown來保護IIS,在2003運作的IE6.0的版本不需要。
7、使用UrlScan
UrlScan是一個ISAPI篩選器,它對傳入的HTTP資料包進行分析并可以拒絕任何可疑的通信量。目前最新的版本是2.5,如果是2000Server需要先安裝1.0或2.0的版本。下載下傳位址見頁未的連結
如果沒有特殊的要求采用UrlScan預設配置就可以了。
但如果你在伺服器運作ASP.NET程式,并要進行調試你需打開要%WINDIR%/System32/Inetsrv/URLscan
檔案夾中的URLScan.ini 檔案,然後在UserAllowVerbs節添加DEBUG謂詞,注意此節是區分大小寫的。
如果你的網頁是.asp網頁你需要在DenyExtensions删除.asp相關的内容。
如果你的網頁使用了非ASCII代碼,你需要在Option節中将AllowHighBitCharacters的值設為1
在對URLScan.ini 檔案做了更改後,你需要重新開機IIS服務才能生效,快速方法運作中輸入iisreset
如果你在配置後出現什麼問題,你可以通過添加/删除程式删除UrlScan。
8、利用WIS (Web Injection Scanner)工具對整個網站進行SQL Injection 脆弱性掃描.
下載下傳位址:VB.NET愛好者
七、配置Sql伺服器
1、System Administrators 角色最好不要超過兩個
2、如果是在本機最好将身份驗證配置為Win登陸
3、不要使用Sa賬戶,為其配置一個超級複雜的密碼
4、删除以下的擴充存儲過程格式為:
use master
sp_dropextendedproc '擴充存儲過程名'
xp_cmdshell:是進入作業系統的最佳捷徑,删除
通路系統資料庫的存儲過程,删除
Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvalues
Xp_regread Xp_regwrite Xp_regremovemultistring
OLE自動存儲過程,不需要删除
Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty
Sp_OAMethod Sp_OASetProperty Sp_OAStop
5、隐藏 SQL Server、更改預設的1433端口
右擊執行個體選屬性-正常-網絡配置中選擇TCP/IP協定的屬性,選擇隐藏 SQL Server 執行個體,并改原預設的1433端口。
八、如果隻做伺服器,不進行其它操作,使用IPSec
1、管理工具—本地安全政策—右擊IP安全政策—管理IP篩選器表和篩選器操作—在管理IP篩選器表選項下點選
添加—名稱設為Web篩選器—點選添加—在描述中輸入Web伺服器—将源位址設為任何IP位址——将目标位址設為我的IP位址——協定類型設為Tcp——IP協定端口第一項設為從任意端口,第二項到此端口80——點選完成——點選确定。
2、再在管理IP篩選器表選項下點選
添加—名稱設為所有入站篩選器—點選添加—在描述中輸入所有入站篩選—将源位址設為任何IP位址——将目标位址設為我的IP位址——協定類型設為任意——點選下一步——完成——點選确定。
3、在管理篩選器操作選項下點選添加——下一步——名稱中輸入阻止——下一步——選擇阻止——下一步——完成——關閉管理IP篩選器表和篩選器操作視窗
4、右擊IP安全政策——建立IP安全政策——下一步——名稱輸入資料包篩選器——下一步——取消預設激活響應原則——下一步——完成
5、在打開的新IP安全政策屬性視窗選擇添加——下一步——不指定隧道——下一步——所有網絡連接配接——下一步——在IP篩選器清單中選擇建立的Web篩選器——下一步——在篩選器操作中選擇許可——下一步——完成——在IP篩選器清單中選擇建立的阻止篩選器——下一步——在篩選器操作中選擇阻止——下一步——完成——确定
6、在IP安全政策的右邊視窗中右擊建立的資料包篩選器,點選指派,不需要重新開機,IPSec就可生效.
九、建議
如果你按本文去操作,建議每做一項更改就測試一下伺服器,如果有問題可以馬上撤消更改。而如果更改的項數多,才發現出問題,那就很難判斷問題是出在哪一步上了。
十、運作伺服器記錄目前的程式和開放的端口
1、将目前伺服器的程序抓圖或記錄下來,将其儲存,友善以後對照檢視是否有不明的程式。
2、将目前開放的端口抓圖或記錄下來,儲存,友善以後對照檢視是否開放了不明的端口。當然如果你能分辨每一個程序,和端口這一步可以省略。
防範ASP木馬
防止ASP木馬,主要通過修改三個元件來達到防asp木馬攻擊.
FileSystemObject元件---對檔案進行正常操作.
WScript.Shell元件---可以調用系統核心運作DOS基本指令.
Shell.Application元件--可以調用系統核心運作DOS基本指令.
一.使用FileSystemObject元件
1.可以通過修改系統資料庫,将此元件改名,來防止此類木馬的危害.
HKEY_CLASSES_ROOT/Scripting.FileSystemObject/
改名為其它的名字,如:改為FileSystemObject_good
自己以後調用的時候使用這個就可以正常調用此元件了.
2.也要将clsid值也改一下
HKEY_CLASSES_ROOT/Scripting.FileSystemObject/CLSID/項目的值
可以将其删除,來防止此類木馬的危害.
3.登出此元件指令:RegSrv32 /u C:/WINNT/SYSTEM/scrrun.dll
如果想恢複的話隻需要去掉 /U 即可重新再注冊以上相關ASP元件
4.禁止Guest使用者使用scrrun.dll來防止調用此元件指令:
cacls C:/WINNT/system32/scrrun.dll /e /d guests
二.使用WScript.Shell元件
1.可以通過修改系統資料庫,将此元件改名,來防止此類木馬的危害.
HKEY_CLASSES_ROOT/WScript.Shell/
及
HKEY_CLASSES_ROOT/WScript.Shell.1/
改名為其它的名字,如:改為WScript.Shell_ChangeName或WScript.Shell.1_ChangeName
自己以後調用的時候使用這個就可以正常調用此元件了
2.也要将clsid值也改一下
HKEY_CLASSES_ROOT/WScript.Shell/CLSID/項目的值
HKEY_CLASSES_ROOT/WScript.Shell.1/CLSID/項目的值
也可以将其删除,來防止此類木馬的危害。
三.使用Shell.Application元件
1.可以通過修改系統資料庫,将此元件改名,來防止此類木馬的危害。
HKEY_CLASSES_ROOT/Shell.Application/
及
HKEY_CLASSES_ROOT/Shell.Application.1/
改名為其它的名字,如:改為Shell.Application_ChangeName或Shell.Application.1_ChangeName
自己以後調用的時候使用這個就可以正常調用此元件了
2.也要将clsid值也改一下
HKEY_CLASSES_ROOT/Shell.Application/CLSID/項目的值
HKEY_CLASSES_ROOT/Shell.Application/CLSID/項目的值
也可以将其删除,來防止此類木馬的危害。
3.禁止Guest使用者使用shell32.dll來防止調用此元件指令:
cacls C:/WINNT/system32/shell32.dll /e /d guests
四.調用cmd.exe
禁用Guests組使用者調用cmd.exe指令:
cacls C:/WINNT/system32/Cmd.exe /e /d guests
五.其它危險元件處理:
Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
按正常一般來說是不會做到以上這些元件的。直接删除掉.如果有部分網頁ASP程式利用了上面的元件的話呢,隻需在将寫ASP代碼的時候用我們更改後的元件名稱即可正常使用。當然如果你确信你的ASP程式中沒有用到以上元件,還是直接删除心中踏實一些.
快速删除方法:
開始------->運作--------->Regedit,打開系統資料庫編輯器,按Ctrl+F查找,依次輸入以上Wscript.Shell等元件名稱以及相應的ClassID,然後進行删除或者更改名稱.
防範資料庫下載下傳
方法一:修改資料庫檔案名和路徑.
注意:同時要修改conn.asp的相應路徑.
缺點: 如果有列網站目錄權限,還可以找到資料庫路徑,然後下載下傳下來研究的.
方法二:資料庫名字尾改為ASA、ASP等
注意:也要在conn.asp中修改相應的資料庫名.
方法三:資料庫名前加“#”
注意:需要把資料庫檔案前名加上#、然後修改資料庫連接配接檔案(如conn.asp)中的資料庫地.
缺點:如果知道了資料庫的絕對位址,可以把# 改成%23 還是可以下載下傳下來研究的.
當然以上三種方法綜合起來安全性相對更高一些.
方法四:資料庫放在WEB目錄外
操作:假如你的web目錄是D:/web ,可以把資料庫放到D:/data這個文
件夾裡,然後在D:/web 裡的資料庫連接配接頁面中修改資料庫連接配接位址為:"../data/資料庫名" 的形式.這樣資料庫可以正常調用,但資料庫無法下載下傳.因為它不在WEB目錄裡
缺點:适合有伺服器控制權的使用者,不适合購買虛拟空間的使用者.
方法五:添加資料庫名的如MDB的擴充映射防下載下傳(推薦)
實作方法:
我們在IIS屬性---主目錄---配置---映射---應用程式擴充那裡添加.mdb檔案的應用解析。注意這裡的選擇的DLL(或EXE等)也不是任意的,選擇不當,MDB檔案還是可以被下載下傳的,注意不要選擇asp.dll等。你可以自己多測試下,然後下載下傳一下試試,一直不能下載下傳mdb為止.
注:至于選擇的解析檔案大家可以自已測試,隻要通路資料庫時出現無法找到該頁就可以了.
優點:
隻要修改一處,整個站點的資料庫都可以防止被下載下傳。不用修改代碼就算暴露目标資料庫位址也可以防止下載下傳。
缺點:這個方法就是通過修改IIS設定來實作,是以要有IIS控制權的朋友才行,不适合購買虛拟主機使用者.
伺服器防黑安全設定
愛國者安全網
www.3800hk.com
專業的黑客安全技術教育訓練基地
多抽出一分鐘時間學習.讓你的生命更加精彩.
動畫教程隻是起到技術交流作用.請大家不用利用此方法對國内的網絡做破壞.
國人應該團結起來一緻對外才是我們的責任.由此動畫造成的任何後果和本站無關.
-------------------------------------------------------------------------
動畫名稱:伺服器防黑安全設定
主題:伺服器防黑安全設定
測試環境:Windows 2003 系統
為了給大家成功示範這個伺服器防黑安全設定教程,是由頂邦互聯公司提供的一台剛裝好系統的新伺服器;
今天是2008年01月16日,在這裡華夏黑客聯盟提前祝願大家2008年新年快樂!
前言:
使用NTFS格式分區
把硬碟的所有分區都改成NTFS格式。NTFS檔案系統要比FAT,FAT32的檔案系統安全得多。這點不必多說,想必大家得伺服器都已經是NTFS的了。
C槽轉換為NTFS格式
@ ECHO OFF
@ ECHO.
@ ECHO. 說 明
@ ECHO ---------------------------------------------------------------
@ ECHO NTFS格式是WinXP推薦使用的格式。轉換為NTFS格式能提高硬碟存儲的
@ ECHO 效率,并可設定通路權限以保護檔案。但NTFS格式的分區在DOS/WIN9X
@ ECHO 下均不能被識别,可能會給初級使用者造成不便。如無必要請不要轉換。
@ ECHO ---------------------------------------------------------------
@ ECHO.
pause
convert c:/fs:ntfs
建立一個記事本
然後複制上面的指令并粘貼到記事本裡去
然後重命名為*.bat即可,運作批處理,重新開機電腦後生效,重新開機後電腦就會變成NTFS格式。
通過以上的批處理,就可以把你的系統轉換成NTFS格式。
這裡我就不多說了
NTFS權限設定,請記住分區的時候把所有的硬碟都分為NTFS檔案系統,然後我們可以确定每個分區對每個使用者開放的權限。【檔案(夾)上右鍵→屬性→安全】在這裡管理NTFS檔案(夾)權限。
關于系統安全,我這裡先給大家講解計算機端口的安全
為了讓你的系統變為銅牆鐵壁,應該封閉這些端口,主要有:TCP 135、139、445、593、1025 端口和 UDP 135、137、138、445 端口,一些流行病毒的後門端口(如 TCP 2745、3127、6129 端口),以及遠端服務通路端口3389。
教程不做語音了,大家認真看我的操作吧
首先要看看你的電腦打開135,139,445的端口沒有,運作--CMD--輸入netstat -an就可以看到。
開始菜單,運作,輸入cmd,然後再輸入netstat -an
這樣可以檢視本機所有開放的端口以後監聽的Ip等資訊。
1、netstat 的一些常用選項
·netstat –s
本選項能夠按照各個協定分别顯示其統計資料。如果我們的應用程式(如Web浏覽器)運作速度比較慢,或者不能顯示Web頁之類的資料,那麼我們就可以用本選項來檢視一下所顯示的資訊。我們需要仔細檢視統計資料的各行,找到出錯的關鍵字,進而确定問題所在。
·netstat –e
本選項用于顯示關于以太網的統計資料。它列出的項目包括傳送的資料報的總位元組數、錯誤數、删除數、資料報的數量和廣播的數量。這些統計資料既有發送的資料報數量,也有接收的資料報數量。這個選項可以用來統計一些基本的網絡流量)。
·netstat –r
本選項可以顯示關于路由表的資訊,類似于後面所講使用route print指令時看到的 資訊。除了顯示有效路由外,還顯示目前有效的連接配接。
·netstat –a
本選項顯示一個所有的有效連接配接資訊清單,包括已建立的連接配接(ESTABLISHED),也包括監聽連接配接請求(LISTENING)的那些連接配接。
·netstat –n
顯示所有已建立的有效連接配接。
135端口的打開方法:啟動“Distributed Transaction Coordinator”服務,運作dcomcnfg,
展開“元件服務”→“計算機”,在“我的電腦”上點右鍵選“屬性”,切換到“預設屬性”,
打勾“啟用分布式COM”;然後切換到“預設協定”,添加“面向連接配接的TCP/IP”。
139端口的打開方法:網路上的芳鄰--屬性--本地連接配接--屬性--Internet協定(TCP/IP)--進階--WINS;
如果你填寫了本地連接配接的IP,你就啟動TCP/IP上的NetBIOS。
如果你沒有填寫本地連接配接的IP,在NETBIOS設定裡面選預設。
445端口的打開方法:開始-運作輸入regedit.确定後定位到
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/NetBT/Parameters
删除“SMBDeviceEnabled”的DWORD值。
下面說一下常見的漏洞的端口如何關閉:
1.關閉139端口:右擊網路上的芳鄰--屬性--右擊本地連接配接--屬性--internet協定/(TCP/IP)--屬性--進階--WINS--禁用TCP/IP上的NETBIOS--确定。
2.右擊-網路上的芳鄰-屬性/本地連接配接-屬性,在microsoft網絡用戶端前的小勾去掉。接着也把microsoft網絡的檔案和列印機共享的小勾也去掉。
3.關閉445端口:打開系統資料庫編輯器,在[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/NetBT/Parameters]下增加一個dword鍵項,命名為"SmbDeviceEnabled"(不包含引号),将值設為0。
重新開機電腦之後,445就關閉了。
4。關閉3389端口:右擊我的電腦,點屬性--遠端,把允許從這台計算機發送遠端協助邀請前的勾去掉。
5。關閉135端口:
如何關閉135端口
Windows XP系統
運作dcomcnfg,展開“元件服務”→“計算機”,在“我的電腦”上點右鍵選“屬性”,切換到“預設屬性”,取消“啟用分布式COM”;然後切換到“預設協定”,删除“面向連接配接的TCP/IP”。
以上選項有對應的系統資料庫鍵值,是以也可通過系統資料庫來修改:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Ole/EnableDCOM的值改為“N”
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Rpc/DCOM Protocols 中删除“ncacn_ip_tcp”
此外,還需要停用“Distributed Transaction Coordinator”服務。
重新開機之後, 135端口就沒有了。
大多數的系統重裝後,都會開放135、445、139等
第一:安裝更新檔
伺服器安裝好作業系統之後,最好能在托管之前就完成更新檔的安裝,系統更新檔打好,雖然不更新漏洞不一定會被别人利用,但更新一下總有好處。
第二:防毒軟體要裝好
不要指望防毒軟體殺掉所有的木馬,因為ASP木馬的特征是可以通過一定手段來避開防毒軟體的清除。
免殺的馬當然可以過防毒軟體,是以說防毒軟體也不是萬能的。
第三:注意你所使用的程式要注意更新
打上網上一些伺服器安全更新檔,關閉一些有害端口,修改一些有用端口,還要裝上一些輔助防毒軟體。這裡我推薦使用幾個工具:
1、關閉一些經常被黑客利用入侵的端口;
2、3389預設端口修改,把遠端桌面改一個不常用的靠後的端口,别人就是掃描也要一段時間;
3、在區域網路中隐藏計算機,還有一些東西你自己看着用;
4、360安全衛士,保護全部打開,還要注意設好arp防火牆,要手動設定網關mac和ip,如果真的有不懂的人,cmd下arp -a,你就可以查到網關。這個東西對arp挂馬有很好好的效果;
現在講講基于Windows的tcp/ip的過濾。
控制台——網絡和撥接上網——本地連接配接——INTERNET協定(tcp/ip)--屬性--進階---選項-tcp/ip篩選--屬性!!
然後添加需要的tcp 和UDP端口就可以了~如果對端口不是很了解的話,不要輕易進行過濾,不然可能會導緻一些程式無法使用。
隻添加80,21,3389
修改之後,重新開機生效。
==伺服器正在重新開機。。。
雖然在指令下檢視到有些端口仍然開放着,但是剛才的設定已經生效了,你不相信的話,可以用掃描工具掃描一下
如果懷疑安全性,不防可以先手動關掉這些危險的端口,前面已經有文字說明了,大家可以按照前面說的做
這裡節約時間就不多說了
權限設定
磁盤權限
系統盤及所有磁盤隻給 Administrators 組和 SYSTEM 的完全控制權限
系統盤/Documents and Settings 目錄隻給 Administrators 組和 SYSTEM 的完全控制權限
系統盤/Documents and Settings/All Users 目錄隻給 Administrators 組和 SYSTEM 的完全控制權限
接着剛才做,剛才我的網絡有問題,不好意思。
系統盤/Inetpub 目錄及下面所有目錄、檔案隻給 Administrators 組和 SYSTEM 的完全控制權限
系統盤/Windows/System32/cacls.exe、cmd.exe、net.exe、net1.exe 檔案隻給 Administrators 組和 SYSTEM 的完全控制權限
禁用不必要的服務
開始菜單—>管理工具—>服務
Print Spooler
Remote Registry
TCP/IP NetBIOS Helper
Server
以上是在Windows Server 2003 系統上面預設啟動的服務中禁用的,預設禁用的服務如沒特别需要的話不要啟動。
改名或解除安裝不安全元件
解除安裝最不安全的元件
最簡單的辦法是直接解除安裝後删除相應的程式檔案。将下面的代碼儲存為一個.BAT檔案
regsvr32/u C:/WINDOWS/System32/wshom.ocx
del C:/WINDOWS/System32/wshom.ocx
regsvr32/u C:/WINDOWS/system32/shell32.dll
del C:/WINDOWS/system32/shell32.dll
然後運作一下,WScript.Shell, Shell.application, WScript.Network就會被解除安裝了。可能會提示無法删除檔案,不用管它,重新開機一下伺服器,你會發現這三個都提示“×安全”了。
防止列出使用者組和系統程序
在一些ASP大馬中利用getobject("WINNT")獲得了系統使用者和系統程序的清單,這個清單可能會被黑客利用,我們應當隐藏起來,方法是:
【開始→程式→管理工具→服務】,找到Workstation,停止它,禁用它。
防止Serv-U權限提升
其實,登出了Shell元件之後,侵入者運作提升工具的可能性就很小了,但是prel等别的腳本語言也有shell能力,為防萬一,還是設定一下為好。
用Ultraedit打開ServUDaemon.exe查找Ascii:LocalAdministrator,和#l@$ak#.lk;[email protected],修改成等長度的其它字元就可以了,ServUAdmin.exe也一樣處理。
另外注意設定Serv-U所在的檔案夾的權限,不要讓IIS匿名使用者有讀取的權限,否則人家下走你修改過的檔案,照樣可以分析出你的管理者名和密碼。
伺服器上不要裝SERV-U之類的FTP軟體,就是裝了,你上傳下載下傳完馬上停掉,我總覺得有的人的伺服器被攻擊與這個有關。我沒用這個SERV-U,用的是在網上下的一個很小的軟體FTP-SERVER,要用要開随便,很友善的。
還要養成一個好習慣,遠端連接配接上伺服器之後先要檢視一下有哪些使用者與你的伺服器連接配接上了,計算機裡是不是添加了一些黑客使用者。
最後講備份,網站的資料庫要經常備份,不能放在伺服器上,放到另一個安全的地方。系統可以裝一個一鍵備份的軟體,你遠端一樣備份還原,備份還原之後伺服器可以自動重新開機,不需要你人工幹預。
注意:把使用者組裡面預設的管理者使用者名修改名稱,可以防止别人入侵提升管理者權限等
網站的備份也要有計劃,但做好這個你要有條件。資料庫出了問題,你馬上轉移一下,基本不會影響網站運作;網站出了問題也馬上可以指到另一台伺服器或空間,其實這個并花不了多少錢,現在空間便宜,效率是低一點,但不會影響搜尋的收錄。
利用ASP漏洞攻擊的常見方法及防範
一般情況下,黑客總是瞄準論壇等程式,因為這些程式都有上傳功能,他們很容易的就可以上傳ASP木馬,即使設定了權限,木馬也可以控制目前站點的所有檔案了。另外,有了木馬就然後用木馬上傳提升工具來獲得更高的權限,我們關閉shell元件的目的很大程度上就是為了防止攻擊者運作提升工具。
如果論壇管理者關閉了上傳功能,則黑客會想辦法獲得超管密碼,比如,如果你用動網論壇并且資料庫忘記了改名,人家就可以直接下載下傳你的資料庫了,然後距離找到論壇管理者密碼就不遠了。
作為管理者,我們首先要檢查我們的ASP程式,做好必要的設定,防止網站被黑客進入。另外就是防止攻擊者使用一個被黑的網站來控制整個伺服器,因為如果你的伺服器上還為朋友開了站點,你可能無法确定你的朋友會把他上傳的論壇做好安全設定。這就用到了前面所說的那一大堆東西,做了那些權限設定和防提升之後,黑客就算是進入了一個站點,也無法破壞這個網站以外的東西。
最好講一下如何通過禁用系統資料庫和指令提示符來保護伺服器安全
關掉這些,即使别人拿到了你網站的webshell,也無法獲得權限。
如果你要用到的時候再打開也行,不需要用的時候最好關掉,或者把這些重要的東西重命名
其實關于系統安全方面的知識有很多,我會打包幾個這方面的知識給大家做參考
如果大家用我這裡的檔案設定伺服器,這樣您的伺服器基本上是安全的了。
如何更改3389端口保護系統安全
衆所周知,遠端終端服務基于端口3389。入侵者一般先掃描主機開放端口,一旦發現其開放了3389端口,就會進行下一步的入侵,是以我們隻需要修改該務預設端口就可以避開大多數入侵者的耳目。
步驟:打開“開始→運作”,輸入“regedit”,打開系統資料庫,進入以下路徑:[HKEY_LOCAL_MACHINE/SYSTEM/
CurrentControlSet/Control/Terminal Server/
Wds/rdpwd/Tds/tcp],看見PortNamber值了嗎?其預設值是3389,修改成所希望的端口即可,例如6111。
再打開[HKEY_LOCAL_MACHINE/
SYSTEM/CurrentContro1Set/Control/Tenninal Server/WinStations/RDP/Tcp],将PortNumber的值(預設是3389)修改成端口6111。
一次web挂馬所作出伺服器的對策
webshell
安全使用FSO主機:
一個簡單的虛拟主機存在各種WEBSHELL的威脅的,假如你給朋友開了個虛拟主機空間,那麼這個虛拟主機存在的最大安全隐患将會是FSO權限問題,其實FSO的安全隐患在Win2K系統裡已經是令網管頭疼的事了,但在Win2003中這個FSO的安全隐患卻依然沒有解決,在沒有經過安全配置的虛拟主機下,隻要黑客給虛拟主機空間上傳一個木馬,黑客就能利用FSO權限浏覽伺服器裡的所有檔案,并能複制、删除伺服器裡的所有檔案,甚至能利用木馬取得伺服器的管理權,可見FSO安全配置的重要性。
如果黑客通過某些手段在你的虛拟主機空間上傳了一個木馬,那麼就等于黑客已經擁有了一個WEBSHELL,黑客可以通過這個WEBSHELL控制整台伺服器裡的資料,
其實你如果要防範這種攻擊,你隻要把asp中的FSO(Scripting.FileSystemObject)功能删除就行了,删除FSO權限方法就是在CMD的指令提示符下輸入以下指令:
Regsvr32 /u c:/windows/system32/scrrun.dll
注意:在實際操作的時候要更改成為你本地系統安裝目錄的實際路徑,但是使用這種方法删除也太絕了一點,如果以後我們想使用FSO權限,那就用不了啦。是以建議不要使用這種方法删除FSO權限,
顯而易見,如果這樣做,那麼包括站點系統管理者在内的任何人都将不可以使用FileSystemObject對象了,這其實并不是站點管理人員想要得到的結果,畢竟我們使用這個對象可以實作友善的線上站台管理,如果連系統管理者都沒法使用了,那可就得不償失了,但是不禁止這個危險的對象又會給自己的站點帶來安全漏洞。那麼有沒有兩全其美的方法呢?有!具體方法如下:
我們可以做到禁止其他人非法使用FileSystemObject對象,但是我們自己仍然可以使用這個對象。
方法如下:
查找系統資料庫中
HKEY_CLASSES_ROOT/Scripting.FileSystemObject 鍵值
将其更改成為你想要的字元串(右鍵-->"重命名"),比如更改成為
HKEY_CLASSES_ROOT/Scripting.FileSystemObjectadmin123
如果你使用通常的方法來調用FileSystemObject對象就會無法使用了。
呵呵,隻要你不告訴别人這個更改過的對象名稱,其他人是無法使用FileSystemObject對象的。這樣,作為站點管理者我們就杜絕了他人非法使用FileSystemObject對象,而我們自己仍然可以使用這個對象來友善的實作網站線上管理等等功能了!
不使用FSO對像就能使用的ASP木馬防範方法:
對于這種免FSO對像就能使用的ASP木馬,由于少了FSO對像的支援,功能上當然不會很強大的了,隻有浏覽伺服器上的檔案目錄,複制、移動檔案、執行指定路徑的程式檔案等功能。這個木馬程的功能随然簡單,但是用它來黑一個網站就是已經足夠的了。
防範免FSO支援的ASP木馬方法如下:
我們隻要在系統資料庫裡查找鍵值shell.application和 wscript.shell 鍵值,然後把這些鍵值删除,就能防止這一類的ASP木馬攻擊了,删除這些鍵值對你的伺服器及ASP支援等不會造成影響的,是以請放心删除
有一些WEBSHELL是調用系統下的CMD.EXE指令運作的。
對于這種webshell我們可以将system32下的cmd.exe進行改名,設個好一點的名字,這樣隻有你自己知道就ok呢。可是你在操作過程中會發現當你改了cmd.exe的名字以後在運作裡打cmd還是能正常運作,再加在到檔案平重新整理一下發現又來了一個cmd.exe,郁悶了吧。告訴你這是windows系統檔案保護的功能了,在系統裡面有個系統檔案的備份目錄dllcache,看不見吧,因為這是受系統保護的。怎麼看到他我想不用我說了,在這裡我提下它的目錄c:/windows/system32/dllcache.把裡面的cmd.exe改下名字,再出來把 c:/windows/system32下cmd.exe改成同樣的名字,看下是不是ok了。