終級(jí)Winxx服務(wù)器安全配置篇

1、終級(jí)Winxx服務(wù)器安全配置篇 今天演示一下服務(wù)器權(quán)限的設(shè)置，實(shí)現(xiàn)目標(biāo)是系統(tǒng)盤(pán)任何一個(gè)目錄asp網(wǎng)馬不可以瀏覽,事件查看器完全無(wú)錯(cuò),所有程序正常運(yùn)行. 這個(gè)不同于之前做的兩個(gè)演示，此演示基本上保留系統(tǒng)默認(rèn)的那些權(quán)限組不變，保留原味,以免取消不當(dāng)造成莫名其妙的錯(cuò)誤. 看過(guò)這個(gè)演示，之前的超詳細(xì)web服務(wù)器權(quán)限設(shè)置,精確到每個(gè)文件夾和超詳細(xì)web服務(wù)器權(quán)限設(shè)置,事件查看器完全無(wú)報(bào)錯(cuò)就不用再看了.這個(gè)比原來(lái)做的有所改進(jìn).操作系統(tǒng)用的是雨林木風(fēng)的ghost鏡像,補(bǔ)丁是打上截止11.2號(hào)最新的 Power Users組是否取消無(wú)所謂 具體操作看演示 windows下根目錄的權(quán)限設(shè)置： C:WINDOWS

2、Application Compatibility Scripts 不用做任何修改，包括其下所有子目錄 C:WINDOWSAppPatch AcWebSvc.dll已經(jīng)有users組權(quán)限,其它文件加上users組權(quán)限 C:WINDOWSConnection Wizard 取消users組權(quán)限 C:WINDOWSDebug users組的默認(rèn)不改 C:WINDOWSDebugUserMode默認(rèn)不修改有寫(xiě)入文件的權(quán)限,取消users組權(quán)限,給特別的權(quán)限，看演示 C:WINDOWSDebugWPD不取消Authenticated Users組權(quán)限可以寫(xiě)入文件，創(chuàng)建目錄. C:WINDOWSDriv

3、er Cache取消users組權(quán)限,給i386文件夾下所有文件加上users組權(quán)限 C:WINDOWSHelp取消users組權(quán)限 C:WINDOWSHelpiisHelpmon取消users組權(quán)限 C:WINDOWSIIS Temporary Compressed Files默認(rèn)不修改 C:WINDOWSime不用做任何修改，包括其下所有子目錄 C:WINDOWSinf不用做任何修改，包括其下所有子目錄 C:WINDOWSInstaller 刪除everyone組權(quán)限，給目錄下的文件加上everyone組讀取和運(yùn)行的權(quán)限 C:WINDOWSjava 取消users組權(quán)限,給子目錄下的所有文

4、件加上users組權(quán)限 C:WINDOWSMAGICSET 默認(rèn)不變 C:WINDOWSMedia 默認(rèn)不變 C:WINDOWSMicrosoft.NET不用做任何修改，包括其下所有子目錄 C:WINDOWSmsagent 取消users組權(quán)限，給子目錄下的所有文件加上users組權(quán)限 C:WINDOWSmsapps 不用做任何修改，包括其下所有子目錄 C:WINDOWSmui取消users組權(quán)限 C:WINDOWSPCHEALTH 默認(rèn)不改 C:WINDOWSPCHEALTHERRORREPQHEADLES 取消everyone組的權(quán)限 C:WINDOWSPCHEALTHERRORREPQS

5、IGNOFF 取消everyone組的權(quán)限 C:WINDOWSPCHealthUploadLB 刪除everyone組的權(quán)限，其它下級(jí)目錄不用管，沒(méi)有user組和everyone組權(quán)限 C:WINDOWSPCHealthHelpCtr 刪除everyone組的權(quán)限，其它下級(jí)目錄不用管，沒(méi)有user組和everyone組權(quán)限(這個(gè)不用按照演示中的搜索那些文件了，不須添加users組權(quán)限就行) C:WINDOWSPIF 默認(rèn)不改 C:WINDOWSPolicyBackup默認(rèn)不改,給子目錄下的所有文件加上users組權(quán)限 C:WINDOWSPrefetch 默認(rèn)不改 C:WINDOWSprovis

6、ioning 默認(rèn)不改,給子目錄下的所有文件加上users組權(quán)限 C:WINDOWSpss默認(rèn)不改,給子目錄下的所有文件加上users組權(quán)限 C:WINDOWSRegisteredPackages默認(rèn)不改,給子目錄下的所有文件加上users組權(quán)限 C:WINDOWSRegistrationCRMLog默認(rèn)不改會(huì)有寫(xiě)入的權(quán)限，取消users組的權(quán)限 C:WINDOWSRegistration取消everyone組權(quán)限.加NETWORK SERVICE 給子目錄下的文件加everyone可讀取的權(quán)限, C:WINDOWSrepair取消users組權(quán)限 C:WINDOWSResources取消us

7、ers組權(quán)限 C:WINDOWSsecurity users組的默認(rèn)不改，其下Database和logs目錄默認(rèn)不改.取消templates目錄users組權(quán)限,給文件加上users組 C:WINDOWSServicePackFiles 不用做任何修改，包括其下所有子目錄 C:WINDOWSSoftwareDistribution不用做任何修改，包括其下所有子目錄 C:WINDOWSsrchasst 不用做任何修改，包括其下所有子目錄 C:WINDOWSsystem 保持默認(rèn) C:WINDOWSTAPI取消users組權(quán)限，其下那個(gè)tsec.ini權(quán)限不要改 C:WINDOWStwain_32

8、取消users組權(quán)限，給目錄下的文件加users組權(quán)限 C:WINDOWSvnDrvBas 不用做任何修改，包括其下所有子目錄 C:WINDOWSWeb取消users組權(quán)限給其下的所有文件加上users組權(quán)限 C:WINDOWSWinSxS 取消users組權(quán)限，搜索*.tlb，*.policy，*.cat，*.manifest,*.dll，給這些文件加上everyone組和users權(quán)限 給目錄加NETWORK SERVICE完全控制的權(quán)限 C:WINDOWSsystem32wbem 這個(gè)目錄有重要作用。如果不給users組權(quán)限，打開(kāi)一些應(yīng)用軟件時(shí)會(huì)非常慢。并且事件查看器中有時(shí)會(huì)報(bào)出一堆錯(cuò)誤

9、。導(dǎo)致一些程序不能正常運(yùn)行。但為了不讓webshell有瀏覽系統(tǒng)所屬目錄的權(quán)限，給wbem目錄下所有的*.dll文件users組和everyone組權(quán)限。 *.dll users;everyone 我先暫停。你操作時(shí)挨個(gè)檢查就行了 C:WINDOWS#$#%$!#$%$S#$#$%$#$%!WERa (我用的temp文件夾路徑)temp由于必須給寫(xiě)入的權(quán)限，所以修改了默認(rèn)路徑和名稱。防止webshell往此目錄中寫(xiě)入。修改路徑后要重啟生效。 至此，系統(tǒng)盤(pán)任何一個(gè)目錄是不可瀏覽的，唯一一個(gè)可寫(xiě)入的C:WINDOWStemp，又修改了默認(rèn)路徑和名稱變成C:WINDOWS#$#%$!#$%$S#$#

10、$%$#$%!WERa 這樣配置應(yīng)該相對(duì)安全了些。 我先去安裝一下幾款流行的網(wǎng)站程序，先暫停.幾款常用的網(wǎng)站程序在這樣的權(quán)限設(shè)置下完全正常。還沒(méi)有裝上sql2000數(shù)據(jù)庫(kù)，無(wú)法測(cè)試動(dòng)易xxSQL版了?？隙ㄕ！４蠹铱梢栽囋?。 服務(wù)設(shè)置： 1.設(shè)置win2k的屏幕保護(hù),用pcanywhere的時(shí)候,有時(shí)候下線時(shí)忘記鎖定計(jì)算機(jī)了，如果別人破解了你的pcanywhere密碼，就直接可以進(jìn)入你計(jì)算機(jī)，如果設(shè)置了屏保，當(dāng)你幾分鐘不用后就自動(dòng)鎖定計(jì)算機(jī)，這樣就防止了用pcanyhwerer直接進(jìn)入你計(jì)算機(jī)的可能，也是防止內(nèi)部人員破壞服務(wù)器的一個(gè)屏障 2.關(guān)閉光盤(pán)和磁盤(pán)的自動(dòng)播放功能，在組策略里面設(shè).這樣可

11、以防止入侵者惡意的autorun.inf讓你以管理員的身份運(yùn)行他的木馬，來(lái)達(dá)到提升權(quán)限的目的。可以用 share 查看默認(rèn)共享。由于沒(méi)開(kāi)server服務(wù),等于已經(jīng)關(guān)閉默認(rèn)共享了,最好還是禁用server服務(wù)。 附刪除默認(rèn)共享的命令： share c$Content$nbsp;/del share d$Content$nbsp;/del share e$Content$nbsp;/del share f$Content$nbsp;/del share ipc$Content$nbsp;/del share admin$Content$nbsp;/del 3.關(guān)閉不需要的端口和服務(wù)，在網(wǎng)絡(luò)連接里，

12、把不需要的協(xié)議和服務(wù)都刪掉，這里只安裝了基本的Inter協(xié)議（TCP/IP），由于要控制帶寬流量服務(wù)，額外安裝了Qos數(shù)據(jù)包計(jì)劃程序。在高級(jí)tcp/ip設(shè)置里-NetBIOS設(shè)置禁用tcp/IP上的NetBIOS 。 修改3389遠(yuǎn)程連接端口(也可以用工具修改更方便) 修改注冊(cè)表. 開(kāi)始-運(yùn)行-regedit 依次展開(kāi) HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/ TERMINAL SERVER/WDS/RDPWD/TDS/TCP 右邊鍵值中 PortNumber 改為你想用的端口號(hào).注意使用十進(jìn)制(例 1989 ) HKEY_LOC

13、AL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/ WINSTATIONS/RDP-TCP/ 右邊鍵值中 PortNumber 改為你想用的端口號(hào).注意使用十進(jìn)制(例 1989 ) 注意：別忘了在WINDOWSxx自帶的防火墻給+上10000端口 修改完畢.重新啟動(dòng)服務(wù)器.設(shè)置生效. 這里就不改了,你可以自己決定是否修改.權(quán)限設(shè)置的好后,個(gè)人感覺(jué)改不改無(wú)所謂 4.禁用Guest賬號(hào) 在計(jì)算機(jī)管理的用戶里面把Guest賬號(hào)禁用。為了保險(xiǎn)起見(jiàn)，最好給Guest加一個(gè)復(fù)雜的密碼。你可以打開(kāi)記事本，在里面輸入一串包含特殊字符、數(shù)字、

14、字母的長(zhǎng)字符串，然后把它作為Guest用戶的密碼拷進(jìn)去.我這里隨便復(fù)制了一段文本內(nèi)容進(jìn)去. 如果設(shè)置密碼時(shí)提示：工作站服務(wù)沒(méi)有啟動(dòng) 先去本地安全策略里把密碼策略里啟動(dòng)密碼復(fù)雜性給禁用后就可以修改了 5.創(chuàng)建一個(gè)陷阱用戶 即創(chuàng)建一個(gè)名為“Administrator”的本地用戶，把它的權(quán)限設(shè)置成最低，什么事也干不了的那種，并且加上一個(gè)超過(guò)10位的超級(jí)復(fù)雜密碼。這樣可以讓那些 Hacker們忙上一段時(shí)間，借此發(fā)現(xiàn)它們的入侵企圖。 6.本地安全策略設(shè)置 開(kāi)始菜單管理工具本地安全策略 A、本地策略審核策略 審核策略更改 成功 失敗 審核登錄事件 成功 失敗 審核對(duì)象訪問(wèn) 失敗 審核過(guò)程跟蹤 無(wú)審核 審核

15、目錄服務(wù)訪問(wèn) 失敗 審核特權(quán)使用 失敗 審核系統(tǒng)事件 成功 失敗 審核賬戶登錄事件 成功 失敗 審核賬戶管理 成功 失敗 B、本地策略用戶權(quán)限分配 關(guān)閉系統(tǒng)：只有Administrators組、其它全部刪除。 通過(guò)終端服務(wù)允許登陸：只加入Administrators,Remote Desktop Users組，其他全部刪除 運(yùn)行 gpedit.msc 計(jì)算機(jī)配置 管理模板 系統(tǒng) 顯示“關(guān)閉事件跟蹤程序” 更改為已禁用 用戶管理，建立另一個(gè)備用管理員賬號(hào)，防止特殊情況發(fā)生。安裝有終端服務(wù)與SQL服務(wù)的服務(wù)器停用TsInterUser, sQLDebugger這兩 個(gè)賬號(hào) C、本地策略安全選項(xiàng) 交

16、互式登陸：不顯示上次的用戶名 啟用 網(wǎng)絡(luò)訪問(wèn)：不允許SAM帳戶和共享的匿名枚舉 啟用 網(wǎng)絡(luò)訪問(wèn)：不允許為網(wǎng)絡(luò)身份驗(yàn)證儲(chǔ)存憑證 啟用 網(wǎng)絡(luò)訪問(wèn)：可匿名訪問(wèn)的共享 全部刪除 網(wǎng)絡(luò)訪問(wèn)：可匿名訪問(wèn)的命 全部刪除 網(wǎng)絡(luò)訪問(wèn)：可遠(yuǎn)程訪問(wèn)的注冊(cè)表路徑 全部刪除 網(wǎng)絡(luò)訪問(wèn)：可遠(yuǎn)程訪問(wèn)的注冊(cè)表路徑和子路徑 全部刪除 帳戶：重命名來(lái)賓帳戶 重命名一個(gè)帳戶 帳戶：重命名系統(tǒng)管理員帳戶 重命名一個(gè)帳戶 7.禁止dump file的產(chǎn)生 dump文件在系統(tǒng)崩潰和藍(lán)屏的時(shí)候是一份很有用的查找問(wèn)題的資料。然而，它也能夠給黑客提供一些敏感 信息比如一些應(yīng)用程序的密碼等。控制面板系統(tǒng)屬性高級(jí)啟動(dòng)和故障恢復(fù)把 寫(xiě)入調(diào)試信息 改

17、成無(wú)。 關(guān)閉華醫(yī)生Dr.Watson 在開(kāi)始-運(yùn)行中輸入“drwtsn32”，或者開(kāi)始-程序-附件-系統(tǒng)工具-系統(tǒng)信息-工具-Dr Watson，調(diào)出系統(tǒng) 里的華醫(yī)生Dr.Watson ，只保留“轉(zhuǎn)儲(chǔ)全部線程上下文”選項(xiàng)，否則一旦程序出錯(cuò)，硬盤(pán)會(huì)讀很久，并占 用大量空間。如果以前有此情況，請(qǐng)查找user.dmp文件，刪除后可節(jié)省幾十MB空間。. 在命令行運(yùn)行drwtsn32 -i 可以直接關(guān)閉華醫(yī)生,普通用戶沒(méi)什么用處 8.禁用不必要的服務(wù) 開(kāi)始-運(yùn)行-services.msc TCP/IPNetBIOS Helper提供 TCP/IP 服務(wù)上的 NetBIOS 和網(wǎng)絡(luò)上客戶端的 NetBIO

18、S 名稱解析的支持而使用戶能夠共享 文件、打印和登錄到網(wǎng)絡(luò) Server支持此計(jì)算機(jī)通過(guò)網(wǎng)絡(luò)的文件、打印、和命名管道共享 Computer Browser 維護(hù)網(wǎng)絡(luò)上計(jì)算機(jī)的最新列表以及提供這個(gè)列表 Task scheduler 允許程序在指定時(shí)間運(yùn)行 Messenger 傳輸客戶端和服務(wù)器之間的 NET SEND 和 警報(bào)器服務(wù)消息 Distributed File System: 局域網(wǎng)管理共享文件，不需要可禁用 Distributed linktracking client：用于局域網(wǎng)更新連接信息，不需要可禁用 Error reporting service：禁止發(fā)送錯(cuò)誤報(bào)告 Micro

19、soft Serch：提供快速的單詞搜索，建議禁用*不禁用移動(dòng)*.msc文件后啟動(dòng)系統(tǒng)時(shí)會(huì)報(bào)錯(cuò)。禁用后沒(méi)影響 NTLMSecuritysupportprovide：tel服務(wù)和Microsoft Serch用的，不需要可禁用 PrintSpooler：如果沒(méi)有打印機(jī)可禁用 Remote Registry：禁止遠(yuǎn)程修改注冊(cè)表 Remote Desktop Help Session Manager：禁止遠(yuǎn)程協(xié)助 Workstation 關(guān)閉的話遠(yuǎn)程N(yùn)ET命令列不出用戶組 以上是在Windows Server xx 系統(tǒng)上面默認(rèn)啟動(dòng)的服務(wù)中禁用的，默認(rèn)禁用的服務(wù)如沒(méi)特別需要的話不要啟動(dòng)。 看下我開(kāi)了

20、些什么服務(wù),大家可以參考設(shè)置一下.如果把不該禁用的服務(wù)禁了，事件查看器可能會(huì)出現(xiàn)一些報(bào)錯(cuò). 9.設(shè)置IP篩選，只開(kāi)放你所要用到的端口，這樣可以防止別人的木馬程序連接，因?yàn)槿魏我粋€(gè)網(wǎng)絡(luò)程序要和你服務(wù)器通信，都要通過(guò)端口。查看本機(jī)所開(kāi)的端口是用stat -na 命令,這兒我們開(kāi)放了80 1989 21 1433(sqlserver),5631(pcanywhere)和ip6端口,這樣設(shè)置后，一般的后門(mén)程序就無(wú)法連接到本機(jī)了，注意要重新啟動(dòng)了才有效果 附常用服務(wù)的各個(gè)端口： IIS 80 FTP 21 啟用后需要FTP客戶端關(guān)閉PSAV才能連接 SMTP 25 POP3 110 MS SQL 143

21、3 Mysql 3306 PcAnywhere 5631 Windows遠(yuǎn)程客戶端 3389 10.修改相關(guān)注冊(cè)表，個(gè)人感覺(jué)這樣的效果不大。沒(méi)去修改，僅供參考： A、防止SYN洪水攻擊 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 新建DWORD值，名為SynAttackProtect，值為2 新建EnablePMTUDiscovery REG_DWORD 0 新建NoNameReleaseOnDemand REG_DWORD 1 新建EnableDeadGWDetect REG_DWORD 0 新建KeepA

22、liveTime REG_DWORD 300,000 新建PerformRouterDiscovery REG_DWORD 0 新建EnableICMPRedirects REG_DWORD 03. 禁止響應(yīng)ICMP路由通告報(bào)文 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfacesinterface 新建DWORD值，名為PerformRouterDiscovery 值為0 B、防止ICMP重定向報(bào)文的攻擊 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServi

23、cesTcpipParameters 將EnableICMPRedirects 值設(shè)為0 C、不支持IGMP協(xié)議 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 新建DWORD值，名為IGMPLevel 值為0 D、禁止IPC空連接： cracker可以利用 use命令建立空連接，進(jìn)而入侵，還有 view，nbtstat這些都是基于空連接的，禁止空連接就好了。 Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous 把這個(gè)值改成”1”即可。

24、 E、更改TTL值 cracker可以根據(jù)ping回的TTL值來(lái)大致判斷你的操作系統(tǒng)，如： TTL=107(WINNT); TTL=108(win2000); TTL=127或128(win9x); TTL=240或241(linux); TTL=252(solaris); TTL=240(Irix); 實(shí)際上你可以自己改的：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters：DefaultTTL REG_DWORD 0-0xff(0-255 十進(jìn)制,默認(rèn)值128)改成一個(gè)莫名其妙的數(shù)字如250 11.把系統(tǒng)Admi

25、nistrator賬號(hào)改名,我的已經(jīng)改成了 中央人民政府 ?？梢园延脖P(pán)的其它分區(qū)或重要目錄設(shè)置成僅這個(gè)用戶可以訪問(wèn)。這樣即使入侵者把自己提升成了超級(jí)管理員組成員。也無(wú)法訪問(wèn)這些地方。 將Administrators組改名為其他，這樣即使系統(tǒng)出現(xiàn)了溢出漏洞，但系統(tǒng)盤(pán)下的.exe程序已被轉(zhuǎn)移刪除，想加入管理員組基本難以實(shí)現(xiàn)。何況Administrators組已被改名，用那個(gè) localgroup administrators xxx /add，不知道管理員組的名字，會(huì)提示指定的本地組不存在。這樣即使命令可用也加不上了。 最后給你的管理員帳戶設(shè)定一個(gè)非常復(fù)雜的密碼. 設(shè)置本地用戶帳號(hào)，把管理員和來(lái)賓帳號(hào)重新命名，禁止不必用的帳號(hào)，最好還要建立一個(gè)管理員備用帳號(hào),以防萬(wàn)一(提示：養(yǎng)成經(jīng)常看一看本地用戶帳號(hào)屬性的習(xí)慣，以防后門(mén)帳號(hào)) 12.控制面板的設(shè)置： 修改*.cpl(控制面板文件)的權(quán)限為只有管理員可以訪問(wèn) 移動(dòng)所有*.msc（管理控制臺(tái)文