[原创]Windows server 2003安装使用教程图解(3-1) — 服务器安全设置篇

[原创]Windows server 2003安装使用教程图解(3-1) — 服务器安全设置篇
作者:giiky
来源:www.3v.org.cn

(1)服务器安全设置篇(3-1) – 入侵方法介绍  端口限制  磁盘权限设置
(2)服务器安全设置篇(3-2) – 注册表修改  删除不安全组件  禁用无关服务
(3)服务器安全设置篇(3-3) – 网站WEB目录权限  SQL SERVER2000设置  
(4)服务器安全设置篇(3-4) – 备份  杀毒  审计

篇外话:  这么久,都没有写下去了,,实在不好意思,呵呵,,因为比较忙,,写这个抓图也累..

       现在得赶紧写完2003的,,因为过段时间,我就会放WINDOWS SERVER 2008下载了,到时候可又得忙着写WINDOWS 2008的教程了,,象IIS 7等

等的..

                                                          –giiky

好了,废话少说,开始吧.

上篇服务器应用安装篇已说完了,至于在WINDOWS 2003上安装Apache+Servlet+JSP等运行环境的这个我就没必要说的,毕竟用的人,是少之又少.

能常入侵,,也就是几个环节,,要作出对应的安全设置,,保障服务器的安全

当然,这个必须是你的程序也是相对安全的,要不就算你的服务器做得怎么好,密码设了DFWR#34d43dfwadfdf/.==//++59978..df,5.@$^%D.这样的

密码,也是没用的..

开始正题吧,,要做好WINDOWS 的安全,,最要紧的是几方面:
1,端口限制
2.权限限制
3,关闭一些危险的服务和组件
4.包过滤
5,策略审计

做好服务器安全?先要做什么?
当然先要知道,别人是怎么入侵的呀,你不知道怎么个入侵,你怎么做防范??

先来看看入侵的方式:
(别怪我罗嗦,呵呵)
1,扫描你的端口..(安全要做的是限制端口)
2.下载你的包,(安全要做的是过滤相应的包,对了,这个包,是不能吃的!别想着吃,我现在比你更饿~~~)
3.上传文件(安全要做的是.限制上传木马后门等程序,限制运行EXE等等)
4,WEBSHELL权限(第三部上传文件没限好的话,被人上传了木马,这里,,就要做好限制服务和组件了)
5.执行SHELL(设置ACL的权限,不让执行命令,不能让其加上管理员帐户等等)
6,登陆3389(这里就要做策略,限制登陆3389,如:只许某一个IP或某一个段登陆3389)
7,擦除入侵后的”脚印”(设置好日志中的审计,让他删也删不了)

大概也就是这些方方面面(别叫我教你怎么去搞别人..我是好人~~~^V^)

好了,,废话讲完,,开始实践!!!!!
我自己做例子.安装好系统,WINDOWS 2003 SP2,
这里可以下载:http://www.3v.org.cn/?p=152

装好前面我说的一大堆什么IIS   SERV-U  SQL2000  PHP  MYSQL这些东西.
一般人,也就是用这些服务吧???

1,本地安全策略或者网卡那里做端口限制
本地安全策略:
外->本地 80
外->本地 20
外->本地 21
外->本地 PASV所用到的一些端口(SERV-U,一般开放9000-9049这50个端口)
外->本地 3389
然后按照具体情况.打开SQL SERVER和MYSQL的端口
外->本地 1433
外->本地 3306
本地->外 80
除了明确允许的一律阻止.这个是安全规则的关键.
外->本地 所有协议 阻止

网卡端口限制:
<img src=”/wp-content/attachments/month_0703/k200731715121.jpg” border=”0″ alt=””/>
填写相应的TCP端口,如WEB用到80端口,SERV-U用到21端口,远程桌面用3389端口,SQLSERVER开放外网连接,用到1433端口,MYSQL开放远程连接,用

到3306端口等,
切记:如果是开了远程,一定要开3389端口啊,要不你就连不上远程了..(如果你改了3389端口,就另外填写你改的那个)

2,更改默认管理员的帐户名
将administrator改名为你好记的名字,密码设长点,,最少8位以上,,大小写,字符等.

3,磁盘权限设置..
将所有盘符的权限(如C,D,E等),全部改为只有
administrators组 全部权限
system 全部权限
如图:
[原创]Windows server 2003安装使用教程图解(3-1) -- 服务器安全设置篇

主要设置C盘权限:
C盘的所有子目录和子文件继承C盘的administrator(组或用户)和SYSTEM所有权限的两个权限
修改
C:Program FilesCommon Files 开放Everyone 默认的读取及运行 列出文件目录 读取三个权限
C:WINDOWS 开放Everyone 默认的读取及运行 列出文件目录 读取三个权限
C:WINDOWSTemp 开放Everyone 修改,读取及运行,列出文件目录,读取,写入权限
如图:
这三个目录权限都是这样设置
[原创]Windows server 2003安装使用教程图解(3-1) -- 服务器安全设置篇

Everyone 权限,很多地方都有,现在,我们一个一个找他们出来,删了!!

C:Documents and Settings下All UsersDefault User目录及其子目录,这个比较烦,要认真找找喔.
C:WINDOWSPCHealth
C:windowsInstaller

现在WebShell就无法在系统目录内写入任何文件了,如木马,EXE等等.
当然也可以使用更严格的权限.
在WINDOWS下分别目录设置权限.
可是比较复杂.效果也并不明显.而且,,还会很容易头晕..(比如我  ^O^)

4,设置系统EXE文件权限
打开c:windows  搜索:
net.exe;cmd.exe;netstat.exe;regedit.exe;at.exe;cacls.exe;regsvr32.exe;xcopy.exe;wscript.exe;cscript.exe;
ftp.exe;telnet.exe;arp.exe;edlin.exe;ping.exe;route.exe;finger.exe;posix.exe;rsh.exe;atsvc.exe;qbasic.exe;
runonce.exe;syskey.exe

修改权限,删除所有的用户只保存Administrators 和SYSTEM为所有权限
如图:
[原创]Windows server 2003安装使用教程图解(3-1) -- 服务器安全设置篇

下一篇:服务器安全设置篇(3-2) – 注册表修改  删除不安全组件  禁用无关服务

0
如无特殊说明,文章均为本站原创,转载请注明出处

该文章由 发布

这货来去如风,什么鬼都没留下!!!
发表我的评论

Hi,请填写昵称和邮箱!

取消评论
代码 贴图 加粗 链接 删除线 签到