Win2003 サーバーのセキュリティ強化設定 - サーバーのセキュリティをさらに向上させる

この記事は、サーバー メンテナンスにおける私のクリック エクスペリエンスであり、その一部は、侵入方法に基づいて私が行った対応する構成の調整です。ほとんどのコンテンツはオンラインで入手できますが、誰にとっても役立つ限り、それは問題ではありません。この記事について意見があれば、遠慮なくご連絡ください。私と一緒に！

もう 1 つ言いたいのは、この記事での議論の焦点はサーバーのセキュリティ設定の強化です。また、基本的な内容についても説明します。この記事の最後にタイトルを記載しましたが、インターネット上には良い記事がたくさんあるので、これ以上書く必要はありません。なので、これを読んだ後はディスクなどの設定をしないなんてことは言わないでください！

1. 管理者アカウント名とゲスト アカウント名を変更します。

この手順は主に、変更後すぐに侵入者がデフォルトのシステム ユーザー名またはゲスト アカウントを使用して巨額の利益を得るのを防ぐためです。パスワードを強力なものに変更することを忘れないでください。
コントロール パネル - 管理ツール - ローカル セキュリティ ポリシー - ローカル ポリシー - セキュリティ オプション
図に示すように、右列の下部:

screen.width*0.7) { this. resize=true; this.width=screen.width*0.7; this.style.cursor='hand'; this.alt='ここをクリックして新しいウィンドウを開きますnCTRL マウスホイールで拡大/縮小します';}" onclick= " (!this.resize) {return true;} else {window.open('/upload/2007523155646521.JPG');}" alt="" src="http://www.bkjia.com/uploads/allimg/ 131016/0614442V8-0.JPG" onload="if(this.width>screen.width*0.7) {this.resize=true; this.width=screen.width*0.7; ここをクリックして新規を開きますwindownCTRL マウスホイールでズームイン/ズームアウト';}" border=0>

2. リモート デスクトップ接続ポートを変更します

Regedt32 を実行して次の項目に移動します:
HKEY_LOCAL_MACHINESystemCurrentControlSetControl Terminal ServerWinStationsRDP - Tcp
「PortNumber」サブキーを見つけると、3389 を 16 進数で表現した値 00000D3D が表示されます。このポート番号を 16 進数の値で変更し、新しい値を保存します。🎜>Xiaoqiaomen: 皆さん、取得しないでください。キー値を変更する場合は 10 進数もサポートされます

不要なサービスを無効にするだけでなく、サーバーのリソース使用量が削減され、負荷が軽減されます。 、ただし、次のサービスも無効にすることができます:
アプリケーション エクスペリエンス検索サービス
自動更新
BITS
コンピュータ ブラウザ
DHCP クライアント
エラー報告サービス
ヘルプとサポート
ネットワーク ロケーション認識
印刷スプーラー
リモート レジストリ
セカンダリ ログオン
サーバー
スマートカード
TCP/IP NetBIOS ヘルパー
ワークステーション
Windows オーディオ
Windows タイム
ワイヤレス構成

4. グループ ポリシーを設定し、システム セキュリティ ポリシーを強化します

 アカウント ロックのしきい値を 5 回の無効なログインに設定します。ロック時間は 30 分です。
Everyone グループをネットワーク経由でこのコンピュータにアクセスできないようにします。
 ユーザー権限の割り当てで、パワー ユーザーとバックアップ オペレータをネットワーク経由でこのコンピュータにアクセスできないようにします。
 対話型ログインのメッセージ テキストを開始します。
 SAM アカウントおよび共有への匿名アクセスを禁止するには有効にします。
 ネットワーク認証用の資格情報またはパスポートの保存を禁止するには有効にします。
 次回のパスワード変更時に LANMAN ハッシュを保存しないようにするには有効にします。
 有効にします仮想メモリ ページ ファイルのクリア;
 IIS 匿名ユーザーのローカル ログインを無効にする;
 対話型ログインを有効にする: 最後のユーザー名を表示しない;
 ファイルから匿名ログインを許可する DFS$ を削除する共有と COMCFG;
 アクティブ デスクトップを無効にします。

5. TCP プロトコル スタックの強化

Windows レジストリ エディター バージョン 5.00
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters]
"Syn AttackProtect"=dword:00000001
EnablePMTUDiscovery"=dword:00 000000
"NoNameReleaseOnDemand"=dword:00000001
"EnableDeadGWDetect"=dword:00000000
"KeepAliveTime"=dword:00300000
"PerformRouterDiscovery"=dword:00000000
"TcpMaxConnectResponseRetransmissions" =dword:00000003
"TcpMaxHalfOpen"=dword:00000100
"TcpMaxHalfOpenRetried"=dword:00000080
Windows コンポーネントのインストールを入力し、アプリケーション サーバーを検索し、詳細情報を入力して、ASP.NET を確認します。IIS の必要なコンポーネントが自動的にインストールされます。サーバーで ASP スクリプトを実行する必要がある場合は、インターネット インフォメーション サービス (IIS) - World Wide Web サービスに入り、[アクティブなサーバー ページの選択] をオンにする必要もあります。インストールが完了したら、Web Web サイトのプログラムとデータを保存するための別のディレクトリを他の論理パーティションに作成する必要があります。
WEB サーバー上では複数の Web サイトが稼働しており、それらは互いに無関係である可能性があるため、隔離してセキュリティを向上させるために、匿名の WEB ユーザー グループを確立し、各サイトに匿名アクセス アカウントを作成する必要があります。 、これらの匿名アカウントを以前に作成した匿名 WEB ユーザー グループに追加し、ローカル コンピューター ポリシーでこのグループがローカル ログイン許可を持つことを禁止します。
 最後に、IIS6 アプリケーション プール設定を最適化します。
 デフォルトのアプリケーション プールのアイドル タイムアウトを無効にします。
 高速フェイル保護を無効にします。
 シャットダウン時間を

7 から制限します。 MSSQL の不要なコンポーネント、レジストリを削除し、SQL プロシージャをセキュリティ上の問題で置き換えます。すべては安全のためです。
を使用してマスターを削除します。 🎜>EXEC sp_dropextendedproc 'xp_cmdshell'
EXEC sp_dropextendedproc 'Sp_OACreate'
EXEC sp_dropextendedproc 'Sp_OADestroy " _dropextendedproc 'Xp_regaddmultistring'
EXEC sp_dropextendedproc 'Xp_regdeletekey'
EX EC sp_dropextendedproc 'Xp_regdeletevalue'
EXEC sp_dropextendedproc 'Xp_regenumvalues '
EXEC sp_dropextendedproc 'Xp_regread'
EXEC sp_dropextendedproc 'Xp_regremovemultistring'
EX EC sp_dropextendedproc 'Xp_regwrite'
プロシージャ sp_makewebtask を削除

すべてを「SQL クエリ アナライザ」にコピー
クリックメニュー - 「クエリ」 - 「実行」で、セキュリティ上の問題のある SQL プロシージャが削除されます (上記は正規ユーザー向けの 7i24 テクニカル サポートです)

デフォルトの SA 空パスワードを変更します。使用しないでください。データベース リンク用の SA アカウントを設定します。public 権限と db_owner 権限のみを与えます。

データベースをデフォルトの場所に配置しないでください。


最新の SQL2000 パッチは SP4

8 です。 アンチ ping 処理

アンチ ping 処理の提案 誰もがファイアウォールなどのソフトウェアを使用しているため、その影響を大幅に軽減できます。サーバーが攻撃されている可能性があるのはなぜですか？その主な理由は、現在、ほとんどの侵入者がソフトウェアを使用してネットワーク セグメント内で生き残っているホストをスキャンしているためです。一般に、ホストが生きているかどうかの判断は、ping が成功したかどうかによって決まります。

9. 一般的な DOS コマンドを禁止 (変更)

%windir%/system32 net.exe net1.exe ipconfig.exe tftp.exe exe の下にある cmd.exe と cmd32.exe を見つけます。 user.exe reg.exe regedit.exe regedt32.exe regsvr32.exe これらのファイルは、必要な場合にのみ管理者にアクセス権を与えるなど、ハッカーがアクセスするユーザーを「プロパティ」→「セキュリティ」で定義します。オーバーフロー攻撃やオーバーフロー成功後のこれらのファイルの不正使用を防ぐには、ACL でシステム ユーザーへのアクセスを拒否するだけで済みます。

10.server_U のデフォルトのポートを変更します (インターネット上に同様のビデオチュートリアルと記事があり、非常に優れています)

11. 珍しいポートを閉じます (どこでも入手可能)

[TCP/IP プロパティ] - [詳細設定] - [フィルター] で、一般的に使用されるポートをいくつか開くだけです。例: 80 3389 1433 など、皆様のニーズに合わせてご利用ください。

12. ディスク (Web サイトのディレクトリ)、ユーザー、IIS 権限の設定 (あちこち)
このような記事や動画はたくさんありますが、ここで言いたいのは、現在は Web サイトがたくさんあるということです。記事やビデオで基本的なディスク権限を付与する場合は、権限昇格が成功した後に侵入者がマシンを完全に制御できないように、すべてのユーザーに管理者権限を使用することを個人的にお勧めします。これを実行すると、たとえ侵入が成功したとしても、ほんの少しの閲覧権限しか与えられなくなります。