当前位置: 首页 > 图文教程 > 服务器 > 安全防护 > 给WIN2003 IIS SQL服务器安全加固

安全防护
为Windows 2003安全—层层设防(3)
为Windows 2003安全—层层设防(4)
修改IIS的Banner隐藏操作系统版本
以毒攻毒!IIS Banner巧伪装
四招加强Windows 2003安全性
深入剖析EFS(2)
设置Active Directory域(1)
设置Active Directory域(2)
Rootkit分析(1)
Rootkit分析(2)
Rootkit分析(3)
Windows域信任关系建立全攻略
关于网站木马的解释(1)
关于网站木马的解释(2)
hdsi2.0 sql注入部分抓包(1)
hdsi2.0 sql注入部分抓包(2)
hdsi2.0 sql注入部分抓包(3)
hdsi2.0 sql注入部分抓包(4)
建造永不被杀的80端口后门(1)
建造永不被杀的80端口后门(2)

安全防护 中的 给WIN2003 IIS SQL服务器安全加固


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-29   浏览: 41 ::
收藏到网摘: n/a

 

    1. 将<systemroot>\System32\cmd.exe转移到其他目录或更名;

    2. 系统帐号尽量少,更改默认帐户名(如Administrator)和描述,密码尽量复杂;

    3. 拒绝通过网络访问该计算机(匿名登录;内置管理员帐户;Support_388945a0;Guest;所有非操作系统服务帐户)

    4. 建议对一般用户只给予读取权限,而只给管理员和System以完全控制权限,但这样做有可能使某些正常的脚本程序不能执行,或者某些需要写的操作不能完成,这时需要对这些文件所在的文件夹权限进行更改,建议在做更改前先在测试机器上作测试,然后慎重更改。

    5. NTFS文件权限设定(注意文件的权限优先级别比文件夹的权限高):

    文件类型

    CGI 文件(.exe、.dll、.cmd、.pl)

    脚本文件 (.asp)

    包含文件(.inc、.shtm、.shtml)

    静态内容(.txt、.gif、.jpg、.htm、.html)

    建议的 NTFS 权限

    Everyone(执行)

    Administrators(完全控制)

    System(完全控制)

    6. 禁止C$、D$一类的缺省共享

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters

    AutoShareServer、REG_DWORD、0x0

    7. 禁止ADMIN$缺省共享

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters

    AutoShareWks、REG_DWORD、0x0

    8. 限制IPC$缺省共享

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

    restrictanonymous REG_DWORD 0x0 缺省

    0x1 匿名用户无法列举本机用户列表

    0x2 匿名用户无法连接本机IPC$共享

    说明:不建议使用2,否则可能会造成你的一些服务无法启动,如SQL Server

    9. 仅给用户真正需要的权限,权限的最小化原则是安全的重要保障

    10. 在本地安全策略->审核策略中打开相应的审核,推荐的审核是:

    账户管理 成功 失败

    登录事件 成功 失败

    对象访问 失败

    策略更改 成功 失败

    特权使用 失败

    系统事件 成功 失败

    目录服务访问 失败

    账户登录事件 成功 失败

    审核项目少的缺点是万一你想看发现没有记录那就一点都没辙;审核项目太多不仅会占用系统资源而且会导致你根本没空去看,这样就失去了审核的意义。 与之相关的是:

    在账户策略->密码策略中设定:

    密码复杂性要求 启用

    密码长度最小值 6位

    强制密码历史 5次

    最长存留期 30天

    在账户策略->账户锁定策略中设定:

    账户锁定 3次错误登录

    锁定时间 20分钟

    复位锁定计数 20分钟

    11. 在Terminal Service Configration(远程服务配置)-权限-高级中配置安全审核,一般来说只要记录登录、注销事件就可以了。

    12. 解除NetBios与TCP/IP协议的绑定

    控制面版——网络——绑定——NetBios接口——禁用 2000:控制面版——网络和拨号连接——本地网络——属性——TCP/IP——属性——高级——WINS——禁用TCP/IP上的NETBIOS

    13. 在网络连接的协议里启用TCP/IP筛选,仅开放必要的端口(如80)

    14. 通过更改注册表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous = 1来禁止139空连接

    15. 修改数据包的生存时间(TTL)值

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

    DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)

    16. 防止SYN洪水攻击

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters