Maison >Opération et maintenance >Sécurité >Résumé des paramètres de sécurité du serveur Windows

Résumé des paramètres de sécurité du serveur Windows

王林
王林avant
2021-02-02 11:50:507065parcourir

Résumé des paramètres de sécurité du serveur Windows

Windows Server est le cœur de Microsoft Windows Server System (WSS), le système d'exploitation serveur de Windows.

Chaque serveur Windows correspond à son édition maison (poste de travail) (sauf 2003 R2).

1), paramètres de sécurité de base du système

1. Instructions d'installation : formatez tous les systèmes avec NTFS, réinstallez le système (en utilisant le win2003 d'origine), installez le logiciel antivirus (Mcafee) et remplacez le logiciel antivirus par Update, installez les correctifs sp2, installez IIS (installez uniquement les composants nécessaires), installez SQL2000, installez .net2.0 et activez le pare-feu. Et appliquez les derniers correctifs au serveur.

2), fermer les services inutiles

Navigateur de l'ordinateur : maintenir les mises à jour de l'ordinateur du réseau, désactiver

Système de fichiers distribués : gestion LAN des fichiers partagés, pas besoin de désactiver

Client de suivi de liens distribué : utilisé pour mettre à jour les informations de connexion sur le LAN, pas besoin de désactiver

Service de rapport d'erreurs : interdire l'envoi de rapports d'erreurs

Microsoft Serch : fournit une recherche de mots rapide, pas besoin de désactiver

NTLMSecuritysupportprovide : utilisé pour le service telnet et Microsoft Serch, pas besoin de désactiver

PrintSpooler : désactiver s'il n'y a pas d'imprimante

Remote Registry : interdire la modification à distance du registre

Gestionnaire de session d'aide de bureau à distance : désactivez l'assistance à distance pour d'autres services en attente de vérification

3), configurez et gérez les comptes

1 Désactivez le compte Invité et modifiez le nom. et la description, puis entrez un mot de passe complexe

2. Il est préférable de créer moins de comptes d'administrateur système et de modifier le nom du compte d'administrateur par défaut (Administrateur) et la description. Le mot de passe est préférable d'utiliser une combinaison de chiffres plus. lettres majuscules et minuscules plus chiffres. La longueur Il est préférable de ne pas être inférieure à 10 caractères

3. Créez un nouveau compte piège nommé Administrateur, définissez les autorisations minimales pour celui-ci, puis entrez une combinaison de mots de passe de préférence. pas moins de 20 caractères

4. Configuration de l'ordinateur-Paramètres Windows-Paramètres de sécurité-Politique de compte-Politique de verrouillage du compte, définissez le compte sur "Le temps non valide pour trois connexions est de 30 minutes

5. . Dans Paramètres de sécurité-Politique locale-Options de sécurité, définissez "Ne pas afficher le dernier nom d'utilisateur" sur activé

6. Dans Paramètres de sécurité-Politique locale-Attribution des droits d'utilisateur, dans "Accéder à cet ordinateur depuis le réseau". réservez uniquement le compte invité Internet et démarrez le compte de processus IIS, compte Aspnet

7. Créez un compte utilisateur et exécutez le système. Si vous souhaitez exécuter des commandes privilégiées, utilisez la commande Runas

4) Ouvrez la politique d'audit correspondante

Politique d'audit Modification : Réussite

Événements de connexion à l'audit : Réussite, Échec

Accès à l'objet d'audit : Échec

Suivi des objets d'audit : réussite, échec

Accès au service d'annuaire d'audit : échec

Utilisation des privilèges d'audit : échec

Événements du système d'audit : réussite, échec

Audit événements de connexion au compte : réussite, échec

Gestion du compte d'audit : réussite, échec

5), autres paramètres liés à la sécurité

Interdire les partages par défaut tels que C$, D. $, ADMIN$

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters, à droite Créez une nouvelle valeur Dword dans la fenêtre, définissez le nom sur AutoShareServer et définissez la valeur sur 0

Dissociez NetBios du TCP/IP. protocole

Clic droit sur Voisinage réseau-Propriétés-clic droit sur Connexion au réseau local- Propriétés - double-clic sur Protocole Internet - Avancé - Wins - Désactiver NETBIOS sur TCP/IP

3. Masquer les éléments importants fichiers/répertoires

Vous pouvez modifier le registre pour obtenir un masquage complet : "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrent-VersionExplorerAdvancedFol derHiddenSHOWALL", cliquez avec le bouton droit sur "CheckedValue", sélectionnez modifier, changez la valeur de 1 à 0

4. Empêcher les attaques par inondation SYN

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters Créez une nouvelle valeur DWORD nommée SynAttackProtect avec une valeur de 2

5. Désactivez la réponse aux messages de publicité de route ICMP

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameter. sInterfacesinterface Créer un nouvelle valeur DWORD nommée PerformRouterDiscovery avec une valeur de 0

6. Empêcher les attaques des messages de redirection ICMP

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters Définissez la valeur EnableICMPRedirects sur 0

7. pris en charge

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters Créez une nouvelle valeur DWORD nommée IGMPLevel La valeur est 0

8, désactivez DCOM : saisissez Dcomcnfg.exe pendant le fonctionnement. Appuyez sur Entrée et cliquez sur « Services de composants » sous « Nœud racine de la console ». Ouvrez le sous-dossier Ordinateurs. ​

Pour les ordinateurs locaux, cliquez avec le bouton droit sur « Poste de travail » et sélectionnez « Propriétés ». Sélectionnez l'onglet Propriétés par défaut. Décochez la case Activer Distributed COM sur cet ordinateur.

9. Le port par défaut du service terminal est 3389. Vous pouvez envisager de le changer pour un autre port.

La méthode de modification est la suivante : Côté serveur : ouvrez le registre, recherchez une sous-clé similaire à RDP-TCP dans "HKLMSYSTEMCurrent ControlSetControlTerminal ServerWin Stations" et modifiez la valeur PortNumber. Client : suivez les étapes normales pour créer une connexion client. Sélectionnez cette connexion et sélectionnez Exporter dans le menu "Fichier". Un fichier avec le suffixe .cns sera généré à l'emplacement spécifié. Ouvrez le fichier et modifiez la valeur "Server Port" par la valeur correspondant au PortNumber côté serveur. Importez ensuite le fichier (Méthode : Menu→Fichier→Import), afin que le client modifie le port.

6) Configurer le service IIS

1. N'utilisez pas le site Web par défaut Si vous l'utilisez, séparez le répertoire IIS du disque système. ​

2. Supprimez le répertoire Inetpub créé par IIS par défaut (sur le disque où le système est installé). ​

3. Supprimez les répertoires virtuels sous le disque système, tels que : _vti_bin, IISSamples, Scripts, IIShelp, IISAdmin, IIShelp, MSADC. ​

4. Supprimez les mappages d’extensions IIS inutiles. Cliquez avec le bouton droit sur « Site Web par défaut → Propriétés → Répertoire personnel → Configuration », ouvrez la fenêtre de l'application et supprimez les mappages d'application inutiles. Principalement .shtml, .shtm, .stm  

5. Pour modifier le chemin du journal IIS, cliquez avec le bouton droit sur "Site Web par défaut → Propriétés-Site Web-Cliquez sur Propriétés sous Activer la journalisation

6. . Si vous utilisez 2000, vous pouvez utiliser iislockdown pour protéger IIS. La version d'IE6.0 exécutée en 2003 n'a pas besoin d'utiliser UrlScan. Les paquets HTTP entrants sont analysés et tout trafic suspect peut être rejeté. S'il s'agit de 2000Server, vous devez installer la version 1.0 ou 2.0. S'il n'y a pas d'exigences particulières, vous pouvez utiliser la configuration par défaut d'UrlScan. Vous exécutez un programme ASP.NET sur le serveur et pour le déboguer, vous devez l'ouvrir. le fichier URLScan.ini dans le dossier %WINDIR%System32InetsrvURLscan, puis ajoutez le verbe de débogage dans la section UserAllowVerbs. Notez que cette section est sensible à la casse. Si votre page Web est une page Web .asp, vous devez supprimer le fichier .asp associé. contenu dans DenyExtensions. Si votre page Web utilise du code non-ASCII, vous devez définir la valeur de AllowHighBitCharacters sur 1 dans la section Option. Après avoir modifié le fichier URLScan.ini, vous devez redémarrer le service IIS pour que cela soit possible. entrent en vigueur. Entrez iisreset lors de la méthode rapide. Si vous rencontrez des problèmes après la configuration, vous pouvez supprimer UrlScan via Ajout/Suppression de programmes

8. scanner sur l'ensemble du site Web.

7), configurer le serveur SQL

1 Il est préférable de ne pas avoir plus de deux rôles d'administrateur système

3. Compte, configurez un mot de passe super complexe pour celui-ci

4. Supprimez le format de procédure stockée étendue suivant :  

utilisez master  sp_dropextendedproc 'nom de procédure stockée étendue'   

xp_cmdshell : C'est le meilleur raccourci pour accéder au système d'exploitation. Supprimez les procédures stockées qui accèdent au registre.

Procédures stockées automatiques LE, pas besoin de Supprimer

Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty Sp_OAMethod Sp_OASetProperty Sp_OAStop

5. Masquez SQL Server et modifiez le port 1433 par défaut

Cliquez avec le bouton droit sur l'instance et sélectionnez Propriétés-Général-Configuration réseau Sélectionnez TCP dans les propriétés du protocole /IP, sélectionnez pour masquer l'instance SQL Server et modifiez la valeur par défaut. port 1433.

8) Modifiez l'adresse d'enregistrement du journal système. L'emplacement par défaut est le journal des applications, le journal de sécurité, le journal système, le journal DNS. L'emplacement par défaut est : %systemroot%system32config. changez cette taille par défaut.

Fichier journal de sécurité : %systemroot%system32configSecEvent.EVT Fichier journal système : %systemroot%system32configSysEvent.EVT Fichier journal d'application : %systemroot%system32configAppEvent.EVT Emplacement par défaut du journal FTP des services Internet : %systemroot%system32logfilesmsftpsvc1, par défaut est un journal par jour. Emplacement par défaut du journal WWW du service Internet Information : %systemroot%system32logfilesw3svc1. La valeur par défaut est un journal par jour. Emplacement par défaut : %systemroot%schedlgu.txt Journal des applications, journal de sécurité. journal système, journal du serveur DNS, ces fichiers LOG sont dans le registre : HKEY_LOCAL_MACHINESystemCurrentControlSetServicesEventlog Journal du service Schedluler (planification des tâches) dans le registre HKEY_LOCAL_MACHINESOFTWAREMicrosoftSchedulingAgent SQL Supprimer ou renommer xplog70.dll [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters] "AutoShareServer"=d word:000 00000 "AutoShareWks" = dword :00000000 // AutoShareWks pour la version pro // AutoShareServer pour la version serveur // 0

Interdire la gestion des partages par défaut tels que admin$, c$, d$ [HKEY_LOCAL_MACHINESystemCurrentControlSetControlLSA] "restrictanonymous"=dword:00000001 //0x1 Les utilisateurs anonymes ne peuvent pas énumérer la liste des utilisateurs locaux //0x2 Les utilisateurs anonymes ne peuvent pas se connecter à l'IPC local $ Partage (peut-être que le serveur SQL ne peut pas être démarré

9), politique de sécurité locale

1. Ouvrez uniquement les ports et protocoles requis par le service. La méthode spécifique est la suivante : ouvrez "Voisinage réseau → Propriétés → Connexion au réseau local → Propriétés → Protocole Internet → Propriétés → Avancé → Options → Filtrage TCP/IP → Propriétés" et ajoutez les ports TCP, UDP et protocoles IP requis. Les ports ouverts selon les services sont : le port 80 pour le service Web ; le port 21 pour le service FTP ; le port 23 pour le service Telnet ; Les ports UDP couramment utilisés sont : le port 53 – service de résolution de noms de domaine DNS ; le port 161 – protocole de gestion de réseau simple snmp. 8000 et 4000 sont utilisés pour l'OICQ, le serveur utilise 8000 pour recevoir des informations et le client utilise 4000 pour envoyer des informations. Ports TCP bloqués : 21 (FTP, changer de port FTP) 23 (TELNET), 53 (DNS), 135, 136, 137, 138, 139, 443, 445, 1028, 1433, 3389 Ports TCP bloquables : 1080, 3128, 6588 , 8080 (ce qui précède sont des ports proxy). 25 (SMTP), 161 (SNMP), 67 (démarrage). Bloquer le port UDP : 1434 (inutile de le mentionner). les ports les plus couramment scannés. D'autres sont également bloqués. Bien entendu, car 80 est destiné à un usage WEB

2. Interdire l'établissement de connexions vides Par défaut, tout utilisateur peut se connecter au serveur via une connexion vide, énumérer les comptes et deviner les mots de passe. Le port utilisé pour les connexions vides est 139. Grâce aux connexions vides, les fichiers peuvent être copiés sur le serveur distant et une tâche est planifiée pour être exécutée. Il s'agit d'une vulnérabilité. Vous pouvez interdire l'établissement de connexions vides via les deux méthodes suivantes :

(1) Modifiez la valeur de Local_MachineSystem CurrentControlSetControlLSA-RestrictAnonymous dans le registre à 1.

(2) Modifier la politique de sécurité locale de Windows 2000. Définissez RestrictAnonymous (restrictions supplémentaires sur les connexions anonymes) dans « Politique de sécurité locale → Politique locale → Options » sur « Ne pas autoriser l'énumération des comptes et des partages SAM ». Tout d'abord, l'installation par défaut de Windows 2000 permet à tout utilisateur d'obtenir tous les comptes et listes de partage du système via une connexion vide. Cela visait à l'origine à faciliter le partage de ressources et de fichiers par les utilisateurs du réseau local. L'utilisateur distant peut également obtenir le vôtre via la même méthode et peut utiliser des méthodes de force brute pour déchiffrer les mots de passe des utilisateurs et endommager l'ensemble du réseau. Beaucoup de gens savent seulement qu'il faut modifier le registre Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous = 1 pour interdire les connexions utilisateur vides. En fait, la politique de sécurité locale de Windows 2000 (s'il s'agit d'un serveur de domaine, c'est dans la politique de sécurité du serveur de domaine et de sécurité du domaine). l'option RestrictAnonymous, parmi laquelle il existe trois valeurs : "0" est la valeur par défaut du système sans aucune restriction. Les utilisateurs distants peuvent connaître tous les comptes, informations de groupe, répertoires partagés, listes de transmission réseau (NetServerTransportEnum), etc. sur votre machine ; " est uniquement Autoriser les utilisateurs non NULL à accéder aux informations du compte SAM et aux informations partagées ; la valeur "2" n'est prise en charge que par Windows 2000. Il convient de noter que si cette valeur est utilisée, les ressources ne peuvent plus être partagées, il est donc Il est recommandé de définir la valeur sur " 1 ", c'est mieux.

10), Empêcher les chevaux de Troie asp

1. Les chevaux de Troie Asp basés sur le composant FileSystemObject

cacls %systemroot%system32scrrun.dll /e /d invités //Interdire aux invités d'utiliser regsvr32 scrrun.dll /u /s //Supprimer

2. Cheval de Troie ASP basé sur le composant shell.application

cacls %systemroot%system32shell32.dll /e /d invités //Interdire aux invités d'utiliser regsvr32 shell32.dll /u /s //Supprimer

3 . Définissez les autorisations du dossier d'images pour ne pas lui permettre de s'exécuter.

4. Si asp n'existe pas sur le site Web, désactivez asp

11), empêchez l'injection SQL

1. Essayez d'utiliser des instructions paramétrées

2. Impossible d'utiliser le filtrage d'utilisation SQL paramétré.

3. Le site Web est configuré pour ne pas afficher d'informations détaillées sur les erreurs et passera toujours à la page d'erreur lorsqu'une erreur se produit.

4. N'utilisez pas l'utilisateur sa pour vous connecter à la base de données

5. Créez un nouvel utilisateur de base de données avec des autorisations publiques et utilisez cet utilisateur pour accéder à la base de données 6. [Rôle] Supprimez le accès sélectionné du rôle public aux autorisations des objets sysobjects et syscolumns.

Remarque :

Enfin, je voudrais souligner que les paramètres ci-dessus peuvent affecter certains services d'application, par exemple, l'annuaire ne peut pas se connecter au serveur distant

Par conséquent. , il est fortement recommandé d'effectuer d'abord les réglages ci-dessus. Effectuez les réglages sur la machine locale ou la machine virtuelle (VMware Workstation), assurez-vous que tout va bien, puis faites-le sur le serveur

Recommandations associées : Sécurité du site Web

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!

Déclaration:
Cet article est reproduit dans:. en cas de violation, veuillez contacter admin@php.cn Supprimer