Win2003 サーバーのセキュリティ強化設定 -- サーバー セキュリティのさらなる向上_PHP チュートリアル
- WBOYオリジナル
- 2016-07-21 15:55:161049ブラウズ
この記事は、サーバー メンテナンスにおける私のクリック エクスペリエンスであり、その一部は、侵入方法に基づいて私が行った対応する構成の調整です。ほとんどのコンテンツはオンラインで入手できますが、誰にとっても役立つ限り、それは問題ではありません。この記事について意見があれば、遠慮なくご連絡ください。私と一緒に!
もう一つ言いたいのは、この記事での議論の焦点は、特定のセキュリティ設定に基づいて議論されているということです。また、この記事の最後にもタイトルを記載しました。基本的な内容ですが、インターネットには良い記事がたくさんあるので、もう書きたくないです。なので、これを読んだ後はディスクなどの設定をしないなんてことは言わないでください!
1. 管理者アカウント名とゲストアカウント名を変更します
この手順は主に、侵入者がデフォルトのシステムユーザー名またはゲストアカウントを使用して、変更後にすぐに莫大な利益を得るのを防ぐことを目的としています。強力なパスワードを変更することを忘れないでください。 。
コントロール パネル - 管理ツール - ローカル セキュリティ ポリシー - ローカル ポリシー - セキュリティ オプション
図に示すように、右の列の下部:
2. リモート デスクトップ接続ポートを変更します
Regedt32 を実行して次の項目に移動します:
HKEY_LOCAL_MACHINESystemCurrentControlSetControl Terminal ServerWinStationsRDP-Tcp
「PortNumber」サブキーを見つけると、値 00000D3D が表示されます。これは、3389 の 16 進数表現です。このポート番号を変更し、新しい値を保存するには、16 進数の値を使用します。
Xiaoqiaomen: 皆さん、16 進数で表示されても心配しないでください。キーの値は 10 進数もサポートしています。
3. 珍しいサービスを無効にする
不要なサービスを無効にすると、サーバーのリソース使用量が減り、負荷が軽減されるだけでなく、セキュリティも強化されます。
エクスペリエンス検索サービス
自動更新。
BITS
コンピュータ ブラウザ
DHCP クライアント
エラー報告サービス
ヘルプとサポート
ネットワーク ロケーション認識
印刷スプーラー
リモート レジストリ
セカンダリ ログオン
サーバー
マートカード
TCP/IP NetBIOS ヘルパー
ワークステーション
Windows オーディオ
Windows タイム
無線設定
4. グループ ポリシーを設定してシステム セキュリティ ポリシーを強化します
アカウントのロックアウトしきい値を無効なログイン 5 回に設定し、ロックアウト時間を 30 分に設定します。
ネットワーク経由でこのコンピューターにアクセスできないようにEveryone グループを削除します。
ユーザーの下権利の割り当て、パワー ユーザーとバックアップ オペレーターがネットワーク経由でこのコンピューターにアクセスできないようにします。
対話型ログインのメッセージ テキストを開始します。
SAM アカウントと共有への匿名アクセスを禁止します。
次回のパスワード変更時に LANMAN ハッシュを保存しないようにします。
∎ IIS 匿名ユーザーのローカル ログインを無効にします。
∎ 対話型ログインを有効にする: 最後のユーザー名を表示しません。
∎ ファイル共有から匿名ログインを許可する DFS$ および COMCFG を削除します。
∎ アクティブ デスクトップを無効にします。
5. TCPプロトコルスタックの強化
Windowsレジストリエディタバージョン5.00
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters]
"Syn AttackProtect"=dword:00000001
"EnablePMTUDiscovery"=dword :00000000
"NoNameReleaseOnDemand"=dword:00000001
"EnableDeadGWDetect"=dword: 00000000
「KeepAliveTime」=dword:00300000
「PerformRouterDiscovery」=dword:00000000
「TcpMaxConnectResponseRetransmissions」=dword:00000003
「TcpMaxHalfOpen」=dword:00000100
"TcpMaxHalfOpenRetried"=dword:00000080
"TcpMaxPortsExhausted"=dword:00000005
6. IIS を強化する
Windows コンポーネントのインストールを入力し、アプリケーション サーバーを見つけて詳細を入力し、ASP.NET を確認します。サーバーで ASP スクリプトを実行する必要がある場合は、IIS に必要なコンポーネントも自動的に選択されます。インターネット インフォメーション サービス (IIS) に入る必要があります - World Wide Web サービスの下の [アクティブなサーバー ページ] を確認します。インストールが完了したら、Web Web サイトのプログラムとデータを保存するための別のディレクトリを他の論理パーティションに作成する必要があります。
WEBサーバー上では複数のWebサイトが稼働しており、それらは互いに無関係である可能性があるため、隔離してセキュリティを向上させるためには、匿名のWEBユーザーグループを確立し、各サイトに匿名アクセスアカウントを作成する必要があります。匿名アカウントは、以前に確立された匿名 WEB ユーザー グループに追加され、このグループはローカル コンピュータ ポリシーでローカル ログイン権限を持つことが禁止されます。
最後に、IIS6 アプリケーション プール設定を最適化します。
デフォルトのアプリケーション プールのアイドル タイムアウトを無効にします。
アプリケーション プール ID を NetworlService から LocalService に変更します。
7 からの時間制限の設定、MSSQL の不要なコンポーネント、レジストリの削除、およびセキュリティ問題のある SQL プロセスの削除のためのシェル
のすべてはセキュリティのためです。COM コンポーネントのアクセス許可を解除します。
マスターを使用
EXEC sp_dropextendedproc 'xp_cmdshell'
EXEC sp_dropextendedproc 'Sp_OACreate'
EXEC sp_dropextendedproc 'Sp_OADestroy'
EXEC sp_dropextendedproc 'Sp_OAGetErrorInfo'
EXEC sp_dropextendedproc 'Sp_OAGetProperty '
EXEC sp_dropextendedproc 'Sp_OAMethod'
EXEC sp_dropextendedproc 'Sp_OASetProperty'
EXEC sp_dropextendedproc 'Sp_OAStop '
EXEC sp_dropextendedproc 'Xp_regaddmultistring'
EXEC sp_dropextendedproc 'Xp_regdeletekey'
EXEC sp_dropextendedproc 'Xp_regdeletevalue'
EXEC sp_dropextendedproc 'Xp_regenumvalues'
EXEC sp_dropextendedproc 'Xp_regread'
EXEC sp_dropextendedproc 'Xp_regremovemultistring'
EXEC sp_dropextendedproc 'Xp_regwrite'
drop プロシージャ sp_makewebtask
Copyすべてを「SQL Query Analyzer」に変更します
メニュー--「クエリ」--「実行」をクリックすると、セキュリティ上の問題のあるSQLプロセスが削除されます(上記は7i24の正規ユーザーのテクニカルサポートです)
デフォルトを変更しますSA パスワードは空です。単一のデータベースに対して別のアカウントを設定しないでください。
データベースをデフォルトの場所に配置しないでください。
最近の SQL2000 パッチは SP4
8、アンチ ping 処理
サーバーがダウンする可能性を大幅に減らすことができるため、ファイアウォールなどのソフトウェアを使用することをお勧めします。攻撃したのはなぜですか?主な理由は、現在、ほとんどの侵入者がソフトウェアを使用してネットワーク セグメント内で生き残っているホストをスキャンしているためです。一般に、ホストが生きているかどうかの判断は、ping が成功したかどうかによって決まります。
9. 一般的な DOS コマンドを無効化 (変更) します
%windir%/system32 で cmd.exe、cmd32.exe net.exe net1.exe ipconfig.exe tftp.exe ftp.exe user.exe reg.exe regedit を見つけます。 exe regedt32.exe regsvr32.exe これらのファイルはハッカーによってよく使用されます。たとえば、一部のオーバーフロー攻撃やオーバーフローを防ぐ必要がある場合は、管理者のみがアクセスできるようにします。これらのファイルの不正使用に成功した後は、ACL でシステム ユーザーへのアクセスを拒否するだけで済みます。
10.server_U のデフォルトのポートを変更します (インターネット上に同様のビデオチュートリアルと記事があり、非常に優れています)
11. 珍しいポートを閉じます (どこでも利用可能)
TCP/IP プロパティ - 詳細 - フィルターで、よく使用されるポートをいくつか開くだけで完了です。例: 80 3389 1433 など、皆様のニーズに合わせてご利用ください。
12. ディスク(Webサイトのディレクトリ)、ユーザー、IISの権限設定(あちこち)
このような記事や動画はたくさんありますが、ここで言いたいのは、今Webサイトにはたくさんの記事や動画があるということです。ディスクの基本権限を設定するときは、権限昇格が成功した後に侵入者がマシンを完全に制御できないように、すべてのユーザーに管理者権限を使用することを個人的にお勧めします。これを実行すると、たとえ侵入が成功したとしても、ほんの少しの閲覧権限しか与えられなくなります。
http://www.bkjia.com/PHPjc/318324.html
www.bkjia.com
本当