欢迎来到梦飞官网

系统配置

梦飞科技为您提供专业的服务器资讯以及服务器使用帮助文档

服务器安全设置类小知识

比较精简的,大略的服务器安全设置类小知识

1.       系统分区 
a)         所有分区使用ntfs, C: System系统分区 10G, D: Software软件安装10G E: Website网站所在目录 F: 工具及备份50G soft,backup,other  
2.       安装操作系统: 
Windows Server 2003 Enterprise Edition With Service Pack 1, 用WindowsUpdate 进行升级.  
并打上sp2及所有补丁 
 Serv-U6.0(替换servadmin.exe和servudaemon.exe替换安装目录下的对应文件,并采用ODBC存储方式) 
3.       禁止Guest用户 
4.       安装组件(jmial,动易,upload,aspjepg,等) 
5.       新建IISuser用户组,以及servu用户,不属于任何组,servu密码设复杂些: 如: servu_pass_IP地址. 即所有iis用户加入IISuser组 ServU启动选择使用服务启动. 然后在services.msc中设置ServUDaemond的启动用户为servu.  
6.       删除 c:Inetpub 目录 
7.       禁用TCP/IP上的NetBIOS  
网上邻居-属性-本地连接-属性-Internet协议(TCP/IP)属性-高级-WINS面板-NetBIOS设置-禁用TCP/IP上的NetBIOS。这样cracker就无法用nbtstat命令来读取你的NetBIOS信息和网卡MAC地址了。 
8.       把Administrator 改名为 cytz_admin_ip尾数. 
9.       修改3389端口 
1. 运行 Regedt32 并转到此项: 
HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp 

及: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWds dpwdTds cp 
注意:上面的注册表项是一个路径;它已换行以便于阅读。  
2. 找到“PortNumber”子项,您会看到值 00000D3D,它是 3389 的十六进制表示形式。使用十六进制数值修改此端口号(F79D)即十进制的63389,并保存新值。  
10.   运行gpedit.msc => 计算机管理 => Windows设置 => 安全设置 => 本地策略 => 审核策略 按如下设置:
账户管理 成功 失败  
登录事件 成功 失败  
对象访问 失败  
策略更改 成功 失败  
特权使用 失败  
系统事件 成功 失败  
目录服务访问 失败  
账户登录事件 成功 失败 
11.   安装mcafree 或 卡巴斯基服务器版, vnc  安装 blackice防火墙. 打开 21,80, 443, 6900, 10000-10020, 63389. 并设置serv-u使用10000-10020端口进行pasv传送. 防火墙里第二页选择链接的网卡, 把里面FTP服务器的勾一定要去掉. 
12.   运行权限设置脚本 priv.bat 
13.   禁用以下服务 
14.   Computer Browser 维护网络上计算机的最新列表以及提供这个列表  
Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务  
Removable storage 管理可移动媒体、驱动程序和库  
 Remote Registry Service 允许远程注册表操作  
Print Spooler 将文件加载到内存中以便以后打印。要用打印机的朋友不能禁用这项  
IPSEC Policy Agent 管理IP安全策略以及启动ISAKMP/OakleyIKE)和IP安全驱动程序  
 Distributed Link Tracking Client 当文件在网络域的NTFS卷中移动时发送通知  
Com+ Event System 提供事件的自动发布到订阅COM组件  
Alerter 通知选定的用户和计算机管理警报  
Error Reporting Service 收集、存储和向 Microsoft 报告异常应用程序  
Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息  
Telnet 允许远程用户登录到此计算机并运行程序 
15. 防止SYN洪水攻击  
Windows Registry Editor Version 5.00 
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters] 
"SynAttackProtect"=dword:00000002 
"EnablePMTUDiscovery"=dword:00000000 
"NoNameReleaseOnDemand"=dword:00000001 
"EnableDeadGWDetect"=dword:00000000 
"KeepAliveTime"=dword:00300000 
"PerformRouterDiscovery"=dword:00000000 
"TcpMaxConnectResponseRetransmissions"=dword:00000003 
"TcpMaxHalfOpen"=dword:00000100 
"TcpMaxHalfOpenRetried"=dword:00000080 
"TcpMaxPortsExhausted"=dword:00000005  
"EnableICMPRedirects"= dword:00000000  
禁止IPC空连接:  
cracker可以利用net use命令建立空连接,进而入侵,还有net view,nbtstat这些都是基于空连接的,禁止空连接就好了。打开注册表,找到Local_Machine/System/CurrentControlSet/Control/LSA RestrictAnonymous 把这个值改成”1”即可。 
更改TTL 
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameter 
DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)改成一个莫名其妙的数字如258 
删除默认共享  
有人问过我一开机就共享所有盘,改回来以后,重启又变成了共享是怎么回事,这是2K为管理而设置的默认共享,必须通过修改注册表的方式取消它:HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/LanmanServer/Parameters 
AutoShareServer类型是REG_DWORD把值改为0即可 
重起后检查共享目录是否还存在. ipc$, c$, d$, e$,f$, admin$等 
禁止建立空连接  
默认情况下,任何用户通过通过空连接连上服务器,进而枚举出帐号,猜测密码。我们可以通过修改注册表来禁止建立空连接:  Local_Machine/System/CurrentControlSet/Control/LSA-RestrictAnonymous 的值改成”1”即可。 

梦飞科技 - 最新促销活动优惠获取

Copyright © 2003-2021 MFISP.COM. 国外服务器租用 香港梦飞 版权所有 粤ICP备11019662号