服务器安全策略

每次设置完服务器后必须设置的其他项目：***首先导入Mcafee的规则备份***然后禁用Mcafee的访问保护功能再进行下面的设置。1、【数据库】d:\ProgramFiles\MicrosoftSQLServer\MSSQL\binn\sqlagent.exe通用最大保护:禁止将程序注册为服务（解除禁止）2、【数据库】把(local)(WindowsNT)属性--在操作系统启动时自动启动策略，3个全部开启。3、【数据库】(local)(WindowsNT)属性--内存设置为动态配置最小值0最大值1024为SQLServer保留物理内存不勾选下面的最小查询内存1024最下面是选择配置值4、【数据库】把管理--SQLServer代理的属性--高级--重新启动服务2个都开启。5、【数据库】设置sqlserver的作业调度来建立自动备份。6、运行卸载最不安全的组件.bat。7、运行改名不安全组件.reg。8、运行改名不安全组件.reg。9、运行2003服务器安全和性能注册表自动配置文件.reg。10、【数据库】安装好SQL后搜索xplog70注意，查找范围必须选择安装目录的Binn然后将找到的三个文件改名或者删secpol.msc本地安全策略设置开始菜单—管理工具—本地安全策略本地策略——审核策略审核策略更改成功失败审核登录事件成功失败审核对象访问失败审核过程跟踪失败审核目录服务访问失败审核特权使用失败审核系统事件成功失败审核账户登录事件成功失败审核账户管理成功失败我的电脑-右键-管理-事件查看器-右边的每一个事件鼠标右键-属性调整日至文件大小：1048576KB=1G覆盖时间超过30天的事件帐户策略——帐户锁定策略设置为3次无效登陆本地策略——用户权限分配关闭系统：只有Administrators组、其它全部删除。通过终端服务允许登陆：只加入Administrators,RemoteDesktopUsers组用户权利分配：将“从网络访问此计算机”中只保留(Administrators)、使用Asp.net还要保留Aspnet账户。(ASPNET)、启动IIS进程账户(IUSR)、(IWAM)(Everyone)(Administrators)(ASPNET)(IUSR)(IWAM)(Everyone)本地策略——安全选项交互式登陆：不显示上次的用户名启用网络访问：不允许SAM帐户和共享的匿名枚举启用网络访问：不允许为网络身份验证储存凭证启用网络访问：可匿名访问的共享全部删除网络访问：可匿名访问的命名通道全部删除网络访问：可远程访问的注册表路径全部删除网络访问：可远程访问的注册表路径和子路径全部删除帐户：重命名来宾帐户重命名一个帐户（例如Gu2#edst@1）请找到c盘的这些文件，把安全性设置只有特定的管理员有完全操作权限下列这些文件只允许Administrators和SYSTEM访问net.exenet1.execmd.exeftp.exetftp.exetelnet.exenetstat.exeregedit.exeat.exeattrib.execacls.exeformat.com另外将系统盘C:\WINDOWS\system32下cmd.exe、format.com、ftp.exe转移到其他目录或更名快捷方式：在搜索框里输入net.exe,net1.exe,cmd.exe,tftp.exe,netstat.exe,regedit.exe,at.exe,attrib.exe,cacls.exe,format.com,c.exe点击搜索然后全选右键属性安全磁盘权限磁盘（C、D、E、F盘全部）Administrators和SYSTEM完全控制权限不是继承的该文件夹，子文件夹及文件C:\WINDOWSAdministrators和SYSTEM完全控制权限Users（用户默认权限不作修改“读取和运行、列出文件夹目录、读取”）不是继承的该文件夹，子文件夹及文件CREATOROWNER完全控制不是继承的只有子文件夹及文件C:\ProgramFilesAdministrators和SYSTEM完全控制权限不是继承的该文件夹，子文件夹及文件CREATOROWNER完全控制权限不是继承的只有子文件夹及文件Users读取和运行不是继承的该文件夹，子文件夹及文件C:\DocumentsandSettingsAdministrators和SYSTEM完全控制权限不是继承的该文件夹，子文件夹及文件C:\DocumentsandSettings\AllUsersAdministrators和SYSTEM完全控制权限不是继承的该文件夹，子文件夹及文件Users组的权限仅仅限制于读取和运行，绝对不能加上写入权限（默认为“读取和运行、列出文件夹目录、读取”）C:\DocumentsandSettings\AllUsers\ApplicationDataAdministrators和SYSTEM完全控制权限不是继承的该文件夹，子文件夹及文件CREATOROWNER完全控制不是继承的只有子文件夹及文件Users读取和运行不是继承的该文件夹，子文件夹及文件Users写入不是继承的该文件夹及子文件夹两个并列权限同用户组需要在高级里分开添加，分开列权限Users读取和运行的权限：选择2345项和倒数第3项Users写入的权限：选择6789项C:\ProgramFiles\MicrosoftSQLServer\MSSQL(程序部分默认装在C：盘)Administrators完全控制权限不是继承的该文件夹，子文件夹及文件D:\ProgramFiles\MicrosoftSQLServer\MSSQL(本人的在D盘)D:\ProgramFiles\MicrosoftSQLServer(数据库部分装在D：盘的情况)Administrators和SYSTEM完全控制权限不是继承的该文件夹，子文件夹及文件CREATOROWNER完全控制权限不是继承的只有子文件夹及文件C:\ProgramFiles\InternetExplorer\iexplore.exeAdministrators完全控制权限不是继承的该文件夹，子文件夹及文件C:\ProgramFiles\Serv-U(如果装了Serv-U服务器的话)D:\ProgramFiles\Serv-U(本人的在D盘)这里常是提权入侵的一个比较大的漏洞点一定要按这个方法设置目录名字根据Serv-U版本也可能是C:\ProgramFiles\RhinoSoft.com\Serv-UAdministrators和SYSTEM完全控制权限不是继承的该文件夹，子文件夹及文件CREATOROWNER完全控制权限不是继承的只有子文件夹及文件删除c:\inetpub目录如果服务器上有.NET网站运行，aspnet_client文件夹的权限设置为Administrators、SYSTEM完全控制不是继承的该文件夹，子文件夹及文件Users读取不是继承的该文件夹，子文件夹及文件最后：C\WINDOWS\TEMP设置添加Everyone的读写属性，NetWorkService完全控制属性。（不然ASP网站链接数据库会出错，.NET网站也会出错。）禁用Guest账号运行compmgmt.msc打开计算机管理，用户里面把Guest账号改名并禁用，为了保险起见，最好给Guest加一个复杂的密码。禁用TCP/IP上的NetBIOS网上邻居-属性-本地连接-属性-Internet协议（TCP/IP）属性-高级-WINS面板-NetBIOS设置-禁用TCP/IP上的NetBIOS。这样cracker就无法用nbtstat命令来读取你的NetBIOS信息和网卡MAC地址了services.msc禁用不必要的服务，提高安全性和系统效率开始菜单—管理工具—服务ApplicationLayerGatewayService为应用程序级协议插件提供支持并启用网络/协议连接。如果此服务被禁用，任何依赖它的服务将无法启动。BackgroundIntelligentTransferService利用空闲的网络带宽在后台传输文件。如果服务被停用，例如WindowsUpdate和MSNExplorer的功能将无法自动下载程序和其他信息。RoutingandRemoteAccess在局域网以及广域网环境中为企业提供路由服务ComputerBrowser维护网络上计算机的更新列表，并将列表提供给计算机指定浏览。如果服务停止，列表不会被更新或维护。DistributedFileSystem将分散的文件共享合并成一个逻辑名称空间并在局域网或广域网上管理这些逻辑卷。DistributedLinkTrackingClient用于局域网更新连接信息Errorreportingservice发送错误报告RemoteProcedureCall(RPC)LocatorRpcNs*远程过程调用(RPC)RemoteDesktopHelpSessionManager远程协助NetLogon域控制器通道管理NTLMSecuritySupportProvider为使用传输协议而不是命名管道的远程过程调用(RPC)程序提供安全机制。MicrosoftSerch基于结构化和半结构化数据的内容以及属性生成全文索引，以便可以对数据进行快速的单词搜索。HelpandSupport启用在此计算机上运行帮助和支持中心。如果停止服务，帮助和支持中心将不可用。Messenger传输客户端和服务器之间的NETSEND和警报器服务消息。此服务与WindowsMessenger无关。NetMeetingRemoteDesktopSharing允许经过授权的用户用NetMeeting在公司intranet上远程访问这台计算机。如果服务被停止，远程桌面共享将不可用。Workstation创建和维护到远程服务的客户端网络连接。Removablestorage管理可移动媒体、驱动程序和库PrintSpooler管理所有本地和网络打印队列及控制所有打印工作。如果此服务被停用，本地计算机上的打印将不可用RemoteRegistry使远程用户能修改此计算机上的注册表设置。如果此服务被终止，只有此计算机上的用户才能修改注册表TCP/IPNetBIOSHelper提供TCP/IP(NetBT)服务上的NetBIOS和网络上客户端的NetBIOS名称解析的支持，从而使用户能够共享文件、打印和登录到网络Server支持此计算机通过网络的文件、打印、和命名管道共享Com+EventSystem提供事件的自动发布到订阅COM组件Alerter通知选定的用户和计算机管理警报Telnet允许远程用户登录到此计算机并运行程序，并支持多种TCP/IPTelnet客户端，包括基于UNIX和Windows的计算机。设置应用程及子目录的执行权限A.网站主应用程序目录中的属性--应用程序设置--执行权限设为纯脚本B.在不需要执行asp、asp.net的子目录中执行权限设为无，上传文件目录执行权限设为无，图片或其他不需要程序访问的目录都一样设置应用程序池设置回收工作进程(分钟)：1440（1440分钟=24小时）在下列时间回收工作进程：06:00最大虚拟内存为，最大使用的物理内存不用钩选安装有MSsql2000数据库的请把SA密码设置的超复杂从下面开始就可以导入已经准备好的了下面3个修改如果没有其他特殊需要可以直接打开services.msc禁用Server服务来关闭。（本人服务器就是直接采用禁用）6.禁止建立空连接默认情况下，任何用户通过通过空连接连上服务器，进而枚举出帐号，猜测密码。我们可以通过修改注册表来禁止建立空连接：Local_Machine\System\CurrentControlSet\Control\LSA将restrictAnonym