来自 新葡亰服务器 2019-11-06 19:36 的文章
当前位置: 澳门新葡亰app > 新葡亰服务器 > 正文

澳门新葡亰appFTP服务使用SYSTEM权限来运行,添加

基于Windows平台下IIS运行的网站总给人一种感觉就是脆弱。早期的IIS确实存在很多问题,不过我个人认为自从Windows Server 2003发布后,IIS6及Windows Server 2003新的安全特性、更加完善的管理功能和系统的稳定性都有很大的增强。

一、系统的安装

在Windows Server 2003下,应用程序的级别低中高级变更为了程序池,这样我们就可以对一个池进行设置对内存和CPU进行保护。在 Windows 2000 Server中,目录权限都是Everyone,很多服务都是以SYSTEM权限来运行的,如Serv-U FTP 这款出色的FTP服务器平台曾经害苦了不少人,它的溢出漏洞可以使入侵者轻松的获取系统完全控制权,如果做到呢?就是因为Serv-U FTP服务使用SYSTEM权限来运行,SYSTEM的权利比Administrator的权利可大的多,注册表SAM项它是可以直接访问和修改的,这样入侵者便利用这一特性轻松在注册表中克隆一个超级管理员账号并获取对系统的完全控制权限。

1、按照Windows2003安装光盘的提示安装,默认情况下2003没有把IIS6.0安装在系统里面。
2、IIS6.0的安装
开始菜单—>控制面板—>添加或删除程序—>添加/删除Windows组件
应用程序 ———ASP.NET(可选)
|——启用网络 COM+ 访问(必选)
|——Internet 信息服务(IIS)———Internet 信息服务管理器(必选)
|——公用文件(必选)
|——万维网服务———Active Server pages(必选)
|——Internet 数据连接器(可选)
|——WebDAV 发布(可选)
|——万维网服务(必选)
|——在服务器端的包含文件(可选)

目标:加固WEB服务器系统,使之提高并完善其稳定性及安全性。

澳门新葡亰官网APP 1
然后点击确定—>下一步安装。

系统环境:Windows Server 2003 Enterprise Edition With Service Pack 1以下简称W2k3SP1),WEB平台为IIS6,FTP平台为Serv-U FTP Server

3、系统补丁的更新(建议使用360或者服务器安全狗进行补丁更新,windows自带的容易出现问题)
点击开始菜单—>所有程序—>Windows Update
按照提示进行补丁的安装。
4、备份系统
用GHOST备份系统(软件下载//www.jb51.net/softs/54.html这个是绿色软件,很方便,如果不能使用可以使用//www.jb51.net/softs/8860.html)。
5、安装常用的软件
例如:杀毒软件mcafee、解压缩软件winrar等;安装之后用GHOST再次备份系统。

装配置操作系统

服务器上更多的实用软件可以到s.jb51.net下载。

安装操作系统,在安装前先要先去调整服务器的BIOS设置,关闭不需要的I/O,这样节省资源又可以避免一些硬件驱动问题。务必断开服务器与网络的连接,在系统没有完成安全配置前不要将它接入网络。在安装过程中如果网卡是PNP类型的,那么应当为其网络属性只配置允许使用TCP/IP协议,并关闭在 TCP/IP上的NETBIOS,为了提供更安全的保证,应该启用TCP/IP筛选,并不开放任何TCP端口。完成操作系统的安装后,首次启动 W2K3SP1,会弹出安全警告界面,主要是让你立刻在线升级系统更新补丁,并配置自动更新功能,这个人性化的功能是W2K3SP1所独有的,在没有关闭这个警告窗口前,系统是一个安全运行的状态,这时我们应当尽快完成系统的在线更新。
修改Administrator和Guest这两个账号的密码使其口令变的复杂,并通过组策略工具为这两个敏感账号更名。修改位置在组策略中Computer Configuration-Windows Settings-Security Setting-Local Policies-Security Options下,这样做可以避免入侵者马上发动对此账号的密码穷举攻击。
服务器通常都是通过远程进行管理的,所以我使用系统自带的组件 “远程桌面”来对系统进行远程管理。之所以选择它,因为它是系统自带的组件缺省安装只需要去启用它就可以使用,支持驱动器映射、剪切板映射等应用,并且只要客户端是WindowsXP PRO都会自带连接组件非常方便,最主要还有一点它是免费的。当然第三方优秀的软件也有如:PCAnyWhere,使用它可以解决Remote Desktop无法在本地环境模式下工作的缺点。为了防止入侵者轻易地发现此服务并使用穷举攻击手段,可以修改远程桌面的监听端口:

二、系统权限的设置

  1. 运行 Regedt32 并转到此项:
    HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp
    注意:上面的注册表项是一个路径;它已换行以便于阅读。
  2. 找到“PortNumber”子项,您会看到值 00000D3D,它是 3389 的十六进制表示形式。使用十六进制数值修改此端口号,并保存新值。
    要更改终端服务器上某个特定连接的端口,请按照下列步骤操作: 运行 Regedt32 并转到此项:
    HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminal ServerWinStationsconnection
    注意:上面的注册表项是一个路径;它已换行以便于阅读。
  3. 找到“PortNumber”子项,您会看到值 00000D3D,它是 3389 的十六进制表示形式。使用十六进制数值修改此端口号,并保存新值。
    注意:由于在终端服务器 4.0 版中尚未完全实现备用端口功能,因此只是“在合理的限度内尽量”提供支持,如果出现任何问题,Microsoft 可能要求您将端口重设为 3389。
    原文来源:微软知识库KB187623。当然为了达到更加安全的访问,还可以采用IPSec来保护远程桌面的连接访问。
    禁用不必要的服务不但可以降低服务器的资源占用减轻负担,而且可以增强安全性。下面列出了可以禁用的服务:
    Application Experience Lookup Service
    Automatic Updates
    BITS
    Computer Browser
    DHCP Client
    Error Reporting Service
    Help and Support
    Network Location Awareness
    Print Spooler
    Remote Registry
    Secondary Logon
    Server
    Smartcard
    TCP/IP NetBIOS Helper
    Workstation
    Windows Audio
    Windows Time
    Wireless Configuration
    打开服务器本地计算机策略gpedit.msc),参考以下选择和修改对服务器进行加固:
    1. 设置帐号锁定阀值为5次无效登录,锁定时间为30分钟;
    2. 从通过网络访问此计算机中删除Everyone组;
    3. 在用户权利指派下,从通过网络访问此计算机中删除Power Users和Backup Operators;
    4. 为交互登录启动消息文本。
    5. 启用 不允许匿名访问SAM帐号和共享;
    6. 启用 不允许为网络验证存储凭据或Passport;
    7. 启用 在下一次密码变更时不存储LANMAN哈希值;
    8. 启用 清除虚拟内存页面文件;
    9. 禁止IIS匿名用户在本地登录;
    10. 启用 交互登录:不显示上次的用户名;
    11. 从文件共享中删除允许匿名登录的DFS$和COMCFG;
    12. 禁用活动桌面。
    强化TCP协议栈:

1、磁盘权限
系统盘及所有磁盘只给 Administrators 组和 SYSTEM 的完全控制权限
系统盘Documents and Settings 目录只给 Administrators 组和 SYSTEM 的完全控制权限
系统盘Documents and SettingsAll Users 目录只给 Administrators 组和 SYSTEM
的完全控制权限
系统盘Inetpub 目录及下面所有目录、文件只给 Administrators 组和 SYSTEM 的完全控制权限
系统盘WindowsSystem32cacls.exe、cmd.exe、net.exe、net1.exe 文件只给
Administrators 组和 SYSTEM 的完全控制权限
2、本地安全策略设置
开始菜单—>管理工具—>本地安全策略
A、本地策略——>审核策略
审核策略更改 成功 失败
审核登录事件 成功 失败
审核对象访问 失败
审核过程跟踪 无审核
审核目录服务访问 失败
审核特权使用 失败
审核系统事件 成功 失败
审核账户登录事件 成功 失败
审核账户管理 成功 失败
B、本地策略——>用户权限分配
关闭系统:只有Administrators组、其它全部删除。
通过终端服务拒绝登陆:加入Guests、User组
通过终端服务允许登陆:只加入Administrators组,其他全部删除
C、本地策略——>安全选项
交互式登陆:不显示上次的用户名 启用
网络访问:不允许SAM帐户和共享的匿名枚举 启用
网络访问:不允许为网络身份验证储存凭证 启用
网络访问:可匿名访问的共享 全部删除
网络访问:可匿名访问的命 全部删除
网络访问:可远程访问的注册表路径 全部删除
网络访问:可远程访问的注册表路径和子路径 全部删除
帐户:重命名来宾帐户 重命名一个帐户
帐户:重命名系统管理员帐户 重命名一个帐户
3、禁用不必要的服务
开始菜单—>管理工具—>服务
Print Spooler
Remote Registry
TCP/IP NetBIOS Helper
Server
以上是在Windows Server 2003 系统上面默认启动的服务中禁用的,默认禁用的服务如没特别需要的话不要启动。
4、启用防火墙
桌面—>网上邻居—>(右键)属性—>本地连接—>(右键)属性—>高级—>(选中)Internet 连接防火墙—>设置
把服务器上面要用到的服务端口选中
例如:一台WEB服务器,要提供WEB(80)、FTP(21)服务及远程桌面管理(3389)
在“FTP 服务器”、“WEB服务器(HTTP)”、“远程桌面”前面打上对号
如果你要提供服务的端口不在里面,你也可以点击“添加”铵钮来添加,具体参数可以参照系统里面原有的参数。
然后点击确定。注意:如果是远程管理这台服务器,请先确定远程管理的端口是否选中或添加。

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters]
"SynAttackProtect"=dword:00000001
"EnablePMTUDiscovery"=dword:00000000
"NoNameReleaseOnDemand"=dword:00000001
"EnableDeadGWDetect"=dword:00000000
"KeepAliveTime"=dword:00300000
"PerformRouterDiscovery"=dword:00000000
"TcpMaxConnectResponseRetransmissions"=dword:00000003
"TcpMaxHalfOpen"=dword:00000100
"TcpMaxHalfOpenRetried"=dword:00000080
"TcpMaxPortsExhausted"=dword:00000005
安装和配置IIS

Win2003 Server的安全性较之Win2K确实有了很大的提高,但是用Win2003
Server作为服务器是否就真的安全了?如何才能打造一个安全的个人Web服务器?下面给大家一些建议:

进入Windows组件安装,找到应用程序服务器,进入详细信息,勾选ASP.NET后,IIS必须的组件就会被自动选择,如果你的服务器需要运行ASP脚本,那么还需要进入Internet信息服务IIS)-万维网服务下勾选Active Server Pages。完成安装后,应当在其他逻辑分区上单独建立一个目录用来存储WEB网站程序及数据。
一台WEB服务器上都运行着多个网站,他们之间可能互不相干,所以为了起到隔离和提高安全性,需要建立一个匿名WEB用户组,为每一个站点创建一个匿名访问账号,将这些匿名账号添加到之前建立的匿名WEB用户组中,并在本地计算机策略中禁止此组有本地登录权限。
最后优化IIS6应用程序池设置:
1. 禁用缺省应用程序池的空闲超时;
2. 禁用缓存ISAPI扩展;
3. 将应用程序池标识从NetworlService改为LocalService;
4. 禁用快速失败保护;
5. 将关机时间限制从90秒改为10秒;
6. 内存回收下最大使用的内存改为300M;
注:应根据当前服务器运营的业务进行评估并对某些网站配置应用程序池,这样可以降低当机率,并且也保证网站的可访问率,同时在出现故障时可以方便的排查。
安装和配置Serv-U FTP Server

一、Windows Server2003的安装
1、安装系统最少两需要个分区,分区格式都采用NTFS格式
2、在断开网络的情况安装好2003系统
3、安装IIS,仅安装必要的 IIS 组件(禁用不需要的如FTP 和 SMTP
服务)。默认情况下,IIS服务没有安装,在添加/删除Win组件中选择“应用程序服务器”,然后点击“详细信息”,双击Internet信息服务(iis),勾选以下选项:
Internet 信息服务管理器;
公用文件;
后台智能传输服务 (BITS) 服务器扩展;
万维网服务。
如果你使用 FrontPage 扩展的 Web 站点再勾选:FrontPage 2002 Server Extensions
4、安装MSSQL及其它所需要的软件然后进行Update。
5、使用Microsoft 提供的 MBSA(Microsoft Baseline Security Analyzer)
工具分析计算机的安全配置,并标识缺少的修补程序和更新。下载地址:见页末的链接

这里之所以要将Serv-U FTP Server作为部署案例,是因为Serv-U使用者之多,操作及管理方便。并且从Serv-U的配置上大家应该能够理解到我开头说提到的服务运行权限。 Serv-U的安装不再复述,很多人在安装后就开始直接使用,自从Serv-U的溢出漏洞出现使我开始重新认识和思考关于服务的运行权限问题,通常 Serv-U是以SYSTEM权限来运行服务的,这样的好处是我们可以轻松的访问系统任何一个角落,包括注册表在Serv-U溢出后,可以直接访问注册表中账号存储设定的关键项SAM),但是后果也是非常可怕的,所以分析了目前的服务器情况,为了方便起见我创建了一个具有管理员身份的账号来运行Serv -U,这样做是为了不需要重复的去设置目录权限,同时解决低级权限所可能造成的兼容性问题。但是为了保证这个账号的安全,需要禁止它具有远程桌面访问权利,禁止有本地登录的权利。
TCP/IP端口筛选 vs IPSec策略

二、设置和管理账户

在确定我们所要开放的服务之后就要去配置端口,是使用TCP/IP筛选 还是 IPSec?其实我很少用到IPSec,因为它是IP安全设置,除了我要禁止一个用户来访问我或配置一个特定的连接访问我几乎不去用IPSec。也去是因为我太懒了,只会记得要开放什么端口。
在我看来,TCP/IP端口筛选和IPSec是相辅相成的,普通的应用我认为还是用端口来的方便,毕竟它可以做到只开放哪些端口,之后针对其中特定的端口用 IPSec作安全加固,这样我倒是认为更好。一些朋友喜欢在事先做好一个IPSec模板,之后将其应用在其他服务器上,这样做我认为真的不对,毕竟每台服务器的应用都不会完全相同,这样做只会造成更多的故障,我就经常遇到这样的问题,一些客户总是抱怨他们的服务器出现莫名其妙的问题,最后通过我的排查分析发现很多问题都是因为同时使用TCP/IP端口筛选和IPSec造成的,而罪魁祸首则是那些好心人发布的IPSec模板,我没有*意诋毁他们这些好心人的意思,而最终是要痛斥那些不作自身评估,技术意识贫乏的服务器管理员们,我曾经就让这些朋友们搞得哭笑不得,并开始厌*我当前的工作。在当前案例中,我开放的端口是:TCP80、TCP25、TCP20、TCP21、TCP3389、TCP4000~4020。开放4000~4020是为了支持Serv- U的PASV模式同时需要在Serv-U中设置这段被动端口范围),当然你也可以用其他端口,没有特殊要求,记得我之前部署的一台服务器开放的就是这个端口范围,一个自称黑客的朋友联系了我所在的公司经理,并在其QQ上友情提示了服务器的这个所谓的端口漏洞,记得好像是这么说的:“你们的服务器不堪一击,在服务器上还开放了QQ和它的端口。”后来好像还提到如果公司愿意付费可以帮助解决安全问题,现在想起来心里都在暗笑,不过我接到警告信息都会非常重视,因为我明白一个道理:没有绝对的安全!!!不过后来服务器确实受到了攻击,不是被入侵而是被那个黑客小小的DDos了一下。这种一种非常有效的攻击方式,提高TCP/IP协议栈,甚至使用软件、硬件防火墙也只是在相对情况下可以抵御它,所以请各位遵守网络公德,不要使用DDos!!!
目录权限的分配

1、系统管理员账户最好少建,更改默认的管理员帐户名(Administrator)和描述,密码最好采用数字加大小写字母加数字的上档键组合,长度最好不少于14位。
2、新建一个名为Administrator的陷阱帐号,为其设置最小的权限,然后随便输入组合的最好不低于20位的密码
3、将Guest账户禁用并更改名称和描述,然后输入一个复杂的密码,当然现在也有一个DelGuest的工具,也许你也可以利用它来删除Guest账户,但我没有试过。
4、在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略,将账户设为“三次登陆无效”,“锁定时间为30分钟”,“复位锁定计数设为30分钟”。
5、在安全设置-本地策略-安全选项中将“不显示上次的用户名”设为启用
6、在安全设置-本地策略-用户权利分配中将“从网络访问此计算机”中只保留Internet来宾账户、启动IIS进程账户。如果你使用了Asp.net还要保留Aspnet账户。
7、创建一个User账户,运行系统,如果要运行特权命令使用Runas命令。

1. 除系统所在分区之外的所有分区都赋予Administrators和SYSTEM有完全控制权,之后再对其下的子目录作单独的目录权限,如果WEB站点目录,你要为其目录权限分配一个与之对应的匿名访问帐号并赋予它有修改权限,如果你想使网站坚固,可以分配只读权限并对特殊的目录作可写权限,作为一个开放式的服务器,这样的工作量是非常巨大的,所以我认为将威胁控制缩小到在这个网站中就已经够了。
2. 系统所在分区下的根目录都要设置为不继承父权限,之后为该分区只赋予Administrators和SYSTEM有完全控制权。
3. 因为服务器只有管理员有本地登录权限,所在要配置Documents and Settings这个目录权限只保留Administrators和SYSTEM有完全控制权,其下的子目录同样。另外别忘记还有一个隐藏目录也需要同样操作。因为如果你安装有PCAnyWhere那么他的的配置信息都保存在其下,使用webshell或FSO可以轻松的调取这个配置文件,那么你的系统就为黑客敞开了大门。
4. 配置Program files目录,为Common Files目录之外的所有目录赋予Administrators和SYSTEM有完全控制权。
5. 配置Windows目录,其实这一块主要是根据自身的情况如果使用默认的安全设置也是可行的,不过还是应该进入SYSTEM32目录下,将 cmd.exe、ftp.exe、net.exe、scrrun.dll、shell.dll这些杀手锏程序赋予匿名帐号拒绝访问。

三、网络服务安全管理

Server 2003发布后,IIS6及...

1、禁止C$、D$、ADMIN$一类的缺省共享
打开注册表,HKEY_LOCAL_MACHINESYSTEM澳门新葡亰官网APP,CurrentControlSetServiceslanmanserverparameters,在右边的窗口中新建Dword值,名称设为AutoShareServer值设为0
2、 解除NetBios与TCP/IP协议的绑定
右击网上邻居-属性-右击本地连接-属性-双击Internet协议-高级-Wins-禁用TCP/IP上的NETBIOS
3、关闭不需要的服务,以下为建议选项
Computer Browser:维护网络计算机更新,禁用
Distributed File System: 局域网管理共享文件,不需要禁用
Distributed linktracking client:用于局域网更新连接信息,不需要禁用
Error reporting service:禁止发送错误报告
Microsoft Serch:提供快速的单词搜索,不需要可禁用
NTLMSecuritysupportprovide:telnet服务和Microsoft Serch用的,不需要禁用
PrintSpooler:如果没有打印机可禁用
Remote Registry:禁止远程修改注册表
Remote Desktop Help Session Manager:禁止远程协助
四、打开相应的审核策略
在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-审核策略在创建审核项目时需要注意的是如果审核的项目太多,生成的事件也就越多,那么要想发现严重的事件也越难当然如果审核的太少也会影响你发现严重的事件,所以你需要根据情况在这二者之间做出选择。
推荐的要审核的项目:
登录事件 成功 失败
账户登录事件 成功 失败
系统事件 成功 失败
策略更改 成功 失败
对象访问 失败
目录服务访问 失败
特权使用 失败

五、其它安全相关设置
1、隐藏重要文件/目录
可以修改注册表实现完全隐藏:“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
Current-VersionExplorerAdvancedFolderHi-ddenSHOWALL”,鼠标右击
“CheckedValue”,选择修改,把数值由1改为0
2、启动系统自带的Internet连接防火墙,在设置服务选项中勾选Web服务器。
3、防止SYN洪水攻击
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
新建DWORD值,名为SynAttackProtect,值为2

  1. 禁止响应ICMP路由通告报文
    HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfacesinterface
    新建DWORD值,名为PerformRouterDiscovery 值为0
  2. 防止ICMP重定向报文的攻击
    HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
    将EnableICMPRedirects 值设为0
  3. 不支持IGMP协议
    HKEY_澳门新葡亰app,LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
    新建DWORD值,名为IGMPLevel 值为0
    7、禁用DCOM:
    运行中输入 Dcomcnfg.exe。 回车, 单击“控制台根节点”下的“组件服务”。 打开“计算机”子文件夹。
    对于本地计算机,请以右键单击“我的电脑”,然后选择“属性”。选择“默认属性”选项卡。
    清除“在这台计算机上启用分布式 COM”复选框。
    注:3-6项内容我采用的是Server2000设置,没有测试过对2003是否起作用。但有一点可以肯定我用了一段的时间没有发现其它副面的影响。
    六、配置 IIS 服务:
    1、不使用默认的Web站点,如果使用也要将 将IIS目录与系统磁盘分开。
    2、删除IIS默认创建的Inetpub目录(在安装系统的盘上)。
    3、删除系统盘下的虚拟目录,如:_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。
    4、删除不必要的IIS扩展名映射。
    右键单击“默认Web站点→属性→主目录→配置”,打开应用程序窗口,去掉不必要的应用程序映射。主要为.shtml, .shtm,
    .stm
    5、更改IIS日志的路径
    右键单击“默认Web站点→属性-网站-在启用日志记录下点击属性
    6、如果使用的是2000可以使用iislockdown来保护IIS,在2003运行的IE6.0的版本不需要。
    7、使用UrlScan
    UrlScan是一个ISAPI筛选器,它对传入的HTTP数据包进行分析并可以拒绝任何可疑的通信量。目前最新的版本是2.5,如果是2000Server需要先安装1.0或2.0的版本。下载地址见页未的链接
    如果没有特殊的要求采用UrlScan默认配置就可以了。
    但如果你在服务器运行ASP.NET程序,并要进行调试你需打开要%WINDIR%System32InetsrvURLscan
    文件夹中的URLScan.ini 文件,然后在UserAllowVerbs节添加debug谓词,注意此节是区分大小写的。
    如果你的网页是.asp网页你需要在DenyExtensions删除.asp相关的内容。
    如果你的网页使用了非ASCII代码,你需要在Option节中将AllowHighBitCharacters的值设为1
    在对URLScan.ini 文件做了更改后,你需要重启IIS服务才能生效,快速方法运行中输入iisreset
    如果你在配置后出现什么问题,你可以通过添加/删除程序删除UrlScan。
    8、利用WIS (Web Injection Scanner)工具对整个网站进行SQL Injection 脆弱性扫描.

七、配置Sql服务器
1、System Administrators 角色最好不要超过两个
2、如果是在本机最好将身份验证配置为Win登陆
3、不要使用Sa账户,为其配置一个超级复杂的密码
4、删除以下的扩展存储过程格式为:
use master
sp_dropextendedproc '扩展存储过程名'
xp_cmdshell:是进入*作系统的最佳捷径,删除
访问注册表的存储过程,删除
Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvalues
Xp_regread Xp_regwrite Xp_regremovemultistring
OLE自动存储过程,不需要删除
Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty
Sp_OAMethod Sp_OASetProperty Sp_OAStop
5、隐藏 SQL Server、更改默认的1433端口
右击实例选属性-常规-网络配置中选择TCP/IP协议的属性,选择隐藏 SQL Server 实例,并改原默认的1433端口。
八、如果只做服务器,不进行其它*作,使用IPSec 1、管理工具—本地安全策略—右击IP安全策略—管理IP筛选器表和筛选器*作—在管理IP筛选器表选项下点击
添加—名称设为Web筛选器—点击添加—在描述中输入Web服务器—将源地址设为任何IP地址——将目标地址设为我的IP地址——协议类型设为Tcp——IP协议端口第一项设为从任意端口,第二项到此端口80——点击完成——点击确定。
2、再在管理IP筛选器表选项下点击
添加—名称设为所有入站筛选器—点击添加—在描述中输入所有入站筛选—将源地址设为任何IP地址——将目标地址设为我的IP地址——协议类型设为任意——点击下一步——完成——点击确定。
3、在管理筛选器*作选项下点击添加——下一步——名称中输入阻止——下一步——选择阻止——下一步——完成——关闭管理IP筛选器表和筛选器*作窗口
4、右击IP安全策略——创建IP安全策略——下一步——名称输入数据包筛选器——下一步——取消默认激活响应原则——下一步——完成
5、在打开的新IP安全策略属性窗口选择添加——下一步——不指定隧道——下一步——所有网络连接——下一步——在IP筛选器列表中选择新建的
Web筛选器——下一步——在筛选器*作中选择许可——下一步——完成——在IP筛选器列表中选择新建的阻止筛选器——下一步——在筛选器*作中选择阻止
——下一步——完成——确定
6、在IP安全策略的右边窗口中右击新建的数据包筛选器,点击指派,不需要重启,IPSec就可生效.
九 严重注意
如果你按这些去*作,建议每做一项更改就测试一下服务器,如果有问题可以马上撤消更改。而如果更改的项数多,才发现出问题,那就很难判断问题是出在哪一步上了。

十、运行服务器记录当前的程序和开放的端口

1、将当前服务器的进程抓图或记录下来,将其保存,方便以后对照查看是否有不明的程序。
2、将当前开放的端口抓图或记录下来,保存,方便以后对照查看是否开放了不明的端口。当然如果你能分辨每一个进程,和端口这一步可以省略。

建议设置

澳门新葡亰官网APP 2

澳门新葡亰官网APP 3

极限测试

在”网络连接”里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP),由于要控制带宽流量服务,额外安装了Qos数据包计划程序。
澳门新葡亰官网APP 4

澳门新葡亰官网APP 5

在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS(S)"。

澳门新葡亰官网APP 6

在2003系统里,不推荐用TCP/IP筛选里的端口过滤功能,譬如在使用FTP服务器的时候,如果仅仅只开放21端口,由于FTP协议的特殊性,在进行FTP传输的时候,由于FTP 特有的Port模式和Passive模式,在进行数据传输的时候,需要动态的打开高端口,所以在使用TCP/IP过滤的情况下,经常会出现连接上后无法列出目录和数据传输的问题。所以在2003系统上增加的windows连接防火墙能很好的解决这个问题,所以都不推荐使用网卡的TCP/IP过滤功能。

澳门新葡亰官网APP 7

在高级选项里,使用”Internet连接防火墙”,这是windows 2003 自带的防火墙,在2000系统里没有的功能,虽然没什么功能,但可以屏蔽端口,这样已经基本达到了一个IPSec的功能。

澳门新葡亰官网APP 8

澳门新葡亰官网APP 9

澳门新葡亰官网APP 10

放开使用到的端口,如果修改了远程桌面的端口,别忘记添加上。如果有邮件服务器的话还要放开SMTP服务器端口25 POP3服务器端口110。对外提供服务的端口都要加上,不然无法访问服务。

澳门新葡亰官网APP 11

澳门新葡亰官网APP 12

澳门新葡亰官网APP 13

澳门新葡亰官网APP 14

修改ICMP设置,建议全部启用,便于网络测试ping等

澳门新葡亰官网APP 15

澳门新葡亰官网APP 16

当然为了安全也防止本机成为肉鸡,有时候需要设置本地不要访问外部的80,22等端口,这里提供一个bat代码,如果需要访问 外部的网站需要把80端口去掉就可以了

@rem 配置windows2003系统的IP安全策略
@rem version 3.0 time:2014-5-12

netsh ipsec static add policy name=drop
netsh ipsec static add filterlist name=drop_port
netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=21 protocol=TCP mirrored=no
netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=22 protocol=TCP mirrored=no
netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=23 protocol=TCP mirrored=no
netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=25 protocol=TCP mirrored=no
netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=53 protocol=TCP mirrored=no
netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=80 protocol=TCP mirrored=no
netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=135 protocol=TCP mirrored=no
netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=139 protocol=TCP mirrored=no
netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=443 protocol=TCP mirrored=no
netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=445 protocol=TCP mirrored=no
netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=1314 protocol=TCP mirrored=no
netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=1433 protocol=TCP mirrored=no
netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=1521 protocol=TCP mirrored=no
netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=2222 protocol=TCP mirrored=no
netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=3306 protocol=TCP mirrored=no
netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=3433 protocol=TCP mirrored=no
netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=3389 protocol=TCP mirrored=no
netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=4899 protocol=TCP mirrored=no
netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=8080 protocol=TCP mirrored=no
netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=18186 protocol=TCP mirrored=no
netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any protocol=UDP mirrored=no
netsh ipsec static add filteraction name=denyact action=block
netsh ipsec static add rule name=kill policy=drop filterlist=drop_port filteraction=denyact
netsh ipsec static set policy name=drop assign=y

权限的设置所有磁盘分区的根目录只给Administrators组和SYSTEM 的完全控制权限,注意系统盘不要替换子目录的权限。windows目录和Program Files目录等一些目录并没有继承父目录权限,这些目录还需要其它一些权限才能运行。 C:Documents and Settings 目录只给 Administrators 组和 SYSTEM 的完全控制权限,并应用到子对象的项目替代所有子对象的权限项目。 系统盘Documents and SettingsAll Users 目录只给 Administrators 组和 SYSTEM 的完全控制权限。这里给的system权限也不一定需要给,只是由于某些第三方应用程序是以服务形式启动的,需要加上这个用户,否则造成启动不了。

澳门新葡亰官网APP 17

澳门新葡亰官网APP 18

澳门新葡亰官网APP 19

c:/Documents and Settings/这里要注意,后面的目录里的权限根本不会继承从前的设置,如果仅仅只是设置了C盘给administrators权限,而在All Users/Application Data目录下会 出现everyone用户有完全控制权限,这样入侵这可以跳转到这个目录,写入脚本或只文件,再结合其他漏洞来提升权限;譬如利用serv-u的本地溢出提升权限,或系统遗漏有补丁,数据库的弱点等等。在用做web/ftp服务器的系统里,建议设置。

澳门新葡亰官网APP 20

Windows目录要加上给users的默认权限,否则ASP和ASPX等应用程序就无法运行。如果修改的话,不要应用到子对象的项目替代所有子对象的权限项目。系统目录权限拿不准的话就不要动了,一般做好根目录和Documents and Settings就比较安全了,asp程序访问不了根目录就访问不了子目录。

澳门新葡亰官网APP 21

另外Documents and Settings目录增加Users用户组的读取运行权限,可以避免出现LoadUserProfile失败,需要注意的是一但有users组读取权限,asp木马就能访问这个目录。为了安全需要接受一些错误日志。(2009年1月13日备注:貌似是没有system完全就出现LoadUserProfile,与users无关。)

澳门新葡亰官网APP 22

系统盘
下 cacls.exe; cmd.exe; net.exe; net1.exe; ftp.exe; tftp.exe; telnet.exe; netstat.exe; regedit.exe; at.exe; attrib.exe; format.com 文件只给 Administrators 组和SYSTEM 的完全控制权限。可查找一下统一设置,或者编辑一份批处理,使用cacls命令处理。

澳门新葡亰官网APP 23

本地策略→审核策略

  审核策略更改   成功 失败  
  审核登录事件   成功 失败
  审核对象访问      失败
  审核过程跟踪   无审核
  审核目录服务访问    失败
  审核特权使用      失败
  审核系统事件   成功 失败
  审核账户登录事件 成功 失败
  审核账户管理   成功 失败

  本地策略→用户权限分配
  关闭系统:只有Administrators组、其它全部删除。
  通过终端服务允许登陆:只加入Administrators,Remote Desktop Users组,其他全部删除

  本地策略→安全选项
  交互式登陆:不显示上次的用户名       启用
  网络访问:不允许SAM帐户和共享的匿名枚举  启用
  网络访问:不允许为网络身份验证储存凭证   启用
  网络访问:可匿名访问的共享         全部删除
  网络访问:可匿名访问的命          全部删除
  网络访问:可远程访问的注册表路径      全部删除
  网络访问:可远程访问的注册表路径和子路径  全部删除
  帐户:重命名来宾帐户            重命名一个帐户
  帐户:重命名系统管理员帐户         重命名一个帐户

**【禁用不必要的服务 开始-运行-services.msc】

**  Computer Browser :维护网络上计算机的最新列表以及提供这个列表
  Distributed File System :局域网管理共享文件,不需要可禁用
  Distributed Link Tracking Client :用于局域网更新连接信息,不需要可禁用
  Error Reporting Service :禁止发送错误报告
  Messenger :传输客户端和服务器之间的 NET SEND 和 警报器服务消息
  Microsoft Serch :提供快速的单词搜索,不需要可禁用
  NT LM Security Support Provider :telnet服务和Microsoft Serch用的,不需要可禁用
  Print Spooler :如果没有打印机可禁用
  Remote Desktop Help Session Manager :禁止远程协助
  Remote Registry:禁止远程修改注册表
  Server :支持此计算机通过网络的文件、打印、和命名管道共享
  Task scheduler :允许程序在指定时间运行
  TCP/IPNetBIOS Helper :提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持而使用户能够共享文
  Workstation :关闭的话远程NET命令列不出用户组
  以上是在Windows Server 2003 系统上面默认启动的服务中禁用的,默认禁用的服务如没特别需要的话不要启动。

【卸载最不安全的组件】
  最简单的办法是直接卸载后删除相应的程序文件。

  将下面的代码保存为一个.BAT文件,( 以下以win2003为例系统文件夹应该是 C:WINDOWS )

复制代码 代码如下:

  regsvr32 /u C:WINDOWSsystem32wshom.ocx
  regsvr32 /u C:windowssystem32wshext.dll
  regsvr32 /u C:WINDOWSsystem32shell32.dll

  如果有可能删除这些组件
  del C:WINDOWSsystem32shell32.dll
  del C:WINDOWSsystem32wshom.ocx
  del C:windowssystem32wshext.dll
  然后运行一下,WScript.Shell, Shell.application, WScript.Network就会被卸载了。
  去

  可能会提示无法删除文件,不用管它,重启一下服务器,你会发现这三个都提示“×安全”了。

  恢复的话,去掉/u就行了FSO(FileSystemObject)是微软ASP的一个对文件操作的控件,该控件可以对服务器进行读取、新建、修改、删除目录以及文件的操作。是ASP编程中非常有用的一个控件。但是因为权限控制的问题,很多虚拟主机服务器的FSO反而成为这台服务器的一个公开的后门,因为客户可以在自己的ASP网页里面直接就对该控件编程,从而控制该服务器甚至删除服务器上的文件。因此不少业界的虚拟主机提供商都干脆关掉了这个控件,让客户少了很多灵活性。我们公司的W2K虚拟主机服务器具有高安全性,可以让客户在自己的网站空间中任意使用却有没有办法危害系统或者妨碍其他客户网站的正常运行。

**FSO的添加

**1、首先在系统盘中查找scrrun.dll,如果存在这个文件,请跳到第三步,如果没有,请执行第二步。
2、在安装文件目录i386中找到scrrun.dl_,用winrar解压缩后scrrun.dll复制到系统盘:windowssystem32目录。
3、运行regsvr32 scrrun.dll即可。

FSO删除
regsvr32 /u scrrun.dll
建议保留

**卸载stream对象

**在cmd下运行:
regsvr32 /s /u "C:Program FilesCommon FilesSystemadomsado15.dll"
恢复的话,去掉/u就行了,建议保留修改远程桌面连接的3389端口为9874,十六进制2692等于十进制9874,根据需要修改成合适的端口。将下面的内容保存为.reg文件,导入注册表即可。(非必需)

复制代码 代码如下:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWdsrdpwdTdstcp]
"PortNumber"=dword:00002692

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp]
"PortNumber"=dword:00002692

**杀毒

**这里介绍MCAFEE 8.5i 中文企业版(s.jb51.net有的下载)
因为这个版本对于国内的许多恶意代码和木马都能够及时的更新.
比如已经能够检测到海阳顶端2006
而且能够杀除IMAIL等SMTP软件使用的队列中MIME编码的病毒文件
而很多人喜欢安装诺顿企业版.而诺顿企业版,对于WEBSHELL.基本都是没有反应的.
而且无法对于MIME编码的文件进行杀毒.
在MCAFEE中.
我们还能够加入规则.阻止在windows目录建立和修改EXE.DLL文件等
我们在软件中加入对WEB目录的杀毒计划.
每天执行一次
并且打开实时监控.
注意:安装一些杀毒软件会影响ASP地执行,是因为禁用了jscript.dll和vbscript.dll组件
在dos方式下运行 regsvr32 jscript.dll, regsvr32 vbscript.dll解除限制即可
比如出现 请求的资源在使用中

regsvr32 %windir%system32jscript.dll
regsvr32 %windir%system32vbscript.dll

关于ip安全策略可以参考这篇文章:

//www.jb51.net/article/23037.htm

//www.jb51.net/article/30832.htm

您可能感兴趣的文章:

  • win2003服务器安全设置教程图文(系统+数据库)
  • win2003 服务器安全设置教程(权限与本地策略)
  • Win2003服务器安装及设置教程 MySQL安全设置图文教程
  • win2003 服务器磁盘权限安全设置批处理
  • win2003 服务器安全设置图文教程
  • 必须要懂的win2003服务器上的asp站点安全设置
  • win2003 服务器 安全设置 技术实例(比较安全的方法)
  • win2003 服务器安全设置教程(权限+防火墙)
  • 又一篇不错的win2003服务器安全设置图文教程
  • win2003服务器安全设置完全版(脚本之家补充)

本文由澳门新葡亰app发布于新葡亰服务器,转载请注明出处:澳门新葡亰appFTP服务使用SYSTEM权限来运行,添加

关键词: