找回密码注册

QQ登录

只需一步,快速开始

 
 
 
 
查看: 679|回复: 2

服务器安全管理技术贴——第一波(续)

[复制链接]
  • TA的每日心情
    开心
    2020-7-28 11:30
  • 签到天数: 914 天

    [LV.10]以坛为家III

    发表于 2013-4-13 16:04 | 显示全部楼层 |阅读模式
    8.禁用不必要的服务 开始-运行-services.msc
        TCP/IPNetBIOS Helper提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持而使用户能够共享
        文件、打印和登录到网络
        Server支持此计算机通过网络的文件、打印、和命名管道共享
      Computer Browser 维护网络上计算机的最新列表以及提供这个列表  
        Task scheduler 允许程序在指定时间运行  
        Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息  
      Distributed File System: 局域网管理共享文件,不需要可禁用  
      Distributed linktracking client:用于局域网更新连接信息,不需要可禁用  
      Error reporting service:禁止发送错误报告  
      Microsoft Serch:提供快速的单词搜索,建议禁用****不禁用移动*.msc文件后启动系统时会报错。禁用后没影响  
      NTLMSecuritysupportprovide:telnet服务和Microsoft Serch用的,不需要可禁用  
      PrintSpooler:如果没有打印机可禁用  
      Remote Registry:禁止远程修改注册表  
      Remote Desktop Help Session Manager:禁止远程协助  
        Workstation   关闭的话远程NET命令列不出用户组(关闭后启动时报错)
      以上是在Windows Server 2003 系统上面默认启动的服务中禁用的,默认禁用的服务如没特别需要的话不要启动。


    9.设置IP筛选,只开放你所要用到的端口,这样可以防止别人的木马程序连接,因为任何一个网络程序要和你服务器通信,都要通过端口。查看本机所开的端口是用netstat -na 命令,这儿我们开放了80 1989 21 1433(sqlserver),5631(pcanywhere)和ip6端口,这样设置后,一般的后门程序就无法连接到本机了,注意要重新启动了才有效果
    附常用服务的各个端口:
    IIS 80
    FTP 21 启用后需要FTP客户端关闭PSAV才能连接
    SMTP 25
    POP3 110
    MS SQL 1433
    Mysql 3306
    PcAnywhere 5631
    Windows远程客户端 3389


    10.修改相关注册表,个人感觉这样的效果不大。没去修改,仅供参考:

    A、防止SYN洪水攻击  
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters  
    新建DWORD值,名为SynAttackProtect,值为2  
    新建EnablePMTUDiscovery REG_DWORD 0  
    新建NoNameReleaseOnDemand REG_DWORD 1  
    新建EnableDeadGWDetect REG_DWORD 0  
    新建KeepAliveTime REG_DWORD 300,000  
    新建PerformRouterDiscovery REG_DWORD 0  
    新建EnableICMPRedirects REG_DWORD 03. 禁止响应ICMP路由通告报文  
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface  
    新建DWORD值,名为PerformRouterDiscovery 值为0  

    B、防止ICMP重定向报文的攻击  
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters  
    将EnableICMPRedirects 值设为0  

    C、不支持IGMP协议  
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters  
    新建DWORD值,名为IGMPLevel 值为0

    D、禁止IPC空连接:
    cracker可以利用net use命令建立空连接,进而入侵,还有net view,nbtstat这些都是基于空连接的,禁止空连接就好了。
    Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 把这个值改成”1”即可。

    E、更改TTL值
    cracker可以根据ping回的TTL值来大致判断你的操作系统,如:  
    TTL=107(WINNT);  
    TTL=108(win2000);  
    TTL=127或128(win9x);  
    TTL=240或241(linux);  
    TTL=252(solaris);  
    TTL=240(Irix);  
    实际上你可以自己改的:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters:DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)改成一个莫名其妙的数字如250


    11.把系统Administrator账号改名,我的已经改成17qupkcom。可以把硬盘的其它分区或重要目录设置成仅这个用户可以访问。这样即使入侵者把自己提升成了超级管理员组成员。也无法访问这些地方。 将Administrators组改名为其他,这样即使系统出现了溢出漏洞,但系统盘下的net.exe程序已被转移删除,想加入管理员组基本难以实现。何况Administrators组已被改名,用那个net localgroup administrators xxx /add,不知道管理员组的名字,会提示指定的本地组不存在。这样即使net命令可用也加不上了。呵呵。
    最后给你的管理员帐户设定一个非常复杂的密码.

    系统分区也可以设置成只有比如17qupkcom这个管理员访问,其它后来加入到Administrators组的超级管理员均无权限访问。让入侵者即使把自己加入到了Administrators组中,也是无权限做任何操作。

    设置本地用户帐号,把管理员和来宾帐号重新命名,禁止不必用的帐号,最好还要建立一个管理员备用帐号,以防万一(提示:养成经常看一看本地用户帐号属性的习惯,以防后门帐号)

    12.控制面板的设置:
    修改*.cpl(控制面板文件)的权限为只有管理员可以访问
    移动所有*.msc(管理控制台文件)到你的一个固定目录,并设置这个目录的访问权限(只有管理员可以防问,比如上面11中说的,把这个目录加上17qupkcom后,删除Administrators)这样就是别人进入你服务器也没办法操作,还有就是把net.exe改名或者移动,这个命令太强大了,移动net.exe一定要先删除c:\windows\system32\dllcache\net.exe

    移动arp.exe;attrib.exe;cmd.exe;format.com;ftp.exe;net.exe;net1.exe;netstat.exe;ping.exe;regedit.exe;regsvr32.exe;telnet.exe;xcopy.exe;at.exe到一个固定的目录或修改权限,设置目录的访问权限(注意net1.exe与net同样作用),并删除c:\windows\system32\dllcache\中对应的文件名。搜索这些文件时注意选择其它高级选项,勾选搜索隐藏的文件和文件夹。


    13.卸载最不安全的组件(建议不卸载。以上的设置好后,这项工作可以不作,删除组件后会导致一些程序运行不正常)
    最简单的办法是直接卸载后删除相应的程序文件。将下面的代码保存为一个.BAT文件
    regsvr32/u C:\WINDOWS\System32\wshom.ocx
    del C:\WINDOWS\System32\wshom.ocx
    regsvr32/u C:\WINDOWS\system32\shell32.dll
    del C:\WINNT\WINDOWS\shell32.dll
    然后运行一下,WScript.Shell, Shell.application, WScript.Network就会被卸载了。可能会提示无法删除文件,不用管它,重启一下服务器

    14.IIS站点设置:
    1、将IIS目录数据与系统磁盘分开,保存在专用磁盘空间内。
    2、启用父级路径
    3、在IIS管理器中删除必须之外的任何没有用到的映射(保留asp等必要映射即可)
    4、在IIS中将HTTP404 Object Not Found出错页面通过URL重定向到一个定制HTM文件
    5、Web站点权限设定(建议)
    读                 允许
    写                 不允许
    脚本源访问        不允许
    目录浏览        建议关闭
    日志访问        建议关闭
    索引资源        建议关闭
    执行             推荐选择 “仅限于脚本”


    经过以上的设置后,服务器基本上已经安全了。注意常更新系统安全补丁,关注一些最新漏洞的危害,并做相应的预防。好了,结束。
  • TA的每日心情
    开心
    2017-1-9 18:00
  • 签到天数: 270 天

    [LV.8]以坛为家I

    发表于 2013-4-14 00:27 | 显示全部楼层

    标题

    本帖最后由 trojanc1 于 2013-4-14 00:31 编辑

    把访问控制设置好。防get cookie post 注入,后台隐蔽。后台账户字表段使用高级算法。这次是因为数据库遭入侵了吧

    该用户从未签到

    发表于 2013-4-14 08:13 | 显示全部楼层
    2# trojanc1 感谢,感谢。我给你留言了。
    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

       
    快速回复 返回顶部 返回列表