Win2003安全加固方案

合集下载

项目02Windows系统安全加固

项目02Windows系统安全加固
16
这里重点说说139端口,139端口也就是NetBIOS Session端口,用作文件和打印的共享。
关闭139端口的方法是在“本地连接”中选取 “Internet协议(TCP/IP)”属性,进入“高级TCP/IP 设置”,在“WINS”选项卡中,有一“禁用TCP/IP的 NETBIOS”选项,选中后即可关闭139端口。
打开组策略后在左侧列表区域中的“‘本地计算机’策略”→“计 算机配置”→“Windows设置”→“安全设置”→“本地策 略”→“审核策略”选项,在“审核策略”中找到“审核对象访 问”,选中属性界面中的“失败”、“成功”选项,以后出现问题 时就能有针对性地进入系统安全日志文件,来查看相关事件记录。
19
5
操作系统内的活动都可以认为是主体对计算机系统内 部所有客体的一系列操作。
主体是指发出访问操作、存取请求的主动方,它包括 用户、用户组、主机、终端或应用进程等。主体可以 访问客体。
客体是指被调用的程序或要存取的数据访问,它包括 文件、程序、内存、目录、队列、进程间报文、I/O 设备和物理介质等。
主体对客体的安全访问策略是一套规则,可用于确定 一个主体是否对客体拥有访问能力。
6
一般所说的操作系统的安全通常包含两方面的含义: ① 操作系统在设计时通过权限访问控制、信息加密性
保护、完整性鉴定等机制实现的安全; ② 操作系统在使用中,通过一系列的配置,保证操作
系统避免由于实现时的缺陷或是应用环境因素产生的 不安全因素。 只有在这两方面同时努力,才能够最大可能地建立安 全的操作系统。
9
我们知道,在 TCP和 UDP协议中,源端 口和目标端口是用一个16位无符号整数 来表示的,这就意味着端口号共有 65536个(=216,0~65535)。

Windows 2003服务器安全加固方案(最新)

Windows 2003服务器安全加固方案(最新)

Windows 2003服务器安全加固方案sql服务器安全加固安装最新的mdac()5.1 密码策略由于sql server不能更改sa用户名称,也不能删除这个超级用户,所以,我们必须对这个帐号进行最强的保护,当然,包括使用一个非常强壮的密码,最好不要在数据库应用中使用sa帐号。

新建立一个拥有与sa一样权限的超级用户来管理数据库。

同时养成定期修改密码的好习惯。

数据库管理员应该定期查看是否有不符合密码要求的帐号。

比如使用下面的sql语句:use masterselect name,password from syslogins where password is null5.2 数据库日志的记录核数据库登录事件的"失败和成功",在实例属性中选择"安全性",将其中的审核级别选定为全部,这样在数据库系统和操作系统日志里面,就详细记录了所有帐号的登录事件。

5.3 管理扩展存储过程xp_cmdshell是进入操作系统的最佳捷径,是数据库留给操作系统的一个大后门。

请把它去掉。

使用这个sql语句:use mastersp_d ropextendedproc ’xp_cmdshell’注:如果你需要这个存储过程,请用这个语句也可以恢复过来。

sp_addextendedproc ’xp_cmdshell’, ’xpsql70.dll’ole自动存储过程(会造成管理器中的某些特征不能使用),这些过程包括如下(不需要可以全部去掉:sp_oacreate sp_oadestroy sp_oageterrorinfo sp_oagetpropertysp_oamethod sp_oasetproperty sp_oastop去掉不需要的注册表访问的存储过程,注册表存储过程甚至能够读出操作系统管理员的密码来,如下:xp_regaddmultistring xp_regkey xp_regvalue xp_regenumvaluesxp_regread xp_regremovemultistring xp_regwrite5.4 防tcp/ip端口探测在实例属性中选择tcp/ip协议的`属性。

windows加固脚本-2003

windows加固脚本-2003
echo "Retention"=dword:00000000 >>1.reg
rem 配置防御SYN攻击
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]>>1.reg
echo "SynAttackProtect"=dword:00000002>>1.reg
echo [HKEY_CURRENT_USER\Control Panel\Desktop]>>1.reg
echo "ScreenSaveTimeOut"="300" >>1.reg
echo "ScreenSaverIsSecure"="1" >>1.reg
rem 配置远程登陆不活动断连时间15分钟
echo SeRemoteShutdownPrivilege = Administrators >>1.inf
echo SeShutdownPrivilege=Administrators >>1.inf
echo SeTakeOwnershipPrivilege = Administrators >>1.inf
REM 关闭 TCP 445
echo [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters] >>1.reg
echo "SMBDeviceEnabled"=dword:00000000 >>1.reg

WIN2003服务器安全加固方案

WIN2003服务器安全加固方案
维普资讯

强|
。 一
பைடு நூலகம்
实 指 l 务 ■ 战 南l i B [ ÷ ∞
导 安全加固方案

哄电局 ,广东 江门 5 9 0 ) 22 0
摘 要 : 当 Wn w ios d
其 他 应 用场 合 , 系 殊 文 件 的权 限设 置
系统 的安 全性 进 行
.,



o S r e 20 ws e v r 03
置 于 公 网之 中对 外提 供服 务 时 , 面临 的安 全威胁 要 远 大 于
不 的 服 几 面何 W 必 系务个 对增i 要 统 等 方 如 强d n
够 , 需要 人 为加 1 。该 文从 安 全 策略 、默 认共 享 的 清 除和 特 1 1
Ke w o d y r s: Wi n 200 3; S crt euiy; N t r Oprig y t m e Wok etn S se
本 文 主 要 探 讨 当 W id ws e v r 03服 务 器 被 用 作 n o S r e 2 0 W e 、DNS TP ma l b 、F 、E i 等服 务器 ,置 于 公 网之 中时 ,如 何 从 操 作 系统 设 置 方 面 来 增 强 其 安 全 性 。 系统 安 全是 一 个 系 统 工 程 ,需 要 方 方 面 面 的 密切 配 合 ,限 于 篇 幅 ,本 文 的 内 容
操作系统本身设置方面来讲 ,我们就 可以采用多种方法来增
强 W id ws e v r 0 3系统 的 安 全 性 。 本 文 将分 别从 安 n o S r e 2 0
全 策略、默认共 享的清除和特殊文件 的权 限设置 、注册表 的

主机操作系统加固策略

主机操作系统加固策略

一. 主机操作系统加固策略1.1Windows 2003操作系统加固方案1.1.1系统基本信息1.1.2安全补丁检测及安装实施工程师备注:1.1.3系统用户口令及策略加固实施编号:Topsec—Win2003—1201实施名称:系统用户口令策略加固系统当前状态: 查看系统“本地安全设置”-“帐户策略”中“密码策略”和“账号锁定策略”当前情况:(以下为示例图)实施方案:密码必须符合复杂性要求:启用密码长度最小值8个字符密码最长使用期限:90天强制密码历史:24个记住的密码帐户锁定阀值:3次无效登陆帐户锁定时间:15分钟复位帐户锁定计数器:15分钟之后策略更改后,督促现有用户更改其登陆口令以符合最新策略要求。

实施目的:保障用户账号及口令的安全,防止口令猜测攻击。

实施风险: 账号锁定后15分钟后才解锁。

回退方案恢复默认值是否实施:实施工程师备注:实施编号:Topsec-Win2003—1202实施名称:禁用guest账户权限1.1.4日志及审核策略配置系统当前状态: 在“本地安全策略”-“本地策略"中查看系统“审核策略”:(以下为示例图)实施方案:审核策略更改成功,失败审核登陆事件成功,失败审核对象访问失败审核目录服务访问成功,失败审核特权使用失败审核系统事件成功,失败审核账户登陆事件成功,失败审核帐户管理成功,失败实施目的:对重要事件进行审核记录,方便日后出现问题时查找问题根源。

实施风险:无回退方案恢复默认状态是否实施:实施工程师备注:实施编号:Topsec—Win2003-1302实施名称: 调整事件日志的大小及覆盖策略系统当前状态:日志类型日志大小覆盖策略应用程序日志K 覆盖早于天的日志安全日志K 覆盖早于天的日志系统日志K 覆盖早于天的日志实施方案:日志类型日志大小覆盖策略应用程序日志80000 K 覆盖早于30天的日志安全日志80000 K 覆盖早于30天的日志系统日志80000K 覆盖早于30天的日志其他日志(如存在)80000 K 覆盖早于30天的日志实施目的:增大日志大小,避免由于日志文件容量过小导致重要日志记录遗漏实施风险:回退方案恢复默认设置是否实施:实施工程师备注:1.1.5安全选项策略配置实施编号: Topsec—Win2003-1401实施名称:Microsoft 网络服务器:当登录时间用完时自动注销用户系统当前状态:查看系统当前设置:实施方案:在管理工具->本地安全策略->选择本地策略->选择安全选项-> Microsoft 网络服务器:当登录时间用完时自动注销用户(改成已启用)!实施目的:可以避免用户在不适合的时间登录到系统,或者用户登录到系统后忘记退出登录实施风险: 无回退方案恢复默认设置是否实施:实施工程师备注:实施编号: Topsec—Win2003—1402实施名称:Microsoft 网络服务器:在挂起会话之前所需的空闲时间系统当前状态:查看系统当前设置:实施方案:在管理工具—〉本地安全策略->选择本地策略->选择安全选项—> Microsoft 网络服务器:在挂起会话之前所需的空闲时间(小于等于30分钟)实施目的: 设置挂起会话之前所需的空闲时间为30分钟实施风险:无回退方案无是否实施:实施工程师备注:实施编号:Topsec-Win2003—1403实施名称: Microsoft 网络客户端:发送未加密的密码到第三方SMB服务器系统当前状态:查看系统当前设置:实施方案: 在管理工具—〉本地安全策略-〉选择本地策略—>选择安全选项—〉Microsoft 网络客户端:发送未加密的密码到第三方SMB服务器(禁用)实施目的:禁止发送未加密的密码到第三方SMB服务器实施风险: 无回退方案无是否实施:实施工程师备注:实施编号:Topsec—Win2003-1404实施名称:故障恢复控制台:允许对所有驱动器和文件夹进行软盘复制和访问系统当前状态:查看系统当前设置:实施方案: 在管理工具->本地安全策略—>选择本地策略->选择安全选项—〉故障恢复控制台:允许对所有驱动器和文件夹进行软盘复制和访问(禁用)实施目的:Windows 2003控制台恢复的另一个特性是它禁止访问硬盘驱动器上的所有文件和目录。

Win2003系统安全解决方案-推荐下载

Win2003系统安全解决方案-推荐下载
4
对全部高中资料试卷电气设备,在安装过程中以及安装结束后进行高中资料试卷调整试验;通电检查所有设备高中资料电试力卷保相护互装作置用调与试相技互术通关,1系电过,力管根保线据护敷生高设产中技工资术艺料0不高试仅中卷可资配以料置解试技决卷术吊要是顶求指层,机配对组置电在不气进规设行范备继高进电中行保资空护料载高试与中卷带资问负料题荷试2下卷2,高总而中体且资配可料置保试时障卷,各调需类控要管试在路验最习;大题对限到设度位备内。进来在行确管调保路整机敷使组设其高过在中程正资1常料中工试,况卷要下安加与全强过,看度并22工且22作尽22下可22都能22可地护以缩1关正小于常故管工障路作高高;中中对资资于料料继试试电卷卷保破连护坏接进范管行围口整,处核或理对者高定对中值某资,些料审异试核常卷与高弯校中扁对资度图料固纸试定,卷盒编工位写况置复进.杂行保设自护备动层与处防装理腐置,跨高尤接中其地资要线料避弯试免曲卷错半调误径试高标方中高案资等,料,编试要5写、卷求重电保技要气护术设设装交备备置底4高调、动。中试电作管资高气,线料中课并敷3试资件且、设卷料中拒管技试试调绝路术验卷试动敷中方技作设包案术,技含以来术线及避槽系免、统不管启必架动要等方高多案中项;资方对料式整试,套卷为启突解动然决过停高程机中中。语高因文中此电资,气料电课试力件卷高中电中管气资壁设料薄备试、进卷接行保口调护不试装严工置等作调问并试题且技,进术合行,理过要利关求用运电管行力线高保敷中护设资装技料置术试做。卷到线技准缆术确敷指灵设导活原。。则对对:于于在调差分试动线过保盒程护处中装,高置当中高不资中同料资电试料压卷试回技卷路术调交问试叉题技时,术,作是应为指采调发用试电金人机属员一隔,变板需压进要器行在组隔事在开前发处掌生理握内;图部同纸故一资障线料时槽、,内设需,备要强制进电造行回厂外路家部须出电同具源时高高切中中断资资习料料题试试电卷卷源试切,验除线报从缆告而敷与采设相用完关高毕技中,术资要资料进料试行,卷检并主查且要和了保检解护测现装处场置理设。备高中资料试卷布置情况与有关高中资料试卷电气系统接线等情况,然后根据规范与规程规定,制定设备调试高中资料试卷方案。

windows2003安全配置大全

windows2003安全配置大全

windows2003安全配置大全windows2003安全配置大全一直以来,很少在网络上看到关于windows服务器管理的全方面的文章,即使是在windows网络安全设置方面,虽然网络上有着不少的关于这个方面的话题,但是这些文章当中并没有完全彻底的贯彻“最少的服务+最小的权限=最大的安全”这一原则,笔者由于前段时间工作于一家虚拟主机提供商,因工作需要对此进行了深入的探索。

本文所有的环境均是在windows 2000 adv server上测试,因此部分内容可能不适合于windows 2003系统,但是大部分内容是通用的。

这里我们以虚拟主机为例来探讨。

第一部分服务器安全设置安装之前的准备工作很多时候,一部分的安全问题在你将windows安装光盘放入光驱中的时候就已产生,所以,在安装之前我们必须做好一些必要的准备工作。

主要包括安装源和物理介质的安全检查以及服务器的安全规划。

这部分内容主要包括以下几个方面:1.确保你的安装光盘没有任何问题,这里所说的是指光盘内容没有经过第三方加以修改和光盘没有遭到物理损坏。

对于刻录的安装光盘请确认你的源文件安全可靠,尽量使用集成了SP4的安装光盘,以减少后面打补丁的工作量。

2.确保你的硬盘没有任何问题,请尽量使用新硬盘,对于使用过的硬盘应先进行低级格式化。

无论新旧硬盘需要确认硬盘本身没有遭受到病毒感染。

3.规划好系统安装过程与服务器的所需要的程序、服务等并准备好这些安装程序且确保这些安装程序没有任何问题,尽量使用官方提供的安装程序。

规划好硬盘的分区以及各分区的功用。

分区方案建议分四个分区,将系统存放在C盘,应用程序放在D盘,备份文件和一些重要的日志等放在E盘,用户站点等放在F盘中,尽可能少的向系统盘写入非系统文件以减少系统备份的工作量,至于各分区的容量视情况而定。

不要安装任何多余的程序或组件,遵循“最少的服务+最小的权限=最大的安全”原则。

4.完成之后以上工作,对bios进行所需的相关设置,便可以进行安装了,如需要做raid,则需要在安装前完成raid的设置工作。

Windows2003安全防护

Windows2003安全防护

如何让Windows 2003系统更加安全Windows Server 2003作为Microsoft 最新推出的服务器操作系统,相比Windows 2000/XP 系统来说,各方面的功能确实得到了增强,尤其在安全方面,总体感觉做的还算不错。

但“金无足赤”任何事物也没有十全十美的,微软Windows 2003也是如此,照样存在着系统漏洞、存在着不少安全隐患!无论你用计算机欣赏音乐、上网冲浪、运行游戏,还是编写文档都要不可避免地遭受新病毒泛滥时的威胁,如何让Server 2003更加安全,成为广大用户十分关注的问题。

一、取消IE安全提示对话框面对黑客组织恶意程序的攻击,微软公司一直都在努力致力于降低产品的安全隐患,这是有目共睹的。

微软新一代的Server 2003操作系统在安全性能方面就得到了加强。

比如在使用Server 2003自带的IE浏览器浏览网页时,每次都会弹出一个安全提示框,“不厌其烦”地提示我们,是否需要将当前访问的网站添加到自己信任的站点中去;如果表示不信任的话,只能单击“关闭”按钮;而要是想浏览该站点的话,就必须单击“添加”按钮,将该网页添加到信任网站的列表中去。

不过每次访问网页,都要经过这样的步骤,实在是太烦琐了。

其实我们可以通过下面的方法来让IE取消对网站安全性的检查:1.一旦系统打开安全提示页面时,你可以用鼠标将其中的“当网站的内容被堵塞时继续提示”复选项选中;2.在浏览界面中,用鼠标单击“工具”菜单项,从打开的下拉菜单中执行“Internet选项”命令;3.在弹出的选项设置界面中,你可以将系统默认状态下的最高安全级别设置为中等级别;4.设置时,只要在“安全”标签页面中,拖动其中的安全滑块到“中”位置处就可以了;5.完成设置后,单击“确定”按钮,就可以将浏览器的安全自动提示页面取消了。

经过修改IE的默认安全级别的设置,再上网的时候,IE就不会自动去检查网站的安全性了,麻烦解决了吧!二、重新支持ASP脚本提起ASP(ActiveServerPage)大家都会联想到Windows,它以其强大的功能,简单易学的特点而受到广大开发人员的喜欢。

服务器操作系统WIN2K3安全加固

服务器操作系统WIN2K3安全加固

性 打开t c p / i p筛 选 ,添 加 需要 的 t c p ,
u d p ,协 议 即可 。
把计 算机 管理 用户里 面的 g u e s t 帐 号 停用掉 ,不 允许 g u e s t 帐 号在任何 时
候 登 陆 系统 。 为 了安 全 起 见 ,最 好 给 g u e s t加 一 个 复 杂 的 密 码 ,你 可 以 打 开
服务器操作 系统W l N2 K 3 安全加 固
内蒙古锡林郭勒职业学 院 孙 国华
服 务 器 操 作 系 统 的 安 全 维 护 非 常 重 要 ,任 何 漏 洞 都 有 可 能 给 整 个 校 园 网 带 码 。 这样 可 以让 那 些 攻 击 者 忙 上 一 段 时 间 了 ,并 且 可 以 借 此 发 现 它们 的 入 侵 企
图。 或者 在 它 的 I o g i n s c r i p t s上 面 做 点 手脚。
微 软 集 成 了 一 套 的 基 于 M MC ( 管
理 控 制 台 )安 全 配 置 和 分 析 工 具 ,利 用
来 安全 隐患。 目前 对校 园网服务 器 的威 胁 主要 来 自两 方面 : 一 是蓄意 的攻 击行 为 ,如拒绝服务 攻击 D DOS 、网络病毒 、 数 据库缓存 溢出工具 、DN S劫持、 密码 爆 破攻 击等 ,这些行 为 占用 大量的服 务
器 资 源 , 影 响 服 务 器 的 正 常 请 求 响 应 和
他 们 可 以很 方 便 的 配 置 服 务 器 以 满 足 你
的 要 求
四、 把 共 享 文件 的权 限从”e v e r y o n e ”
八 、关 闭 不 必 要 的 端 口
组改成 “ 授权用户”

Windows_Server_2003_安全加固设置

Windows_Server_2003_安全加固设置

Windows Server 2003安全加固设置一、用户账户安全1.Administrator账户的安全性a)重命名adminstrator,并将其禁用。

右击“我的电脑”,在单击“管理”,选择“本地用户和组",选择“用户”,右侧窗口的“administrator”右击“重命名”“administrator”右击“属性”b)创建一个用户账户并将其加入管理员组,日常管理工作使用这个账户完成。

操作步骤:在右侧窗口空白处右击鼠标,再单击“新用户”a)即可以用创建的“test"用户名和密码,赋予“test”用户管理员的权限,日常管理工作使用这个账户完成.当我们再次登录时,administrator用户无法登陆用“test”用户登录系统,才能成功,且“test”用户拥有管理员的权限。

思考:我们为什么要这么做??2.启用账户锁定策略开始—-程序——管理工具—-本地安全策略-—账户策略——账户锁定策略-—设置“账户锁定阈值为3”3.修改本地策略限制用户权限开始——程序—-管理工具——本地安全策略——本地策略——用户权限分配—-设置“拒绝从网络访问这台计算机”,限制从网络访问该服务器的账户。

二、服务器性能优化,稳定性优化1.“我的电脑"右键属性——高级-—性能-—设置-—设置为“性能最佳”2.“我的电脑”右键属性——高级——性能-—设置——高级页面为如图设置3.停止暂时未用到的服务a)在开始“运行”中输入:services.mscb)停止并禁用以下服务puter Browser 计算机浏览2.Distributed Link Tracking Client如果此服务被停用,这台计算机上的链接将不会维护或跟踪.3.Print Spooler(如果没有打印需求可以停止该服务)4.Remote Registry 远程注册表5.Remote Registry(如果没有无线设备可以停止该服务)6.TCP/IP NetBIOS Helper三、系统安全及网络安全设置1.开启自动更新“我的电脑"右键“属性”--“自动更新"Windows Server 2003会自动下载更新,无须人为打补丁。

Windows系统的安全加固

Windows系统的安全加固

Windows系统的安全加固一、操作系统安全隐患分析(一)安装隐患在一台服务器上安装Windows 2003 Server操作系统时,主要存在以下隐患:1、将服务器接入网络内安装。

Windows2000 Server操作系统在安装时存在一个安全漏洞,当输入Administrator密码后,系统就自动建立了ADMIN$的共享,但是并没有用刚刚输入的密码来保护它,这种情况一直持续到再次启动后,在此期间,任何人都可以通过ADMIN$进入这台机器;同时,只要安装一结束,各种服务就会自动运行,而这时的服务器是满身漏洞,计算机病毒非常容易侵入。

因此,将服务器接入网络内安装是非常错误的。

2、操作系统与应用系统共用一个磁盘分区。

在安装操作系统时,将操作系统与应用系统安装在同一个磁盘分区,会导致一旦操作系统文件泄露时,攻击者可以通过操作系统漏洞获取应用系统的访问权限,从而影响应用系统的安全运行。

3、采用FAT32文件格式安装。

FAT32文件格式不能限制用户对文件的访问,这样可以导致系统的不安全。

4、采用缺省安装。

缺省安装操作系统时,会自动安装一些有安全隐患的组件,如:IIS、DHCP、DNS等,导致系统在安装后存在安全漏洞。

5、系统补丁安装不及时不全面。

在系统安装完成后,不及时安装系统补丁程序,导致病毒侵入。

(二)运行隐患在系统运行过程中,主要存在以下隐患:1、默认共享。

系统在运行后,会自动创建一些隐藏的共享。

一是C$ D$ E$ 每个分区的根共享目录。

二是ADMIN$ 远程管理用的共享目录。

三是IPC$ 空连接。

四是NetLogon共享。

五是其它系统默认共享,如:FAX$、PRINT$共享等。

这些默认共享给系统的安全运行带来了很大的隐患。

2、默认服务。

系统在运行后,自动启动了许多有安全隐患的服务,如:Telnet services、DHCP Client、DNS Client、Print spooler、Remote Registry services (选程修改注册表服务)、SNMP Services 、Terminal Services 等。

最新WIN2003服务器安全加固方案

最新WIN2003服务器安全加固方案

WIN2003服务器安全加固方案关键词:安全加固方案服务器 WIN2003因为IIS(即Internet Information Server)的方便性和易用性,使它成为最受欢迎的Web服务器软件之一。

但是,IIS的安全性却一直令人担忧。

如何利用IIS建立一个安全的Web服务器,是很多人关心的话题。

要创建一个安全可靠的Web服务器,必须要实现Windows 2003和IIS的双重安全,因为IIS的用户同时也是Windows 2003的用户,并且IIS目录的权限依赖Windows的NTFS文件系统的权限控制,所以保护IIS 安全的第一步就是确保Windows 2000操作系统的安全,所以要对服务器进行安全加固,以免遭到黑客的攻击,造成严重的后果。

二.我们通过一下几个方面对您的系统进行安全加固:1.系统的安全加固:我们通过配置目录权限,系统安全策略,协议栈加强,系统服务和访问控制加固您的系统,整体提高服务器的安全性。

2. IIS手工加固:手工加固iis可以有效的提高iweb站点的安全性,合理分配用户权限,配置相应的安全策略,有效的防止iis用户溢出提权。

3.系统应用程序加固,提供应用程序的安全性,例如sql的安全配置以及服务器应用软件的安全加固。

三.系统的安全加固:1.目录权限的配置:1.1 除系统所在分区之外的所有分区都赋予Administrators和SYSTEM有完全控制权,之后再对其下的子目录作单独的目录权限,如果WEB站点目录,你要为其目录权限分配一个与之对应的匿名访问帐号并赋予它有修改权限,如果想使网站更加坚固,可以分配只读权限并对特殊的目录作可写权限。

1.2 系统所在分区下的根目录都要设置为不继承父权限,之后为该分区只赋予Administrators和SYSTEM 有完全控制权。

1.3 因为服务器只有管理员有本地登录权限,所在要配置Documents and Settings这个目录权限只保留Administrators和SYSTEM有完全控制权,其下的子目录同样。

WIN2003服务器安全加固方案

WIN2003服务器安全加固方案

WIN2003服务器安全加固方案关键词:安全加固方案服务器WIN2003因为IIS(即Internet Information Server)的方便性和易用性,使它成为最受欢迎的Web服务器软件之一。

但是,IIS的安全性却一直令人担忧。

如何利用IIS建立一个安全的Web服务器,是很多人关心的话题。

要创建一个安全可靠的Web服务器,必须要实现Windows 2003和IIS的双重安全,因为IIS的用户同时也是Windows 2003的用户,并且IIS目录的权限依赖Windows的NTFS文件系统的权限控制,所以保护IIS 安全的第一步就是确保Windows 2000操作系统的安全,所以要对服务器进行安全加固,以免遭到黑客的攻击,造成严重的后果。

二.我们通过一下几个方面对您的系统进行安全加固:1.系统的安全加固:我们通过配置目录权限,系统安全策略,协议栈加强,系统服务和访问控制加固您的系统,整体提高服务器的安全性。

2.IIS手工加固:手工加固iis可以有效的提高iweb站点的安全性,合理分配用户权限,配置相应的安全策略,有效的防止iis用户溢出提权。

3.系统应用程序加固,提供应用程序的安全性,例如sql的安全配置以及服务器应用软件的安全加固。

三.系统的安全加固:1.目录权限的配置:1.1 除系统所在分区之外的所有分区都赋予Administrators和SYSTEM有完全控制权,之后再对其下的子目录作单独的目录权限,如果WEB站点目录,你要为其目录权限分配一个与之对应的匿名访问帐号并赋予它有修改权限,如果想使网站更加坚固,可以分配只读权限并对特殊的目录作可写权限。

1.2 系统所在分区下的根目录都要设置为不继承父权限,之后为该分区只赋予Administrators和SYSTEM有完全控制权。

1.3 因为服务器只有管理员有本地登录权限,所在要配置Documents and Settings这个目录权限只保留Administrators和SYSTEM有完全控制权,其下的子目录同样。

Windows_2003_加固手册

Windows_2003_加固手册

Windows 2003 安全加固配置手册目录Windows 2003 安全加固配置手册 (1)关键词: (3)摘要: (3)缩略语: (3)参考标准及其资料: (3)1概述 (4)2安全加固内容 (4)3客户信息调查 (4)4边界及物理安全 (4)5升级与补丁 (4)6操作系统加固 (5)6.1帐号安全及策略 (5)6.2删除各类共享 (6)6.3审计 (6)6.4服务 (7)6.5防DoS设置 (8)6.7 IPSEC配置 (8)7 IIS加固 (8)8 其他安全配置 (9)9 资源下载 (9)关键词:Windows 2003、加固、DDoS摘要:本手册主要描述了建立Windows NT系列操作系统安全加固配置标准,并以此标准为指导,配置和审视客户Windows NT系列服务器的安全性;降低系统存在的安全风险,确保系统安全可靠的运行。

缩略语:无参考标准及其资料:1概述随着计算机互联网的发展,网络应用的普及,网络规模、网上计算机数量均呈指数型增长,在人们享受到网络的方便快捷的同时,各种各样的攻击和病毒也更加猖狂,网络的安全防护越发重要。

本文档主要说明在安全防护中基于windows平台的加固策略。

当前版本适用于Windows NT系列,主要以Windows 2003为主来。

安全加固配置中部分加固配置可以考虑使用安全模板来实现,以减轻工作量。

2安全加固内容客户环境调查边界及物理安全升级与补丁操作系统加固IIS加固其他安全配置3客户信息调查客户网络环境(如:服务器前有没有fw,有些什么服务器)硬件信息操作系统信息(版本,补丁情况)IIS的版本主机是否在一个windows域里是否使用数据库,什么数据库是否需要远程管理是否需要终端访问服务4边界及物理安全设置边界防火墙只允许访问服务器的必要端口;部署防御DoS的功能;阻止服务器发出的主动连接设置BIOS密码在BIOS里设置系统只能从硬盘启动,不允许从软盘和CD-ROM启动至少创建两个NTFS分区,一个用来存放系统文件(C盘),一个用来存放数据(如E盘)卸载不需要的组网协议5升级与补丁大企业,带SUS(软件升级服务)包的SMS(系统管理服务器),微软出品中小企业,SUS的独立版本个人用户,MBSA (微软基准安全分析器);Reskit工具包里的srvinfo第三方工具,Shavlik公司的HFNetChk Pro6操作系统加固帐号安全及策略删除各类共享审计服务最小化防DoS设置配置IPSec过滤器6.1帐号安全及策略密码策略密码必须符合复杂性要求:启用密码长度最小值:8个字符密码最长存留期:70天密码最短存留期:30天强制密码历史:3个记住的密码帐户锁定阀值:5次无效登陆帐户锁定时间:15分钟复位帐户锁定计数器:15分钟之后Guest及administrator帐号管理给guest帐号设置一个足够复杂的密码;将guest帐号改名,并且禁用guest帐号;禁止Guest帐号本地登录和网络登录的权限。

Windows服务器安全加固

Windows服务器安全加固

服务器安全加固(以Windows Server 2008为示例,Windows server 2003和Windows Server 2012根据实际需要进行修正)1、服务器登录安全加固1)为登录用户添加密码,密码长度在10位以上,并满足密码包括字母数字和特殊字符组成等复杂度要求。

(请回答)2)禁用系统多余帐号,如不需要Guest帐号访问服务器,则应禁用。

(请截图)3)设置Windows用户密码策略,可通过“控制面板-管理工具-本地安全策略”中“帐户策略”下的“帐户策略”进行安全设置如下。

(请截图)序号属性可选择值1 密码必须符合复杂性要求已启用2 密码长度最小值10个字符3 密码最短使用期限5天4 密码最长使用期限40天5 强制密码历史3次6 用可还原的加密来储存密码已禁用4)设置Windows系统非法登录锁定次数,可通过“控制面板-管理工具-本地安全策略”中“帐户策略”下的“帐户锁定策略”进行安全加固,参数设置参考如下;(请序号属性可选择值1 帐户锁定阈值5次2 帐户锁定时间10分钟2、服务器安全事件审核安全加固。

(请截图)1)设置Windows服务器安全事件审核策略,可通过“控制面板-管理工具-本地安全策略”中“本地策略”下的“审核策略”进行安全设置,将其下的所有审核都设置成“成功”、“失败”(默认为“无审核”)。

2)设置日志系统的安全加固,打开“控制面板-管理工具-事件查看器”中,在“Windows日志”中选择一个日志类型,右击鼠标,设置“属性”的存储大小不小于512KB(4096KB);覆盖周期不小于15天(60天)。

(请截图)3、关闭服务器共享资源,可通过“控制面板-管理工具-计算机管理”中,选择“共享文件夹-共享”查看系统共享资源,删除不必要的多余共享资源。

(请截图)4、自动锁屏设置桌面点击右键-属性-屏幕保护程序,设置服务器自动锁屏时间为3分钟(参考)。

(请截图)5、对系统安装的FTP中建立的用户进行用户权限管理,根据“最小资源配置原则”,为每个FPT用户分配最小访问目录权限,访问目前权限设置,如用户可进行写操作,则对用户可分配的磁盘空间大小进行限制。

win2003系统安全加固

win2003系统安全加固

Windows 2003系统安全配置一、2003系统配置三、IIS配置四、其它设置(可选用)1、任何用户密码都要复杂,不需要的用户---删。

2、防ping处理防ping处理建意大家用防火墙一类的软件,这样可以大大降低服务器被攻击的可能性,为什么这样说呢?主要是现在大部份的入侵者都是利用软件扫一个网段存活的主机,一般判断主机是否存活就是看ping的通与不通了!3、防止SYN洪水攻击HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters新建DWORD值,名为SynAttackProtect,值为24、禁止响应ICMP路由通告报文HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface 新建DWORD值,名为PerformRouterDiscovery 值为05、防止ICMP重定向报文的攻击HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters将EnableICMPRedirects 值设为06、不支持IGMP协议HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters新建DWORD值,名为IGMPLevel 值为07、禁用DCOM:运行中输入Dcomcnfg.exe。

回车,单击“控制台根节点”下的“组件服务”。

打开“计算机”子文件夹。

对于本地计算机,请以右键单击“我的电脑”,然后选择“属性”。

选择“默认属性”选项卡。

清除“在这台计算机上启用分布式COM”复选框。

提高windows2003系统安全办法

提高windows2003系统安全办法

windows2003安全配置打开注册表方法:regedit一:正确划分文件系统格式,选择稳定的操作系统安装盘为了提高安全性,服务器的文件系统格式一定要划分成NTFS(新技术文件系统)格式.二:禁用不必要的服务,提高安全性和系统效率Computer Browser维护网络上计算机的最新列表以及提供这个列表Task scheduler允许程序在指定时间运行Routing and Remote Access在局域网以及广域网环境中为企业提供路由服务Removable storage管理可移动媒体、驱动程序和库Remote Registry Service允许远程注册表操作Print Spooler将文件加载到内存中以便以后打印。

要用打印机的朋友不能禁用这项 IPSEC Policy Agent管理IP安全策略以及启动ISAKMP/OakleyIKE)和IP安全驱动程序Distributed Link Tracking Client当文件在网络域的NTFS卷中移动时发送通知Com+ Event System 提供事件的自动发布到订阅COM组件Alerter 通知选定的用户和计算机管理警报Error Reporting Service收集、存储和向 Microsoft 报告异常应用程序Messenger传输客户端和服务器之间的 NET SEND 和警报器服务消息Telnet允许远程用户登录到此计算机并运行程序三. 不支持IGMP协议IGMP是一种协议,对于Windows系统的用户是没有什么用途的,但现在也被用来作为蓝屏攻击的一种方法,建议关掉此功能,不会对用户造成影响。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters新建DWORD值,名为IGMPLevel 值为0四、禁止IPC空连接:黑客可以利用net use命令建立空连接,进而入侵,还有net view,nbtstat这些都是基于空连接的,禁止空连接就好了,打开注册表,找到:Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous把这个值改成”1”即可。

基于Widows server 2003操作系统的安全加固初探

基于Widows server 2003操作系统的安全加固初探

基于Widows server 2003操作系统的安全加固初探摘要: widows server 2003操作系统常常会受到缓冲区溢出的攻击、拒绝服务攻击、口令破解攻击、欺骗用户攻击和扫描程序和网络监听攻击等类型的攻击。

为了应对不同的攻击,widows操作系统可采用通过补丁管理、通过账号口令方面、通过限制网络服务、通过使用安全文件系统、日志审核等方式加固操作系统。

关键词:操作系统;攻击类型;加固策略中图分类号:tp309 文献标识码:a 文章编号:1006-4311(2013)16-0201-020 引言widows操作系统有简单易用、界面友好等特点,但是也是黑客攻击的重点。

对于网络管理人员而言,要了解攻击widows操作系统的类型,然后结合自己单位具体的业务,对操作系统做安全加固,做到防患于未然。

1 攻击的类型widows server 2003操作系统的攻击方式比较多,主要的方式如下:1.1 缓冲区溢出的攻击在正常的情况下,应用程序会检查输入数据的长度,不允许输入的数据长度超过操作系统分配的缓冲区长度。

但是,大多数应用程序在开发时定义的变量的数据类型总是与所分配的存储空间相匹配,也就是说数据长度与缓冲区长度相匹配,这就为缓冲区溢出留下了隐患。

黑客攻击时,向缓冲区内输入数据的长度超过了缓冲区的长度,就实现了缓冲区溢出的攻击。

在目前的所有的攻击手段中,最常使用的是缓冲区溢出,被广泛利用的在50%以上。

其中最著名的例子是1988年利用fingerd漏洞的蠕虫。

在缓冲区攻击中,最有危害的方式是堆栈溢出。

黑客利用堆栈溢出,让函数返回时改变返回应用程序的地址值,让其指向任意的地址值,导致应用程序崩溃而拒绝提供服务。

1.2 拒绝服务攻击[1]攻击者利用伪造的源地址或者被他控制的异地的多台“肉鸡”计算机同时向所攻击的服务器发出大量的、连续的tcp/ip请求,从而使目标服务器系统瘫痪,无法为正常的用户提供服务。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

2.1.2 系统用户口令及策略加固
实施编号: 实施名称: 系统当前状态:
Leadsec-Win2003-1201 系统用户口令策略加固 查看系统“本地安全设置”-“帐户策略”中“ 密码策略”和“账 号锁定策略”当前情况:(以下为示例图)
实施方案:
密码必须符合复杂性要求:启用
密码长度最小值
8 个字符
密码最长使用期限:
-1-
WINDOWS 2003 安全加固配置手册
一、 安全加固配置说明
1.1 安全加固配置目的
建立 Windows Server 2003 操作系统安全加固配置标准,并以此标准为指导,配置和审视 客户 Windows Server 2003 服务器的安全性;降低系统存在的安全风险,确保系统安全可靠的 运行。
-6-
是否实施:
实施工程师备 注:
WINDOWS 2003 安全加固配置手册
实施编号:
Leadsec-Win2003-1403
实施名称:
Microsoft 网络客户端:发送未加密的密码到第三方 SMB 服务器
系统当前状态: 查看系统当前设置:
实施方案:
在管理工具->本地安全策略->选择本地策略->选择安全选项-> Microsoft 网 络 客 户 端 : 发 送 未 加 密 的 密 码 到 第 三 方 SMB 服 务 器 ( 禁 用 )
在管理工具->本地安全策略->选择本地策略->选择安全选项-> Microsoft 网络服务器:当登录时间用完时自动注销用户(改成已启用)!
实施目的:
实施风险: 是否实施:
可以避免用户在不适合的时间登录到系统,或者用户登录到系统后忘记退 出登录

实施工程师备 注:
实施编号:
Leadsec-Win2003-1402
90 天
强制密码历史:
24 个记住的密码
帐户锁定阀值:
3 次无效登陆
帐户锁定时间:
15 分钟
复位帐户锁定计数器: 15 分钟之后
实施目的: 实施风险: 是否实施: 实施工程师备注:
策略更改后,督促现有用户更改其登陆口令以符合最新策略要求。 保障用户账号及口令的安全,防止口令猜测攻击。 账号锁定后 15 分钟后才解锁。

实施工程师备 注:
实施编号: 实施名称: 系统当前状态:
Leadsec-Win2003-1406 关机时清掉页面文件 查看系统当前设置:
实施方案:
在管理工具->本地安全策略->选择本地策略->选择安全选项->关机: 清除虚拟内存页面文件(启用)
实施目的:
实施风险: 是否实施: 实施工程师备注:
某些第三方的程序可能把一些没有的加密的密码存在内存中,页面文 件中也可能含有另外一些敏感的资料。关机的时候清除页面文件,防 止造成意外的信息泄漏。

实施编号: 实施名称: 系统当前状态:
Leadsec-Win2003-1203 Administrator 帐户重命名
实施方案:
实施目的:
实施风险: 是否实施: 实施工程师备注:
开始—控制面板—管理工具—计算机管理—本地用户和组—用户— 选择 administrator—右键重命名 Administrator 是系统默认管理员帐户,重命名 Administrator 可增加账 号安全性。

2.1.3 日志及审核策略配置
实施编号: 实施名称:
Leadsec-Win2003-1301 设置主机审核策略
-4-
系统当前状态:
WINDOWS 2003 安全加固配置手册 在“本地安全策略”-“本地策略”中查看系统“审核策略”: (以下为示例图)
实施方案:
实施目的: 实施风险:
审核策略更改 成功,失败 审核登陆事件 成功,失败 审核对象访问 失败 审核目录服务访问 成功,失败 审核特权使用 失败 审核系统事件 成功,失败 审核账户登陆事件 成功,失败 审核帐户管理 成功,失败
实施方案: 实施目的:
确认系统安装了 SP2; 使用 Windows update 或者手工安装最新补丁
升级操作系统为最新版本,修补所有已知的安全漏洞
-2-
实施风险:
是否实施: 实施工程师备注:
WINDOWS 2003 安全加固配置手册
安装某些补丁可能导致主机启动失败,或其他未知情况发生,建议先 在测试机器上安装测试后再实施部署到生产机上
80000 K 80000 K 80000K
覆盖策略
覆盖早于 覆盖早于 覆盖早于
天的日志 天的日志 天的日志
覆盖策略
覆盖早于 30 天的日志 覆盖早于 30 天的日志 覆盖早于 30 天的日志
-5-
WINDOWS 2003 安全加固配置手册
其他日志(如存在) 80000 K
覆盖早于 30 天的日志
实施目的: 实施风险: 是否实施:
禁止发送未加密的密码到第三方 SMB 服务器 无
实施工程师备 注:
实施编号:
Leadsec-Win2003-1404
实施名称:
故障恢复控制台:允许对所有驱动器和文件夹进行软盘复制和访问
系统当前状态: 查看系统当前设置:
实施方案:
在管理工具->本地安全策略->选择本地策略->选择安全选项->故障恢复控 制台:允许对所有驱动器和文件夹进行软盘复制和访问(禁用)
对重要事件进行审核记录,方便日后出现问题时查找问题根源。

是否实施: 实施工程师备注:
实施编号: 实施名称: 系统当前状态:
Leadsec-Win2003-1302
调整事件日志的大小及覆盖策略
日志类型
日志大小
应用程序日志
K
安全日志
K
系统日志
K
实施方案:
日志类型
应用程序日志 安全日志 系统日志
日志大小
实施目的: 实施风险: 是否实施: 实施工程师备注:
增大日志大小,避免由于日志文件容量过小导致重要日志记录遗漏
2.1.4 安全选项策略配置
实施编号:
Leadsec-Win2003-1401
实施名称:
Microsoft 网络服务器:当登录时间用完时自动注销用户
系统当前状态: 查看系统当前设置:
实施方案:
实施名称:
Microsoft 网络服务器:在挂起会话之前所需的空闲时间
系统当前状态: 查看系统当前设置:
实施方案:
实施目的: 实施风险:
在管理工具->本地安全策略->选择本地策略->选择安全选项-> Microsoft 网络服务器:在挂起会话之前所需的空闲时间(小无
实施目的:
实施风险: 是否实施:
Windows 2003 控制台恢复的另一个特性是它禁止访问硬盘驱动器上的所 有文件和目录。它仅允许访问每个卷的根目录和%systemroot%目录及子目 录,即使是这样它还限制不允许把硬盘驱动器上的文件拷贝到软盘上。

实施工程师备 注:
-7-
WINDOWS 2003 安全加固配置手册
二、 主机加固方案.................................................................................................................. - 2 2.1 操作系统加固方案........................................................................................................... - 2 2.1.1 安全补丁检测及安装............................................................................................ - 2 2.1.2 系统用户口令及策略加固.................................................................................... - 3 2.1.3 日志及审核策略配置............................................................................................. - 4 2.1.4 安全选项策略配置................................................................................................ - 6 2.1.5 用户权限策略配置.............................................................................................. - 12 2.1.6 注册表安全设置.................................................................................................. - 14 2.1.7 网络与服务加固.................................................................................................. - 16 2.1.8 其他安全性加固.................................................................................................. - 18 -
相关文档
最新文档