服务器安全管理技术贴——第一波

lastnoble

前些天，论坛遭到一些小事情，导致部分刀友账号丢失，并且被外人利用发牛皮癣帖子。根据自己的一些经验和一个哥们的帮助，分享一下服务器安全管理方法，当然部分内容来源于网上，我加入了一些经验，初衷是希望论坛正常运转，避免刀友登录不了的麻烦。献给坛子里技术管理员，献给感兴趣的刀友。如果有想和我交流，米兰有我的联系方式，电话QQ都有，另我的ID:lastnoble,意思为“最后的贵族”大家都不知道怎么称呼我，囧。。。。。
1.设置win2k的屏幕保护,用pcanywhere的时候,有时候下线时忘记锁定计算机了，如果别人破解了你的pcanywhere密码，就直接可以进入你计算机，如果设置了屏保，当你几分钟不用后就自动锁定计算机，这样就防止了用pcanyhwerer直接进入你计算机的可能，也是防止内部人员破坏服务器的一个屏障

2.关闭光盘和磁盘的自动播放功能，在组策略里面设.这样可以防止入侵者编辑恶意的autorun.inf让你以管理员的身份运行他的木马，来达到提升权限的目的。可以用net share 查看默认共享。最好还是禁用server服务。
附删除默认共享的命令：
net share c$ /del
net share d$ /del
net share e$ /del
net share f$ /del
net share ipc$ /del
net share admin$ /del

3.关闭不需要的端口和服务，在网络连接里，把不需要的协议和服务都删掉，这里只安装了基本的Internet协议（TCP/IP），由于要控制带宽流量服务，额外安装了Qos数据包计划程序。在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS 。

修改3389远程连接端口(也可以用工具修改更方便)
修改注册表.  
开始--运行--regedit  
依次展开 HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/  
TERMINAL SERVER/WDS/RDPWD/TDS/TCP  
右边键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 1989 )  

HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/  
WINSTATIONS/RDP-TCP/  
右边键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 1989 )  
注意：别忘了在WINDOWS2003自带的防火墙给+上10000端口
修改完毕.重新启动服务器.设置生效.

4.禁用Guest账号  
在计算机管理的用户里面把Guest账号禁用。为了保险起见，最好给Guest加一个复杂的密码。你可以打开记事本，在里面输入一串包含特殊字符、数字、字母的长字符串，然后把它作为Guest用户的密码拷进去。

如果设置密码时提示：工作站服务没有启动    先去本地安全策略里把密码策略里启动密码复杂性给禁用和最低6位密码后就可以修改了

5.创建一个陷阱用户  
即创建一个名为“Administrator”的本地用户，把它的权限设置成最低，什么事也干不了的那种，并且加上一个超过10位的超级复杂密码。这样可以让那些 Hacker们忙上一段时间，借此发现它们的入侵企图。

6.本地安全策略设置
　　开始菜单—>管理工具—>本地安全策略
　　A、本地策略——>审核策略  
　　审核策略更改　　　成功　失败　　
　　审核登录事件　　　成功　失败
　　审核对象访问　　　　　　失败
    审核过程跟踪　　　无审核
　　审核目录服务访问　　　　失败
　　审核特权使用　　　　　　失败
　　审核系统事件　　　成功　失败
　　审核账户登录事件　成功　失败
　　审核账户管理　　　成功　失败

　　B、本地策略——>用户权限分配
　　关闭系统：只有Administrators组、其它全部删除。  
　　通过终端服务允许登陆：只加入Administrators,Remote Desktop Users组，其他全部删除
    运行 gpedit.msc 计算机配置 > 管理模板 > 系统 显示“关闭事件跟踪程序” 更改为已禁用
    用户管理，建立另一个备用管理员账号，防止特殊情况发生。安装有终端服务与SQL服务的服务器停用TsInternetUser, SQLDebugger这两    个账号



　　C、本地策略——>安全选项
　　交互式登陆：不显示上次的用户名　　　　　　　启用
　　网络访问：不允许SAM帐户和共享的匿名枚举　   启用
　　网络访问：不允许为网络身份验证储存凭证　　　启用
　　网络访问：可匿名访问的共享　　　　　　　　　全部删除
　　网络访问：可匿名访问的命　　　　　　　　　　全部删除
　　网络访问：可远程访问的注册表路径　　　　　　全部删除  
　　网络访问：可远程访问的注册表路径和子路径　　全部删除  
　　帐户：重命名来宾帐户　　　　　　　　　　　　重命名一个帐户  
　　帐户：重命名系统管理员帐户　　　　　　　　　重命名一个帐户


7.禁止dump file的产生

dump文件在系统崩溃和蓝屏的时候是一份很有用的查找问题的资料。然而，它也能够给黑客提供一些敏感信息比如一些应用程序的密码等。控制面板>系统属性>高级>启动和故障恢复把 写入调试信息 改成无。关闭华医生Dr.Watson

在开始-运行中输入“drwtsn32”，或者开始-程序-附件-系统工具-系统信息-工具-Dr Watson，调出系统里的华医生Dr.Watson ，只保留“转储全部线程上下文”选项，否则一旦程序出错，硬盘会读很久，并占用大量空间。如果以前有此情况，请查找user.dmp文件，删除后可节省几十MB空间。在命令行运行drwtsn32 -i 可以直接关闭华医生,普通用户没什么用处。

AC米兰

感谢，感谢。复杂技术的管理员最近忙。所以一直没和你联系。

trojanc1

数据库，后台，服务器账户，应设置密码策略啊。。还有数据库名前可以加%d%d...，让他下载都下载不了。。。