明辉站/杀毒教程/内容

2003服务器终极安全及问题处理方案

杀毒教程2023-05-28 阅读
[摘要]二级目录给 Administr 完全控制权限和 Everyon 除了完全控制, 更改, 取得, 其它全部打勾的权限和 IUSR 只有该文件夹的完全拒绝权限, 三级目录是每个客户的虚拟主机网站, 给 Administr 完全控制权限和 Everyon 除了完全控制, 更改, 取得, 其它全部打勾的权...

二级目录给 Administr 完全控制权限和 Everyon 除了完全控制, 更改, 取得, 其它全部打勾的权限和 IUSR 只有该文件夹的完全拒绝权限, 三级目录是每个客户的虚拟主机网站, 给 Administr 完全控制权限和 Everyon 除了完全控制, 更改, 取得, 其它全部打勾的权限即可 最好在 C 盘以外 ( 如 D,E,F..... 根目录建立到三级目录 , 一级目录只给 Administr 权限。 .

原来管理过三十多台 服务器 从多年积累的经验, 写出以下详细的 Windows2003 服务系统的平安方案 , 电信 局做网管。 应用以下方案, 平安运行了二年, 无黑客有成功入侵的记录, 也有黑客入侵胜利的案, 但最终还是没有拿到肉鸡的最高管理员身份 , 只是可以浏览跳转到服务器上所有客户的网站。

服务器平安设置

>> IIS6.0 装置

开始菜单 — > 控制面板 — > 添加或删除程序 — > 添加 / 删除 Windows 组件

应用顺序 ASP.NET 可选 )

启用 网络 COM+ 访问 ( 必选 )

Internet 信息服务 ( IIS Internet 信息服务管理器 ( 必选 )

公用文件 ( 必选 )

万维网服务 — Active Server page 必选 )

Internet 数据连接器 ( 可选 )

WebDAV 发布 ( 可选 )

万维网服务 ( 必选 )

服务器端的包括文件 ( 可选 )

把不需要的协议和服务都删掉, >> 网络连接 ” 里。 这里只安装了基本的 Internet 协议 ( TCP/IP 和 Microsoft 网络客户端。 高级 tcp/ip 设置里 --"NetBIOS" 设置 " 禁用 tcp/IP 上的 NetBIOS S "

基本达到一个 IPSec 功能 , >> 外地连接 ” 打开 Window 2003 自带的 防火墙 可以屏蔽端口。 只保留有用的端口 , 比如远程 ( 3389 和 Web 80 ,Ftp 21 , 邮件服务器 ( 25,110 ,http 443 ,SQL 1433

>> IIS Internet 信息服务器管理器 ) " 主目录 " 选项设置以下

读 允许

写 不允许

脚本源访问 不允许

目录浏览 建议关闭

记录访问 建议关闭

索引资源 建议关闭

执行权限 推荐选择 纯脚本 ”

每天记录客户 IP 地址, >> 建议使用 W3C 扩充日志文件格式。 用户名, 服务器端口, 方法, URI 字根, HTTP 状态, 用户代理, 而且每天均要审查日志。

建议更换一个记日志的路径, 最好不要使用缺省的目录。 同时设置日志的访问权限, 只允许管理员和 system 为 Full Control

>> IIS6.0 - 外地计算机 - 属性 - 允许直接编辑配置 数据库 IIS 中 属性 -> 主目录 -> 配置 -> 选项中。

>> 网站把 ” 启用父路径 “ 前面打上勾

>> IIS 中的 Web 服务扩展中选中 Active Server Page 点击 “ 允许 ”

>> 优化 IIS6 应用顺序池

1 取消 “ 空闲此段时间后关闭工作进程 ( 分钟 )

2 勾选 “ 回收工作进程 ( 请求数目 )

3 取消 “ 快速失败维护 ”

>> 解决 SERVER 2003 不能上传大附件的问题

服务 ” 里关闭 ii admin servic 服务。

找到 windows\system32\inetsrv\ 下的 metabase.xml 文件。

找到 ASPMaxRequestEntityAllow 把它修改为需要的值 ( 可修改为 20M 即: 20480000

然后重启 ii admin servic 服务。 存盘。

>> 解决 SERVER 2003 无法下载超越 4M 附件问题

服务 ” 里关闭 ii admin servic 服务。

找到 windows\system32\inetsrv\ 下的 metabase.xml 文件。

找到 AspBufferingLimit 把它修改为需要的值 ( 可修改为 20M 即: 20480000

然后重启 ii admin servic 服务。 存盘。

>> 超时问题

解决大附件上传容易超时失败的问题

操作方法是 IIS 站点或虚拟目录 ” 主目录 ” 下点击 “ 配置 ” 按钮, IIS 中调大一些脚本超时时间。

设置脚本超时时间为: 300 秒 注意:不是 Session 超时时间 )

按下发信按钮就会回到系统登录界面的问题 解决通过 WebMail 写信时间较长后。

适当增加会话时间 ( Session 为 60 分钟。 IIS 站点或虚拟目录属性的主目录 ” 下点击 “ 配置 --> 选项 ”

就可以进行设置了 Window 2003 默认为 20 分钟 )

>> 修改 3389 远程连接端口

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Termin Server\Wds\rdpwd\Tds\tcp]

"PortNumber"=dword:0000 端口号

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Termin Server\WinStations\RDP-Tcp]

"PortNumber"=dword:0000 端口号

添加 “ IUSR 完全拒绝 禁止显示端口号 设置这两个注册表的权限 .

>> 外地战略 ---> 用户权限分配

关闭系统:只有 Administr 组、其它全部删除。

其他全部删除 通过终端服务允许登陆:只加入 Administrators,Remot Desktop User 组。

通过终端服务拒绝登陆 加入 >> 平安设置里 外地战略 - 用户权利分配。

ASPNET

IUSR_

IWAM_

NETWORK SERVICE

注意不要添加进 user 组和 administr 组 添加进去以后就没有方法远程登陆了

>> 平安设置里 外地战略 - 平安选项

网络访问 : 可匿名访问的共享 ;

网络访问 : 可匿名访问的命名管道 ;

网络访问 : 可远程访问的注册表路径 ;

网络访问 : 可远程访问的注册表路径和子路径 ;

将以上四项全部删除

>> 不允许 SAM 账户的匿名枚举 更改为 " 已启用 "

>> 不允许 SAM 账户和共享的匿名枚举 更改为 " 已启用 " ;

>> 网络访问 : 不允许存储网络身份验证的凭据或 .NET Passport 更改为 " 已启用 " ;

更改为 " 已启用 " >> 网络访问 . 限制匿名访问命名管道和共享 .;

将以上四项通通设为 “ 已启用 ”

>> 计算机管理的外地用户和组

SQL 服务 ( SQLDebugg , 禁用终端服务 ( TsInternetUs . SUPPORT_388945a0

>> 禁用不必要的服务

sc config AeLookupSvc start= AUTO

sc config Alerter start= DISABLED

sc config ALG start= DISABLED

sc config AppMgmt start= DEMAND

sc config aspnet_st start= DEMAND

sc config AudioSrv start= DISABLED

sc config BITS start= DEMAND

sc config Browser start= DEMAND

sc config CiSvc start= DISABLED

sc config ClipSrv start= DISABLED

sc config clr_optimization_v2.0.50727_32 start= DEMAND

sc config COMSysApp start= DEMAND

sc config CryptSvc start= AUTO

sc config DcomLaunch start= AUTO

sc config Df start= DEMAND

sc config Dhcp start= AUTO

sc config dmadmin start= DEMAND

sc config dmserver start= AUTO

sc config Dnscach start= AUTO

sc config ERSvc start= DISABLED

sc config Eventlog start= AUTO

sc config EventSystem start= AUTO

sc config helpsvc start= DISABLED

sc config HidServ start= AUTO

sc config HTTPFilter start= DEMAND

sc config IISADMIN start= AUTO

sc config ImapiServic start= DISABLED

sc config IsmServ start= DISABLED

sc config kdc start= DISABLED

sc config lanmanworkst start= DISABLED

sc config LicenseServic start= DISABLED

sc config LmHost start= DISABLED

sc config Messeng start= DISABLED

sc config mnmsrvc start= DISABLED

sc config MSDTC start= AUTO

sc config MSIServer start= DEMAND

sc config MSSEARCH start= AUTO

sc config MSSQLSERVER start= AUTO

sc config MSSQLServerADHelp start= DEMAND

sc config NetDDE start= DISABLED

sc config NetDDEdsdm start= DISABLED

sc config Netlogon start= DEMAND

sc config Netman start= DEMAND

sc config Nla start= DEMAND

sc config NtFr start= DEMAND

sc config NtLmSsp start= DEMAND

sc config NtmsSvc start= DEMAND

sc config PlugPlai start= AUTO

sc config PolicyAg start= AUTO

sc config ProtectedStorag start= AUTO

sc config RasAuto start= DEMAND

sc config RasMan start= DEMAND

sc config RDSessMgr start= DEMAND

sc config RemoteAccess start= DISABLED

sc config RemoteRegistri start= DISABLED

sc config RpcLocat start= DEMAND

sc config RpcS start= AUTO

sc config RSoPProv start= DEMAND

sc config sacsvr start= DEMAND

sc config SamS start= AUTO

sc config SCardSvr start= DEMAND

sc config Schedul start= AUTO

sc config seclogon start= AUTO

sc config SENS start= AUTO

sc config SharedAccess start= DISABLED

sc config ShellHWDetect start= AUTO

sc config SMTPSVC start= AUTO

sc config Spooler start= DISABLED

sc config SQLSERVERAGENT start= AUTO

sc config stisvc start= DISABLED

sc config swprv start= DEMAND

sc config SysmonLog start= AUTO

sc config TapiSrv start= DEMAND

sc config TermServic start= AUTO

sc config Theme start= DISABLED

sc config TlntSvr start= DISABLED

sc config TrkSvr start= DISABLED

sc config TrkWk start= AUTO

sc config Tssdi start= DISABLED

sc config UMWdf start= DEMAND

sc config UPS start= DEMAND

sc config vd start= DEMAND

sc config VSS start= DEMAND

sc config W32Time start= AUTO

sc config W3SVC start= AUTO

sc config WebClient start= DISABLED

sc config WinHttpAutoProxySvc start= DEMAND

sc config winmgmt start= AUTO

sc config WmdmPmSN start= DEMAND

sc config Wmi start= DEMAND

sc config WmiApSrv start= DEMAND

sc config wuauserv start= DISABLED

sc config WZCSVC start= DISABLED

sc config xmlprov start= DEMAND

>> 删除默认共享

@echo off

::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::

::

然后再逐个删除以分区名命名的共享 :: 先列举存在分区。 ;

:: 通过修改注册表防止 admin$ 共享在下次开机时重新加载 ;

:: IPC$ 共享需要 administritor 权限才干胜利删除

::

::

::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::

titl 默认共享删除器

color 1f

echo.

echo ------------------------------------------------------

echo.

echo 开始删除每个分区下的默认共享 .

echo.

for %%a in C D E F G H I J K L M N O P Q R S T U V W X Y Z do @

if exist %%a:\nul

net share %%a$Content$nbsp;/delete>nul 2>nul && echo 胜利删除名为 %%a$Content$nbsp; 默认共享 echo 名为 %%a$Content$nbsp; 默认共享不存在

net share admin$Content$nbsp;/delete>nul 2>nul && echo 胜利删除名为 admin$Content$nbsp; 默认共享 echo 名为 admin$Content$nbsp; 默认共享不存在

echo.

echo ------------------------------------------------------

echo.

net stop Server /y>nul 2>nul && echo Server 服务已停止 .

net start Server>nul 2>nul && echo Server 服务已启动 .

echo.

echo ------------------------------------------------------

echo.

echo 修改注册表以更改系统默认设置 .

echo.

echo 正在创建注册表文件 .

echo Window Registri Editor Version 5.00> c:\delshare.reg

以防重启后再次加载 :: 通过注册表禁止 Admin$ 共享。

echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]>> c:\delshare.reg

echo "AutoShareWks"=dword:00000000>> c:\delshare.reg

echo "AutoShareServer"=dword:00000000>> c:\delshare.reg

本功能需要 administritor 权限才干胜利删除 :: 删除 IPC$ 共享。

echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]>> c:\delshare.reg

echo "restrictanonymous"=dword:00000001>> c:\delshare.reg

echo 正在导入注册表文件以更改系统默认设置 .

regedit /s c:\delshare.reg

del c:\delshare.reg && echo 临时文件已经删除 .

echo.

echo ------------------------------------------------------

echo.

echo 顺序已经胜利删除所有的默认共享 .

echo.

echo 按任意键退出 ...

pause>nul

>> 打开 C:\Window 目录 搜索以下 DOS 命令文件

NET1.EXE, NET.EXE.CMD.EXE,FTP.EXE,ATPIB.EXE,CACLS.EXE,AT.EXE,FORMAT.COM,TELNET.EXE,COMMAND.COM,NETSTAT.EXE,REGEDIT.EXE,ARP.EXE,NBTSTAT.EXE

把以上命令文件通通只给 Administr 和 SYSTEM 为完全控制权限

>> 卸载删除具有 CMD 命令功能的危险组件

WSHOM.OCX 对应于 WScript.Shel 组件

HKEY_CLASSES_ROOT\WScript.Shell\

HKEY_CLASSES_ROOT\WScript.Shell.1\

添加 IUSR 用户完全拒绝权限

Shell32.dll 对应于 Shell.Applic 组件

HKEY_CLASSES_ROOT\Shell.Application\

HKEY_CLASSES_ROOT\Shell.Application.1\

添加 IUSR 用户完全拒绝权限

regsvr32/u C:\Windows\System32\wshom.ocx

regsvr32/u C:\Windows\System32\shell32.dll

WSHOM.OCXx 和 Shell32.dl 这两个文件只给 Administr 完全权限

>>> SQL 权限设置

只给 PUBLIC 和 DB_OWNER 权限, SA 帐号基本是不使用的因为 SA 实在太危险了 1 一个数据库 , 一个帐号和密码 , 比如建立了一个数据库。 .

任何情况下都不要用 sa 这个帐户 2 更改 sa 密码为你都不知道的超长密码 ..

请重试 ]" 问题 3 Web 登录时经常出现 "[ 超时。

一定要启用 “ 服务器网络实用工具 ” 中的多协议 ” 项。 如果装置了 SQL Server 时。

4 将有安全问题的 SQL 扩展存储过程删除 . 将以下代码全部复制到 "SQL 查询分析器 "

us master

EXEC sp_dropextendedproc xp_cmdshell

EXEC sp_dropextendedproc Sp_OACreat

EXEC sp_dropextendedproc Sp_OADestroi

EXEC sp_dropextendedproc Sp_OAGetErrorInfo

EXEC sp_dropextendedproc Sp_OAGetProperti

EXEC sp_dropextendedproc Sp_OAMethod

EXEC sp_dropextendedproc Sp_OASetProperti

EXEC sp_dropextendedproc Sp_OAStop

EXEC sp_dropextendedproc Xp_regaddmultistr

EXEC sp_dropextendedproc Xp_regdeletekei

EXEC sp_dropextendedproc Xp_regdeletevalu

EXEC sp_dropextendedproc Xp_regenumvalu

EXEC sp_dropextendedproc Xp_regread

EXEC sp_dropextendedproc Xp_regremovemultistr

EXEC sp_dropextendedproc Xp_regwrit

drop procedur sp_makewebtask

恢复的命令是

@dllname = 存储过程的 dll EXEC sp_addextendedproc 存储过程的名称 .

例如:恢复存储过程 xp_cmdshell

@dllnam = xplog70.dll EXEC sp_addextendedproc xp_cmdshell.

恢复时如果 xplog70.dll 已删除需要 copi 一个。 注意。

>> WEB 目录权限设置

所有的用户, Everyone: 顾名思义。 这个计算机上的所有用户都属于这个组。


上面是电脑上网安全的一些基础常识,学习了安全知识,几乎可以让你免费电脑中毒的烦扰。

……

相关阅读