Heim > Artikel > Betrieb und Instandhaltung > Zusammenfassung der Windows-Server-Sicherheitseinstellungen
Windows Server ist der Kern von Microsoft Windows Server System (WSS), dem Server-Betriebssystem von Windows.
Jeder Windows-Server verfügt über seine entsprechende Home-(Workstation-)Edition (außer 2003 R2).
1), grundlegende Systemsicherheitseinstellungen
1. Installationsanweisungen: Formatieren Sie alle Systeme mit NTFS, installieren Sie das System neu (mit dem ursprünglichen Win2003), installieren Sie Antivirensoftware (Mcafee), aktualisieren Sie die Antivirensoftware, installieren Sie SP2 Patches installieren, IIS installieren (nur die erforderlichen Komponenten installieren), SQL2000 installieren, .net2.0 installieren und die Firewall einschalten. Und wenden Sie die neuesten Patches auf den Server an.
2), nicht benötigte Dienste schließen
Computerbrowser: Netzwerkcomputeraktualisierungen verwalten, deaktivieren
Verteiltes Dateisystem: freigegebene Dateien im LAN verwalten, keine Deaktivierung erforderlich
Distributed Linktracking-Client: Wird zum Aktualisieren von Verbindungsinformationen im LAN verwendet , keine Notwendigkeit Deaktivieren
Fehlerberichtsdienst: Senden von Fehlerberichten deaktivieren
Microsoft Serch: Bietet schnelle Wortsuche, keine Deaktivierung erforderlich
NTLMSecuritysupportprovide: Wird für Telnet-Dienst und Microsoft Serch verwendet, keine Deaktivierung erforderlich
PrintSpooler: Kann sein deaktiviert, wenn kein Drucker vorhanden ist.
Remote-Registrierung: Remote-Änderung der Registrierung verbieten Gastkonto und ändern Sie den Namen und die Beschreibung. Geben Sie dann ein komplexes Passwort ein.
2. Am besten erstellen Sie weniger Systemadministratorkonten. Ändern Sie den Standardnamen und die Beschreibung des Administratorkontos plus Groß- und Kleinbuchstaben plus Zahlen, und die Länge beträgt am besten nicht weniger als 10 Ziffern
3. Erstellen Sie ein neues Trap-Konto mit dem Namen „Administrator“, legen Sie die Mindestberechtigungen dafür fest und geben Sie dann eine Kombination von Passwörtern ein, vorzugsweise nicht weniger als 20 Ziffern
4. Computerkonfiguration – Windows-Einstellungen – Sicherheitseinstellungen – Kontorichtlinie – Kontosperrungsrichtlinie, legen Sie das Konto auf „Die ungültige Zeit für drei Anmeldungen beträgt 30 Minuten“ fest. 5. Legen Sie in den Sicherheitseinstellungen – Lokale Richtlinien – Sicherheitsoptionen fest „Den letzten Benutzernamen nicht anzeigen“ ist aktiviert
6. Behalten Sie unter „Sicherheitseinstellungen – Lokale Richtlinie – Zuweisen von Benutzerrechten“ unter „Auf diesen Computer über das Netzwerk zugreifen“ nur das Internet-Gastkonto bei, starten Sie das IIS-Prozesskonto und das Aspnet-Konto
7. Erstellen Sie ein Benutzerkonto und führen Sie das System aus. Wenn Sie privilegierte Befehle ausführen möchten, verwenden Sie den Runas-Befehl
Audit-Richtlinienänderung: Erfolg
Audit-Anmeldeereignis : Erfolg, Fehler
Objektzugriff prüfen: Fehler
Objektverfolgung prüfen: Erfolg, Fehler
Verzeichnisdienstzugriff prüfen: fehlgeschlagen
Nutzung von Prüfberechtigungen: fehlgeschlagen
Systemereignisse prüfen: Erfolg, Fehler
Kontoanmeldeereignisse prüfen : Erfolg, Misserfolg
Kontenverwaltung prüfen: Erfolg, Misserfolg
5), andere sicherheitsbezogene Einstellungen
1 ProtokollbindungRechtsklick auf Netzwerkumgebung – Eigenschaften – Rechtsklick auf LAN-Verbindung – Eigenschaften – Doppelklick auf Internetprotokoll -Advanced-Wins-disable NETBIOS on TCP/IP3. Wichtige Dateien/Verzeichnisse ausblendenSie können die Registrierung ändern, um eine vollständige Ausblendung zu erreichen: „HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrent-VersionExplorerAdvancedFol derHi-ddenSHOWALL“, klicken Sie mit der rechten Maustaste auf „CheckedValue“ und wählen Sie „Ändern“. , ändern Sie den Wert von 1 auf 0 pipParametersInterfacesinterface Erstellen Sie einen neuen DWORD-Wert mit dem Namen PerformRouterDiscovery mit einem Wert von 06. Verhindern Sie Angriffe durch ICMP-Umleitungsnachrichten. HKEY_LOCAL_MACHINESYSTE MCurrentControlSetServicesTcpipParameters Setzen Sie den EnableICMPRedirects-Wert auf 0 IGMPLevel mit einem Wert von 0 8. DCOM deaktivieren: Geben Sie während des Betriebs Dcomcnfg.exe ein. Drücken Sie die Eingabetaste und klicken Sie unter „Konsolenstammknoten“ auf „Komponentendienste“. Öffnen Sie den Unterordner Computer. Für lokale Computer klicken Sie mit der rechten Maustaste auf „Arbeitsplatz“ und wählen Sie „Eigenschaften“. Wählen Sie die Registerkarte Standardeigenschaften. Deaktivieren Sie das Kontrollkästchen Distributed COM auf diesem Computer aktivieren. 9. Der Standardport des Terminaldienstes ist 3389. Sie können ihn auf einen anderen Port ändern.Die Änderungsmethode ist: Serverseitig: Öffnen Sie die Registrierung, suchen Sie einen RDP-TCP-ähnlichen Unterschlüssel unter „HKLMSYSTEMCurrent ControlSetControlTerminal ServerWin Stations“ und ändern Sie den PortNumber-Wert. Client: Befolgen Sie die normalen Schritte zum Erstellen einer Client-Verbindung und wählen Sie im Menü „Datei“ die Option „Exportieren“. Am angegebenen Speicherort wird eine Datei mit dem Suffix „.cns“ erstellt. Öffnen Sie die Datei und ändern Sie den Wert „Server Port“ auf den Wert, der der PortNumber auf der Serverseite entspricht. Anschließend importieren Sie die Datei (Methode: Menü→Datei→Importieren), sodass der Client den Port ändert.
6) Konfigurieren Sie den IIS-Dienst
1. Verwenden Sie nicht die Standardwebsite. Wenn Sie diese verwenden, trennen Sie das IIS-Verzeichnis von der Systemfestplatte.
2. Löschen Sie das von IIS standardmäßig erstellte Inetpub-Verzeichnis (auf der Festplatte, auf der das System installiert ist).
3. Löschen Sie die virtuellen Verzeichnisse unter der Systemfestplatte, wie zum Beispiel: _vti_bin, IISSamples, Scripts, IIShelp, IISAdmin, IIShelp, MSADC.
4. Löschen Sie unnötige IIS-Erweiterungszuordnungen. Klicken Sie mit der rechten Maustaste auf „Standardwebsite→Eigenschaften→Home-Verzeichnis→Konfiguration“, öffnen Sie das Anwendungsfenster und entfernen Sie unnötige Anwendungszuordnungen. Hauptsächlich .shtml, .shtm, .stm
5 Um den Pfad des IIS-Protokolls zu ändern, klicken Sie mit der rechten Maustaste auf „Standardwebsite → Eigenschaften – Website – klicken Sie auf Eigenschaften unter Protokollierung aktivieren
6.“ Sie können iislockdown verwenden, um IIS zu schützen. Versionen von IE6.0, die im Jahr 2003 ausgeführt werden, sind nicht erforderlich. Wenn es sich um 2000Server handelt, müssen Sie zuerst Version 1.0 oder 2.0 installieren. Wenn keine besonderen Anforderungen bestehen, können Sie die Standardkonfiguration von UrlScan verwenden. Wenn Sie jedoch das ASP.NET-Programm auf dem Server ausführen und es debuggen möchten Um %WINDIR%System32InetsrvURLscan zu aktivieren, gehen Sie zur Datei URLScan.ini im Abschnitt „UserAllowVerbs“. Beachten Sie, dass in diesem Abschnitt die Groß-/Kleinschreibung beachtet werden muss. asp-Seite müssen Sie den .asp-bezogenen Inhalt in DenyExtensions löschen. Wenn Ihre Webseite Nicht-ASCII-Code verwendet, müssen Sie den Wert von AllowHighBitCharacters auf 1 setzen, nachdem Sie Änderungen an der Datei URLScan.ini vorgenommen haben , müssen Sie den IIS-Dienst neu starten, damit er während der Schnellmethode wirksam wird. Wenn Sie nach der Konfiguration Probleme haben, können Sie UrlScan über „Programme hinzufügen/entfernen“ löschen um die gesamte Website auf SQL-Injection-Schwachstelle zu scannen
7) Konfigurieren Sie den SQL-Server
1. Es ist am besten, nicht mehr als zwei Systemadministratorrollen zu haben
3. Verwenden Sie nicht das Sa-Konto und konfigurieren Sie ein sehr komplexes Passwort dafür
4. Löschen Sie das folgende Format der erweiterten gespeicherten Prozedur:
verwenden Sie Master sp_dropextendedproc 'Name der erweiterten gespeicherten Prozedur'
xp_cmdshell: Dies ist die beste Verknüpfung, um das Betriebssystem aufzurufen und die gespeicherten Prozeduren zu löschen, die auf die Registrierung zugreifen,
delete: OAMethod |. Sp_OASetProperty |. Sp_OAStop
5. SQL Server ausblenden und den Standardport 1433 ändern Instanz und wählen Sie Eigenschaften-Allgemein-Netzwerkkonfiguration, wählen Sie die Eigenschaften des TCP/IP-Protokolls aus, wählen Sie SQL Server-Instanz ausblenden und ändern Sie den Standardport 1433.
8) Ändern Sie die Speicheradresse des Systemprotokolls: Anwendungsprotokoll, Sicherheitsprotokoll und DNS-Protokoll. Die Standarddateigröße beträgt 512 KB Größe.
Sicherheitsprotokolldatei: %systemroot%system32configSecEvent.EVT Systemprotokolldatei: %systemroot%system32configSysEvent.EVT Anwendungsprotokolldatei: %systemroot%system32configAppEvent.EVT Internet Information Service FTP-Protokoll Standardspeicherort: %systemroot%system32logfilesmsftpsvc1, ein Protokoll pro Tag von Standardmäßiger Internetinformationsdienst-WWW-Protokoll-Standardspeicherort: %systemroot%system32logfilesw3svc1, standardmäßig ein Protokoll pro Tag. Scheduler-Dienstprotokoll (Aufgabenplan) Standardspeicherort: %systemroot%schedlgu.txt Anwendungsprotokoll, Sicherheitsprotokoll, Systemprotokoll, DNS-Serverprotokoll, diese LOGs Die Dateien befinden sich in der Registrierung: HKEY_LOCAL_MACHINESystemCurrentControlSetServicesEventlog. Das Scheduler-Dienstprotokoll (Aufgabenplan) befindet sich in der Registrierung Wks"=dword:00000000 // AutoShareWks für Pro-Version // AutoShareServer versus Server-Version // 0
Verbieten Sie die Verwaltung von Standardfreigaben wie admin$, c$, d$ [HKEY_LOCAL_MACHINESystemCurrentControlSetControlLSA] „restrictanonymous“=dword:00000001 //0x1 Anonyme Benutzer können die lokale Benutzerliste nicht auflisten //0x2 Anonyme Benutzer können keine Verbindung zur lokalen IPC$-Freigabe herstellen (Möglicherweise kann der SQL-Server nicht gestartet werden
9), lokale Sicherheitsrichtlinie
1. Öffnen Sie nur die für den Dienst erforderlichen Ports und Protokolle. Die spezifische Methode ist: Öffnen Sie „Netzwerkumgebung → Eigenschaften → LAN-Verbindung → Eigenschaften → Internetprotokoll → Eigenschaften → Erweitert → Optionen → TCP/IP-Filterung → Eigenschaften“ und fügen Sie die erforderlichen TCP-, UDP-Ports und IP-Protokolle hinzu. Offene Ports je nach Dienst: Port 80 für den Webdienst; Port 25 für den Telnet-Dienst; Häufig verwendete UDP-Ports sind: Port 53 – DNS-Domänennamenauflösungsdienst; Port 161 – einfaches SNMP-Netzwerkverwaltungsprotokoll. 8000 und 4000 werden für OICQ verwendet, der Server verwendet 8000 zum Empfangen von Informationen und der Client verwendet 4000 zum Senden von Informationen. Blockierte TCP-Ports: 21 (FTP, FTP-Port ändern) 23 (TELNET), 53 (DNS), 135, 136, 137, 138, 139, 443, 445, 1028, 1433, 3389 Blockierbare TCP-Ports: 1080, 3128, 6588 , 8080 (oben sind Proxy-Ports), 161 (SNMP), 67 (Boot-UDP-Port: 1434 (dies ist unnötig zu erwähnen). Die am häufigsten gescannten Ports sind natürlich ebenfalls blockiert, da 80 für WEB gilt. Standardmäßig ist es jedem Benutzer verboten, eine Verbindung zum Server herzustellen und Konten aufzulisten Passwörter erraten. Der für leere Verbindungen verwendete Port ist 139. Über leere Verbindungen können Dateien auf den Remote-Server kopiert und die Ausführung einer Aufgabe geplant werden. Dies ist eine Sicherheitslücke. Sie können den Aufbau leerer Verbindungen durch die folgenden zwei Methoden verhindern:
(1) Ändern Sie den Wert von Local_MachineSystem CurrentControlSetControlLSA-RestrictAnonymous in der Registrierung auf 1.
(2) Ändern Sie die lokale Sicherheitsrichtlinie von Windows 2000. Setzen Sie RestrictAnonymous (zusätzliche Einschränkungen für anonyme Verbindungen) unter „Lokale Sicherheitsrichtlinie → Lokale Richtlinie → Optionen“ auf „Aufzählung von SAM-Konten und -Freigaben nicht zulassen“. Erstens ermöglicht die Standardinstallation von Windows 2000 jedem Benutzer, alle Konten und Freigabelisten des Systems über eine leere Verbindung zu erhalten. Dies sollte ursprünglich dazu dienen, LAN-Benutzern die gemeinsame Nutzung von Ressourcen und Dateien zu erleichtern Remote-Benutzer können Ihr Passwort auch über die gleiche Methode erhalten und möglicherweise Brute-Force-Methoden verwenden, um Benutzerpasswörter zu knacken und dem gesamten Netzwerk Schaden zuzufügen. Viele Leute wissen nur, dass sie die Registrierung Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous = 1 ändern müssen, um leere Benutzerverbindungen zu verhindern. Tatsächlich ist dies in der lokalen Sicherheitsrichtlinie von Windows 2000 (wenn es sich um einen Domänenserver handelt, in der Domänenserversicherheit und der Domänensicherheitsrichtlinie) der Fall die Option „RestrictAnonymous“, darunter drei Werte: „0“ ist der Systemstandard ohne Einschränkungen. Remote-Benutzer können alle Konten, Gruppeninformationen, freigegebenen Verzeichnisse, Netzwerkübertragungslisten (NetServerTransportEnum) usw. auf Ihrem Computer kennen " ist nur Nicht-NULL-Benutzern den Zugriff auf SAM-Kontoinformationen und freigegebene Informationen erlauben; der Wert „2" wird nur von Windows 2000 unterstützt. Es ist zu beachten, dass bei Verwendung dieses Werts Ressourcen nicht mehr gemeinsam genutzt werden können, was auch der Fall ist Es wird empfohlen, den Wert auf „1“ zu setzen.
10), ASP-Trojaner verhindern
1. ASP-Trojaner basierend auf der FileSystemObject-Komponente
cacls %systemroot%system32scrrun.dll /e /d Guests //Verbieten Sie Gästen die Verwendung von regsvr32 scrrun.dll /u /s //Delete
2. ASP-Trojaner basierend auf der Shell.application-Komponente. Legen Sie die Berechtigungen des Bildordners so fest, dass er nicht ausgeführt werden kann.
4. Wenn asp auf der Website nicht vorhanden ist, deaktivieren Sie asp
11), um SQL-Injection zu verhindern
1. Versuchen Sie, parametrisierte Anweisungen zu verwenden
2. Die parametrisierte SQL-Nutzungsfilterung kann nicht verwendet werden.
3. Die Website ist so eingestellt, dass keine detaillierten Fehlerinformationen angezeigt werden und sie immer zur Fehlerseite springt, wenn ein Fehler auftritt.
4. Verwenden Sie nicht den sa-Benutzer, um eine Verbindung zur Datenbank herzustellen.
5. Erstellen Sie einen neuen Datenbankbenutzer mit öffentlichen Berechtigungen und verwenden Sie diesen Benutzer, um auf die Datenbank zuzugreifen. 6. [Rolle] Entfernen Sie die ausgewählten Zugriffsberechtigungen der Rolle public zu den sysobjects- und syscolumns-Objekten.
Hinweis:
Abschließend möchte ich betonen, dass sich die oben genannten Einstellungen auf einige Anwendungsdienste auswirken können, z. B. darauf, dass keine Verbindung zum Remote-Server hergestellt werden kann.
Daher wird dringend empfohlen, die oben genannten Einstellungen zuerst vorzunehmen die lokale Maschine oder virtuelle Maschine (VMware Workstation). Gute Einstellungen, stellen Sie sicher, dass alles in Ordnung ist, und führen Sie es dann auf dem Server aus
Verwandte Empfehlungen:
Website-SicherheitDas obige ist der detaillierte Inhalt vonZusammenfassung der Windows-Server-Sicherheitseinstellungen. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!