上一篇
下一篇
服务器简单安全防治
作者:乡下人 日期:2008-05-29
服务器防ARP攻击及安全防范知识
一 设置和管理账户
系统管理员账户最好少建,更改默认的管理员帐户名(Administrator)和描述,密码最好采用数字加大小写字母加数字的上档键组合,长度最好不少于14位。
新建一个名为Administrator的陷阱帐号,为其设置最小的权限(比如GUEST),然后设置组合最好不低于20位的密码。
将Guest账户禁用并更改名称和描述,然后输入一个复杂的密码,然后禁用。
开始-程序-管理工具-本地安全策略,选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略,将账户设为“三次登陆无效”,“锁定时间为30分钟”,“复位锁定计数设为10分钟”。
在安全设置-本地策略-安全选项中将“不显示上次的用户名”设为启用 。
本地策略-安全选项-对匿名连接的额外限制。选择(不允许枚举 SAM 帐号和共享)
二 网络服务安全管理
禁止C$、D$、ADMIN$一类的缺省共享
打开注册表(Regedit)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\
parameters,在右边的窗口中新建Dword值,名称设为AutoShareServer值设为0。注册表不了解。不要随便更改。
解除NetBios与TCP/IP协议的绑定
右击网上邻居-属性-右击本地连接-属性-双击Internet协议-高级-Wins-禁用TCP/IP上的NETBIOS
关闭不需要的服务,以下为建议选项:
开始-所有程序-管理工具-服务
Computer Browser:维护网络计算机更新,禁用
Distributed File System: 局域网管理共享文件,不需要禁用
Distributed linktracking client:用于局域网更新连接信息,不需要禁用
Error reporting service:禁止发送错误报告
Microsoft Serch:提供快速的单词搜索,不需要可禁用
NTLMSecuritysupportprovide:telnet服务和Microsoft Serch用的,不需要禁用
PrintSpooler:如果没有打印机可禁用
Remote Registry:禁止远程修改注册表
Remote Desktop Help Session Manager:禁止远程协助
Messenger:信使服务(windows2000)
Task Scheduler: 允许程序在指定时间运行(不用计划任务就禁用掉)
TCP/IP NetBIOS Helper Service: NetBIOS (NetBT)”服务以及 NetBIOS 名称解析的支持
注:新上架的服务器已经做过其他安全设置只开以下端口,需要开其他端口可以在右击网上邻居-属性-Internet协议(TCP/IP)属性-高级-选项-TCP/IP筛选-属性-TCP端口-添加你想要开的端口。
常用端口列表:
FTP:20、21
mail:25、110
Web:80
Sql Server:1433
Mysql:3306
pcanywhere:5631
远程桌面:3389(3389不要关闭,否则将无法远程连接,建议在注册表中更改此端口,注册表更改项为:HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/WDS/RDPWD/TDS/TCP右边的PortNumber值,HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/WINSTATIONS/RDP-TCP/右边的PortNumber值)
三 系统安全管理
对于系统的NTFS磁盘权限设置,C盘只给administrators和system权限,其他的权限不给,其他的盘也可以这样设置,这里给的system权限也不一定需要给,只是由于某些第三方应用程序是以服务形式启动的,需要加上这个用户,否则造成启动不了。
Windows目录要加上给users的默认权限,否则ASP和ASPX等应用程序就无法运行。
另外在c:/Documents and Settings/这里相当重要,后面的目录里的权限根本不会继承从前的设置,如果仅仅只是设置了C盘给administrators权限,而在All Users/ApplicationData目录下会出现everyone用户有完全控制权限,这样入侵这可以跳转到这个目录,写入脚本或只文件,再结合其他漏洞来提升权限。
Net.exe、Net1.exe、Regsvr32.exe、Cmd.exe、Tftp.exe、Netstat.exe、Regedit.exe、At.exe、Attrib.exe、Cacls.exe这些文件都设置只允许Administrators、System访问,最好在需要使用到时才设置允许访问,其它用户禁止访问。
四 打开相应的审核策略
开始-程序-管理工具-本地安全策略-安全设置-本地策略-审核策略
注:windows2003已经开启部分。windows2000没有开启。可以根据实际情况来设置。
推荐的要审核的项目是:
登录事件 成功 失败
账户登录事件 成功 失败
系统事件 成功 失败
策略更改 成功 失败
对象访问 失败
目录服务访问 失败
特权使用 失败
五 杀毒软件、防火墙和补丁
杀毒软件要定时升级病毒库,保定病毒库的升级才能有效的防止病毒入侵
防火墙建议安装访问控制防火墙和防ARP攻击防火墙两个(ARP防火墙及设置方法请点此申请)
及时定时查看系统是否有出现新的补丁,如发现新的补丁程序一定要及时安装好。
六 把上面的这些事情当成一种习惯,如果你想成为安全面的专家。
一 设置和管理账户
系统管理员账户最好少建,更改默认的管理员帐户名(Administrator)和描述,密码最好采用数字加大小写字母加数字的上档键组合,长度最好不少于14位。
新建一个名为Administrator的陷阱帐号,为其设置最小的权限(比如GUEST),然后设置组合最好不低于20位的密码。
将Guest账户禁用并更改名称和描述,然后输入一个复杂的密码,然后禁用。
开始-程序-管理工具-本地安全策略,选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略,将账户设为“三次登陆无效”,“锁定时间为30分钟”,“复位锁定计数设为10分钟”。
在安全设置-本地策略-安全选项中将“不显示上次的用户名”设为启用 。
本地策略-安全选项-对匿名连接的额外限制。选择(不允许枚举 SAM 帐号和共享)
二 网络服务安全管理
禁止C$、D$、ADMIN$一类的缺省共享
打开注册表(Regedit)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\
parameters,在右边的窗口中新建Dword值,名称设为AutoShareServer值设为0。注册表不了解。不要随便更改。
解除NetBios与TCP/IP协议的绑定
右击网上邻居-属性-右击本地连接-属性-双击Internet协议-高级-Wins-禁用TCP/IP上的NETBIOS
关闭不需要的服务,以下为建议选项:
开始-所有程序-管理工具-服务
Computer Browser:维护网络计算机更新,禁用
Distributed File System: 局域网管理共享文件,不需要禁用
Distributed linktracking client:用于局域网更新连接信息,不需要禁用
Error reporting service:禁止发送错误报告
Microsoft Serch:提供快速的单词搜索,不需要可禁用
NTLMSecuritysupportprovide:telnet服务和Microsoft Serch用的,不需要禁用
PrintSpooler:如果没有打印机可禁用
Remote Registry:禁止远程修改注册表
Remote Desktop Help Session Manager:禁止远程协助
Messenger:信使服务(windows2000)
Task Scheduler: 允许程序在指定时间运行(不用计划任务就禁用掉)
TCP/IP NetBIOS Helper Service: NetBIOS (NetBT)”服务以及 NetBIOS 名称解析的支持
注:新上架的服务器已经做过其他安全设置只开以下端口,需要开其他端口可以在右击网上邻居-属性-Internet协议(TCP/IP)属性-高级-选项-TCP/IP筛选-属性-TCP端口-添加你想要开的端口。
常用端口列表:
FTP:20、21
mail:25、110
Web:80
Sql Server:1433
Mysql:3306
pcanywhere:5631
远程桌面:3389(3389不要关闭,否则将无法远程连接,建议在注册表中更改此端口,注册表更改项为:HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/WDS/RDPWD/TDS/TCP右边的PortNumber值,HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/WINSTATIONS/RDP-TCP/右边的PortNumber值)
三 系统安全管理
对于系统的NTFS磁盘权限设置,C盘只给administrators和system权限,其他的权限不给,其他的盘也可以这样设置,这里给的system权限也不一定需要给,只是由于某些第三方应用程序是以服务形式启动的,需要加上这个用户,否则造成启动不了。
Windows目录要加上给users的默认权限,否则ASP和ASPX等应用程序就无法运行。
另外在c:/Documents and Settings/这里相当重要,后面的目录里的权限根本不会继承从前的设置,如果仅仅只是设置了C盘给administrators权限,而在All Users/ApplicationData目录下会出现everyone用户有完全控制权限,这样入侵这可以跳转到这个目录,写入脚本或只文件,再结合其他漏洞来提升权限。
Net.exe、Net1.exe、Regsvr32.exe、Cmd.exe、Tftp.exe、Netstat.exe、Regedit.exe、At.exe、Attrib.exe、Cacls.exe这些文件都设置只允许Administrators、System访问,最好在需要使用到时才设置允许访问,其它用户禁止访问。
四 打开相应的审核策略
开始-程序-管理工具-本地安全策略-安全设置-本地策略-审核策略
注:windows2003已经开启部分。windows2000没有开启。可以根据实际情况来设置。
推荐的要审核的项目是:
登录事件 成功 失败
账户登录事件 成功 失败
系统事件 成功 失败
策略更改 成功 失败
对象访问 失败
目录服务访问 失败
特权使用 失败
五 杀毒软件、防火墙和补丁
杀毒软件要定时升级病毒库,保定病毒库的升级才能有效的防止病毒入侵
防火墙建议安装访问控制防火墙和防ARP攻击防火墙两个(ARP防火墙及设置方法请点此申请)
及时定时查看系统是否有出现新的补丁,如发现新的补丁程序一定要及时安装好。
六 把上面的这些事情当成一种习惯,如果你想成为安全面的专家。
文章来自: 
引用通告: 
Tags: 评论: 1 | 引用: 0 | 查看次数: -
发表评论
1,账号;2,端口;3,服务;4,权限;5,策略
这样,操作时就不至于盲目。