找回密码注册

QQ登录

只需一步,快速开始

 
 
 
 
查看: 767|回复: 2

服务器安全管理技术贴——第一波

[复制链接]
  • TA的每日心情
    开心
    2020-7-28 11:30
  • 签到天数: 914 天

    [LV.10]以坛为家III

    发表于 2013-4-13 16:04 | 显示全部楼层 |阅读模式
    前些天,论坛遭到一些小事情,导致部分刀友账号丢失,并且被外人利用发牛皮癣帖子。根据自己的一些经验和一个哥们的帮助,分享一下服务器安全管理方法,当然部分内容来源于网上,我加入了一些经验,初衷是希望论坛正常运转,避免刀友登录不了的麻烦。献给坛子里技术管理员,献给感兴趣的刀友。如果有想和我交流,米兰有我的联系方式,电话QQ都有,另我的ID:lastnoble,意思为“最后的贵族”大家都不知道怎么称呼我,囧。。。。。
    1.设置win2k的屏幕保护,用pcanywhere的时候,有时候下线时忘记锁定计算机了,如果别人破解了你的pcanywhere密码,就直接可以进入你计算机,如果设置了屏保,当你几分钟不用后就自动锁定计算机,这样就防止了用pcanyhwerer直接进入你计算机的可能,也是防止内部人员破坏服务器的一个屏障

    2.关闭光盘和磁盘的自动播放功能,在组策略里面设.这样可以防止入侵者编辑恶意的autorun.inf让你以管理员的身份运行他的木马,来达到提升权限的目的。可以用net share 查看默认共享。最好还是禁用server服务。
    附删除默认共享的命令:
    net share c$ /del
    net share d$ /del
    net share e$ /del
    net share f$ /del
    net share ipc$ /del
    net share admin$ /del

    3.关闭不需要的端口和服务,在网络连接里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP),由于要控制带宽流量服务,额外安装了Qos数据包计划程序。在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS 。

    修改3389远程连接端口(也可以用工具修改更方便)
    修改注册表.  
    开始--运行--regedit  
    依次展开 HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/  
    TERMINAL SERVER/WDS/RDPWD/TDS/TCP  
    右边键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 1989 )  

    HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/  
    WINSTATIONS/RDP-TCP/  
    右边键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 1989 )  
    注意:别忘了在WINDOWS2003自带的防火墙给+上10000端口
    修改完毕.重新启动服务器.设置生效.

    4.禁用Guest账号  
    在计算机管理的用户里面把Guest账号禁用。为了保险起见,最好给Guest加一个复杂的密码。你可以打开记事本,在里面输入一串包含特殊字符、数字、字母的长字符串,然后把它作为Guest用户的密码拷进去。

    如果设置密码时提示:工作站服务没有启动    先去本地安全策略里把密码策略里启动密码复杂性给禁用和最低6位密码后就可以修改了

    5.创建一个陷阱用户  
    即创建一个名为“Administrator”的本地用户,把它的权限设置成最低,什么事也干不了的那种,并且加上一个超过10位的超级复杂密码。这样可以让那些 Hacker们忙上一段时间,借此发现它们的入侵企图。

    6.本地安全策略设置
      开始菜单—>管理工具—>本地安全策略
      A、本地策略——>审核策略  
      审核策略更改   成功 失败  
      审核登录事件   成功 失败
      审核对象访问      失败
        审核过程跟踪   无审核
      审核目录服务访问    失败
      审核特权使用      失败
      审核系统事件   成功 失败
      审核账户登录事件 成功 失败
      审核账户管理   成功 失败

      B、本地策略——>用户权限分配
      关闭系统:只有Administrators组、其它全部删除。  
      通过终端服务允许登陆:只加入Administrators,Remote Desktop Users组,其他全部删除
        运行 gpedit.msc 计算机配置 > 管理模板 > 系统 显示“关闭事件跟踪程序” 更改为已禁用
        用户管理,建立另一个备用管理员账号,防止特殊情况发生。安装有终端服务与SQL服务的服务器停用TsInternetUser, SQLDebugger这两    个账号



      C、本地策略——>安全选项
      交互式登陆:不显示上次的用户名       启用
      网络访问:不允许SAM帐户和共享的匿名枚举    启用
      网络访问:不允许为网络身份验证储存凭证   启用
      网络访问:可匿名访问的共享         全部删除
      网络访问:可匿名访问的命          全部删除
      网络访问:可远程访问的注册表路径      全部删除  
      网络访问:可远程访问的注册表路径和子路径  全部删除  
      帐户:重命名来宾帐户            重命名一个帐户  
      帐户:重命名系统管理员帐户         重命名一个帐户


    7.禁止dump file的产生

    dump文件在系统崩溃和蓝屏的时候是一份很有用的查找问题的资料。然而,它也能够给黑客提供一些敏感信息比如一些应用程序的密码等。控制面板>系统属性>高级>启动和故障恢复把 写入调试信息 改成无。关闭华医生Dr.Watson

    在开始-运行中输入“drwtsn32”,或者开始-程序-附件-系统工具-系统信息-工具-Dr Watson,调出系统里的华医生Dr.Watson ,只保留“转储全部线程上下文”选项,否则一旦程序出错,硬盘会读很久,并占用大量空间。如果以前有此情况,请查找user.dmp文件,删除后可节省几十MB空间。在命令行运行drwtsn32 -i 可以直接关闭华医生,普通用户没什么用处。

    该用户从未签到

    发表于 2013-4-13 20:35 | 显示全部楼层
    感谢,感谢。复杂技术的管理员最近忙。所以一直没和你联系。
  • TA的每日心情
    开心
    2017-1-9 18:00
  • 签到天数: 270 天

    [LV.8]以坛为家I

    发表于 2013-4-14 00:22 | 显示全部楼层
    本帖最后由 trojanc1 于 2013-4-14 00:37 编辑

    数据库,后台,服务器账户,应设置密码策略啊。。还有数据库名前可以加%d%d...,让他下载都下载不了。。。
    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

       
    快速回复 返回顶部 返回列表