1)系统安全的基础设置
1.安装说明:系统格式化为NTFS,重装系统(使用win2003原版),安装杀毒软件(mcafee),更新杀毒软件,安装sp2补丁,安装iis(只安装必要的组件),安装SQL2000,安装。net2.0,并打开防火墙。并用最新的补丁修补服务器。
2)关闭不必要的服务。
浏览器:维护网络计算机更新,禁用
分布式文件系统:局域网管理共享文件,所以不需要禁用。
分布式linktracking客户端:用于更新局域网的连接信息,不需要禁用。
错误报告服务:禁止发送错误报告
Microsoft Serch:提供快速单词搜索,无需任何帮助即可禁用。
LMSecuritySupportProvider:由Telnet服务和Microsoft Serch使用,不需要禁用。
如果没有要禁用的打印机。
远程注册表:禁止远程修改注册表。
远程桌面帮助会话管理器:禁止远程协助。其他需要检查的服务
3)建立和管理账户
1.禁用来宾帐户,更改其名称和描述,然后输入复杂的密码。
2.最好少建系统管理员账号,改默认管理员账号名称和描述。密码应该是数字、小写字母和数字的组合,长度不小于10位。
3.创建一个名为Administrator的新陷阱帐户,为其设置最低权限,然后随意输入至少20位数字的组合密码。
4.电脑配置-Windows设置-安全设置-账号策略-账号锁定策略,并将账号设置为‘三次登录无效时间为30分钟。
5.在安全设置-本地策略-安全选项中,将“不显示最后一个用户名”设置为启用。
6.在“安全设置-本地策略-用户权利分配”中,只有Internet来宾帐户、启动IIS进程的帐户和Aspnet帐户会保留在“从网络访问此计算机”中。
7.创建一个用户帐户并运行系统。如果要运行特权命令,请使用Runas命令。
4)打开相应的审计策略。
审计策略更改:成功
审计事件:成功、失败
审核对对象的访问:失败。
审计对象跟踪:成功、失败
审核目录服务访问:失败。
审计权限使用:失败。
审计系统事件:成功、失败
审计帐户登录事件:成功,失败。
审计帐户管理:成功,失败
5)其他安全相关设置
1.禁止C$、D$和ADMIN$的默认共享。
HKEY _ Local _ MachineSystemCurrentControlSetServicesLanmanserverParameters,在右边的窗口中创建新的Dword值,名称设置为AutoShareServer,值设置为0
2.解除NetBios与TCP/IP协议的绑定
右键单击网上邻居-属性-右键单击本地连接-属性-双击Internet协议-高级-Wins-禁用TCP/IP上的NETBIOS
3.隐藏重要文件/目录
可以修改注册表实现完全隐藏:' HKEY _ local _ machinesoftwaremicroftowindoscurrent-versionexploreravancedfolderhi-dden showall '右键单击' CheckedValue '选择修改,将值从1改为0。
4.防止SYN flood攻击
HKEY _ Local _ MachinesystemCurrentControlSetServicesCPipparameters创建一个名为SynAttackProtect的新DWORD值,值为2。
5.禁止响应ICMP路由公告消息。
HKEY _ Local _ MachineSystemCurrentControlSetServicestCpipparametersInterface名为PerformRouterDiscovery的新DWORD值值为0
6.防止ICMP重定向消息的攻击
HKEY _ Local _ MachinesystemCurrentControlSetServicesCPipparameters将EnableICMPRedirects的值设置为0。
7.不支持IGMP协议。
HKEY _ Local _ MachineSystemCurrentControlSetServicestCPipparameters创建一个名为IGMPLevel的新DWORD值,其值为0。
8.运行时输入Dcomcnfg.exe,禁用DCOM。进入并单击“控制台根节点”下的“组件服务”。打开“计算机”子文件夹。
对于本地计算机,请右键单击“我的电脑”并选择“归属”。选择默认属性选项卡。清除“在这台计算机上启用分布式COM”复选框。
9.终端服务的默认端口是3389,可以更改为另一个端口。
修改方法是:在服务器端:打开注册表,在' HKLM \系统\当前控制集\控制\终端服务器\ winstations '找到类似RDP-TCP的子键,修改端口号值。客户端:按照正常步骤建立一个客户端连接,选择这个连接,在‘文件’菜单中选择导出,一个后缀为。cns将在指定位置生成。打开文件,将“服务器端口”的值修改为对应于服务器端端口号的值。然后导入文件(方法:菜单文件导入),让客户端修改端口。
6)配置IIS服务
1.不要使用默认网站。如果这样做,应该将IIS目录与系统盘分开。
2.删除IIS默认创建的Inetpub目录(在安装系统的磁盘上)。
3.删除系统盘下的虚拟目录,比如:_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。
4.删除不必要的IIS扩展映射。右键单击“默认网站属性主目录配置”以打开应用程序窗口并删除不必要的应用程序映射。主要是。shtml,shtm,stm。
5.更改IIS日志的路径。右键单击“默认网站属性-网站”,然后单击“启用日志记录”下的属性。
6.如果您使用的是2000,可以使用iislockdown来保护IIS,但不要求运行2003的IE6.0版本。
7.使用UrlScan
UrlScan是一个IsapI过滤器,它分析传入的HTTP数据包,并可以拒绝任何可疑的流量。最新版本是2.5。如果是2000Server,需要先安装1.0或2.0版本。如果没有特殊要求,UrlScan默认配置就足够了。但是如果您在服务器上运行ASP.NET程序并希望调试它,您需要打开% windir% system32inetsrvrlscan文件夹中的URLScan.ini文件,然后在UserAllowVerbs部分添加调试谓词。请注意,此部分区分大小写。如果您的网页是一个。asp网页,需要删除。DenyExtensions中的asp相关内容。如果您的网页使用非ASCII代码,您需要在选项部分将AllowHighBitCharacters的值设置为1。对URLScan.ini文件进行更改后,需要重新启动IIS服务才能生效。在快速方法运行中输入iisreset。如果配置后有任何问题,可以通过添加/删除程序来删除UrlScan。
8.使用WIS (Web Injection Scanner)工具扫描整个网站的SQL注入漏洞。
7)配置Sql server
1.系统管理员的角色最好不要超过两个。
3.不要使用Sa帐户,并配置一个超级复杂的密码。
4.删除以下扩展存储过程格式:
请使用master sp_dropextendedproc '扩展存储过程名称'
Xp_cmdshell:进入操作系统,删除访问注册表的存储过程,是最好的捷径,
删除
Xp _ regaddmultistring Xp _ regdeletekeyXp _ regdeletevalueXp _ regenumvalues Xp _ regread Xp _ regwrite Xp _ regregremovemultistring
OLE自动存储过程,不需要删除
Sp _ OACreate Sp _ OADestroySp _ OAGetErrorInfoSp _ OAGetProperty Sp _ OAMethodSp _ OASetPropertySp _ OAStop
5.隐藏sql server并更改默认端口1433
右键单击实例选择属性-常规-网络配置,选择TCP/IP协议属性,选择隐藏SQL Server实例,更改默认端口1433。
8).将系统日志存储地址的默认位置修改为应用日志、安全日志、系统日志和DNS日志。默认位置:%systemroot%\system32\config,默认文件大小为512KB。管理员将更改此默认大小。
安全日志文件:% systemroot % \ system32 \ config \ sec event . evt系统日志文件:% systemroot % \ system32 \ config \ sys event . evt应用程序日志文件:% systemroot % \ system32 \ config \ app event。EVT Internet信息服务FTP日志默认位置:% systemroot % \ system32 \ LOG files \ msftpsvc 1 \,默认日记Internet信息服务WWW日志默认位置:% systemroot % \ system32 \ LOG files \ w3svc 1 \,默认日记计划程序服务日志。默认位置:%systemroot%\schedlgu.txt应用程序日志、安全日志、系统日志和DNS服务器日志。这些日志文件位于注册表中:注册表中的HKEY _本地_机器\系统\当前控制集\服务\事件日志Schedluler服务日志被删除或重命名为xplog70.dll[HKEY _本地_机器\软件\微软\调度代理SQL]。当前控件集\ services \ lanmanserver \ parameters ' ' AutoShareServer '=dword:0000000 ' autosharewks '=dword:0000000//autosharewks vs pro版本//AutoShareServer vs服务器版本//0
禁止管理admin$、c$、d $[HKEY _ local _ machine \ system \ current control set \ control \ LSA]'限制匿名'=dword: 0000001//0x1匿名用户不能列出本地用户//0x2匿名用户不能连接本地IPC$共享(可能是sql server
9)、本地安全策略
1.仅打开服务所需的端口和协议。具体方法是:依次打开'网上邻居属性本地连接属性互联网协议属性高级选项 TCP/IP过滤属性'添加需要的TCP、UDP端口和IP协议。根据服务开放端口,常用的TCP端口有:80端口用于Web服务;21