我在電信局做網(wǎng)管,原來管理過三十多臺服務(wù)器�,從多年積累的經(jīng)驗�����,寫出以下詳細的Windows2003服務(wù)系統(tǒng)的安全方案,我應(yīng)用以下方案���,安全運行了二年�����,無黑客有成功入侵的記錄���,也有黑客入侵成功的在案���,但最終還是沒有拿到肉雞的最高管理員身份,只是可以瀏覽跳轉(zhuǎn)到服務(wù)器上所有客戶的網(wǎng)站����。
服務(wù)器安全設(shè)置
>> IIS6.0的安裝
開始菜單—>控制面板—>添加或刪除程序—>添加/刪除Windows組件
應(yīng)用程序 ———ASP.NET(可選)
|——啟用網(wǎng)絡(luò) COM+ 訪問(必選)
|——Internet 信息服務(wù)(IIS)———Internet 信息服務(wù)管理器(必選)
|——公用文件(必選)
|——萬維網(wǎng)服務(wù)———Active Server pages(必選)
|——Internet 數(shù)據(jù)連接器(可選)
|——WebDAV 發(fā)布(可選)
|——萬維網(wǎng)服務(wù)(必選)
|——在服務(wù)器端的包含文件(可選)
>> 在”網(wǎng)絡(luò)連接”里,把不需要的協(xié)議和服務(wù)都刪掉�����,這里只安裝了基本的Internet協(xié)議(TCP/IP)和Microsoft網(wǎng)絡(luò)客戶端��。在高級tcp/ip設(shè)置里--"NetBIOS"設(shè)置"禁用tcp/IP上的NetBIOS(S)"�����。
>>在“本地連接”打開Windows 2003 自帶的防火墻�,可以屏蔽端口,基本達到一個IPSec的功能,只保留有用的端口,比如遠程(3389)和 Web(80),Ftp(21),郵件服務(wù)器(25,110),https(443),SQL(1433)
>> IIS (Internet信息服務(wù)器管理器) 在"主目錄"選項設(shè)置以下
讀 允許
寫 不允許
腳本源訪問 不允許
目錄瀏覽 建議關(guān)閉
記錄訪問 建議關(guān)閉
索引資源 建議關(guān)閉
執(zhí)行權(quán)限 推薦選擇 “純腳本”
>> 建議使用W3C擴充日志文件格式��,每天記錄客戶IP地址��,用戶名��,服務(wù)器端口��,方法,URI字根�,HTTP狀態(tài),用戶代理���,而且每天均要審查日志�。
(最好不要使用缺省的目錄���,建議更換一個記日志的路徑��,同時設(shè)置日志的訪問權(quán)限�����,只允許管理員和system為Full Control)�。
>> 在IIS6.0 -本地計算機 - 屬性- 允許直接編輯配置數(shù)據(jù)庫在IIS中 屬性->主目錄->配置->選項中���。
>> 在網(wǎng)站把”啟用父路徑“前面打上勾
>> 在IIS中的Web服務(wù)擴展中選中Active Server Pages�����,點擊“允許”
>> 優(yōu)化IIS6應(yīng)用程序池
1���、取消“在空閑此段時間后關(guān)閉工作進程(分鐘)”
2�����、勾選“回收工作進程(請求數(shù)目)”
3、取消“快速失敗保護”
>> 解決SERVER 2003不能上傳大附件的問題
在“服務(wù)”里關(guān)閉 iis admin service 服務(wù)�����。
找到 windows\system32\inetsrv\ 下的 metabase.xml 文件���。
找到 ASPMaxRequestEntityAllowed 把它修改為需要的值(可修改為20M即:20480000)
存盤�,然后重啟 iis admin service 服務(wù)�。
>> 解決SERVER 2003無法下載超過4M的附件問題
在“服務(wù)”里關(guān)閉 iis admin service 服務(wù)。
找到 windows\system32\inetsrv\ 下的 metabase.xml 文件�。
找到 AspBufferingLimit 把它修改為需要的值(可修改為20M即:20480000)
存盤,然后重啟 iis admin service 服務(wù)�。
>> 超時問題
解決大附件上傳容易超時失敗的問題
在IIS中調(diào)大一些腳本超時時間,操作方法是: 在IIS的“站點或虛擬目錄”的“主目錄”下點擊“配置”按鈕�,
設(shè)置腳本超時時間為:300秒 (注意:不是Session超時時間)
解決通過WebMail寫信時間較長后,按下發(fā)信按鈕就會回到系統(tǒng)登錄界面的問題
適當增加會話時間(Session)為 60分鐘���。在IIS站點或虛擬目錄屬性的“主目錄”下點擊“配置-->選項”�,
就可以進行設(shè)置了(Windows 2003默認為20分鐘)
>> 修改3389遠程連接端口
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]
"PortNumber"=dword:0000端口號
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]
"PortNumber"=dword:0000端口號
設(shè)置這兩個注冊表的權(quán)限, 添加“IUSR”的完全拒絕 禁止顯示端口號
>> 本地策略--->用戶權(quán)限分配
關(guān)閉系統(tǒng):只有Administrators組����、其它全部刪除�����。
通過終端服務(wù)允許登陸:只加入Administrators,Remote Desktop Users組�,其他全部刪除
>> 在安全設(shè)置里 本地策略-用戶權(quán)利分配�,通過終端服務(wù)拒絕登陸 加入
ASPNET
IUSR_
IWAM_
NETWORK SERVICE
(注意不要添加進user組和administrators組 添加進去以后就沒有辦法遠程登陸了)
>> 在安全設(shè)置里 本地策略-安全選項
網(wǎng)絡(luò)訪問:可匿名訪問的共享;
網(wǎng)絡(luò)訪問:可匿名訪問的命名管道;
網(wǎng)絡(luò)訪問:可遠程訪問的注冊表路徑;
網(wǎng)絡(luò)訪問:可遠程訪問的注冊表路徑和子路徑;
將以上四項全部刪除
>> 不允許 SAM 賬戶的匿名枚舉 更改為"已啟用"
>> 不允許 SAM 賬戶和共享的匿名枚舉 更改為"已啟用" ;
>> 網(wǎng)絡(luò)訪問: 不允許存儲網(wǎng)絡(luò)身份驗證的憑據(jù)或 .NET Passports 更改為"已啟用" ;
>> 網(wǎng)絡(luò)訪問.限制匿名訪問命名管道和共享,更改為"已啟用" ;
將以上四項通通設(shè)為“已啟用”
>> 計算機管理的本地用戶和組
禁用終端服務(wù)(TsInternetUser), SQL服務(wù)(SQLDebugger), SUPPORT_388945a0
>> 禁用不必要的服務(wù)
sc config AeLookupSvc start= AUTO
sc config Alerter start= DISABLED
sc config ALG start= DISABLED
sc config AppMgmt start= DEMAND
sc config aspnet_state start= DEMAND
sc config AudioSrv start= DISABLED
sc config BITS start= DEMAND
sc config Browser start= DEMAND
sc config CiSvc start= DISABLED
sc config ClipSrv start= DISABLED
sc config clr_optimization_v2.0.50727_32 start= DEMAND
sc config COMSysApp start= DEMAND
sc config CryptSvc start= AUTO
sc config DcomLaunch start= AUTO
sc config Dfs start= DEMAND
sc config Dhcp start= AUTO
sc config dmadmin start= DEMAND
sc config dmserver start= AUTO
sc config Dnscache start= AUTO
sc config ERSvc start= DISABLED
sc config Eventlog start= AUTO
sc config EventSystem start= AUTO
sc config helpsvc start= DISABLED
sc config HidServ start= AUTO
sc config HTTPFilter start= DEMAND
sc config IISADMIN start= AUTO
sc config ImapiService start= DISABLED
sc config IsmServ start= DISABLED
sc config kdc start= DISABLED
sc config lanmanworkstation start= DISABLED
sc config LicenseService start= DISABLED
sc config LmHosts start= DISABLED
sc config Messenger start= DISABLED
sc config mnmsrvc start= DISABLED
sc config MSDTC start= AUTO
sc config MSIServer start= DEMAND
sc config MSSEARCH start= AUTO
sc config MSSQLSERVER start= AUTO
sc config MSSQLServerADHelper start= DEMAND
sc config NetDDE start= DISABLED
sc config NetDDEdsdm start= DISABLED
sc config Netlogon start= DEMAND
sc config Netman start= DEMAND
sc config Nla start= DEMAND
sc config NtFrs start= DEMAND
sc config NtLmSsp start= DEMAND
sc config NtmsSvc start= DEMAND
sc config PlugPlay start= AUTO
sc config PolicyAgent start= AUTO
sc config ProtectedStorage start= AUTO
sc config RasAuto start= DEMAND
sc config RasMan start= DEMAND
sc config RDSessMgr start= DEMAND
sc config RemoteAccess start= DISABLED
sc config RemoteRegistry start= DISABLED
sc config RpcLocator start= DEMAND
sc config RpcSs start= AUTO
sc config RSoPProv start= DEMAND
sc config sacsvr start= DEMAND
sc config SamSs start= AUTO
sc config SCardSvr start= DEMAND
sc config Schedule start= AUTO
sc config seclogon start= AUTO
sc config SENS start= AUTO
sc config SharedAccess start= DISABLED
sc config ShellHWDetection start= AUTO
sc config SMTPSVC start= AUTO
sc config Spooler start= DISABLED
sc config SQLSERVERAGENT start= AUTO
sc config stisvc start= DISABLED
sc config swprv start= DEMAND
sc config SysmonLog start= AUTO
sc config TapiSrv start= DEMAND
sc config TermService start= AUTO
sc config Themes start= DISABLED
sc config TlntSvr start= DISABLED
sc config TrkSvr start= DISABLED
sc config TrkWks start= AUTO
sc config Tssdis start= DISABLED
sc config UMWdf start= DEMAND
sc config UPS start= DEMAND
sc config vds start= DEMAND
sc config VSS start= DEMAND
sc config W32Time start= AUTO
sc config W3SVC start= AUTO
sc config WebClient start= DISABLED
sc config WinHttpAutoProxySvc start= DEMAND
sc config winmgmt start= AUTO
sc config WmdmPmSN start= DEMAND
sc config Wmi start= DEMAND
sc config WmiApSrv start= DEMAND
sc config wuauserv start= DISABLED
sc config WZCSVC start= DISABLED
sc config xmlprov start= DEMAND
出處:藍色理想
責任編輯:bluehearts
上一頁 下一頁 windows 2003系統(tǒng)安全權(quán)限方案 [2]
◎進入論壇計算機技術(shù)版塊參加討論
|
第 1 頁 windows 2003系統(tǒng)安全權(quán)限方案 [1]
第 2 頁 
