Arma de la red de expertos consejos de configuración de seguridad del servidor
Sistema de reemplazo rápido, pero para el sistema Win2003 todavía hay muchos usuarios favorito. Así que aquí comparten consejos de la sección de configuración de seguridad Win2003 del sistema en un servidor de red con usted, Win2003 satisfacer las necesidades de los usuarios.
Sistema: Windows2003
Taller: [IIS] [SERV-U] [IMAIL] [SQL SERVER 2000] [php] [MySQL]
1. Los bloques de seguridad local puerto política de restricción
A. para nuestro ejemplo, la necesidad de abrir los puertos
exterior - > 80 locales
exterior - > 20 locales
exterior - > 21 locales
exterior - > utilizado como el número de puerto local
PASV
exterior - > 25 locales
exterior - > local de 110
exterior - > local de 3389
y las condiciones específicas, y el puerto de MySQL Server SQL abierta
exterior - > local de 1433
exterior - > local de 3306
B. a continuación, ser abierta desde el interior hacia fuera necesario abrir puertos
de acuerdo con la situación real, si usted no necesita servicios de correo electrónico, no abra las dos reglas siguientes
locales - > fuera 53 TCP, UDP
locales - > fuera 25
de acuerdo con las circunstancias específicas, si la necesidad de acceder a páginas web en el servidor, trate de no abrir los siguientes puertos
locales - > 80 exterior
C. Con excepción de lo expresamente permitido todo para parar, esta es la clave para las reglas de seguridad
exterior - > todos los acuerdos locales impiden
cuenta
2. El usuario
A. El administrador rebautizado , ejemplos a la raíz
B. cancelar todos excepto todos los atributos de usuario administrador root de
control remoto - > habilitar el control remoto y
configuración de Terminal Services archivo - > permitido para iniciar sesión en el servidor de terminal
C huésped se le cambió el nombre del administrador y cambie su contraseña
D. Además de la raíz administrador, IUSER y IWAM y ASPNet usuario, deshabilitar todos los demás usuarios incluyendo SQL de depuración usuario del terminal, y así sucesivamente
3. los permisos de directorio
los derechos de todas las cartas, todo cambió solamente
grupo de administradores acceso completo
istema todos los derechos
heredará el administrador de disco C (o grupo de usuarios) y el subdirectorio SYSTEM y todos los derechos de todas las subcarpetas de la unidad C de dos derechos
realizar las siguientes modificaciones
C: \\ archivos de programa \\ archivos comunes abiertas Todo el mundo lee el directorio de archivos por defecto y la lista de ejecución lee tres permisos
C: \\ WINDOWS \\ default abierta a todos permisos de lectura y ejecución de directorio archivo de lista para leer tres
C: \\ WINDOWS \\ temp abierta Todos modificar, leer y ejecutar, una lista de los archivos en el directorio, leer, escribir permisos
ahora WebShell no puede escribir archivos en el directorio del sistema. Por supuesto, puede utilizar permisos más restrictivos se establecen permisos en el directorio Windows. Pero más compleja, el efecto no es evidente.
4. IIS
ISAPI
En IIS 6, el tipo de archivo que corresponde a la extensión del tipo de aplicación se ha eliminado peligrosa IDQ, PRINT como el tipo de secuencia de comandos, España
tenemos que eliminar todos los tipos excepto para ASP y ASA en IIS 5.
montado URLSCAN
en [DenyExtensions] se añaden generalmente a continuación. cer
. cdx
. mdb
.bat
. cmd
. com
. htw
. ida
. idq
. HTR
. IDC
. shtm
. shtml
. STM
. impresora
intruso no puede descargar. la base de datos MDB, este método es más profundo que algunas de las maneras de salir de añadir caracteres especiales en la cabecera del archivo.
Debido a que incluso la adición de caracteres especiales en la cabecera del archivo, todavía se puede construir mediante la codificación de
5. Los permisos de directorio WEB
enfoque más seguro es crear un Windows para cada cliente de usuario y, a continuación, en respuesta al sitio de entrada del usuario anónimo de IIS IIS ejecutado, vinculante para el usuario y se refirió a un directorio, cambie los permisos para los administradores acceso completo
sistema de pleno derecho
solo usuario creado (o IUSER) seleccione avanzada - > abierta, excepto el control total, Recorrer carpeta /ejecutar programas, el acceso a los permisos de la propiedad adicional de tres de
Si el sitio en el servidor no es mucho, y hay foros podemos subir directorio para cada foro remove permisos de ejecución para este usuario, solamente de leer y escribir por lo que incluso si un intruso para eludir Foro WebShell subido detección de tipo de archivo no se está ejecutando.
6. MS SQL Server2000
Utilice la Cuenta Log Analyzer consulta del sistema ejecute el siguiente script de uso principal
e xec sp_dropextendedproc 'xp_cmdshell'
e xec sp_dropextendedproc 'xp_dirtree'
e xec sp_dropextendedproc 'xp_enumgroups'
e xec sp_dropextendedproc 'xp_fixeddrives'
e xec sp_opextendedpu '
e xec sp_dropextendedproc' xp_getfiledetails
e xec sp_dropextendedproc 'sp_OACreate'
e xec sp_dropextendedproc 'sp_OADestroy'
e xec sp_dropextendedproc 'sp_OAGetErrorInfo'
e xec sp_dropextendedproc 'sp_OAGetProperty'
e xec sp_dropextendedproc 'sp_OAMethod'
e xec sp_dropextendedproc 'sp_OASetProperty'
e xec sp_dropextendedproc de búsqueda: 'sp_OAStop'
e xec sp_dropextendedproc 'Xp_regaddmultistring'
e xec sp_dropextendedproc 'Xp_reg DeleteKey '
e xec sp_dropextendedproc' Xp_regdeletevalue '
e xec sp_dropextendedproc' Xp_regenumvalues'
e xec sp_dropextendedproc 'Xp_regread'
e xec sp_dropextendedproc 'Xp_regremovemultistring'
e xec sp_dropextendedproc 'Xp_regwrite'
drop procedimiento sp_makewebtask
ir a quitar toda la expansión peligrosa
7. modificar cmd.exe permiso y NET.EXE
permisos para modificar dos archivos a un administrador específico pueden tener acceso, como en este caso, hemos modificado de la siguiente manera
cmd.e xe usuario root todos los permisos
et. e xe propiedad del usuario root ahora
esto evita el acceso no autorizado
programa de ejemplo comlog- también se puede utilizar siempre y cuando el COM.EXE rebautizado _com.e xe, a continuación, reemplazar el archivo com, por lo puede grabar todas las instrucciones de línea de comandos
8. copia de seguridad
ntbackup usando estado del sistema de copia de seguridad de software, utilizando el sistema de copia de seguridad de datos críticos xe reg.e, tales como registro de exportación
LM \\ SOFTWARE \\ O DBC e: \\ backup \\ system \\ odbc.reg /a
para el sistema de copia de seguridad ODBC
9. antivirus
McAfee, que también se pueden añadir para evitar la regla directorio de windows para crear y modificar e XE. archivos DLL, añadimos programa anti-virus en el directorio WEB en software, ejecutada una vez al día, y monitoreo en tiempo real abierta.
10. Cierre servicio no utilizado
Por lo general, cerró los siguientes servicios
Examinador de equipos
Ayuda y soporte
Mensajero
cola de impresión
Registro remoto
TCP /IP NetBIOS
Si el servidor no se utiliza como un controlador de dominio, también podemos desactivar la estación de trabajo
11. cancelación componentes peligrosos
Si el servidor no requiere FSO, cancelación /uc:windows\\system32\\scrrun.dll regsvr32 de los componentes, el uso regedit para WScript.Network
bajo /HKEY_CLASSES_ROOT
WScript.Network.1
tecla
WScript.Shell
WScript.Shell.1
Shell.Application
Shell.Application.1
o cambiado de nombre eliminar
cadena se encuentra bajo estas claves contenidas CLSID
de la {72C24DD5-D70A-438B-8A42-98424B88AFB8}
a /HKEY_CLASSES_ROOT /CLSID a estas cadenas con nombre clave
Eliminar todos los
12. auditoría
política de seguridad local - > locales Estrategia - > política de auditoría
abrir los siguientes
, insuficiencia
eventos del sistema de auditoría de aciertos, el éxito de fallo
Auditar sucesos de inicio de sesión
cambio de política de auditoría de aciertos insuficiencia
éxito la gestión de cuentas de auditoría, insuficiencia
sistema de servidor de red es una parte importante de la configuración de seguridad de servidor de red, para proteger las necesidades de Internet. Aunque los pasos son complicados, pero estas operaciones son necesarias, no puede ser ignorada.
Red privada virtual (VPN) se refiere a la tecnología para establecer una red privad
El lanzamiento del suave sistema operativo Windows Server 2003 permite que todos us
En el sistema win2003, los usuarios pueden escribir datos en carpetas compartidas s
En ASP, FSO es el significado de un objeto del sistema de archivos. El sistema de a
Dos pasos principales para crear un sistema de seguridad para win2003
Le enseñará cómo iniciar su computadora en modo seguro
Varias medidas para hacer su victoria 2003 más segura
Explique las "herramientas de gestión" de Win2000 /XP
Cómo deshacer el modo de inicio de sesión de ctrl + shift + alt en windows 2003
Master borra la forma en que Windows utiliza por defecto la lista grande
Una forma sencilla de permitir que Windows 2003 admita la comunicación por infrarrojos
Varios ajustes para limitar el poder de las cuentas de usuario
Introducción al uso de la utilidad de configuración del sistema
Win2003 para eliminar los métodos de acceso a aplicaciones ilegales
El icono de borrado del historial del sistema maestro tiene un truco.
Win2003 potente herramienta de administración de inicio de sesión -LimitLogin
Win7 cómo usar el administrador de tareas para ver la memoria virtual ocupada por el programa
La transmisión de datos en la capa de enlace de la pila de protocolos Linux - recepción de datos
La actualización de la exposición de Win10 Redstone 4 ya está en desarrollo: ver 2018 temprano
Actualmente, el sistema Microsoft Windows Blue es conocido por el resumen de nuevas características
¿Qué pasa si falta el icono de escritorio de Win8?
Recuperar archivos borrados de Windows 7
Cómo desinstalar rápidamente la aplicación
En qué se diferencia Win8 de la configuración de red anterior