前几天一个朋友让我帮忙把他的服务器安全配置一下,操作系统是win2003,下面偶就说以下偶所作的一些工作,希望能对需要的朋友有帮助,如果有不正确的地方请指正!
服务器是采用终端服务,放了N个网站,web服务器和数据库服务器(sqlserver2000)是同一台服务器!
下面是对服务器的一些安全配置:
1 修改终端服务的端口,这个在注册表中修改,将KEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Terminal Server/Wds/rdpwd/Tds/tcp和HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Terminal Server/WinStations/RDP-Tcp的下的PortNumber值(默认是3389)修改为自己想要设置的端口
2 禁止默认共享,例如IPC$,C$等等,这个直接停掉server服务即可,不需要修改注册表
3 打开管理工具-本地安全策略,在帐户策略-密码策略中,开启"密码必须符合复杂性要求",同时设置密码长度最小值以及密码最长使用期限;在帐户策略-帐户锁定策略中,将帐户锁定阀值设为3次,计数器以及锁定时间为30分钟;
3 打开管理工具-本地安全策略,在本地策略-安全选项中,开启不显示上次的登录用户名
4 打开管理工具-本地安全策略,在本地策略-用户权限分配中,从远程系统强制关机、关闭系统、允许在本地登陆这三项都只允许administrators操作
5 禁用无用的服务,例如Computer Browser,Distributed File System,Distributed linktracking client,Microsoft Serch,NTLMSecuritysupportprovide,PrintSpooler,Remote Registry,一般在服务器上,这些服务根本用不到
6 为每个站点建立一个用户,隶属于guests.步骤如下:建立一个隶属于Guests用户组的用户,然后在IIS中将其作为该站点的访问用户,然后将站点所在的文件夹分配权限,administrators为完全控制,新建用户只需要读取/写入即可;最后一步,打开管理工具-本地安全策略,在本地策略-用户权限分配中,将从网络访问次计算机的用户只保留administrators以及刚才新建的用户。其他站点也如此操作。
7 为各个文件夹分配权限,例如系统盘只允许administrators。这里要注意,如果站点需要用到第三方组件(DLL)需要将该文件的访问权限赋予该站点的IIS用户。另:如果站点出现“检查权限时,对 Server.CreateObject 的调用失败。拒绝对此对象的访问”的错误,不要惊慌,只要将系统盘下的Program Files/Common Files/System赋予该IIS站点用户访问权限即可
8 禁用TCP/IP上的NetBIOS
9 消除Shell隐患。HKEY_CLASSES_ROOT/Wscript.Shell/和HKEY_CLASSES_ROOT/Wscript.Shell.1/改为其他的名字,其下的CLSID的只也要修改。Shell.Application修改方法一模一样。
10 至于网上说的防止SYN洪水攻击、禁止响应ICMP路由通告报文等,这个在win2003中都是默认配置,win2003的安全性较2000提升了不少。
下面说说数据库
1 数据库打SP补丁
2 设置复杂的sa密码
3 设置端口并隐藏服务器,操作方法:打开sqlserver的服务器网络实用工具,查看TCP/IP的属性,然后修改端口并隐藏服务器
4 删除sqlserver的存储过程。删除xp_cmdshell、Xp_regaddmultistring、Xp_regdeletekey、Xp_regdeletevalue、Xp_regenumvalues、Xp_regwrite、Xp_regremovemultistring。打开查询分析其,选择数据库为master,执行exec sp_dropextendedproc '存储过程名字'。删除xpsql70.dll、xpstar.dll这两个文件,如果数据库要执行作业的话,xpstar.dll就不要删除了