鸿 网 互 联 www.68idc.cn

架设WindowsServer2003的安全堡垒

来源:互联网 作者:佚名 时间:2015-06-02 23:59
如果你曾经配置过Windows NT Server或是Windows Server 你也许发现这些微软的产品缺省并不是最安全的 虽然微软提供了很多安全机制 但是依然需要你来实现它们 然而当微软发布Windows Server 的时候 改变了以往的哲学体系 新的理念是 服务器缺省就应该是安全的

  如果你曾经配置过Windows NT Server或是Windows Server你也许发现这些微软的产品缺省并不是最安全的虽然微软提供了很多安全机制但是依然需要你来实现它们然而当微软发布Windows Server 的时候改变了以往的哲学体系新的理念是服务器缺省就应该是安全的这的确是一个不错的理念不过微软贯彻得还不够彻底虽然缺省的Windows 安装绝对比确省的Windows NT或 Windows 安装安全许多但是它还是存在着一些不足下面让我教大家如何让Windows Server 更加安全
  
  第一步修改管理员帐号和创建陷阱帐号
  
  修改内建的用户账号多年以来微软一直在强调最好重命名Administrator账号并禁用Guest账号从而实现更高的安全在Windows Server Guest 账号是缺省禁用的但是重命名Administrator账号仍然是必要的因为黑客往往会从Administrator账号入手开始进攻方法是打开本地安全设置对话框依次展开本地策略安全选项在右边窗格中有一个账户重命名系统管理员账户的策略双击打开它给Administrator重新设置一个平淡的用户名当然请不要使用Admin之类的名字改了等于没改尽量把它伪装成普通用户比如改成guestone 然后新建一个名称为Administrator的陷阱帐号受限制用户把它的权限设置成最低什么事也干不了的那种并且加上一个超过位的超级复杂密码这样可以让那些 Scripts s忙上一段时间了并且可以借此发现它们的入侵企图或者在它的login scripts上面做点手脚
  
  第二步删除默认共享存在的危险
  
  Windows安装好以后系统会创建一些隐藏的共享你可以在cmd下打 net share 查看他们网上有很多关于IPC入侵的文章相信大家一定对它不陌生所以我们要禁止或删除这些共享以确保安全方法是首先编写如下内容的批处理文件
  
  @echo off
  net share C$ /del
  net share D$ /del
  net share E$ /del
  net share F$ /del
  net share admin$ /del
  
  以上批处理内容大家可以根据自己需要修改保存为delsharebat存放到系统所在文件夹下的system\GroupPolicy\User\Scripts\Logon目录下然后在开始菜单→运行中输gpeditmsc回车即可打开组策略编辑器点击用户配置→Window设置→脚本(登录/注销)→登录在出现的登录 属性窗口中单击添加会出现添加脚本对话框在该窗口的脚本名栏中输入delsharebat(如图然后单击确定按钮即可这样就可以通过组策略编辑器使系统开机即执行脚本删除系统默认的共享
  
  
 

  
  禁用IPC连接
  
  IPC是Internet Process Connection的缩写也就是远程网络连接它是Windows NT//XP/特有的功能其实就是在两个计算机进程之间建立通信连接一些网络通信程序的通信建立在IPC上面举个例子来说IPC就象是事先铺好的路我们可以用程序通过这条访问远程主机默认情况下IPC是共享的也就是说微软已经为我们铺好了路因此这种基于IPC的入侵也常常被简称为IPC入侵建立IPC连接不需要任何黑客工具在命令行里键入相应的命令就可以了不过有个前提条件那就是你需要知道远程主机的用户名和密码打开CMD后输入如下命令即可进行连接
  
  net use\\ip\ipc$ password /user:usernqme我们可以通过修改注册表来禁用IPC连接打开注册表编辑器找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa中的restrictanonymous子键将其值改为即可禁用IPC连接
  
  第三步是重新设置远程可访问的注册表路径
  
  设置远程可访问的注册表路径为空这样可以有效地防止黑客利用扫描器通过远程注册表读取计算机的系统信息及其它信息打开组策略编辑器然后选择计算机配置Windows设置安全选项网络访问可远程访问的注册表路径网络访问可远程访问的注册表将设置远程可访问的注册表路径和子路径内容设置为空即可这样可以有效防止黑客利用扫描器通过远程注册表读取计算机的系统信息及其它信息(如图
  
  
 

  
  第四步关闭不需要的端口
  
  大家都知道端口是Netbios使用的端口在以前的Windows版本中只要不安装Microsoft网络的文件和打印共享协议就可关闭端口在Windows Server 只这样做是不行的如果想彻底关闭端口方法如下鼠标右键单击网络邻居选择属性进入网络和拨号连接再用鼠标右键单击本地连接选择属性打开本地连接 属性然后去掉Microsoft网络的文件和打印共享前面的(如图接下来选中Internet协议(TCP/IP)单击属性高级WINS禁用TCP/IP上的NetBIOS选中(如图即大功告成!这样做还可有效防止SMBCrack之类工具破解和利用网页得到我们的NT散列
  
  
 

  
  如果你的机子还装了IIS你最好设置一下端口过滤方法如下选择网卡属性然后双击Internet协议(TCP/IP)在出现的窗口中单击高级按钮会进入高级TCP/IP设置窗口接下来选择选项标签下的TCP/IP 筛选属性按钮会来到TCP/IP 筛选的窗口在该窗口的启用TCP/IP筛选(所有适配器)前面打上(如图然后根据需要配置就可以了
  
  

  
  比方说如果你只打算浏览网页则只开放TCP端口即可所以可以在TCP端口上方选择只允许然后单击添加按钮输入再单击确定即可如果有其他需要可如法炮制
  
  以上就是初步的安全设置下面在说说其他方面的安全
  
  (一)重新支持ASP脚本
  
  为了将系统安全隐患降到最低限度Windows Server 操作系统在默认状态下是不支持ASP脚本运行的不过现在许多网页的服务功能多是通过ASP脚本来实现的为此我们很有必要在安全有保障的前提下让系统重新支持ASP脚本具体实现的方法为
  
  在系统的开始菜单中依次单击管理工具/Internet信息服务管理器命令
  
  在随后出现的Internet信息服务属性设置窗口中用鼠标选中左侧区域中的Web服务器设置
  
  接着在对应该选项右侧的区域中用鼠标双击Actives server pages选项然后将任务栏设置项处的允许按钮单击一下系统中的II就可以重新支持ASP脚本了
  
  (二)添加站点到信任区域
  
  Windows Server 操作系统使用了一个安全插件为用户提供了增强的安全服务功能利用该功能你可以自定义网站访问的安全性在缺省状态下Windows Server 操作系统会自动启用增强的安全服务功能并将所有被访问的Internet站点的安全级别设置为对于频繁访问的网站你可以将其添加到受信任的站点区域中日后再次访问它时系统就不会弹出安全提示框了
  
  添加站点到信任区域的具体做法为
  
  在浏览器的地址框中输入需要访问的站点地址单击回车键就会自动打开一个安全提示警告窗口
  
  要是不想浏览该站点时直接可以单击关闭按钮要是想浏览的话可以单击添加按钮
  
  在随后打开的可信任站点设置窗口中你会发现当前被访问的站点地址已经出现在信任区域文本框中
  
  继续单击添加按钮就能将该站点添加到网站受信任区域中了下次重新访问该站点时浏览器就会跳过安全检查直接打开该站点的网页页面了
  
  (三)根据需要对系统服务进行控制
  
  服务是一种在系统后台运行的应用程序类型它与UNIX后台程序类似服务提供了核心操作系统功能如Web 服务事件日志记录文件服务帮助和支持打印加密和错误报告通过服务管理单元可管理本地或远程计算机上的服务所以并不是所有默认服务都是我们需要的我们不需要的可以停用禁用来释放系统资源如果你想更加了解系统的服务可以到我的电脑控制面板服务中查看每个服务都有完整的描述或使用Windows 的帮助与支持查阅相关资料
  特别注意服务账号
  
  Windows Server 在某种程度上最小化服务账号的需求即便如此一些第三方的应用程序仍然坚持传统的服务账号如果可能的话尽量使用本地账号而不是域账号作为服务账号因为如果某人物理上获得了服务器的访问权限他可能会转储服务器的LSA机密并泄露密码如果你使用域密码森林中的任何计算机都可以通过此密码获得域访问权限而如果使用本地账户密码只能在本地计算机上使用不会给域带来任何威胁
  
  系统服务
  
  一个基本原则告诉我们在系统上运行的代码越多包含漏洞的可能性就越大你需要关注的一个重要安全策略是减少运行在你服务器上的代码这么做能在减少安全隐患的同时增强服务器的性能
  
  在Windows 缺省运行的服务有很多但是有很大一部分服务在大多数环境中并派不上用场事实上Windows 的缺省安装甚至包含了完全操作的IIS服务器而在Windows Server 微软关闭了大多
网友评论
<