2003服務(wù)器終極安全及問(wèn)題處理方案

二級(jí)目錄給 Administr 完全控制權(quán)限和 Everyon 除了完全控制， 更改， 取得， 其它全部打勾的權(quán)限和 IUSR 只有該文件夾的完全拒絕權(quán)限， 三級(jí)目錄是每個(gè)客戶的虛擬主機(jī)網(wǎng)站， 給 Administr 完全控制權(quán)限和 Everyon 除了完全控制， 更改， 取得， 其它全部打勾的權(quán)限即可 最好在 C 盤(pán)以外 ( 如 D,E,F..... 根目錄建立到三級(jí)目錄 , 一級(jí)目錄只給 Administr 權(quán)限。 .

原來(lái)管理過(guò)三十多臺(tái) 服務(wù)器 從多年積累的經(jīng)驗(yàn)， 寫(xiě)出以下詳細(xì)的 Windows2003 服務(wù)系統(tǒng)的平安方案 , 電信 局做網(wǎng)管。 應(yīng)用以下方案， 平安運(yùn)行了二年， 無(wú)黑客有成功入侵的記錄， 也有黑客入侵勝利的案， 但最終還是沒(méi)有拿到肉雞的最高管理員身份 , 只是可以瀏覽跳轉(zhuǎn)到服務(wù)器上所有客戶的網(wǎng)站。

服務(wù)器平安設(shè)置

>> IIS6.0 裝置

開(kāi)始菜單 — > 控制面板 — > 添加或刪除程序 — > 添加 / 刪除 Windows 組件

應(yīng)用順序 ASP.NET 可選 )

啟用 網(wǎng)絡(luò) COM+ 訪問(wèn) ( 必選 )

Internet 信息服務(wù) ( IIS Internet 信息服務(wù)管理器 ( 必選 )

公用文件 ( 必選 )

萬(wàn)維網(wǎng)服務(wù) — Active Server page 必選 )

Internet 數(shù)據(jù)連接器 ( 可選 )

WebDAV 發(fā)布 ( 可選 )

萬(wàn)維網(wǎng)服務(wù) ( 必選 )

服務(wù)器端的包括文件 ( 可選 )

把不需要的協(xié)議和服務(wù)都刪掉， >> 網(wǎng)絡(luò)連接 ” 里。 這里只安裝了基本的 Internet 協(xié)議 ( TCP/IP 和 Microsoft 網(wǎng)絡(luò)客戶端。 高級(jí) tcp/ip 設(shè)置里 --"NetBIOS" 設(shè)置 " 禁用 tcp/IP 上的 NetBIOS S "

基本達(dá)到一個(gè) IPSec 功能 , >> 外地連接 ” 打開(kāi) Window 2003 自帶的 防火墻 可以屏蔽端口。 只保留有用的端口 , 比如遠(yuǎn)程 ( 3389 和 Web 80 ,Ftp 21 , 郵件服務(wù)器 ( 25,110 ,http 443 ,SQL 1433

>> IIS Internet 信息服務(wù)器管理器 ) " 主目錄 " 選項(xiàng)設(shè)置以下

讀 允許

寫(xiě) 不允許

腳本源訪問(wèn) 不允許

目錄瀏覽 建議關(guān)閉

記錄訪問(wèn) 建議關(guān)閉

索引資源 建議關(guān)閉

執(zhí)行權(quán)限 推薦選擇 純腳本 ”

每天記錄客戶 IP 地址， >> 建議使用 W3C 擴(kuò)充日志文件格式。 用戶名， 服務(wù)器端口， 方法， URI 字根， HTTP 狀態(tài)， 用戶代理， 而且每天均要審查日志。

建議更換一個(gè)記日志的路徑， 最好不要使用缺省的目錄。 同時(shí)設(shè)置日志的訪問(wèn)權(quán)限， 只允許管理員和 system 為 Full Control

>> IIS6.0 - 外地計(jì)算機(jī) - 屬性 - 允許直接編輯配置 數(shù)據(jù)庫(kù) IIS 中 屬性 -> 主目錄 -> 配置 -> 選項(xiàng)中。

>> 網(wǎng)站把 ” 啟用父路徑 “ 前面打上勾

>> IIS 中的 Web 服務(wù)擴(kuò)展中選中 Active Server Page 點(diǎn)擊 “ 允許 ”

>> 優(yōu)化 IIS6 應(yīng)用順序池

1 取消 “ 空閑此段時(shí)間后關(guān)閉工作進(jìn)程 ( 分鐘 )

2 勾選 “ 回收工作進(jìn)程 ( 請(qǐng)求數(shù)目 )

3 取消 “ 快速失敗維護(hù) ”

>> 解決 SERVER 2003 不能上傳大附件的問(wèn)題

服務(wù) ” 里關(guān)閉 ii admin servic 服務(wù)。

找到 windows\system32\inetsrv\ 下的 metabase.xml 文件。

找到 ASPMaxRequestEntityAllow 把它修改為需要的值 ( 可修改為 20M 即： 20480000

然后重啟 ii admin servic 服務(wù)。 存盤(pán)。

>> 解決 SERVER 2003 無(wú)法下載超越 4M 附件問(wèn)題

服務(wù) ” 里關(guān)閉 ii admin servic 服務(wù)。

找到 windows\system32\inetsrv\ 下的 metabase.xml 文件。

找到 AspBufferingLimit 把它修改為需要的值 ( 可修改為 20M 即： 20480000

然后重啟 ii admin servic 服務(wù)。 存盤(pán)。

>> 超時(shí)問(wèn)題

解決大附件上傳容易超時(shí)失敗的問(wèn)題

操作方法是 IIS 站點(diǎn)或虛擬目錄 ” 主目錄 ” 下點(diǎn)擊 “ 配置 ” 按鈕， IIS 中調(diào)大一些腳本超時(shí)時(shí)間。

設(shè)置腳本超時(shí)時(shí)間為： 300 秒 注意：不是 Session 超時(shí)時(shí)間 )

按下發(fā)信按鈕就會(huì)回到系統(tǒng)登錄界面的問(wèn)題 解決通過(guò) WebMail 寫(xiě)信時(shí)間較長(zhǎng)后。

適當(dāng)增加會(huì)話時(shí)間 ( Session 為 60 分鐘。 IIS 站點(diǎn)或虛擬目錄屬性的主目錄 ” 下點(diǎn)擊 “ 配置 --> 選項(xiàng) ”

就可以進(jìn)行設(shè)置了 Window 2003 默認(rèn)為 20 分鐘 )

>> 修改 3389 遠(yuǎn)程連接端口

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Termin Server\Wds\rdpwd\Tds\tcp]

"PortNumber"=dword:0000 端口號(hào)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Termin Server\WinStations\RDP-Tcp]

"PortNumber"=dword:0000 端口號(hào)

添加 “ IUSR 完全拒絕 禁止顯示端口號(hào) 設(shè)置這兩個(gè)注冊(cè)表的權(quán)限 .

>> 外地戰(zhàn)略 ---> 用戶權(quán)限分配

關(guān)閉系統(tǒng)：只有 Administr 組、其它全部刪除。

其他全部刪除 通過(guò)終端服務(wù)允許登陸：只加入 Administrators,Remot Desktop User 組。

通過(guò)終端服務(wù)拒絕登陸 加入 >> 平安設(shè)置里 外地戰(zhàn)略 - 用戶權(quán)利分配。

ASPNET

IUSR_

IWAM_

NETWORK SERVICE

注意不要添加進(jìn) user 組和 administr 組 添加進(jìn)去以后就沒(méi)有方法遠(yuǎn)程登陸了

>> 平安設(shè)置里 外地戰(zhàn)略 - 平安選項(xiàng)

網(wǎng)絡(luò)訪問(wèn) : 可匿名訪問(wèn)的共享 ;

網(wǎng)絡(luò)訪問(wèn) : 可匿名訪問(wèn)的命名管道 ;

網(wǎng)絡(luò)訪問(wèn) : 可遠(yuǎn)程訪問(wèn)的注冊(cè)表路徑 ;

網(wǎng)絡(luò)訪問(wèn) : 可遠(yuǎn)程訪問(wèn)的注冊(cè)表路徑和子路徑 ;

將以上四項(xiàng)全部刪除

>> 不允許 SAM 賬戶的匿名枚舉 更改為 " 已啟用 "

>> 不允許 SAM 賬戶和共享的匿名枚舉 更改為 " 已啟用 " ;

>> 網(wǎng)絡(luò)訪問(wèn) : 不允許存儲(chǔ)網(wǎng)絡(luò)身份驗(yàn)證的憑據(jù)或 .NET Passport 更改為 " 已啟用 " ;

更改為 " 已啟用 " >> 網(wǎng)絡(luò)訪問(wèn) . 限制匿名訪問(wèn)命名管道和共享 .;

將以上四項(xiàng)通通設(shè)為 “ 已啟用 ”

>> 計(jì)算機(jī)管理的外地用戶和組

SQL 服務(wù) ( SQLDebugg , 禁用終端服務(wù) ( TsInternetUs . SUPPORT_388945a0

>> 禁用不必要的服務(wù)

sc config AeLookupSvc start= AUTO

sc config Alerter start= DISABLED

sc config ALG start= DISABLED

sc config AppMgmt start= DEMAND

sc config aspnet_st start= DEMAND

sc config AudioSrv start= DISABLED

sc config BITS start= DEMAND

sc config Browser start= DEMAND

sc config CiSvc start= DISABLED

sc config ClipSrv start= DISABLED

sc config clr_optimization_v2.0.50727_32 start= DEMAND

sc config COMSysApp start= DEMAND

sc config CryptSvc start= AUTO

sc config DcomLaunch start= AUTO

sc config Df start= DEMAND

sc config Dhcp start= AUTO

sc config dmadmin start= DEMAND

sc config dmserver start= AUTO

sc config Dnscach start= AUTO

sc config ERSvc start= DISABLED

sc config Eventlog start= AUTO

sc config EventSystem start= AUTO

sc config helpsvc start= DISABLED

sc config HidServ start= AUTO

sc config HTTPFilter start= DEMAND

sc config IISADMIN start= AUTO

sc config ImapiServic start= DISABLED

sc config IsmServ start= DISABLED

sc config kdc start= DISABLED

sc config lanmanworkst start= DISABLED

sc config LicenseServic start= DISABLED

sc config LmHost start= DISABLED

sc config Messeng start= DISABLED

sc config mnmsrvc start= DISABLED

sc config MSDTC start= AUTO

sc config MSIServer start= DEMAND

sc config MSSEARCH start= AUTO

sc config MSSQLSERVER start= AUTO

sc config MSSQLServerADHelp start= DEMAND

sc config NetDDE start= DISABLED

sc config NetDDEdsdm start= DISABLED

sc config Netlogon start= DEMAND

sc config Netman start= DEMAND

sc config Nla start= DEMAND

sc config NtFr start= DEMAND

sc config NtLmSsp start= DEMAND

sc config NtmsSvc start= DEMAND

sc config PlugPlai start= AUTO

sc config PolicyAg start= AUTO

sc config ProtectedStorag start= AUTO

sc config RasAuto start= DEMAND

sc config RasMan start= DEMAND

sc config RDSessMgr start= DEMAND

sc config RemoteAccess start= DISABLED

sc config RemoteRegistri start= DISABLED

sc config RpcLocat start= DEMAND

sc config RpcS start= AUTO

sc config RSoPProv start= DEMAND

sc config sacsvr start= DEMAND

sc config SamS start= AUTO

sc config SCardSvr start= DEMAND

sc config Schedul start= AUTO

sc config seclogon start= AUTO

sc config SENS start= AUTO

sc config SharedAccess start= DISABLED

sc config ShellHWDetect start= AUTO

sc config SMTPSVC start= AUTO

sc config Spooler start= DISABLED

sc config SQLSERVERAGENT start= AUTO

sc config stisvc start= DISABLED

sc config swprv start= DEMAND

sc config SysmonLog start= AUTO

sc config TapiSrv start= DEMAND

sc config TermServic start= AUTO

sc config Theme start= DISABLED

sc config TlntSvr start= DISABLED

sc config TrkSvr start= DISABLED

sc config TrkWk start= AUTO

sc config Tssdi start= DISABLED

sc config UMWdf start= DEMAND

sc config UPS start= DEMAND

sc config vd start= DEMAND

sc config VSS start= DEMAND

sc config W32Time start= AUTO

sc config W3SVC start= AUTO

sc config WebClient start= DISABLED

sc config WinHttpAutoProxySvc start= DEMAND

sc config winmgmt start= AUTO

sc config WmdmPmSN start= DEMAND

sc config Wmi start= DEMAND

sc config WmiApSrv start= DEMAND

sc config wuauserv start= DISABLED

sc config WZCSVC start= DISABLED

sc config xmlprov start= DEMAND

>> 刪除默認(rèn)共享

@echo off

::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::

::

然后再逐個(gè)刪除以分區(qū)名命名的共享 :: 先列舉存在分區(qū)。 ;

:: 通過(guò)修改注冊(cè)表防止 admin$ 共享在下次開(kāi)機(jī)時(shí)重新加載 ;

:: IPC$ 共享需要 administritor 權(quán)限才干勝利刪除

::

::

::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::

titl 默認(rèn)共享刪除器

color 1f

echo.

echo ------------------------------------------------------

echo.

echo 開(kāi)始刪除每個(gè)分區(qū)下的默認(rèn)共享 .

echo.

for %%a in C D E F G H I J K L M N O P Q R S T U V W X Y Z do @

if exist %%a:\nul

net share %%a$Content$nbsp;/delete>nul 2>nul && echo 勝利刪除名為 %%a$Content$nbsp; 默認(rèn)共享 echo 名為 %%a$Content$nbsp; 默認(rèn)共享不存在

net share admin$Content$nbsp;/delete>nul 2>nul && echo 勝利刪除名為 admin$Content$nbsp; 默認(rèn)共享 echo 名為 admin$Content$nbsp; 默認(rèn)共享不存在

echo.

echo ------------------------------------------------------

echo.

net stop Server /y>nul 2>nul && echo Server 服務(wù)已停止 .

net start Server>nul 2>nul && echo Server 服務(wù)已啟動(dòng) .

echo.

echo ------------------------------------------------------

echo.

echo 修改注冊(cè)表以更改系統(tǒng)默認(rèn)設(shè)置 .

echo.

echo 正在創(chuàng)建注冊(cè)表文件 .

echo Window Registri Editor Version 5.00> c:\delshare.reg

以防重啟后再次加載 :: 通過(guò)注冊(cè)表禁止 Admin$ 共享。

echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]>> c:\delshare.reg

echo "AutoShareWks"=dword:00000000>> c:\delshare.reg

echo "AutoShareServer"=dword:00000000>> c:\delshare.reg

本功能需要 administritor 權(quán)限才干勝利刪除 :: 刪除 IPC$ 共享。

echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]>> c:\delshare.reg

echo "restrictanonymous"=dword:00000001>> c:\delshare.reg

echo 正在導(dǎo)入注冊(cè)表文件以更改系統(tǒng)默認(rèn)設(shè)置 .

regedit /s c:\delshare.reg

del c:\delshare.reg && echo 臨時(shí)文件已經(jīng)刪除 .

echo.

echo ------------------------------------------------------

echo.

echo 順序已經(jīng)勝利刪除所有的默認(rèn)共享 .

echo.

echo 按任意鍵退出 ...

pause>nul

>> 打開(kāi) C:\Window 目錄 搜索以下 DOS 命令文件

NET1.EXE, NET.EXE.CMD.EXE,FTP.EXE,ATPIB.EXE,CACLS.EXE,AT.EXE,FORMAT.COM,TELNET.EXE,COMMAND.COM,NETSTAT.EXE,REGEDIT.EXE,ARP.EXE,NBTSTAT.EXE

把以上命令文件通通只給 Administr 和 SYSTEM 為完全控制權(quán)限

>> 卸載刪除具有 CMD 命令功能的危險(xiǎn)組件

WSHOM.OCX 對(duì)應(yīng)于 WScript.Shel 組件

HKEY_CLASSES_ROOT\WScript.Shell\

及

HKEY_CLASSES_ROOT\WScript.Shell.1\

添加 IUSR 用戶完全拒絕權(quán)限

Shell32.dll 對(duì)應(yīng)于 Shell.Applic 組件

HKEY_CLASSES_ROOT\Shell.Application\

及

HKEY_CLASSES_ROOT\Shell.Application.1\

添加 IUSR 用戶完全拒絕權(quán)限

regsvr32/u C:\Windows\System32\wshom.ocx

regsvr32/u C:\Windows\System32\shell32.dll

WSHOM.OCXx 和 Shell32.dl 這兩個(gè)文件只給 Administr 完全權(quán)限

>>> SQL 權(quán)限設(shè)置

只給 PUBLIC 和 DB_OWNER 權(quán)限， SA 帳號(hào)基本是不使用的因?yàn)?SA 實(shí)在太危險(xiǎn)了 1 一個(gè)數(shù)據(jù)庫(kù) , 一個(gè)帳號(hào)和密碼 , 比如建立了一個(gè)數(shù)據(jù)庫(kù)。 .

任何情況下都不要用 sa 這個(gè)帳戶 2 更改 sa 密碼為你都不知道的超長(zhǎng)密碼 ..

請(qǐng)重試 ]" 問(wèn)題 3 Web 登錄時(shí)經(jīng)常出現(xiàn) "[ 超時(shí)。

一定要啟用 “ 服務(wù)器網(wǎng)絡(luò)實(shí)用工具 ” 中的多協(xié)議 ” 項(xiàng)。 如果裝置了 SQL Server 時(shí)。

4 將有安全問(wèn)題的 SQL 擴(kuò)展存儲(chǔ)過(guò)程刪除 . 將以下代碼全部復(fù)制到 "SQL 查詢分析器 "

us master

EXEC sp_dropextendedproc xp_cmdshell

EXEC sp_dropextendedproc Sp_OACreat

EXEC sp_dropextendedproc Sp_OADestroi

EXEC sp_dropextendedproc Sp_OAGetErrorInfo

EXEC sp_dropextendedproc Sp_OAGetProperti

EXEC sp_dropextendedproc Sp_OAMethod

EXEC sp_dropextendedproc Sp_OASetProperti

EXEC sp_dropextendedproc Sp_OAStop

EXEC sp_dropextendedproc Xp_regaddmultistr

EXEC sp_dropextendedproc Xp_regdeletekei

EXEC sp_dropextendedproc Xp_regdeletevalu

EXEC sp_dropextendedproc Xp_regenumvalu

EXEC sp_dropextendedproc Xp_regread

EXEC sp_dropextendedproc Xp_regremovemultistr

EXEC sp_dropextendedproc Xp_regwrit

drop procedur sp_makewebtask

恢復(fù)的命令是

@dllname = 存儲(chǔ)過(guò)程的 dll EXEC sp_addextendedproc 存儲(chǔ)過(guò)程的名稱 .

例如：恢復(fù)存儲(chǔ)過(guò)程 xp_cmdshell

@dllnam = xplog70.dll EXEC sp_addextendedproc xp_cmdshell.

恢復(fù)時(shí)如果 xplog70.dll 已刪除需要 copi 一個(gè)。 注意。

>> WEB 目錄權(quán)限設(shè)置

所有的用戶， Everyone: 顧名思義。 這個(gè)計(jì)算機(jī)上的所有用戶都屬于這個(gè)組。