Windows Server可以被配置為多種角色，Windows Server 2003 可以被配置為域控制器、成員服務(wù)器、基礎(chǔ)設(shè)施服務(wù)器、文件服務(wù)器、打印服務(wù)器、IIS服務(wù)器、IAS服務(wù)器、終端服務(wù)器等等。而且服務(wù)器可以被設(shè)置為幾種角色的綜合。

鐵通數(shù)據(jù)中心機(jī)房存在多臺(tái)不同角色的服務(wù)器，例如：備份服務(wù)器，終端服務(wù)器，Web服務(wù)器等，大部分是集各種角色于一身的服務(wù)器，所以有必要制作一份完整的安全方案文檔以供參考，綜合了部分虛擬主機(jī)公司的方案以及網(wǎng)絡(luò)整理的資料和個(gè)人的一些經(jīng)驗(yàn)，制作此方案。

總的來說，做為一個(gè)集各種角色為一身的服務(wù)器，主要是從以下幾個(gè)方面進(jìn)行安全加固設(shè)置：組件安全、端口安全、Windows常見自帶程序的安全設(shè)置、遠(yuǎn)程終端安全、第三方軟件的安全設(shè)置、木馬病毒的防范設(shè)置、系統(tǒng)服務(wù)設(shè)置、帳號(hào)安全問題、日志安全設(shè)置、MSSQL安全設(shè)置、常見危險(xiǎn)協(xié)議的刪除、日常服務(wù)器安全檢測(cè)、目錄權(quán)限設(shè)置、DDOS攻擊的設(shè)置、MYSQL安全設(shè)置、php安全設(shè)置。

注意：下面的策略是本著安全最大化的目的來執(zhí)行的，實(shí)際操作中，要本著服務(wù)器正常應(yīng)用與安全盡量化兩者同時(shí)兼并的標(biāo)準(zhǔn)來進(jìn)行。

組件安全：

一、禁止使用FileSystemObject組件

FileSystemObject可以對(duì)文件進(jìn)行常規(guī)操作以及進(jìn)行各種存在安全隱患的操作,可以通過修改注冊(cè)表，將此組件改名，來防止利用FSO組件的ASP木馬的危害。

步驟1：HKEY_CLASSES_ROOT\Scripting.FileSystemObject\ 名為其它的名字，如：改為 FileSystemObject_ChangeName，如果ASP程序必須使用這個(gè)組件，那么在代碼中改相應(yīng)的名稱

步驟2：將clsid值也改一下，HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\項(xiàng)目的值，也可以將其刪除，來防止此類木馬的危害。

步驟3：將此組件注銷：RegSVR32 /u C:\WINDOWS\SYSTEM32\scrrun.dll

步驟4：禁止Guest用戶使用FSO組件文件：scrrun.dll，命令：cacls C:\WINDOWS\system32\scrrun.dll /e /d guests

注意：部分流行網(wǎng)站程序中的功能可能會(huì)用到FSO組件，在一般情況下，請(qǐng)修改ASP程序文件中對(duì)應(yīng)的FSO名和clsid值為修改過后的服務(wù)器中的值。

(注：此組件的注銷可能會(huì)影響到很多asp網(wǎng)站程序中部分功能的使用，例如上傳等，如果必要，那么利用命令RegSVR32 C:\WINDOWS\SYSTEM32\scrrun.dll重新注冊(cè)。)

二、禁止使用WScript.Shell組件

WScript.Shell可以調(diào)用系統(tǒng)內(nèi)核運(yùn)行DOS基本命令，可以通過修改注冊(cè)表，將此組件改名，來防止此類木馬的危害。

步驟1：HKEY_CLASSES_ROOT\WScript.Shell\及HKEY_CLASSES_ROOT\WScript.Shell.1\改名為其它的名字，如：改為WScript.Shell_ChangeName 或 WScript.Shell.1_ChangeName，自己以后調(diào)用的時(shí)候使用這個(gè)就可以正常調(diào)用此組件了

步驟2：將clsid值也改一下HKEY_CLASSES_ROOT\WScript.Shell\CLSID\項(xiàng)目的值和HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\項(xiàng)目的值也可以將其刪除，來防止此類木馬的危害。

注意：一般情況下，這個(gè)組件很少被網(wǎng)站程序應(yīng)用到，但是如果要用，請(qǐng)修改ASP程序文件中對(duì)應(yīng)的WSH名和clsid值為修改過后的服務(wù)器中的值。

三、禁止使用Shell.Application組件

Shell.Application可以調(diào)用系統(tǒng)內(nèi)核運(yùn)行DOS基本命令，可以通過修改注冊(cè)表，將此組件改名，來防止此類木馬的危害。

步驟1：HKEY_CLASSES_ROOT\Shell.Application\及HKEY_CLASSES_ROOT\Shell.Application.1\改名為其它的名字，如：改為Shell.Application_ChangeName 或 Shell.Application.1_ChangeName，自己以后調(diào)用的時(shí)候使用這個(gè)就可以正常調(diào)用此組件了

步驟2：也要將clsid值也改一下，HKEY_CLASSES_ROOT\Shell.Application\CLSID\項(xiàng)目的值和HKEY_CLASSES_ROOT\Shell.Application\CLSID\項(xiàng)目的值，也可以將其刪除，來防止此類木馬的危害。

步驟3：注銷Shell.Application組件文件：regsvr32/u C:\WINDOWS\system32\shell32.dll

步驟4：禁止Guest用戶使用shell32.dll來防止調(diào)用此組件：cacls C:\WINDOWS\system32\shell32.dll /e /d guests。

以上設(shè)置做完之后，重新啟動(dòng)服務(wù)器。幾個(gè)危險(xiǎn)組件就徹底禁止掉了。核對(duì)下它們是否禁止成功，可以用ASP探針aspcheck.asp來探測(cè)下組件安全性?？梢钥吹浇沟舻膸讉€(gè)組件是叉號(hào)表示。

防范了大部分主流的ASP木馬，當(dāng)然一些偏門的asp木馬仍然需要注意，這些偏門的ASP木馬：例如利用adodb.stream的木馬等，這些基本上利用下面要講解到的安全措施進(jìn)行防范。

#p#

端口安全：

可以使用TCP/IP的過濾或者Windows 2003自帶防火墻來實(shí)現(xiàn)端口的安全，下面逐個(gè)講解。

一、Windows 自帶防火墻（Windows Firewall/Internet Connection Sharing (ICS)）

步驟1：網(wǎng)上鄰居—>（右鍵）屬性—>本地連接—>（右鍵）屬性—>高級(jí)—>（選中）Internet 連接防火墻—>設(shè)置 服務(wù)器上面要用到的服務(wù)端口選中

例如：一臺(tái)WEB服務(wù)器，要提供WEB（80）、FTP（21）服務(wù)及遠(yuǎn)程桌面管理（3389）在“FTP 服務(wù)器”、“WEB服務(wù)器（HTTP）”、“遠(yuǎn)程桌面”、“安全WEB服務(wù)器”前面打上對(duì)號(hào)

如果你要提供服務(wù)的端口不在里面，你也可以點(diǎn)擊“添加”銨鈕來添加，SMTP和POP3根據(jù)需要打開

具體參數(shù)可以參照系統(tǒng)里面原有的參數(shù)。

步驟2：然后點(diǎn)擊確定。注意：如果是遠(yuǎn)程管理這臺(tái)服務(wù)器，請(qǐng)先確定遠(yuǎn)程管理的端口是否選中或添加。

一般需要打開的端口有：21、 25、 80、 110、 443、 3389、 等，根據(jù)需要開放需要的端口。注意將TCP/IP端口里面的10001-10005（需要用算法計(jì)算，下面會(huì)講解到此算法）設(shè)置進(jìn)去，因?yàn)檫@是設(shè)置Serv-U的PASV模式使用的端口，當(dāng)然也可以使用別的。

二、WindowsTCP/IP的過濾

桌面上右擊網(wǎng)上鄰居--屬性--雙擊打開外網(wǎng)網(wǎng)卡，選擇Internet 協(xié)議（TCP/IP）--高級(jí)--切換到“高級(jí)TCP/IP設(shè)置”中的選項(xiàng)標(biāo)簽下，選擇“TCP/IP篩選”，這里有三個(gè)過濾器，分別為：TCP端口、UDP端口和IP 協(xié)議，我們用TCP端口，將常用的端口添加進(jìn)去。除了常見的服務(wù)程序應(yīng)用端口外，仍然需要注意的是Serv-u的隨機(jī)端口的設(shè)置。這個(gè)設(shè)置直接關(guān)系到用戶訪問FTP時(shí)是否會(huì)出現(xiàn)Socket錯(cuò)誤。這里需要計(jì)算Serv-u的隨機(jī)端口列表。參看下面“注意”中的隨機(jī)端口計(jì)算。

注意：關(guān)于客戶端軟件出現(xiàn)Socket錯(cuò)誤的幾種可能的解決辦法：

1、   將客戶端軟件的傳輸方式改為PASV方式

2、   根據(jù)Serv-u隨機(jī)端口的算法，將計(jì)算出的隨機(jī)端口列表添加到TCP/IP篩選中。例如：

客戶端設(shè)置成被動(dòng)方式，鏈接FTP服務(wù)器，會(huì)由于隨機(jī)端口沒有設(shè)置而出錯(cuò)，從軟件中的出錯(cuò)信息中找到類似這樣227 Entering Passive Mode (60,195,253,118,3,52)（格式：IP，m,n）找到它，我們利用公式計(jì)算出如果客戶端用被動(dòng)方式登錄服務(wù)器時(shí)，服務(wù)器要?jiǎng)討B(tài)開放的第一個(gè)端口值。公式為m*256+n,上例中應(yīng)該是3*256+52=820，所以把隨機(jī)端口列表820-830添加進(jìn)去。注意：不要和已知存在的應(yīng)用程序的端口沖突，例如mssql，mysql，termservice等端口。

3、   南北互聯(lián)問題，這個(gè)問題的幾率不大，沒確切憑據(jù)。

三、端口與列表的進(jìn)程關(guān)聯(lián)查看

經(jīng)常使用Activex Ports，psport， TCPView等小工具查看服務(wù)器端口對(duì)應(yīng)的進(jìn)程，可以防止一些低級(jí)別的木馬后門植入。

同時(shí)也要檢查常見的啟動(dòng)項(xiàng)，低級(jí)別的木馬也喜歡在這些地方加載達(dá)到隨機(jī)啟動(dòng)，可以利用小工具msconfig查看。

#p#

Windows常見自帶程序的安全設(shè)置：

1、Tftp文件的修改

入侵者在權(quán)限允許的情況下可能會(huì)使用小型文件傳輸協(xié)議進(jìn)行后門木馬等危險(xiǎn)程序的上傳，所以需要徹底禁止掉TFTP服務(wù)，服務(wù)器一般很少用到這個(gè)服務(wù)。

操作：用文本編輯工具打開%systemroot%\system32\drivers\etc下的service文件找到對(duì)應(yīng)的tftp那一行，將 69/udp 替換成 0/udp。保存退出

2、禁用Guests組用戶調(diào)用cmd.exe

2003使用命令：cacls C:\WINDOWS\system32\Cmd.exe /e /d guests，同理，將上面的命令應(yīng)用到如下進(jìn)程：

net1.exet   
 
 
cmd.exe   
 
 
tftp.exe   
 
 
netstat.exe   
 
 
regedit.exe   
 
 
at.exe   
 
 
attrib.exe   
 
 
cacls.exe   
 
 
format.com   
 
 
netsh.exe（千萬要注意這個(gè)程序，它可以修改網(wǎng)絡(luò)屬性以及windows自帶防火墻設(shè)置，安全隱患大）   
 

3、徹底禁止telnet的的登陸   

在c:\windows\system32目錄下有個(gè)login.cmd文件，將其用記事本打開，在文件末尾另取一行，加入exit保存。這樣用戶在登陸telnet時(shí)，便會(huì)立即自動(dòng)退出.

遠(yuǎn)程終端安全：

Termservices是Windows自帶的遠(yuǎn)程管理程序，經(jīng)常被入侵者利用。所以在這部分的安全設(shè)置要尤其注重。主要從端口，審核，日志，策略3個(gè)方面來加強(qiáng)它的安全

1、端口值：

將默認(rèn)的3389改掉，改成一個(gè)很大的值，越大越好，因?yàn)槿肭终呖赡芾媚承┕ぞ咛綔y(cè)終端端口，例如tsscan，設(shè)置的越大，越能起到拖延的作用。

修改注冊(cè)表:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp和HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp，這兩個(gè)分支下的portnumber鍵值改為你想要的端口，例如65511

如果感覺手工修改注冊(cè)表麻煩，可以用下面這個(gè)小工具代勞。

2、用戶審核設(shè)置：

設(shè)置完端口之后，有必要對(duì)每次終端登陸的日志進(jìn)行記錄，以方便日常安全檢查。

為遠(yuǎn)程登錄啟動(dòng)日志記錄：開始-程序-管理工具-終端服務(wù)配置-連接-rdp/tcp-右鍵-屬性-權(quán)限-添加administrators組-高級(jí)-審核-添加everyone組，選擇審核的項(xiàng)目為登錄和注銷。

3、批處理記錄遠(yuǎn)程終端連接IP日志

步驟1：將下面的代碼保存在記事本中保存為3389.bat，

@echo off

date /t >> E:\server\3389.txt

attrib +s +h E:\server\3389.bat

attrib +s +h E:\server\3389.txt

time /t >> E:\server\3389.txt

netstat -an |find "ESTABLISHED" |find ":3389" >>d:\3389.txt

（注：date和time是用于獲取系統(tǒng)時(shí)間的， “attrib +s +h E:\server\3389.bat”和“attrib +s +h E:\server\3389.txt”這兩個(gè)命令是用來隱藏3389.bat和3389.txt這兩個(gè)文件的， “netstat -an |find "ESTABLISHED" |find ":3389" >>d:\3389.txt”這個(gè)命令則是記錄通過終端的連結(jié)狀況的。）

步驟2：打開注冊(cè)表，展開：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon，找到“Userinit”這個(gè)鍵值，這個(gè)鍵值默認(rèn)為c:\WINDOWS\system32\userinit.exe，在它的逗號(hào)后面寫上E:\server\3389.bat批處理的路徑，同時(shí)末尾以逗號(hào)結(jié)尾，完整的路徑是：“

c:\WINDOWS\system32\userinit.exe, E:\server\3389.bat,“（注意結(jié)尾的逗號(hào)），這樣每次用戶只要是通過遠(yuǎn)程端口連接進(jìn)入服務(wù)器，則會(huì)自動(dòng)記錄它的IP地址并保存在E:\server\3389.txt中。

4、遠(yuǎn)程登陸名請(qǐng)勿使用administrator這個(gè)用戶名，因?yàn)镃AIN這款功能強(qiáng)大嗅探工具在某些條件具備的情況下，可以嗅探并得到administrator登陸的明文密碼，而其他名稱的用戶登陸則使CAIN無能為力。雖然RDP協(xié)議是128位加密，但是CAIN可以嗅探并破解。

5、利用安全策略指定遠(yuǎn)程終端登陸的IP范圍，這是最對(duì)于Termserivce安全最牢固的方法，可以防止端口復(fù)用（例如：httptunnel）等入侵手段。具體操作如下：

222.41.

#p#

第三方軟件的安全設(shè)置：

常見的第三方服務(wù)軟件，例如Serv-u，pcAnywhere，radmin等需要特別注意，它們經(jīng)常被入侵者做為服務(wù)器提權(quán)的主要手段之一。

1、Serv-u：Serv-u默認(rèn)的目錄權(quán)限以及內(nèi)置的超級(jí)管理員權(quán)限經(jīng)常被利用提權(quán)。安全設(shè)措施如下：首先在Services.msc中停掉Serv-U服務(wù)，然后用Ultraedit打開ServUDaemon.exe

查找 Ascii：LocalAdministrator 和 #l@$ak#.lk;0@P，修改成等長(zhǎng)度的其它字符就可以了，注意：同時(shí)也要將ServUAdmin.exe一樣處理。

設(shè)置Serv-U所在的文件夾的權(quán)限，不要讓IIS匿名用戶有讀取的權(quán)限，否則入侵者可能會(huì)通過腳本shell將ServUDaemon.exe下載到本地后，同樣用Ultraedit可以分析出修改過后的超級(jí)管理員用戶和密碼，然后修改溢出提權(quán)程序，同樣達(dá)到提權(quán)。

以下是一個(gè)Serv-u提權(quán)程序的應(yīng)用范例，很容易利用未修改的Serv-u的管理員用戶和密碼來執(zhí)行系統(tǒng)操作。

2、ftp連接軟件的權(quán)限設(shè)置

由于ftp連接軟件（例如flashfxp）里面保存有ftp記錄的歷史信息文件，如果被入侵者通過腳本shell下載到本地后，它只需要覆蓋到本機(jī)器上的同版本FTP軟件中，那么那些曾經(jīng)的歷史記錄就會(huì)出現(xiàn)，入侵者可能會(huì)利用星號(hào)密碼查看器之類的東西查看得到FTP密碼。所以必須對(duì)ftp軟件安裝的目錄進(jìn)行權(quán)限設(shè)置，只允許Administrators組訪問，其他組一概禁止訪問。

3、PcAnywhere密碼安全

PcAnywhere是常見的遠(yuǎn)程管理軟件，默認(rèn)生成的密碼文件（.cif文件后綴）會(huì)在C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\目錄下產(chǎn)生，而這個(gè)目錄默認(rèn)權(quán)限是允許user組查看并讀取，所以入侵者可能會(huì)利用腳本shell在這里將密碼文件下載到本地后，然后利用PCAnywhere PassView類似的顯密碼工具得到管理密碼。

所以對(duì)這個(gè)目錄必須進(jìn)行除administrators組外的所有用戶和組的限制。同時(shí)盡量使用最新版本的PcAnywhere 11版本以上（11版本以后的密碼強(qiáng)度很難破解，也沒有相關(guān)的破解工具發(fā)布），目前流行的pcAnywhere密碼破解軟件無法破解最新版的密碼。當(dāng)然最安全的設(shè)置是采用Symantec Packagerd 的SecurID 雙重認(rèn)證機(jī)制。默認(rèn)情況下，不推薦使用此工具管理服務(wù)器，因?yàn)樗赡芘c終端服務(wù)產(chǎn)生沖突，導(dǎo)致遠(yuǎn)程終端服務(wù)因?yàn)镚INA問題無法登陸。

4、Radmin密碼安全

Radmin也是類似PcAnywhere的一款遠(yuǎn)程管理軟件，它的密碼文件會(huì)默認(rèn)產(chǎn)生在注冊(cè)表中，如果在權(quán)限允許的情況下，入侵者可以替換掉相關(guān)的radmin注冊(cè)表鍵值，從而可以使用修改過的密碼進(jìn)行登陸服務(wù)器。發(fā)現(xiàn)部分托管服務(wù)器用戶喜歡使用Radmin管理服務(wù)器，建議一般情況下不推薦使用此軟件進(jìn)行遠(yuǎn)程管理。

#p#

木馬病毒的防范設(shè)置：

入侵者一般習(xí)慣在服務(wù)器上安裝內(nèi)核心級(jí)后門或木馬，例如灰鴿子，黑洞，黑客之門等，這些后門在修改之后，很難用基本的殺毒軟件和端口查看軟件發(fā)現(xiàn)，所以推薦使用F-Secure BlackLight+ICESWOR +一款主流殺毒軟件（Mcafee或NOD32），基本上可以使修改過的或未公開的內(nèi)核級(jí)后門無法隱藏。

1、F-Secure BlackLight+ICESWOR可以有效的查出內(nèi)核級(jí)后門以及目前非常泛濫的后門灰鴿子和黑洞等線程插入式后門。使用時(shí)最好配合一般的進(jìn)程查看工具，然后將兩者的掃描結(jié)果進(jìn)行對(duì)照，即可發(fā)現(xiàn)內(nèi)核可疑之處。

注：

ICESWOR：它適用于Windows 2000/XP/2003操作系統(tǒng)，用于查探系統(tǒng)中的幕后黑手(木馬后門)并作出處理，當(dāng)然使用它需要用戶有一些操作系統(tǒng)的知識(shí)。

在對(duì)軟件做講解之前，首先說明第一注意事項(xiàng)：此程序運(yùn)行時(shí)不要激活內(nèi)核調(diào)試器(如softice)，否則系統(tǒng)可能即刻崩潰。另外使用前請(qǐng)保存好您的數(shù)據(jù)，以防萬一未知的Bug帶來損失。IceSword目前只為使用32位的x86兼容CPU的系統(tǒng)設(shè)計(jì)，另外運(yùn)行IceSword需要管理員權(quán)限。

F-Secure BlackLight：可以偵測(cè)并清除活動(dòng)著的Rootkit，而許多傳統(tǒng)的病毒掃描無法偵測(cè)出活動(dòng)著的Rootkit,是對(duì)付Rootkit系病毒的利器。

2、用Mcafee建立新的安全策略。禁止向系統(tǒng)目錄寫入dll和exe文件。這樣可以有效的防范病毒感染。同時(shí)制定每天的定時(shí)殺毒計(jì)劃。同時(shí)給Mcafee加上密碼訪問，防止惡意關(guān)閉。

常見安全策略制定：

1、打開組策略編輯器，依次展開“計(jì)算機(jī)配置→Windows 設(shè)置→安全設(shè)置→本地策略→安全選項(xiàng)”，在右側(cè)窗口中找到“網(wǎng)絡(luò)訪問：可遠(yuǎn)程訪問的注冊(cè)表路徑”，然后在打開的窗口中，將可遠(yuǎn)程訪問的注冊(cè)表路徑和子路徑內(nèi)容全部設(shè)置為空即可。

2、關(guān)閉自動(dòng)播放功能不僅對(duì)光驅(qū)起作用，而且對(duì)其它驅(qū)動(dòng)器也起作用，這樣很容易被入侵者利用給文件夾目錄中寫入auto.inf文件執(zhí)行自動(dòng)執(zhí)行黑客程序。打開組策略編輯器，依次展開“計(jì)算機(jī)配置→管理模板→系統(tǒng)”，在右側(cè)窗口中找到“關(guān)閉自動(dòng)播放”選項(xiàng)并雙擊，在打開的對(duì)話框中選擇“已啟用”，然后在“關(guān)閉自動(dòng)播放”后面的下拉菜單中選擇“所有驅(qū)動(dòng)器”，按“確定”即可生效。

3、安全策略->本地策略->審核策略，打開以下內(nèi)容：

審核策略更改 成功,失敗

審核系統(tǒng)事件 成功,失敗

審核帳戶登陸事件 成功,失敗

審核帳戶管理 成功,失敗

4、計(jì)算機(jī)配置→Windows設(shè)置→安全設(shè)置→本地策略→安全選項(xiàng)→交互式登陸（不顯示上次的用戶名）

5、計(jì)算機(jī)配置→Windows設(shè)置→安全設(shè)置→本地策略→安全選項(xiàng)→帳戶：重命名系統(tǒng)管理員帳戶

#p#

帳號(hào)安全問題：

1、禁用Guest賬號(hào)

在計(jì)算機(jī)管理的用戶里面把Guest賬號(hào)禁用。為了保險(xiǎn)起見，最好給Guest加一個(gè)復(fù)雜的密碼。你可以打開記事本，在里面輸入一串包含特殊字符、數(shù)字、字母的長(zhǎng)字符串，然后把它作為Guest用戶的密碼拷進(jìn)去。

2、限制不必要的用戶

去掉所有的Duplicate User用戶、測(cè)試用戶、共享用戶等等。用戶組策略設(shè)置相應(yīng)權(quán)限，并且經(jīng)常檢查系統(tǒng)的用戶，刪除已經(jīng)不再使用的用戶。這些用戶很多時(shí)候都是黑客們?nèi)肭窒到y(tǒng)的突破口。

3、把系統(tǒng)Administrator賬號(hào)改名

4、建一個(gè)陷阱用戶

什么是陷阱用戶?即創(chuàng)建一個(gè)名為“Administrator”的本地用戶，把它的權(quán)限設(shè)置成最低，什么事也干不了的那種，并且加上一個(gè)超過10位的超級(jí)復(fù)雜密碼。

5把共享文件的權(quán)限從Everyone組改成授權(quán)用戶

5、不讓系統(tǒng)顯示上次登錄的用戶名

默認(rèn)情況下，登錄對(duì)話框中會(huì)顯示上次登錄的用戶名。這使得別人可以很容易地得到系統(tǒng)的一些用戶名，進(jìn)而做密碼猜測(cè)。修改注冊(cè)表可以不讓對(duì)話框里顯示上次登錄的用戶名。方法為：打開注冊(cè)表編輯器并找到注冊(cè)表項(xiàng)“HKLMSoftwareMicrosoftWindows TCurrentVersionWinlogonDont-DisplayLastUserName”，把REG_SZ的鍵值改成1?；蛘咧苯釉诮M策略里修改。

6、密碼安全設(shè)置

一些公司的管理員創(chuàng)建賬號(hào)的時(shí)候往往用公司名、計(jì)算機(jī)名做用戶名，然后又把這些用戶的密碼設(shè)置得太簡(jiǎn)單，比如“welcome”等等。因此，要注意密碼的復(fù)雜性，還要記住經(jīng)常改密碼。 同時(shí)建議托管用戶在第一時(shí)間內(nèi)修改掉默認(rèn)上架密碼bizctt，這樣可以防止同一交換機(jī)下的攻擊，例如arpsniffer等。

7、陌生帳號(hào)處理

發(fā)現(xiàn)服務(wù)器中的陌生帳號(hào)之后，極可能是被入侵者添加的，一般情況下要首先對(duì)其進(jìn)行過的操作進(jìn)行取證，主要方法是修改這個(gè)陌生帳號(hào)的密碼后，用其帳戶進(jìn)行登陸，然后查看帳號(hào)對(duì)應(yīng)下的最近操作記錄，在C:\Documents and Settings\用戶名\Recent下，同時(shí)分析IE記錄，并通過搜索功能查找自帳號(hào)建立時(shí)間起內(nèi)進(jìn)行修改的文件的查找工作，這樣可以短時(shí)間內(nèi)確定陌生帳號(hào)在服務(wù)器上進(jìn)行的操作。

#p#

日志安全設(shè)置：

日志是記錄服務(wù)器性能，安全的最重要的東西，入侵者在成功入侵服務(wù)器后，會(huì)對(duì)日志部分進(jìn)行多次擦寫以掩蓋自己的行徑，所以保護(hù)服務(wù)器日志是服務(wù)器在被入侵后的重要取證之一。我們需要做的是將日志轉(zhuǎn)移到一個(gè)新的目錄下，同時(shí)對(duì)目錄進(jìn)行權(quán)限劃分，使入侵者在離開服務(wù)器之前無法清除自己的痕跡。

系統(tǒng)安裝完成后，日志文件存放在%systemroot%\system32\config，有“應(yīng)用程序日志”、“安全日志”及“系統(tǒng)日志”，分別對(duì)應(yīng)的文件是：appevent.evt、secevent.evt、sysevent.evt 如果你裝有其他的服務(wù)，如DNS 等，還有對(duì)應(yīng)的日志。這些文件受event log 服務(wù)的保護(hù)而不可刪除，但卻可以清空里面的數(shù)據(jù)。GUI 下清除日志的相信大家都知道可以通過“事件查看器”來清除日志，而“命令提示符”下清除日志的后門工具也很多，常用的工具有

elsave 等。只要在權(quán)限允許的情況下，運(yùn)行后門清除工具即可將日志清除。我們通過下面的步驟進(jìn)行日志的安全設(shè)置。

1、修改日志文件的存放位置必須在注冊(cè)表里面修改，打開注冊(cè)表并找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog 有沒有看到application、security、system 幾個(gè)子鍵，分別對(duì)應(yīng)“應(yīng)用程序日志”、“安全日志”、“系統(tǒng)日志”這幾個(gè)鍵下面還有很多子鍵，都是一些對(duì)應(yīng)的信息，我們先來看看application 子鍵，F(xiàn)ile 項(xiàng)的值就是“應(yīng)用程序日志”文件存放的位置，我們將它改改，就將它放在D:\systemlog文件夾下，所以File 的值也就成了D:\systemlog\Appevent.evt。

2、在D盤下新建一個(gè)systemlog文件夾，打開CMD命令行，輸入命令copy Appevent.evt D:\systemlog,即將日志文件轉(zhuǎn)移到新的目錄下。

3、查看新目錄systemlog的權(quán)限，給予system 組除“完全控制”和“修改”之外的所有權(quán)限，然后只給everyone 組只讀的權(quán)限。

這樣一般情況下，就算得到了administrator權(quán)限，而不在圖形界面下的話，那么入侵者也無法清除日志記錄。

MSSQL安全設(shè)置：

網(wǎng)絡(luò)上關(guān)于MSSQL的文章多不勝數(shù)，這里主要說下幾個(gè)常見的設(shè)置：

1、必須刪除MSSQL里的危險(xiǎn)存儲(chǔ)過程和擴(kuò)展，這些存儲(chǔ)擴(kuò)展可以使用戶在MSSQL應(yīng)用的網(wǎng)站上實(shí)施SQL injection的語句提交攻擊，刪除語句如下：

use master  
EXEC sp_dropextendedproc 'xp_cmdshell'  
EXEC sp_dropextendedproc 'Sp_OACreate'  
EXEC sp_dropextendedproc 'Sp_OADestroy'  
EXEC sp_dropextendedproc 'Sp_OAGetErrorInfo'  
EXEC sp_dropextendedproc 'Sp_OAGetProperty'  
EXEC sp_dropextendedproc 'Sp_OAMethod'  
EXEC sp_dropextendedproc 'Sp_OASetProperty'  
EXEC sp_dropextendedproc 'Sp_OAStop'  
EXEC sp_dropextendedproc 'Xp_regaddmultistring'  
EXEC sp_dropextendedproc 'Xp_regdeletekey'  
EXEC sp_dropextendedproc 'Xp_regdeletevalue'  
EXEC sp_dropextendedproc 'Xp_regenumvalues'  
EXEC sp_dropextendedproc 'Xp_regread'  
EXEC sp_dropextendedproc 'Xp_regremovemultistring'  
EXEC sp_dropextendedproc 'Xp_regwrite'  
drop procedure sp_makewebtask  

2、在查詢分析器中執(zhí)行上面的語句即可刪除。

同時(shí)為了防止某些特殊情況下入侵者恢復(fù)這些存儲(chǔ)過程，可以將部分危險(xiǎn)存儲(chǔ)對(duì)應(yīng)的dll文件改名：xpstar.dll（主要是關(guān)于注冊(cè)表的操作），xplog70.dll（關(guān)于DOS命令的操作），以后在使用MSSQL中如果需要使用到某些進(jìn)程，再將其改回原名。(注：odsole70.dll這個(gè)文件也關(guān)聯(lián)一些危險(xiǎn)存儲(chǔ)過程，但是一般情況下不要?jiǎng)h除，它關(guān)乎一些sql事務(wù)。)

SQL補(bǔ)丁務(wù)必打上最新的SP4補(bǔ)丁以及對(duì)SQL數(shù)據(jù)進(jìn)行定時(shí)備份。

#p#

常見危險(xiǎn)協(xié)議的刪除：

1、NetBIOS協(xié)議刪除

“開始菜單—設(shè)置—網(wǎng)絡(luò)與撥號(hào)連接”，選擇代表互聯(lián)網(wǎng)連接的對(duì)象，不管是通過防火墻還是直接連接。 點(diǎn)擊“屬性”按鈕打開對(duì)話框，進(jìn)入“互聯(lián)網(wǎng)協(xié)議（TCP/IP）屬性”頁面。 點(diǎn)擊底部右邊的“高級(jí)”按鈕進(jìn)入WINS面板。 在WINS面板的下半部分是這個(gè)TCP/IP連接的TCP/IP 上的NetBIOS選項(xiàng)（它正好是直接與互聯(lián)網(wǎng)連接，可能使用靜態(tài)IP地址）。在它的默認(rèn)設(shè)置中，它允許TCP/IP連接到端口139（攻擊者最喜愛的端口）的NetBIOS。NetBIOS自由分配許多與IP、域名和用戶名有關(guān)的信息。

點(diǎn)擊“禁用TCP/IP 上的NetBIOS”按鈕，然后點(diǎn)擊OK。這一設(shè)置立即生效。

2、禁用 SMB

在“開始”菜單中，指向“設(shè)置”，然后單擊“網(wǎng)絡(luò)和撥號(hào)連接”。右鍵單擊“Internet 連接”，然后單擊“屬性”。選擇“Microsoft 網(wǎng)絡(luò)客戶端”，然后單擊“卸載”。完成卸載步驟。

選擇“Microsoft 網(wǎng)絡(luò)的文件和打印機(jī)共享”，然后單擊“卸載”。完成卸載步驟。

日常服務(wù)器安全檢測(cè)：

1、用MBSA基準(zhǔn)分析器或retina定期分析服務(wù)器安全，并進(jìn)行相應(yīng)的防范設(shè)置。

注意MBSA掃描結(jié)果中以下面幾種符合開始的各種結(jié)果項(xiàng)目，它們分別代表不同級(jí)別的漏洞警告圖標(biāo)。其中紅色叉號(hào)最為嚴(yán)重，MSBA同樣給出了漏洞解決辦法，點(diǎn)擊How to correct this即可查看到。其中綠色的勾號(hào)表示不存在任何漏洞。

注：

Microsoft Baseline Security Analyzer（MBSA）工具允許用戶掃描一臺(tái)或多臺(tái)基于 Windows 的計(jì)算機(jī)，以發(fā)現(xiàn)常見的安全方面的配置錯(cuò)誤。MBSA 將掃描基于 Windows 的計(jì)算機(jī)，并檢查操作系統(tǒng)和已安裝的其他組件（如：Internet Information Services（IIS）和 SQL Server），以發(fā)現(xiàn)安全方面的配置錯(cuò)誤，并及時(shí)通過推薦的安全更新進(jìn)行修補(bǔ)。

eEye Digital Security所出的 Retina Network Security Scanner 網(wǎng)絡(luò)安全軟件。它可以幫你掃描網(wǎng)絡(luò)上計(jì)算機(jī)的安全性漏洞問題所在，是大型滲透方案中經(jīng)常用到的工具之一。

2、及時(shí)關(guān)注流行應(yīng)用漏洞公告，并對(duì)用戶進(jìn)行及時(shí)通知更新相關(guān)補(bǔ)丁。常見的漏洞公告地址：

http://www.nsfocus.com/，http://www.ccert.edu.cn/notice/index.php，http://www.venustech.com.cn/tech/day/

如果感覺手工打Windows補(bǔ)丁麻煩，可以用小工具：瑞星系統(tǒng)漏洞掃描器來自動(dòng)操作。

3、定期對(duì)服務(wù)器進(jìn)行滲透測(cè)試，保證漏洞及時(shí)發(fā)現(xiàn)。

4、經(jīng)常關(guān)注動(dòng)網(wǎng)，動(dòng)易，phpwind，discuz，風(fēng)訊等熱門網(wǎng)站程序官方新聞，及時(shí)更新漏洞補(bǔ)丁以及通知用戶。

目錄權(quán)限設(shè)置：

目錄權(quán)限的設(shè)置對(duì)于虛擬主機(jī)安全非常重要，要在本著系統(tǒng)正常運(yùn)行以及安全兩者兼得的情況下進(jìn)行設(shè)置。下面是標(biāo)準(zhǔn)的目錄權(quán)限設(shè)置方案，已經(jīng)在一臺(tái)服務(wù)器上成功分布權(quán)限。

1、   C盤只給Administrators和system的全部權(quán)限，這樣當(dāng)入侵者通過網(wǎng)站程序漏洞得到webshell之后，它無法瀏覽到C盤系統(tǒng)目錄中。

2、其他的盤進(jìn)行同樣的權(quán)限設(shè)置：只給Administrators和system的全部權(quán)限。

3、將mysql和mssql，serv-u等常見服務(wù)器應(yīng)用程序全部安裝到D盤中，并嚴(yán)格控制權(quán)限，一般情況下，只給Administrators和system的全部權(quán)限。

4、在D盤新建一個(gè)webroot目錄，只給administrators組和system組權(quán)限，每一個(gè)web建立一個(gè)對(duì)方的IIS匿名用戶，將其用戶加到guests組。

在對(duì)應(yīng)的web目錄上設(shè)置其權(quán)限： 僅 給讀取和寫入 和權(quán)限

再打開IIS的目錄安全性中，將匿名用戶加入進(jìn)去，填寫的密碼是剛才設(shè)置的IUSR的密碼（機(jī)房的大部分WEB服務(wù)器就是采用這種設(shè)置）。

5、C:\Documents and Settings不會(huì)繼承C盤剛才設(shè)置的只允許administrators和system，所以必須對(duì)起進(jìn)行設(shè)置。把a(bǔ)dministrators組和system組留下其他的組刪除。

同樣c:\Documents and Settings\All Users\「開始」菜單\程序\啟動(dòng)也需要注意權(quán)限的設(shè)置。

6、同樣還有很多深層目錄沒有繼承剛才的C盤跟目錄的權(quán)限設(shè)置，所以必須依次進(jìn)行權(quán)限設(shè)置。

C:\Program Files 目錄 設(shè)置權(quán)限為 只留administrators組和system組留下。

但是把其中的C:\Program Files\Common Files的權(quán)限多加一個(gè)everyone一個(gè)讀取和運(yùn)行的權(quán)限 和列出 文件目錄。這樣保證了asp的正常使用。

如果安裝php和cgi，那么對(duì)于默認(rèn)的目錄c:\php,c:\prel產(chǎn)生的權(quán)限要重新劃分。服務(wù)器如果安裝了java，那么對(duì)C:\Program Files\Java Web Start\這個(gè)目錄也要嚴(yán)格控制權(quán)限，方式寫入jsp木馬。

7、C:\WINDOWS\ 開放Everyone默認(rèn)的讀取及運(yùn)行 列出文件目錄 讀取三個(gè)權(quán)限。

C:\WINNT\Temp 加上Guests的讀寫兩個(gè)權(quán)限 其他的取消。

如果造成asp程序運(yùn)行錯(cuò)誤，那么開放Everyone 修改、讀取及運(yùn)行、列出文件目錄、讀取、寫入權(quán)限(注：基本上服務(wù)器不需要設(shè)置此權(quán)限)

如果上面的設(shè)置做完之后，導(dǎo)致ASP和ASPX等應(yīng)用程序就無法運(yùn)行，那么Windows目錄要加上給users的默認(rèn)權(quán)限。(注：基本上服務(wù)器不需要設(shè)置此權(quán)限)

8、C:\Documents and Settings\All Users\Application Data\Network Associates

C:\Documents and Settings\All Users\Application Data\Microsoft

C:\Documents and Settings\All Users\Application Data\Microsoft\HTML Help

#p#

基本上常見可能被入侵者利用的目錄如下：

C:\perl  
C:\temp\  
C:\Mysql\  
c:\php\  
C:\autorun.inf  
C:\Documents and setting\  
C:\Documents and Settings\All Users\「開始」菜單\程序\  
C:\Documents and Settings\All Users\「開始」菜單\程序\啟動(dòng)  
C:\Documents and Settings\All Users\Documents\  
C:\Documents and Settings\All Users\Application Data\Symantec\  
C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere  
C:\WINNT\system32\config\  
C:\winnt\system32\inetsrv\data\  
C:\WINDOWS\system32\inetsrv\data\  
C:\Program Files\  
C:\Program Files\Serv-U\  
c:\Program Files\KV2004\  
c:\Program Files\Rising\RAV  
C:\Program Files\RealServer\  
C:\Program Files\Microsoft SQL server\  
C:\Program Files\Java Web Start\  

需要嚴(yán)格控制它們的權(quán)限

基本上上面的設(shè)置完成后,下面的不用設(shè)置了。

注：部分服務(wù)器在設(shè)置完成后，可能還會(huì)出現(xiàn)asp運(yùn)行錯(cuò)誤，如果出現(xiàn)，屬于特殊情況，那么則按照下面的這個(gè)目錄和文件權(quán)限進(jìn)行添加設(shè)置：

C:\Program Files\Common Files Guests 默認(rèn)的讀取及運(yùn)行 列出文件目錄 讀取三個(gè)權(quán)限

C:\WINNT\system32\inetsrv Guests 默認(rèn)的讀取及運(yùn)行 列出文件目錄 讀取三個(gè)權(quán)限

C:\WINNT\Temp Guests 讀寫兩個(gè)權(quán)限

C:\WINDOWS\system32\*.tlb Guests 默認(rèn)的讀取及運(yùn)行 列出文件目錄 讀取三個(gè)權(quán)限

C:\WINDOWS\system32\*.exe IWAM_*** 默認(rèn)的讀取及運(yùn)行 列出文件目錄 讀取三個(gè)權(quán)限

C:\WINDOWS\system32\*.dll IUSR_*** 默認(rèn)的讀取及運(yùn)行 列出文件目錄 讀取三個(gè)權(quán)限

注意：上面的目錄安全完全做好之后，運(yùn)行ASP網(wǎng)站，可能會(huì)出現(xiàn)：請(qǐng)求的資源在使用中 錯(cuò)誤，這是由于打開單機(jī)版殺毒的腳本監(jiān)控會(huì)時(shí)IIS6.0不正常。運(yùn)行regsvr32 jscript.dll和regsvr32 vbscript.dll重新注冊(cè)JAVA腳本和VB腳本的動(dòng)態(tài)鏈接庫后一切正常。有時(shí)在設(shè)置權(quán)限時(shí)，一些必要的文件夾權(quán)限給的太低也會(huì)造成這種情況。一般情況下利用上面的兩個(gè)注冊(cè)明令就可以。

這種情況我遇到過很多次，當(dāng)然并不是單一的都是殺毒軟件造成的，有時(shí)在設(shè)置權(quán)限時(shí)，一些必要的文件夾權(quán)限給的太低也會(huì)造成這種情況。重新給了權(quán)限后需要重啟服務(wù)器。

DDOS攻擊的設(shè)置：

修改注冊(cè)表可以防范輕量的DDOS攻擊，將safe.reg文件導(dǎo)入注冊(cè)表即可，作用是可抵御DDOS攻擊2-3萬包，提高服務(wù)器TCP-IP整體安全性能（效果等于軟件防火墻，節(jié)約了系統(tǒng)資源）。

這一項(xiàng)的設(shè)置基本上在最后再進(jìn)行，因?yàn)檫@里的部分服務(wù)如果禁用，前面安裝一些服務(wù)器軟件的時(shí)候會(huì)報(bào)錯(cuò)主要是將將如下服務(wù)全部禁止，啟動(dòng)防止改為手動(dòng)（注意：是手動(dòng)，不是禁用），列表：

系統(tǒng)服務(wù)設(shè)置：

Computer Browser  
Distributed File System  
Help and Support  
Print Spooler  
Remote Registry  
Task Scheduler  
TCP/IP NetBIOS Helper  
Telnet  

Server（注意：此服務(wù)關(guān)系到微軟基準(zhǔn)分析器是否能正常使用，平時(shí)為了服務(wù)器安全性，要將其改為手動(dòng)，當(dāng)需要使用微軟基準(zhǔn)分析器時(shí)，將此服務(wù)啟動(dòng)后即可正常使用微軟基準(zhǔn)分析器）

Workstation（注意：如果在安裝Mssql服務(wù)之前停止掉此工作站服務(wù)，那么安裝時(shí)會(huì)出錯(cuò)，所以在未安裝mssql之前，不要將其關(guān)閉），

同時(shí)管理員要定期查找服務(wù)名，以防可以服務(wù)名出現(xiàn)，例如radmin或vnc之類的遠(yuǎn)程管理軟件經(jīng)常被入侵者修改掉服務(wù)名來藏匿之后做為后門使用，殺毒軟件對(duì)這些軟件認(rèn)為是合法軟件。

Win2003網(wǎng)絡(luò)服務(wù)器的安全配置策略本文講解的相當(dāng)詳細(xì)，希望讀者能夠仔細(xì)閱讀，從中有所收獲。

【編輯推薦】

1. 網(wǎng)絡(luò)服務(wù)器防止被黑安全經(jīng)驗(yàn)談
2. 輕松搭建屬于自己的網(wǎng)絡(luò)服務(wù)器
3. TurboLinux系統(tǒng)的網(wǎng)絡(luò)服務(wù)器配置 
4. 安全經(jīng)驗(yàn)談之網(wǎng)絡(luò)服務(wù)器如何防止被黑
5. 終解使用驗(yàn)證工具解決服務(wù)器網(wǎng)絡(luò)問題？