您當前位置:新疆巴州庫爾勒景天互聯官方網站 >> 景天信息 >> 服務器配置 >> 瀏覽文章

服務器安全配置教程

2012/4/27 1:47:16 互聯網 佚名 【字體:

在這里我們以2003服務器為例.

設置步驟分為兩部分,系統安全設置和針對Oblog程序的安全設置兩部分.在這里我們只談最最必要和最需要特別

注意的部分.一般的設置都可以在網上搜索的到.在這里就不再一一贅述.

服務器安全設置

 

1.系統盤和站點放置盤必須設置為NTFS格式,方便設置權限.

2.系統盤和站點放置盤除administrators 和system的用戶(組)權限全部去除.

 

3.啟用windows自帶防火墻,只保留有用的端口,比如遠程和Web,Ftp(3389,80,21)等等,有郵件服務器的還要打開25和130端口.

 

 

 

 

4.安裝好SQL后進入目錄搜索 xplog70 然后將找到的三個文件改名或者刪除.

 

 

5.更改sa密碼為你都不知道的超長密碼,在任何情況下都不要用sa這個帳戶.

 

 

6.改名系統默認帳戶名并新建一個Administrator帳戶作為陷阱帳戶,設置超長密碼,并去掉所有用戶組.(就是在用戶組那里設置為空即可.讓這個帳號不屬于任何用戶組)同樣改名禁用掉Guest用戶.

 

 

7.配置帳戶鎖定策略(在運行中輸入gpedit.msc回車,打開組策略編輯器,選擇計算機配置-Windows設置-安全設置-賬戶策略-賬戶鎖定策略,將賬戶設為“三次登陸無效”,“鎖定時間30分鐘”,“復位鎖定計數設為30分鐘”。)

 

 

(8.9兩項win2000中無)

8.在安全設置里本地策略-安全選項   將

網絡訪問:可匿名訪問的共享 ;

網絡訪問:可匿名訪問的命名管道 ;

網絡訪問:可遠程訪問的注冊表路徑 ;

網絡訪問:可遠程訪問的注冊表路徑和子路徑 ;

以上四項清空.

 

 

 

9.在安全設置里本地策略-安全選項 通過終端服務拒絕登陸 加入

ASPNET

Guest

IUSR_*****

IWAM_*****

NETWORK SERVICE

SQLDebugger

(****表示你的機器名,具體查找可以點擊 添加用戶或組 選 高級 選立即查找 在底下列出的用戶列表里選擇. 注意不要添加進user組和administrators組 添加進去以后就沒有辦法遠程登陸了.)

 

 

10.去掉默認共享,將以下文件存為reg后綴,然后執行導入即可.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]

"AutoShareServer"=dword:00000000

"AutoSharewks"=dword:00000000

 

 

 

11. 禁用不需要的和危險的服務,以下列出服務都需要禁用.

Alerter 發送管理警報和通知

Computer Browser:維護網絡計算機更新

Distributed File System: 局域網管理共享文件

Distributed link tracking client   用于局域網更新連接信息

Error reporting service   發送錯誤報告(win2000中無)

Remote Procedure Call (RPC) Locator   RpcNs*遠程過程調用 (RPC)

Remote Registry 遠程修改注冊表

Removable storage 管理可移動媒體、驅動程序和庫

Remote Desktop Help Session Manager 遠程協助(win2000中無)

Routing and Remote Access 在局域網以及廣域網環境中為企業提供路由服務

Messenger 消息文件傳輸服務

Net Logon   域控制器通道管理

NT LM Security support provide telnet服務和Microsoft Serch用的(改為手動)

PrintSpooler 打印服務

telnet   telnet服務

Workstation   泄漏系統用戶名列表

12.更改本地安全策略的審核策略

賬戶管理      成功 失敗

登錄事件      成功 失敗

對象訪問      失敗

策略更改      成功 失敗

特權使用      失敗

系統事件      成功 失敗

目錄服務訪問 失敗

賬戶登錄事件 成功 失敗

 

13.更改有可能會被提權利用的文件運行權限,找到以下文件,將其安全設置里除administrators用戶組全部刪除,重要的是連system也不要留.

net.exe

net1.exe

cmd.exe

tftp.exe

netstat.exe

regedit.exe

at.exe

attrib.exe

cacls.exe

format.com

c.exe 特殊文件 有可能在你的計算機上找不到此文件.

在搜索框里輸入

"net.exe","net1.exe","cmd.exe","tftp.exe","netstat.exe","regedit.exe","at.exe","attrib.exe","cacls.exe","format.com","c.exe" 點擊搜索 然后全選 右鍵 屬性 安全

以上這點是最最重要的一點了,也是最最方便減少被提權和被破壞的可能的防御方法了.

 

 

14.后備工作,將當前服務器的進程抓圖或記錄下來,將其保存,方便以后對照查看是否有不明的程序。將當前開放的端口抓圖或記錄下來,保存,方便以后對照查看是否開放了不明的端口。當然如果你能分辨每一個進程,和端口這一步可以省略。

以上是設置安全服務器必要的步驟.下面我們來說說數據庫安裝.

1.在企業管理器內建立一個空的數據庫名為oblog4,打開查詢分析器,將data目錄的oblog4.sql導入查詢分析器.找到oblog4數據庫執行.

2.將初始數據庫oblog4.mdb導入我們剛剛建立好的數據庫.

好了數據庫裝好了,下面我們來說說IIS的安全設置.

1.      在計算機管理中設定一個新的用戶組 iis guest 這個用戶組來將我們的站點使用的匿名用戶歸類.方便管理.

2.      新建一個用戶已 U_開頭 以后站點的匿名用戶就都是以U_開頭方便識別和管理 當然你可以自己設定,只要方便識別即可.然后去掉其所歸屬的user用戶組添加入 iis guest用戶組.比如新建的站點是www.oblog.cn 那么我我們就新建一個

U_oblog.cn用戶,然后將它除去user組的隸屬關系,然后將其加入iis guest組.(這一段我們可以看視頻教程演示.)

3.      在發布盤上新建一個文件夾作為網站目錄.再這里我們新建E:\wwwroot為我們的站點文件夾

4.      將從官方下載的oblog4.rar解壓到此文件夾下.

5.      設置iis發布此站點.站點的主機頭設為您的域名.如果您購買了二級域名組件的話,請添加一個空的主機頭進去.

 

 

6.      設置iis匿名用戶訪問權限為剛剛我們新建的U_oblog.cn用戶.

 

 

7.      設置發布目錄文件夾權限所有為U_oblog.cn用戶讀取運行權限.

 

 

8.      設置 目錄U(用戶日志生成靜態目錄),目錄 Uploadfiles(上傳目錄) skin下的skin.mdb 根目錄下的 index.html 等目錄或文件權限為可以修改.

 

 

9.      在iis上設置Uploadfiles文件夾為不可執行腳本.

 

 

10.   修改conn.asp和config.asp文件.適應我們的設置.

11.   訪問您設定的網址 安裝完成.


上一篇:沒有了

相關閱讀:

  • Copyright © 2009-2012 景天科技 專注于巴州網站建設 版權所有 新ICP備10002048號
  • 上海11选5走势