黑客大多通过端口进行入侵,所以你的服务器只能开放你需要的端口,那么你需要哪些端口呢?以下是常用端口,你可根据需要取舍:
80为Web网站服务;21为FTP服务;25 为E-mail SMTP服务;110为Email POP3服务。
其他还有SQL Server的端口1433等,你可到网上查找相关资料。那些不用的端口一定要关闭!关闭这些端口,我们可以通过Windows 2000的安全策略进行。
借助它的安全策略,完全可以阻止入侵者的攻击。你可以通过“管理工具→本地安全策略”进入,右击“IP安全策略”,选择“创建IP安全策略”,点[下一步]。输入安全策略的名称,点[下一步],一直到完成,你就创建了一个安全策略:
接着你要做的是右击“IP安全策略”,进入管理IP筛选器和筛选器操作,在管理IP筛选器列表中,你可以添加要封锁的端口,这里以关闭ICMP和139端口为例说明。
关闭了ICMP,黑客软件如果没有强制扫描功能就不能扫描到你的机器,也Ping不到你的机器。关闭ICMP的具体操作如下:点[添加],然后在名称中输入“关闭ICMP”,点右边的[添加],再点[下一步]。在源地址中选“任何IP地址”,点[下一步]。在目标地址中选择“我的IP地址”,点[下一步]。在协议中选择“ICMP”,点[下一步]。回到关闭ICMP属性窗口,即关闭了ICMP。
下面我们再设置关闭139,同样在管理IP筛选器列表中点“添加”,名称设置为“关闭139”,点右边的“添加”,点[下一步]。在源地址中选择“任何IP地址”,点[下一步]。在目标地址中选择“我的IP地址”,点[下一步]。在协议中选择“TCP”,点[下一步]。在设置IP协议端口中选择从任意端口到此端口,在此端口中输入139,点[下一步]。即完成关闭139端口,其他的端口也同样设置.
然后进入设置管理筛选器操作,点“添加”,点[下一步],在名称中输入“拒绝”,点[下一步]。选择“阻止”,点[下一步]。
然后关闭该属性页,右击新建的IP安全策略“安全”,打开属性页。在规则中选择“添加”,点[下一步]。选择“此规则不指定隧道”,点[下一步]。在选择网络类型中选择“所有网络连接”,点[下一步]。在IP筛选器列表中选择“关闭ICMP”,点[下一步]。在筛选器操作中选择“拒绝”,点[下一步]。这样你就将“关闭ICMP”的筛选器加入到名为“安全”的IP安全策略中。同样的方法,你可以将“关闭139”等其他筛选器加入进来。
最后要做的是指派该策略,只有指派后,它才起作用。方法是右击“安全”,在菜单中选择“所有任务”,选择“指派”。IP安全设置到此结束,你可根据自己的情况,设置相应的策略。
同样可以关闭传奇端口:5500,7000,7100,5100,5000,7200,16300,16301,16302,6000,5600,4900,10000这些端口,来防止玩家复制装备的目的,配合shell还可以完全实现全自动断开端口后自动重新启动,自动运行。
-------------------
|
REM =================开始================
netsh ipsec static add policy name=bim REM 添加2个动作,block和permit REM 首先禁止所有访问 REM 开放某些IP无限制访问 REM 开放某些端口 REM 开放某些ip可以访问某些端口 |
------------------
从内向外,配置服务器安全
第一 :给cmd加密
主要是防止溢出方面,大家都知道微软的系统溢出漏洞到处可见,再者骇客们进入计算机的着重途径就是拿下cmd权限所以给cmd加密是第一步的窗户纸防御。
首先:写一段批处理文件
代码如下:
================================
@echo off??
color a????????????????????????????????????????????????????? /:改变颜色
cls
title???
set pass=0
set time=0
echo???
echo 队长别开枪是我啊/////要密码验证才可以哦! /:没什么意思嘿嘿
:start
set /p pass=请输入cmd密码:
if %pass%==123 goto ok?? 123 /:是我设置的密码,你也可以修改成自己的.
if %time%==0 goto end
set /a times=%time%-1
:end
exit
cls
:ok
title 密码正确!欢迎进入莫无名的dos世界! /:输入密码正确后进入的标题
===============================
代码结束,另存格式为.bat格式放到xx盘下。随后进入注册表,找到如下位置:hkey_local_machine-software-microsoft-command processor双击autorun,输入你批处理的绝对路径即可。之后用户要进入cmd时就需输入设置密码,密码正确进入,不正确将自动退出。
第二、关闭高危端口
首先创建ip筛选器和筛选器操作
1、"开始"->"程序"->"管理工具"->"本地安全策略",微软建议使用本地安全策略进行ipsec的设置,因为本地安全策略只应用到本地计算机上,而通常ipsec都是针对某台计算机量身定作的。
2、右击"ip安全策略,在本地机器",选择"管理 ip 筛选器表和筛选器操作",启动管理 ip 筛选器表和筛选器操作对话框。只有创建一个ip筛选器和相关操作才能够建立一个相应的ipsec安全策略.
3、在"管理 ip 筛选器表"中,按"添加"按钮建立新的ip筛选器:
1)、在跳出的ip筛选器列表对话框内,填上合适的名称,我们这儿使用"tcp135",描述随便填写.单击右侧的"添加..."按钮,启动ip筛选器向导;
2)、跳过欢迎对话框,下一步;
3)、在ip通信源页面,源地址选"任何ip地址",下一步;
4)、在ip通信目标页面,目标地址选"我的ip地址",下一步;
5)、在ip协议类型页面,选择"tcp".下一步;
6)、在ip协议端口页面,选择"到此端口"并设置为"135",其它不变.下一步;
7)、完成后关闭ip筛选器列表对话框时会发现tcp135ip筛选器出现在ip筛选器列表中。
注:可接着增加端口号,方法同上,这里不在一一陈述。
4、选择"管理筛选器操作"标签,创建一个拒绝操作:
1)单击"添加"按钮,启动"筛选器操作向导",下一步;
2)在筛选器操作名称页面,填写名称,这儿填写"拒绝",下一步;
3)在筛选器操作常规选项页面,将行为设置为"阻止",下一步;
4)完成,关闭"管理 ip 筛选器表和筛选器操作"对话框。
接着创建ip安全策略
1、右击"ip安全策略,在本地机器"选择"创建ip安全策略",启动ip安全策略向导,跳过欢迎页面,下一步;
2、在ip安全策略名称页面,填写合适的ip安全策略名称,这儿我们可以填写"拒绝对tcp135端口的访问",描述可以随便填写,下一步;
3、在安全通信要求页面,不选择"激活默认响应规则",下一步;
4.、在完成页面选择"编辑属性",完成。
5、在"拒绝对tcp135端口的访问属性"对话框中进行设置,首先设置规则:
1)、单击下面的"添加..."按钮,启动安全规则向导,下一步;
2)、在隧道终结点页面选择默认的"此规则不指定隧道",下一步;
3)、在网络类型页面选择默认的"所有网络连接",下一步;
4)、在身份验证方法页面选择默认的"windows 2000默认值(kerberos v5 协议)",下一步;
5)、在ip筛选器列表页面选择刚建立的"tcp135"筛选器,下一步;
6)、在筛选器操作页面刚建立的"拒绝"操作,下一步;
7)、在完成页面中不选择"编辑属性",随后确定完成,关闭"拒绝对tcp135端口的访问属性"对话框即可。
指派和应用ipsec安全策略
1、缺省情况下,任何ipsec安全策略都未被指派.首先我们要对新建立的安全策略进行指派,在本地安全策略mmc中,右击我们刚刚建立的""拒绝对tcp135端口的访问属性"安全策略,选择"指派。
2、立即刷新组策略,使用"secedit /refreshpolicy machine_policy"命令可立即刷新组策略。
通过以上方法融会贯通可以关闭自己本机不需要的端口,至于哪些是高危,在这里就不用我说了吧。
第三、检测服务器
在这里服务器本身的安全设置基本完成一半了,大家可以使用流光或者x-san 等扫描软件在其他机器上对服务器进行扫描看看还有哪些方面有问题,正常来说2003本身安全性就比较高,应该是没问题了,如果条件不允许没有以上骇客软件的话也可登录天网防火墙的官方网站上面有在线端口扫描,可以帮助你检测下自己的服务器。
第四、iis方面
windows2003的系统使用iis 6.0的默认的安全已经很不错了,在安装iis的时候不推荐开始--控制面板--安装删除程序-系统组件安装,不推荐以上,2003里面有一个管理你的服务器用那个安装相对比较好适用新手,因为你每安装一步都会有相应的说明,不需要的服务就别装,iis的基本设置就不用说了吧应该都会吧网上的文章满天飞,不用的扩展删除。
第五、web设置
提到这个web就头痛哈,最容易出问题的地方,上传、注入,等等到处都是,面对众多的asp 、php 、jsp等等后门木马我们怎么办,尤其大型网站诸多版块要是你去一个一个测试那可是长期的工作了,上传漏洞多数因为网站程序本身对后缀的过滤不严格,注入一般是因为网站程序的字符过滤问题,在这里笔者着重于说明的是如何配置安全服务器,对于网站程序本身的漏洞就不解释了,笔者也不专业,笔者用了一款比较流行的asp后门做的测试,相对相对设置如下:
首先设置:所有盘、windows、documents and settings、program files 等只允许系统管理员用户访问,其他删除,这样就可以防止asp木马浏览你的系统盘了,(系统盘为ntfs)也可以单独建立一个用户,此用户设置权限为最低,然后指派给此用户专门就给web单独工作。
一、禁用服务里面workstation 服务,可以防止列出用户和服务。
二、使用wscript.shell组件
wscript.shell可以调用系统内核运行dos基本命令 可以通过修改注册表,将此组件改名,来防止此类木马的危害。将注册表下的hkey_classes_root/wscript.shell/及hkey_classes_root/wscript.shell.1/ 改名为其它的名字,如:改为wscript.shell_changename或 wscript.shell.1_changename。自己以后调用的时候使用这个就可以正常调用此组件了,同时也要将clsid值也改动 hkey_classes_root/wscript.shell/clsid/项目的值 ,hkey_classes_root/wscript.shell.1/clsid/项目的值,并禁止使用guest用户使用shell32.dll来防止调用此组件。使用命令:regsvr32 wshom.ocx /u也可以将其删除,来防止此类木马的危害。
----------------------
----------------------