win2003最安全设置
鉴于现在webshell得泛滥,网上没有比较完整得2003安全设置,故整理出不足之处请大家多侃侃系统安装windows2003advserver版本,mcafree 8.0 企业版病毒防火墙,serv-u6.0,mdaemon
系统得分区:至少3个区,c,d,e 推荐建立三个逻辑驱动器,第一个用来装系统和重要的日志文件;第二个放IIS;第三个放FTP,这样无论IIS或FTP出了安全漏洞都不会直接影响到系统目录和系统文件系统管理:Terminal Service(修改端口)互补,如PcAnyWher,remoadmin
安装顺序的选择
安装系统前拔掉网线,先安装好后打补丁sp1,在设置本地安全策略IPSec,安全日志,密码策略等等
1. 安全日志设置
推荐的审核是:
账户管理 成功 失败
登录事件 成功 失败
对象访问 失败
策略更改 成功 失败
特权使用 失败
系统事件 成功 失败
目录服务访问 失败
账户登录事件 成功 失败
2. 管理工具-服务设置
用stimulant.exe工具调整为高级模式保持确定退出
3.目录和文件权限:
为了控制好服务器上用户的权限,同时也为了预防以后可能的入侵和溢出,我们还必须非常小心地设置目录和文件的访问权限,NT的访问权限分为:读取、写入、读取及执行、修改、列目录、完全控制。在默认的情况下,大多数的文件夹对所有用户(Everyone这个组)是完全敞开的(Full Control),你需要根据应用的需要进行权限重设。
在进行权限控制时,请记住以下几个原则:
1>限是累计的:如果一个用户同时属于两个组,那么他就有了这两个组所允许的所有权限;
2>拒绝的权限要比允许的权限高(拒绝策略会先执行)如果一个用户属于一个被拒绝访问某个资源的组,那么不管其他的权限设置给他开放了多少权限,他也一定不能访问这个资源。所以请非常小心地使用拒绝,任何一个不当的拒绝都有可能造成系统无法正常运行;
3>文件权限比文件夹权限高(这个不用解释了吧?)
4>利用用户组来进行权限控制是一个成熟的系统管理员必须具有的优良习惯之一;
5>仅给用户真正需要的权限,权限的最小化原则是安全的重要保障;
取消C<D<E<F驱动盘得everyone权限改为user组
个人总结如下:
0: C:\Documents and Settings 禁止guests组
1: C:\Documents and Settings\All Users\Application Data\ 禁止guests组
2.C:\windows\system32\config\ 禁止guests组
3.C:\Documents and Settings\All Users\「开始」菜单\程序\ 禁止guests组
4.c:\windowns\system32\inetsrv\data\ 禁止guests组
5.c:\php, 禁止guests组,c:\prel 禁止guests组
6.C:\Program Files\Java Web Start\ 禁止guests组
7.c:\Documents and Settings\All Users\「开始」菜单\程序\启动 禁止guests组
8.C:\Program Files\Serv-U 禁止guests组(建议安装得时候更改目录)
4.IIS设置ASP防御(重点)
web 服务扩展:保留acitve server pages,其他都禁止
网站属性:去掉扩展名中不用得,仅保留asp,asa,等常用
shell.application"对象" WSCRIPT.SHELL等
基于shell.application组件
cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests,仅保留administrator
基于WSCRIPT.SHELL组件,基于WSCRIPT.NETWORK组件
cacls %systemroot%\system32\wshom.ocx /e /d guests //禁止guests,仅保留administrator
具体组件查看注册表中对应得dll文件,限制他得权限就可以
cscript.exe
regedt32.exe
regedit.exe
.....
很多都要设置
//仅保留administrator
9.SERV-U本地提升权限
修改管理账号是LocalAdministrator,默认密码
10. mcafree 8.0 企业版病毒防火墙设置
文件,共享资源规则中-设置选中所有,增加对c,d,e,f盘*.exe文件得新创建
增加对c:\windows\temp目录得控制,增加对c:\Documents and Settings 目录得控制
页:
[1]
