Arma principal de las puntas de configuración de seguridad del servidor de red

Arma de la red de expertos consejos de configuración de seguridad del servidor

Sistema de reemplazo rápido, pero para el sistema Win2003 todavía hay muchos usuarios favorito. Así que aquí comparten consejos de la sección de configuración de seguridad Win2003 del sistema en un servidor de red con usted, Win2003 satisfacer las necesidades de los usuarios.

Sistema: Windows2003

Taller: [IIS] [SERV-U] [IMAIL] [SQL SERVER 2000] [php] [MySQL]

1. Los bloques de seguridad local puerto política de restricción

A. para nuestro ejemplo, la necesidad de abrir los puertos

exterior - > 80 locales

exterior - > 20 locales

exterior - > 21 locales

exterior - > utilizado como el número de puerto local
PASV

exterior - > 25 locales

exterior - > local de 110

exterior - > local de 3389

y las condiciones específicas, y el puerto de MySQL Server SQL abierta

exterior - > local de 1433

exterior - > local de 3306

B. a continuación, ser abierta desde el interior hacia fuera necesario abrir puertos

de acuerdo con la situación real, si usted no necesita servicios de correo electrónico, no abra las dos reglas siguientes

locales - > fuera 53 TCP, UDP

locales - > fuera 25

de acuerdo con las circunstancias específicas, si la necesidad de acceder a páginas web en el servidor, trate de no abrir los siguientes puertos

locales - > 80 exterior

C. Con excepción de lo expresamente permitido todo para parar, esta es la clave para las reglas de seguridad

exterior - > todos los acuerdos locales impiden
cuenta

2. El usuario

A. El administrador rebautizado , ejemplos a la raíz

B. cancelar todos excepto todos los atributos de usuario administrador root de

control remoto - > habilitar el control remoto y

configuración de Terminal Services archivo - > permitido para iniciar sesión en el servidor de terminal

C huésped se le cambió el nombre del administrador y cambie su contraseña

D. Además de la raíz administrador, IUSER y IWAM y ASPNet usuario, deshabilitar todos los demás usuarios incluyendo SQL de depuración usuario del terminal, y así sucesivamente

3. los permisos de directorio

los derechos de todas las cartas, todo cambió solamente

grupo de administradores acceso completo

istema todos los derechos

heredará el administrador de disco C (o grupo de usuarios) y el subdirectorio SYSTEM y todos los derechos de todas las subcarpetas de la unidad C de dos derechos

realizar las siguientes modificaciones

C: \\ archivos de programa \\ archivos comunes abiertas Todo el mundo lee el directorio de archivos por defecto y la lista de ejecución lee tres permisos

C: \\ WINDOWS \\ default abierta a todos permisos de lectura y ejecución de directorio archivo de lista para leer tres

C: \\ WINDOWS \\ temp abierta Todos modificar, leer y ejecutar, una lista de los archivos en el directorio, leer, escribir permisos

ahora WebShell no puede escribir archivos en el directorio del sistema. Por supuesto, puede utilizar permisos más restrictivos se establecen permisos en el directorio Windows. Pero más compleja, el efecto no es evidente.

4. IIS
ISAPI

En IIS 6, el tipo de archivo que corresponde a la extensión del tipo de aplicación se ha eliminado peligrosa IDQ, PRINT como el tipo de secuencia de comandos, España

tenemos que eliminar todos los tipos excepto para ASP y ASA en IIS 5.

montado URLSCAN

en [DenyExtensions] se añaden generalmente a continuación. cer

. cdx

. mdb

.bat

. cmd

. com

. htw

. ida

. idq

. HTR

. IDC

. shtm

. shtml

. STM

. impresora

intruso no puede descargar. la base de datos MDB, este método es más profundo que algunas de las maneras de salir de añadir caracteres especiales en la cabecera del archivo.

Debido a que incluso la adición de caracteres especiales en la cabecera del archivo, todavía se puede construir mediante la codificación de

5. Los permisos de directorio WEB

enfoque más seguro es crear un Windows para cada cliente de usuario y, a continuación, en respuesta al sitio de entrada del usuario anónimo de IIS IIS ejecutado, vinculante para el usuario y se refirió a un directorio, cambie los permisos para los administradores acceso completo

sistema de pleno derecho

solo usuario creado (o IUSER) seleccione avanzada - > abierta, excepto el control total, Recorrer carpeta /ejecutar programas, el acceso a los permisos de la propiedad adicional de tres de

Si el sitio en el servidor no es mucho, y hay foros podemos subir directorio para cada foro remove permisos de ejecución para este usuario, solamente de leer y escribir por lo que incluso si un intruso para eludir Foro WebShell subido detección de tipo de archivo no se está ejecutando.

6. MS SQL Server2000

Utilice la Cuenta Log Analyzer consulta del sistema ejecute el siguiente script de uso principal

e xec sp_dropextendedproc 'xp_cmdshell'

e xec sp_dropextendedproc 'xp_dirtree'

e xec sp_dropextendedproc 'xp_enumgroups'

e xec sp_dropextendedproc 'xp_fixeddrives'

e xec sp_opextendedpu '

e xec sp_dropextendedproc' xp_getfiledetails

e xec sp_dropextendedproc 'sp_OACreate'

e xec sp_dropextendedproc 'sp_OADestroy'

e xec sp_dropextendedproc 'sp_OAGetErrorInfo'

e xec sp_dropextendedproc 'sp_OAGetProperty'

e xec sp_dropextendedproc 'sp_OAMethod'

e xec sp_dropextendedproc 'sp_OASetProperty'

e xec sp_dropextendedproc de búsqueda: 'sp_OAStop'

e xec sp_dropextendedproc 'Xp_regaddmultistring'

e xec sp_dropextendedproc 'Xp_reg DeleteKey '

e xec sp_dropextendedproc' Xp_regdeletevalue '

e xec sp_dropextendedproc' Xp_regenumvalues'

e xec sp_dropextendedproc 'Xp_regread'

e xec sp_dropextendedproc 'Xp_regremovemultistring'

e xec sp_dropextendedproc 'Xp_regwrite'

drop procedimiento sp_makewebtask

ir a quitar toda la expansión peligrosa

7. modificar cmd.exe permiso y NET.EXE

permisos para modificar dos archivos a un administrador específico pueden tener acceso, como en este caso, hemos modificado de la siguiente manera

cmd.e xe usuario root todos los permisos

et. e xe propiedad del usuario root ahora

esto evita el acceso no autorizado

programa de ejemplo comlog- también se puede utilizar siempre y cuando el COM.EXE rebautizado _com.e xe, a continuación, reemplazar el archivo com, por lo puede grabar todas las instrucciones de línea de comandos

8. copia de seguridad

ntbackup usando estado del sistema de copia de seguridad de software, utilizando el sistema de copia de seguridad de datos críticos xe reg.e, tales como registro de exportación

LM \\ SOFTWARE \\ O DBC e: \\ backup \\ system \\ odbc.reg /a

para el sistema de copia de seguridad ODBC

9. antivirus

McAfee, que también se pueden añadir para evitar la regla directorio de windows para crear y modificar e XE. archivos DLL, añadimos programa anti-virus en el directorio WEB en software, ejecutada una vez al día, y monitoreo en tiempo real abierta.

10. Cierre servicio no utilizado

Por lo general, cerró los siguientes servicios

Examinador de equipos

Ayuda y soporte

Mensajero

cola de impresión

Registro remoto

TCP /IP NetBIOS

Si el servidor no se utiliza como un controlador de dominio, también podemos desactivar la estación de trabajo

11. cancelación componentes peligrosos

Si el servidor no requiere FSO, cancelación /uc:windows\\system32\\scrrun.dll regsvr32 de los componentes, el uso regedit para WScript.Network
bajo /HKEY_CLASSES_ROOT

WScript.Network.1
tecla

WScript.Shell

WScript.Shell.1

Shell.Application

Shell.Application.1

o cambiado de nombre eliminar

cadena se encuentra bajo estas claves contenidas CLSID

de la {72C24DD5-D70A-438B-8A42-98424B88AFB8}

a /HKEY_CLASSES_ROOT /CLSID a estas cadenas con nombre clave

Eliminar todos los

12. auditoría

política de seguridad local - > locales Estrategia - > política de auditoría

abrir los siguientes
, insuficiencia

eventos del sistema de auditoría de aciertos, el éxito de fallo

Auditar sucesos de inicio de sesión

cambio de política de auditoría de aciertos insuficiencia

éxito la gestión de cuentas de auditoría, insuficiencia

sistema de servidor de red es una parte importante de la configuración de seguridad de servidor de red, para proteger las necesidades de Internet. Aunque los pasos son complicados, pero estas operaciones son necesarias, no puede ser ignorada.