服务器安全策略.docxVIP

windows server2003是目前最为成熟的网络服务器平台， 安全性相对于 windows 2000有大大 的提高，但是2003默认的安全配置不一定适合我们的需要，所以，我们要根据实际情况来对 win2003进行全面安全配置。说实话，安全配置是一项比较有难度的网络技术，权限配置的 太严格，好多程序又运行不起，权限配置的太松，又很容易被黑客入侵，做为网络管理员， 真的很头痛，因此，我结合这几年的网络安全管理经验， 总结出以下一些方法来提高我们服 务器的安全性。 第一招：权限设置 1?请找到c盘的这些文件，把安全性设置只有特定的管理员有完全操作权限 下列这些文件只允许 administrators访问 n et.exe n etl.exet cmd.exe t ftp.exe n etstat.exe regedit.exe at.exe attrib.exe cacls.exe 2?删除c:\inetpub目录，删除iis不必要的映射，建立陷阱帐号，更改描述 第二招：修改注册表，让系统更强壮 1、 隐藏重要文件/目录可以修改注册表实现完全隐藏： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wi ndows\ SHOWALL”，鼠标右击 “ CheckedValue, 选择修改，把数值由1改为0 2、 启动系统自带的In ternet连接_bla nk＞防火墙，在设置服务选项中勾选 Web服务器。 3、防止SYN洪水攻击 HKEY_LOCAL_MACHINE\SYSTEM\Curre ntCo ntrolSet\Services\Tcpip\Parameters 新建 DWORD 值，名为 SynAttackProtect，值为 2 En ablePMTUDiscovery REG_DWORD 0 NoNameRelease On Dema nd REG_DWORD 1 En ableDeadGWDetect REG_DWORD 0 KeepAliveTime REG_DWORD 300,000 PerformRouterDiscovery REG_DWORD 0 En ableICMPRedirects REG_DWORD 0 禁止响应ICMP路由通告报文 HKEY_LOCAL_MACHINE\SYSTEM\Curre ntCo ntrolSet\Services\Tcpip\Parameters\l nterfaces\i n terface 新建 DWORD 值，名为 PerformRouterDiscovery 值为 0 防止ICMP重定向报文的攻击 HKEY_LOCAL_MACHINE\SYSTEM\Curre ntCo ntrolSet\Services\Tcpip\Parameters 将 EnableICMPRedirects 值设为 0 不支持IGMP协议 HKEY_LOCAL_MACHINE\SYSTEM\Curre ntCo ntrolSet\Services\Tcpip\Parameters 新建DWORD 值，名为IGMPLevel值为0 7?修改终端服务端口 运行 regedit，找到［HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ Wds \ rdpwd \ Tds \ tcp］，看到右边的 PortNumber 了吗？在十进制状态下改 成你想要的端口号吧，比如 7126之类的，只要不与其它冲突即可。 2、第二处 HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp，方法同上，记得改的端口号和上面改的一样就行了。 8、 禁止IPC空连接： cracker可以利用net use命令建立空连接，进而入侵，还有 net view， nbtstat这些都是基于 空连接的，禁止空连接就好了。 打开注册表，找到 Local_Machi ne\System\Curre ntCo ntrolSetCo ntrolLSA-RestrictA non ymous 把这个值改成 ” 1 ” 即可。 9、 更改TTL值 cracker可以根据ping回的TTL值来大致判断你的操作系统，如： TTL=107(WINNT); TTL=108(wi n2000); TTL=127 或 128(win9x); TTL=240 或 241(linux); TTL=252(solaris); TTL=240(Irix); 实 际 上 你 可 以