[原创]Windows server 2003安装使用教程图解(3-1) — 服务器安全设置篇
作者:giiky
来源:www.3v.org.cn
(1)服务器安全设置篇(3-1) – 入侵方法介绍 端口限制 磁盘权限设置
(2)服务器安全设置篇(3-2) – 注册表修改 删除不安全组件 禁用无关服务
(3)服务器安全设置篇(3-3) – 网站WEB目录权限 SQL SERVER2000设置
(4)服务器安全设置篇(3-4) – 备份 杀毒 审计
篇外话: 这么久,都没有写下去了,,实在不好意思,呵呵,,因为比较忙,,写这个抓图也累..
现在得赶紧写完2003的,,因为过段时间,我就会放WINDOWS SERVER 2008下载了,到时候可又得忙着写WINDOWS 2008的教程了,,象IIS 7等
等的..
–giiky
好了,废话少说,开始吧.
上篇服务器应用安装篇已说完了,至于在WINDOWS 2003上安装Apache+Servlet+JSP等运行环境的这个我就没必要说的,毕竟用的人,是少之又少.
能常入侵,,也就是几个环节,,要作出对应的安全设置,,保障服务器的安全
当然,这个必须是你的程序也是相对安全的,要不就算你的服务器做得怎么好,密码设了DFWR#34d43dfwadfdf/.==//++59978..df,5.@$^%D.这样的
密码,也是没用的..
开始正题吧,,要做好WINDOWS 的安全,,最要紧的是几方面:
1,端口限制
2.权限限制
3,关闭一些危险的服务和组件
4.包过滤
5,策略审计
做好服务器安全?先要做什么?
当然先要知道,别人是怎么入侵的呀,你不知道怎么个入侵,你怎么做防范??
先来看看入侵的方式:
(别怪我罗嗦,呵呵)
1,扫描你的端口..(安全要做的是限制端口)
2.下载你的包,(安全要做的是过滤相应的包,对了,这个包,是不能吃的!别想着吃,我现在比你更饿~~~)
3.上传文件(安全要做的是.限制上传木马后门等程序,限制运行EXE等等)
4,WEBSHELL权限(第三部上传文件没限好的话,被人上传了木马,这里,,就要做好限制服务和组件了)
5.执行SHELL(设置ACL的权限,不让执行命令,不能让其加上管理员帐户等等)
6,登陆3389(这里就要做策略,限制登陆3389,如:只许某一个IP或某一个段登陆3389)
7,擦除入侵后的”脚印”(设置好日志中的审计,让他删也删不了)
大概也就是这些方方面面(别叫我教你怎么去搞别人..我是好人~~~^V^)
好了,,废话讲完,,开始实践!!!!!
我自己做例子.安装好系统,WINDOWS 2003 SP2,
这里可以下载:http://www.3v.org.cn/?p=152
装好前面我说的一大堆什么IIS SERV-U SQL2000 PHP MYSQL这些东西.
一般人,也就是用这些服务吧???
1,本地安全策略或者网卡那里做端口限制
本地安全策略:
外->本地 80
外->本地 20
外->本地 21
外->本地 PASV所用到的一些端口(SERV-U,一般开放9000-9049这50个端口)
外->本地 3389
然后按照具体情况.打开SQL SERVER和MYSQL的端口
外->本地 1433
外->本地 3306
本地->外 80
除了明确允许的一律阻止.这个是安全规则的关键.
外->本地 所有协议 阻止
网卡端口限制:
<img src=”/wp-content/attachments/month_0703/k200731715121.jpg” border=”0″ alt=””/>
填写相应的TCP端口,如WEB用到80端口,SERV-U用到21端口,远程桌面用3389端口,SQLSERVER开放外网连接,用到1433端口,MYSQL开放远程连接,用
到3306端口等,
切记:如果是开了远程,一定要开3389端口啊,要不你就连不上远程了..(如果你改了3389端口,就另外填写你改的那个)
2,更改默认管理员的帐户名
将administrator改名为你好记的名字,密码设长点,,最少8位以上,,大小写,字符等.
3,磁盘权限设置..
将所有盘符的权限(如C,D,E等),全部改为只有
administrators组 全部权限
system 全部权限
如图:
主要设置C盘权限:
C盘的所有子目录和子文件继承C盘的administrator(组或用户)和SYSTEM所有权限的两个权限
修改
C:Program FilesCommon Files 开放Everyone 默认的读取及运行 列出文件目录 读取三个权限
C:WINDOWS 开放Everyone 默认的读取及运行 列出文件目录 读取三个权限
C:WINDOWSTemp 开放Everyone 修改,读取及运行,列出文件目录,读取,写入权限
如图:
这三个目录权限都是这样设置
Everyone 权限,很多地方都有,现在,我们一个一个找他们出来,删了!!
C:Documents and Settings下All UsersDefault User目录及其子目录,这个比较烦,要认真找找喔.
C:WINDOWSPCHealth
C:windowsInstaller
现在WebShell就无法在系统目录内写入任何文件了,如木马,EXE等等.
当然也可以使用更严格的权限.
在WINDOWS下分别目录设置权限.
可是比较复杂.效果也并不明显.而且,,还会很容易头晕..(比如我 ^O^)
4,设置系统EXE文件权限
打开c:windows 搜索:
net.exe;cmd.exe;netstat.exe;regedit.exe;at.exe;cacls.exe;regsvr32.exe;xcopy.exe;wscript.exe;cscript.exe;
ftp.exe;telnet.exe;arp.exe;edlin.exe;ping.exe;route.exe;finger.exe;posix.exe;rsh.exe;atsvc.exe;qbasic.exe;
runonce.exe;syskey.exe
修改权限,删除所有的用户只保存Administrators 和SYSTEM为所有权限
如图:
下一篇:服务器安全设置篇(3-2) – 注册表修改 删除不安全组件 禁用无关服务
- 转载请注明来源:[原创]Windows server 2003安装使用教程图解(3-1) — 服务器安全设置篇
- 本文永久链接地址:https://3v.org.cn/?p=245
Warning: Use of undefined constant PRC - assumed 'PRC' (this will throw an Error in a future version of PHP) in /www/wwwroot/3v.org.cn/wp-content/themes/Play-LM/comments.php on line 20