今天演示一下服務器權限的設置���,實現(xiàn)目標是系統(tǒng)盤任何一個目錄asp網(wǎng)馬不可以瀏覽,事件查看器完全無錯,所有程序正常運行����。
這個不同于之前做的兩個演示���,此演示基本上保留系統(tǒng)默認的那些權限組不變��,保留原味,以免取消不當造成莫名其妙的錯誤���。
看過這個演示,之前的"超詳細web服務器權限設置,精確到每個文件夾"和"超詳細web服務器權限設置,事件查看器完全無報錯"就不用再看了.這個比原來做的有所改進.操作系統(tǒng)用的是雨林木風的ghost鏡像,補丁是打上截止11.2號最新的
Power Users組是否取消無所謂
具體操作看演示
windows下根目錄的權限設置:
C:\WINDOWS\Application Compatibility Scripts 不用做任何修改�,包括其下所有子目錄
C:\WINDOWS\AppPatch AcWebSvc.dll已經(jīng)有users組權限,其它文件加上users組權限
C:\WINDOWS\Connection Wizard 取消users組權限
C:\WINDOWS\Debug users組的默認不改
C:\WINDOWS\Debug\UserMode默認不修改有寫入文件的權限,取消users組權限,給特別的權限,看演示
C:\WINDOWS\Debug\WPD不取消Authenticated Users組權限可以寫入文件�,創(chuàng)建目錄.
C:\WINDOWS\Driver Cache取消users組權限,給i386文件夾下所有文件加上users組權限
C:\WINDOWS\Help取消users組權限
C:\WINDOWS\Help\iisHelp\common取消users組權限
C:\WINDOWS\IIS Temporary Compressed Files默認不修改
C:\WINDOWS\ime不用做任何修改,包括其下所有子目錄
C:\WINDOWS\inf不用做任何修改����,包括其下所有子目錄
C:\WINDOWS\Installer 刪除everyone組權限,給目錄下的文件加上everyone組讀取和運行的權限
C:\WINDOWS\java 取消users組權限,給子目錄下的所有文件加上users組權限
C:\WINDOWS\MAGICSET 默認不變
C:\WINDOWS\Media 默認不變
C:\WINDOWS\Microsoft.NET不用做任何修改��,包括其下所有子目錄
C:\WINDOWS\msagent 取消users組權限,給子目錄下的所有文件加上users組權限
C:\WINDOWS\msapps 不用做任何修改���,包括其下所有子目錄
C:\WINDOWS\mui取消users組權限
C:\WINDOWS\PCHEALTH 默認不改
C:\WINDOWS\PCHEALTH\ERRORREP\QHEADLES 取消everyone組的權限
C:\WINDOWS\PCHEALTH\ERRORREP\QSIGNOFF 取消everyone組的權限
C:\WINDOWS\PCHealth\UploadLB 刪除everyone組的權限,其它下級目錄不用管��,沒有user組和everyone組權限
C:\WINDOWS\PCHealth\HelpCtr 刪除everyone組的權限����,其它下級目錄不用管,沒有user組和everyone組權限(這個不用按照演示中的搜索那些文件了����,不須添加users組權限就行)
C:\WINDOWS\PIF 默認不改
C:\WINDOWS\PolicyBackup默認不改,給子目錄下的所有文件加上users組權限
C:\WINDOWS\Prefetch 默認不改
C:\WINDOWS\provisioning 默認不改,給子目錄下的所有文件加上users組權限
C:\WINDOWS\pss默認不改,給子目錄下的所有文件加上users組權限
C:\WINDOWS\RegisteredPackages默認不改,給子目錄下的所有文件加上users組權限
C:\WINDOWS\Registration\CRMLog默認不改會有寫入的權限,取消users組的權限
C:\WINDOWS\Registration取消everyone組權限.加NETWORK SERVICE 給子目錄下的文件加everyone可讀取的權限,
C:\WINDOWS\repair取消users組權限
C:\WINDOWS\Resources取消users組權限
C:\WINDOWS\security users組的默認不改���,其下Database和logs目錄默認不改.取消templates目錄users組權限,給文件加上users組
C:\WINDOWS\ServicePackFiles 不用做任何修改�,包括其下所有子目錄
C:\WINDOWS\SoftwareDistribution不用做任何修改�,包括其下所有子目錄
C:\WINDOWS\srchasst 不用做任何修改,包括其下所有子目錄
C:\WINDOWS\system 保持默認
C:\WINDOWS\TAPI取消users組權限�,其下那個tsec.ini權限不要改
C:\WINDOWS\twain_32取消users組權限,給目錄下的文件加users組權限
C:\WINDOWS\vnDrvBas 不用做任何修改�����,包括其下所有子目錄
C:\WINDOWS\Web取消users組權限給其下的所有文件加上users組權限
C:\WINDOWS\WinSxS 取消users組權限,搜索*.tlb����,*.policy,*.cat�����,*.manifest,*.dll����,給這些文件加上everyone組和users權限
給目錄加NETWORK SERVICE完全控制的權限
C:\WINDOWS\system32\wbem 這個目錄有重要作用。如果不給users組權限�����,打開一些應用軟件時會非常慢����。并且事件查看器中有時會報出一堆錯誤。導致一些程序不能正常運行�����。但為了不讓webshell有瀏覽系統(tǒng)所屬目錄的權限���,給wbem目錄下所有的*.dll文件users組和everyone組權限���。
*.dll
users;everyone
我先暫停����。你操作時挨個檢查就行了
C:\WINDOWS\#$#%^$^@!#$%$^S#@\#$#$%$#@@@$%!!WERa (我用的temp文件夾路徑)temp由于必須給寫入的權限����,所以修改了默認路徑和名稱���。防止webshell往此目錄中寫入�。修改路徑后要重啟生效����。
至此,系統(tǒng)盤任何一個目錄是不可瀏覽的�����,唯一一個可寫入的C:\WINDOWS\temp���,又修改了默認路徑和名稱變成C:\WINDOWS\#$#%^$^@!#$%$^S#@\#$#$%$#@@@$%!!WERa
這樣配置應該相對安全了些�����。
我先去安裝一下幾款流行的網(wǎng)站程序�����,先暫停.幾款常用的網(wǎng)站程序在這樣的權限設置下完全正常���。還沒有裝上sql2000數(shù)據(jù)庫��,無法測試動易2006SQL版了���?隙ㄕ�����。大家可以試試��。
服務設置:
1.設置win2k的屏幕保護,用pcanywhere的時候,有時候下線時忘記鎖定計算機了�,如果別人破解了你的pcanywhere密碼,就直接可以進入你計算機�����,如果設置了屏保,當你幾分鐘不用后就自動鎖定計算機����,這樣就防止了用pcanyhwerer直接進入你計算機的可能,也是防止內(nèi)部人員破壞服務器的一個屏障
2.關閉光盤和磁盤的自動播放功能�����,在組策略里面設.這樣可以防止入侵者編輯惡意的autorun.inf讓你以管理員的身份運行他的木馬�����,來達到提升權限的目的���������?梢杂胣et share 查看默認共享�����。由于沒開server服務,等于已經(jīng)關閉默認共享了,最好還是禁用server服務。
附刪除默認共享的命令:
net share c$Content$nbsp;/del
net share d$Content$nbsp;/del
net share e$Content$nbsp;/del
net share f$Content$nbsp;/del
net share ipc$Content$nbsp;/del
net share admin$Content$nbsp;/del
3.關閉不需要的端口和服務�,在網(wǎng)絡連接里,把不需要的協(xié)議和服務都刪掉����,這里只安裝了基本的Internet協(xié)議(TCP/IP),由于要控制帶寬流量服務���,額外安裝了Qos數(shù)據(jù)包計劃程序���。在高級tcp/ip設置里--"NetBIOS"設置"禁用tcp/IP上的NetBIOS 。
修改3389遠程連接端口(也可以用工具修改更方便)
修改注冊表.
開始--運行--regedit
依次展開 HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/
TERMINAL SERVER/WDS/RDPWD/TDS/TCP
右邊鍵值中 PortNumber 改為你想用的端口號.注意使用十進制(例 1989 )
HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/
WINSTATIONS/RDP-TCP/
右邊鍵值中 PortNumber 改為你想用的端口號.注意使用十進制(例 1989 )
注意:別忘了在WINDOWS2003自帶的防火墻給+上10000端口
修改完畢.重新啟動服務器.設置生效.
這里就不改了,你可以自己決定是否修改.權限設置的好后,個人感覺改不改無所謂
4.禁用Guest賬號
在計算機管理的用戶里面把Guest賬號禁用�。為了保險起見,最好給Guest加一個復雜的密碼��。你可以打開記事本�����,在里面輸入一串包含特殊字符���、數(shù)字�、字母的長字符串���,然后把它作為Guest用戶的密碼拷進去.我這里隨便復制了一段文本內(nèi)容進去.
如果設置密碼時提示:工作站服務沒有啟動 先去本地安全策略里把密碼策略里啟動密碼復雜性給禁用后就可以修改了
5.創(chuàng)建一個陷阱用戶
即創(chuàng)建一個名為“Administrator”的本地用戶�,把它的權限設置成最低,什么事也干不了的那種�����,并且加上一個超過10位的超級復雜密碼���。這樣可以讓那些 Hacker們忙上一段時間�����,借此發(fā)現(xiàn)它們的入侵企圖�。
6.本地安全策略設置
開始菜單—>管理工具—>本地安全策略
A���、本地策略——>審核策略
審核策略更改 成功 失敗
審核登錄事件 成功 失敗
審核對象訪問 失敗
審核過程跟蹤 無審核
審核目錄服務訪問 失敗
審核特權使用 失敗
審核系統(tǒng)事件 成功 失敗
審核賬戶登錄事件 成功 失敗
審核賬戶管理 成功 失敗
B、本地策略——>用戶權限分配
關閉系統(tǒng):只有Administrators組�����、其它全部刪除���。
通過終端服務允許登陸:只加入Administrators,Remote Desktop Users組�����,其他全部刪除
運行 gpedit.msc 計算機配置 > 管理模板 > 系統(tǒng) 顯示“關閉事件跟蹤程序” 更改為已禁用
用戶管理��,建立另一個備用管理員賬號�,防止特殊情況發(fā)生。安裝有終端服務與SQL服務的服務器停用TsInternetUser, sQLDebugger這兩 個賬號
C�����、本地策略——>安全選項
交互式登陸:不顯示上次的用戶名 啟用
網(wǎng)絡訪問:不允許SAM帳戶和共享的匿名枚舉 啟用
網(wǎng)絡訪問:不允許為網(wǎng)絡身份驗證儲存憑證 啟用
網(wǎng)絡訪問:可匿名訪問的共享 全部刪除
網(wǎng)絡訪問:可匿名訪問的命 全部刪除
網(wǎng)絡訪問:可遠程訪問的注冊表路徑 全部刪除
網(wǎng)絡訪問:可遠程訪問的注冊表路徑和子路徑 全部刪除
帳戶:重命名來賓帳戶 重命名一個帳戶
帳戶:重命名系統(tǒng)管理員帳戶 重命名一個帳戶
7.禁止dump file的產(chǎn)生
dump文件在系統(tǒng)崩潰和藍屏的時候是一份很有用的查找問題的資料���。然而�����,它也能夠給黑客提供一些敏感
信息比如一些應用程序的密碼等�������?刂泼姘>系統(tǒng)屬性>高級>啟動和故障恢復把 寫入調(diào)試信息 改成無���。
關閉華醫(yī)生Dr.Watson
在開始-運行中輸入“drwtsn32”�����,或者開始-程序-附件-系統(tǒng)工具-系統(tǒng)信息-工具-Dr Watson�,調(diào)出系統(tǒng)
里的華醫(yī)生Dr.Watson ���,只保留“轉(zhuǎn)儲全部線程上下文”選項�����,否則一旦程序出錯����,硬盤會讀很久�����,并占
用大量空間���。如果以前有此情況,請查找user.dmp文件�����,刪除后可節(jié)省幾十MB空間。
在命令行運行drwtsn32 -i 可以直接關閉華醫(yī)生,普通用戶沒什么用處
8.禁用不必要的服務 開始-運行-services.msc
TCP/IPNetBIOS Helper提供 TCP/IP 服務上的 NetBIOS 和網(wǎng)絡上客戶端的 NetBIOS 名稱解析的支持而使用戶能夠共享
文件�、打印和登錄到網(wǎng)絡
Server支持此計算機通過網(wǎng)絡的文件、打印���、和命名管道共享
Computer Browser 維護網(wǎng)絡上計算機的最新列表以及提供這個列表
Task scheduler 允許程序在指定時間運行
Messenger 傳輸客戶端和服務器之間的 NET SEND 和 警報器服務消息
Distributed File System: 局域網(wǎng)管理共享文件�����,不需要可禁用
Distributed linktracking client:用于局域網(wǎng)更新連接信息����,不需要可禁用
Error reporting service:禁止發(fā)送錯誤報告
Microsoft Serch:提供快速的單詞搜索����,建議禁用****不禁用移動*.msc文件后啟動系統(tǒng)時會報錯。禁用后沒影響
NTLMSecuritysupportprovide:telnet服務和Microsoft Serch用的����,不需要可禁用
PrintSpooler:如果沒有打印機可禁用
Remote Registry:禁止遠程修改注冊表
Remote Desktop Help Session Manager:禁止遠程協(xié)助
Workstation 關閉的話遠程NET命令列不出用戶組
以上是在Windows Server 2003 系統(tǒng)上面默認啟動的服務中禁用的,默認禁用的服務如沒特別需要的話不要啟動����。
看下我開了些什么服務,大家可以參考設置一下.如果把不該禁用的服務禁了,事件查看器可能會出現(xiàn)一些報錯.
9.設置IP篩選���,只開放你所要用到的端口��,這樣可以防止別人的木馬程序連接����,因為任何一個網(wǎng)絡程序要和你服務器通信,都要通過端口�����。查看本機所開的端口是用netstat -na 命令,這兒我們開放了80 1989 21 1433(sqlserver),5631(pcanywhere)和ip6端口,這樣設置后����,一般的后門程序就無法連接到本機了,注意要重新啟動了才有效果
附常用服務的各個端口:
IIS 80
FTP 21 啟用后需要FTP客戶端關閉PSAV才能連接
SMTP 25
POP3 110
MS SQL 1433
Mysql 3306
PcAnywhere 5631
Windows遠程客戶端 3389
10.修改相關注冊表�,個人感覺這樣的效果不大。沒去修改��,僅供參考:
A�、防止SYN洪水攻擊
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名為SynAttackProtect����,值為2
新建EnablePMTUDiscovery REG_DWORD 0
新建NoNameReleaseOnDemand REG_DWORD 1
新建EnableDeadGWDetect REG_DWORD 0
新建KeepAliveTime REG_DWORD 300,000
新建PerformRouterDiscovery REG_DWORD 0
新建EnableICMPRedirects REG_DWORD 03. 禁止響應ICMP路由通告報文
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces
\interface
新建DWORD值,名為PerformRouterDiscovery 值為0
B�、防止ICMP重定向報文的攻擊
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
將EnableICMPRedirects 值設為0
C、不支持IGMP協(xié)議
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值����,名為IGMPLevel 值為0
D、禁止IPC空連接:
cracker可以利用net use命令建立空連接��,進而入侵�,還有net view,nbtstat這些都是基于空連接的�����,禁止空連接就好了����。
Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 把這個值改成”1”即可。
E��、更改TTL值
cracker可以根據(jù)ping回的TTL值來大致判斷你的操作系統(tǒng)��,如:
TTL=107(WINNT);
TTL=108(win2000);
TTL=127或128(win9x);
TTL=240或241(linux);
TTL=252(solaris);
TTL=240(Irix);
實際上你可以自己改的:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters:DefaultTTL REG_DWORD 0-0xff(0-255 十進制,默認值128)改成一個莫名其妙的數(shù)字如250
11.把系統(tǒng)Administrator賬號改名,我的已經(jīng)改成了 中央人民政府 �。可以把硬盤的其它分區(qū)或重要目錄設置成僅這個用戶可以訪問����。這樣即使入侵者把自己提升成了超級管理員組成員�。也無法訪問這些地方��。 將Administrators組改名為其他�,這樣即使系統(tǒng)出現(xiàn)了溢出漏洞,但系統(tǒng)盤下的net.exe程序已被轉(zhuǎn)移刪除��,想加入管理員組基本難以實現(xiàn)�。何況Administrators組已被改名,用那個net localgroup administrators xxx /add����,不知道管理員組的名字,會提示指定的本地組不存在�。這樣即使net命令可用也加不上了。
最后給你的管理員帳戶設定一個非常復雜的密碼.
設置本地用戶帳號����,把管理員和來賓帳號重新命名,禁止不必用的帳號�,最好還要建立一個管理員備用帳號,以防萬一(提示:養(yǎng)成經(jīng)常看一看本地用戶帳號屬性的習慣�,以防后門帳號)
12.控制面板的設置:
修改*.cpl(控制面板文件)的權限為只有管理員可以訪問
移動所有*.msc(管理控制臺文件)到你的一個固定目錄,并設置這個目錄的訪問權限(只有管理員可以防問���,比如上面11中說的����,把這個目錄加上只有中央人民政府這個用戶可以訪問.這樣就是別人進入你服務器也沒辦法操作,還有就是把net.exe改名或者移動.搜索net.exe;net1.exe只給管理員可以訪問的權限
設置arp.exe;attrib.exe;cmd.exe;format.com;ftp.exe;tftp.exe;net.exe;net1.exe;netstat.exe;ping.exe;
regedit.exe;regsvr32.exe;telnet.exe;xcopy.exe;at.exe的權限只有管理員權限可以訪問(注意net1.exe與net同樣作用)搜索這些文件時注意選擇其它高級選項��,勾選搜索隱藏的文件和文件夾����。
13.卸載wscript.shell對象(強烈建議卸載.命令行執(zhí)行組件.可以通過上傳cmd.exe到網(wǎng)站目錄下或直接調(diào)用服務器上的從而運行相關命令)
在cmd下運行:regsvr32 WSHom.Ocx /u
卸載FSO對象(不建議卸載.文件操作組件.一般虛擬主機服務提供商都開放著,禁用后一些asp程序不能正常運行)
在cmd下運行:regsvr32.exe scrrun.dll /u
禁用Workstation服務,如果不禁用,asp網(wǎng)馬可以查看系統(tǒng)用戶與服務,知道你的所有用戶名稱
14.IIS站點設置:
1、將IIS目錄數(shù)據(jù)與系統(tǒng)磁盤分開����,保存在專用磁盤空間內(nèi)。
2����、啟用父級路徑
3、在IIS管理器中刪除必須之外的任何沒有用到的映射(保留asp等必要映射即可)
4����、在IIS中將HTTP404 Object Not Found出錯頁面通過URL重定向到一個定制HTM文件
5、Web站點權限設定(建議)
讀 允許
寫 不允許
腳本源訪問 不允許
目錄瀏覽 建議關閉
日志訪問 建議關閉
索引資源 建議關閉
執(zhí)行 推薦選擇 “僅限于腳本”
經(jīng)過以上的設置后���,服務器基本上已經(jīng)安全了����。注意常更新系統(tǒng)安全補丁,關注一些最新漏洞的危害�,并做相應的預防。好了�,結束 |
