以前做过一些windows服务器的管理工作,收集了一些网上常提到的安全设置。我自己采用了一些,实践中确实比以前安全管理好很多了,常见的入侵到没怎么能够破坏系统了。
刚好一个朋友需要这方面的资料,那我就写下吧,其实都是网上能找到的文章,只是说有些部分我没有用,只是记录下我实际环境中设置的。
主要分为三个部分:
第一部分 主机安全
1.磁盘安全配置,一般有四个盘符,C: SYSTEM D: WEB E:MSSQL F: BACKUP
C盘权限最上层权限就保留 administrators system 默认权限,其他权限可以不要。
D盘权限 保留 administrators
E盘权限 保留 administraors 增加 mssql独立启动账户读取权限(后面MSSQL启动使用,2000和2005设置都差不多)
F盘权限 保留 administrators 只是做备份的暂时只保留了这个权限
细化一下C盘,将Documents and Settings里面的everyone权限删除了,子目录下的all users也有个everyone权限也可以删除,这两个位置删除了我还没发现有什么影响。
2.关闭不需要的服务,我到是关的不多,一般就下面几个:
我做这步到是习惯了,也要不了几下就设置完了,有时候当然也不需要。
TCP/IP NetBIOS help
Task Scheduler(计划任务有时候要运行一些shell,可以不关,前期我到是关闭了的)
Print Spooler
DNS Client
DHCP Client
Wireless Configuration
Help and Support
Remote Registry
3.设置本地安全策略
安全在管理工具里面可以直接找到
主要设置本地策略里面的三个策略子集
审核策略,也就是一些日志记录功能,排错能用上。
除了过程追踪服务访问,其他的我都设置了成功和失败选择审计
用户权限分配
这个我以前设置过一些,后面就没怎么设置了
安全选项
设置重命名管理员账户和guest账户名字。
可远程访问的注册表路径 删除值
可远程访问的注册表路径和子路径 删除值
LAN 管理器身份验证级别 设置仅发送 NTLMv2 响应\拒绝 LM & NTLM,如果你服务器是VPN服务器就不要设置成最高级了
接下来设置下端口管理,在IP安全策略里面,创建一个新的访问策略,将一些不需要的端口关闭,445,139,135等等端口。
4.设置IIS服务器
这里可能要简单的说明一下,这个地方要设置的原因,有可能存在几个网站,IIS默认是使用Internet 来宾帐户这个IUSR账户来访问网页的,最好是将网站独立开,使用独立账户,对ASP比较有效,.net他用的是另外的账户。
例如:
创建一个web用户,将该用户users组删除并加入到guests组里面去,接着设置IIS权限,先删除IIS默认站点,在D盘创建一个web的文件夹(我这里以一个网站为例),先设置访问该目录权限,给予读取和写入权限(如果严格的话,可以分析网站程序结构,最上层给予读取权限,某个写入目录给予读取和写入权限),在这里设置权限最好用高级功能细化权限,有些程序要求还有修改权限,所以在这里有个原则就是,只要不给予运行权限,更改权限,取得所有权权限也可以,具体问题要具体分析,大体原则是这样。设置好权限以后,再点击网站属性,选择目录安全性,设置身份验证用户为web用户。对于一个要运行的网站,也需要设置主目录位置脚本选择和VB的父路径,首页文件等,配置网站运行的我就不细说了。如果是.net的用户这里要设置一下network service这个用户对这个目录有读取和写入权限(权限和web用户一样要看实际情况来,当然运行权限这里也也不需要),我一般选用的是这个账户,以前设置过iis_wpg这个组也可以,这个组里有network service这个用户。
第二部分 数据库安全
常见服务器上的数据库就是mssql和mysql,都需要设置独立账户启动,这里就只说下mssql的设置。
我们在前面已经给予了E盘mssql读取权限,在安装mssql的时候在选择安装数据库路径位置的时候,选择放到E盘。我一般定义一个mssql的目录,对于2000他的结构在这里很简单,mssql下面就是应用目录了,2005下面可能还有多层目录,设置都差不多,只是说目录深就多检查下目录权限。这里设置给mssql用户权限完全控制。权限设置好后,使用数据库的管理工具,设置这个用户权限启动数据库,这里一定要设置使用工具来,手动设置服务启动,需要设置注册表,有点麻烦。
数据库有agent这个服务,主要是用来自动备份,如果可以当然也可以使用mssql用户来启动。这里设置mssql服务启动,最好自己能先自己实践一下,在测试环境自己测试好了,再使用到服务器上,这里注意下agent服务,这个有可能设置问题导致备份不能完成,注意权限的问题。
第三部分 额外应用
一般服务器上都有FTP软件,iis的FTP就不用设置了,没什么设置参数。注意如果你使用serv-u,也要启动独立账户启动这个服务,用这个来入侵的太多了,所以要控制好权限。
例如
serv-u 我一般用的比较老的绿色版(6.3还是什么的,有点忘记了,把里面的隐藏用户密码改下,网上很多这样的说明),设置三个地方就行了,serv-u软件目录权限为ser-u这个独立账户,对D盘web设置ser-u用户权限(最上层D盘根也要给予serv-u用户读取权限),最后设置服务启动使用serv-u,这个在服务管理器里修改就行。
基本上我常用的就这么多,也没什么技术含量,都是以前在网上找到的。
注:在给予D盘这样的最上层根的读取权限,只用使用高级里面的对这个目录有读取权限,不用涉及到权限的子目录,特定的子目录使用具体的权限即可。
一般网站入侵后,都会有写入权限留有后门,按时间搜索可以找到异常文件,有时候还可以使用杀毒软件控制对文件的修改和写入,防止再挂马,而且还可以起到监控的作用,查到是什么文件在修改操作,mcafee有这个功能。