胜博发娱乐平台-胜博发国际娱乐城-sbf胜博发【官方网站】

实用专题OICQ专区 MSN专区 主页浏览 影音播放 系统优化 办公专区 杀软专区 木马防范 流氓清除 黑软专区 设计专区 压缩解压 下载工具 P2P工具专区 输入法专区

您当前的位置:sbf胜博发官方网站绿色下载站文章中心网络学院网管知识 → 文章内容
  • windows server 2003服务器安全设置

每次设置完服务器后必须设置的其他项目:
***首先导入Mcafee的规则备份***然后禁用Mcafee的访问保护功能再进行下面的设置。
1、【数据库】d:\Program Files\Microsoft SQL Server\MSSQL\binn\sqlagent.exe 通用最大保护:禁止将程序注册服务 (解除禁止)
2、【数据库】把(local)(Windows NT)属性--在操作系统启动时自动启动策略,3个全部开启。
3、【数据库】(local)(Windows NT)属性--内存 设置为动态配置 最小值0 最大值1024 为SQL Server保留物理内存不勾选 下面的最小查询内存 1024 最下面是选择 配置值
4、【数据库】把管理--SQL Server代理的属性--高级--重新启动服务2个都开启。
5、【数据库】设置sql server的作业调度来建立自动备份。
6、运行卸载最不安全的组件.bat。
7、运行改名不安全组件.reg。
8、运行改名不安全组件.reg。
9、运行2003服务器安全和性能注册表自动配置文件.reg。
10、【数据库】安装好SQL后搜索 xplog70 注意, 查找范围必须选择安装目录的 Binn 然后将找到的三个文件改名或者删

secpol.msc

本地安全策略设置
开始菜单—>管理工具—>本地安全策略
本地策略——>审核策略
审核策略更改    成功 失败
审核登录事件    成功 失败
审核对象访问       失败
审核过程跟踪       失败
审核目录服务访问     失败
审核特权使用       失败
审核系统事件    成功 失败
审核账户登录事件  成功 失败
审核账户管理    成功 失败

我的电脑-右键-管理-事件查看器-右边的每一个事件鼠标右键-属性
调整日至文件大小:1048576KB=1G 覆盖时间超过30天的事件

帐户策略——>帐户锁定策略 设置为3次无效登陆

本地策略——>用户权限分配
   关闭系统:只有Administrators组、其它全部删除。
   通过终端服务允许登陆:只加入Administrators,Remote Desktop Users组
   用户权利分配:将“从网络访问此计算机”中只保留(Administrators)、使用Asp.net还要保留Aspnet账户。 (ASPNET)、启动IIS进程账户(IUSR)、(IWAM)(Everyone)
(Administrators)(ASPNET)(IUSR)(IWAM)(Everyone)

本地策略——>安全选项
   交互式登陆:不显示上次的用户名       启用
   网络访问:不允许SAM帐户和共享的匿名枚举   启用
   网络访问:不允许为网络身份验证储存凭证   启用
   网络访问:可匿名访问的共享         全部删除
   网络访问:可匿名访问的命名通道       全部删除
   网络访问:可远程访问的注册表路径      全部删除
   网络访问:可远程访问的注册表路径和子路径  全部删除
   帐户:重命名来宾帐户            重命名一个帐户(例如Gu2#edst@1)


请找到c盘的这些文件,把安全性设置只有特定的管理员有完全操作权限

下列这些文件只允许Administrators和SYSTEM访问


net.exe
net1.exe
cmd.exe
ftp.exe
tftp.exe
telnet.exe
netstat.exe
regedit.exe
at.exe
attrib.exe
cacls.exe
format.com

另外将系统盘C:\WINDOWS\system32下 cmd.exe、format.com、ftp.exe转移到其他目录或更名

快捷方式:在搜索框里输入
"net.exe","net1.exe","cmd.exe","tftp.exe","netstat.exe","regedit.exe","at.exe","attrib.exe","cacls.exe","format.com","c.exe"
点击搜索 然后全选 右键 属性 安全

磁盘权限

磁盘(C、D、E、F盘全部) Administrators和SYSTEM
完全控制权限
<不是继承的>
该文件夹,子文件夹及文件
C:\WINDOWS Administrators和SYSTEM
完全控制权限
Users (用户默认权限不作修改“读取和运行、列出文件夹目录、读取”)
<不是继承的>
该文件夹,子文件夹及文件
CREATOR OWNER完全控制 <不是继承的>
只有子文件夹及文件
C:\Program Files Administrators和SYSTEM
完全控制权限
<不是继承的>
该文件夹,子文件夹及文件
CREATOR OWNER完全控制权限 <不是继承的>
只有子文件夹及文件
Users读取和运行 <不是继承的>
该文件夹,子文件夹及文件
C:\Documents and Settings Administrators和SYSTEM
完全控制权限
<不是继承的>
该文件夹,子文件夹及文件
C:\Documents and Settings\All Users Administrators和SYSTEM
完全控制权限
<不是继承的>
该文件夹,子文件夹及文件
Users组的权限仅仅限制于读取和运行,绝对不能加上写入权限(默认为“读取和运行、列出文件夹目录、读取”)
C:\Documents and Settings\All Users\Application Data Administrators和SYSTEM
完全控制权限
<不是继承的>
该文件夹,子文件夹及文件
CREATOR OWNER完全控制 <不是继承的>
只有子文件夹及文件
Users读取和运行 <不是继承的>
该文件夹,子文件夹及文件
Users写入 <不是继承的>
该文件夹及子文件夹
两个并列权限同用户组需要在高级里分开添加,分开列权限

Users读取和运行的权限:选择 2345项和倒数第3项
Users写入的权限:选择6789项
C:\Program Files\Microsoft SQL Server\MSSQL
(程序部分默认装在C:盘)

D:\Program Files\Microsoft SQL Server\MSSQL
(本人的在D盘)
Administrators完全控制权限 <不是继承的>
该文件夹,子文件夹及文件
D:\Program Files\Microsoft SQL Server (数据库部分装在D:盘的情况) Administrators和SYSTEM
完全控制权限
<不是继承的>
该文件夹,子文件夹及文件
CREATOR OWNER完全控制权限 <不是继承的>
只有子文件夹及文件
C:\Program Files\Internet Explorer\iexplore.exe Administrators完全控制权限 <不是继承的>
该文件夹,子文件夹及文件
C:\Program Files\Serv-U (如果装了Serv-U服务器的话)

D:\Program Files\Serv-U (本人的在D盘)

这里常是提权入侵的一个比较大的漏洞点一定要按这个方法设置目录名字根据Serv-U版本也可能是
C:\Program Files\RhinoSoft.com\Serv-U
Administrators和SYSTEM
完全控制权限
<不是继承的>
该文件夹,子文件夹及文件
CREATOR OWNER完全控制权限 <不是继承的>
只有子文件夹及文件
删除c:\inetpub目录

如果服务器上有.NET网站运行,aspnet_client文件夹的权限设置为
Administrators、SYSTEM<完全控制><不是继承的><该文件夹,子文件夹及文件>
Users <读取><不是继承的><该文件夹,子文件夹及文件>

最后:C\WINDOWS\TEMP设置添加Everyone的读写属性,NetWork Service完全控制属性。(不然ASP网站链接数据库会出错,.NET网站也会出错。)

[1] [2] [3] [4] [5] [6]  下一页


  • 作者:佚名  来源:本站整理  发布时间:2008-8-24 21:01:07

----------------------------------The End Of Jz5u' Article---------------------------------- 以下是评论:【发表评论

------------------------------- · 相关文档浏览 · --------------------------------------------------------------------- · 热门文档浏览 · -------------------------------------