1 安装系统 进行分区 d盘为tools 40G E盘为web 盘 200G F 盘为backup 盘 300G
2 安装360 安全卫士 扫描系统漏洞 打系统补丁 进行杀毒扫描
3 安装iis
4 安装数据库sql2000 sp4补丁 sql2005
5 系统备份
6 安装mysql php 测试php 程序
7 安全配置
(1)权限设置系统盘及所有磁盘只给 Administrators 组和 SYSTEM 的完全控制权限
系统盘\Documents and Settings 目录只给 Administrators 组和 SYSTEM 的完全控制权限 系统盘\Documents and Settings\All Users 目录只给 Administrators 组和 SYSTEM 的完全控 制权限 系统盘\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe、ftp.exe、tftp.exe、 telnet.exe 、netstat.exe、regedit.exe、at.exe、attrib.exe、format.com、del 文件只给 Administrators 组和 SYSTEM 的完全控制权限 另将<systemroot>\System32\cmd.exe、format.com、ftp.exe 转移到其他目录或更名
Documents and Settings 下所有些目录都设置只给 adinistrators 权限。并且要一个一个目录查看, 包括下面的所有子目录。
删除 c:\inetpub 目录 对winnt\system32目录下的下列文件需做特殊设置,只允许system和administrators组完全控制,其余帐户无任何权限。文件列表如下:
xcopy.exe wscript.exe cscript.exe net.exe
arp.exe edlin.exe ping.exe route.exe
posix.exe Rsh.exe atsvc.exe
cacls.exe ipconfig.exe rcp.exe cmd.exe
debug.exe regedt32.exe regedit.exe edit.com
telnet.exe Finger.exe Nslookup.exe Rexec.exe
ftp.exe at.exe runonce.exe nbtstat.exe net1.exe
Tracert.exe netstat.exe tftp.exe command.com
(2)注册表
1、防止 SYN 洪水攻击 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 新建 DWORD 值,名为 SynAttackProtect,值为 2
新建 EnablePMTUDiscovery 类型为 REG_DWORD 值为 0
新建 NoNameReleaseOnDemand 类型为 REG_DWORD 值为 1 新建 EnableDeadGWDetect 类型为 REG_DWORD 值为 0
新建 KeepAliveTime 类型为 REG_DWORD 值为 300,000
新建 PerformRouterDiscovery 类型为 REG_DWORD 值为 0 新建 EnableICMPRedirects 类型为 REG_DWORD 值为 0
2、禁止 IPC 空连接:
cracker 可以利用 net use 命令建立空连接,进而入侵,还有 net view,nbtstat 这些都是基于空连 接的,禁止空连接就好了。
Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 把这个值改 成”1”即可。
3. 删除默认共享
有人问过我一开机就共享所有盘,改回来以后,重启又变成了共享是怎么回事,这是 NT 为管理 而设置的默认共享, HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters: AutoShareServer 类型是 REG_DWORD 把值改为 0 即可
4. 不支持 IGMP 协议 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 新建 DWORD 值,名为 IGMPLevel 值为 0
5. 防止 ICMP 重定向报文的攻击 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters将 EnableICMPRedirects 值设为 0
6 禁止ADMIN$缺省共享[脚本]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
“AutoShareWks”为REG_DWORD类型,值为“0”
7 禁止C$、D$一类的缺省共享[脚本]
修改注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
“AutoShareServer”为REG_DWORD类型,值为“0”
注:某些应用软件可能需要该共享,如Veritas Netbackup
(3)服务
开始-运行-services.msc 禁用一下服务
警报器 Alerter
剪贴簿 ClipBook
计算机浏览器 Computer Browser
DHCP 客户端 DHCP Client
DHCP 服务器 DHCP Server
DFS服务 Distributed File System
DLKS
用于局域网更新连接信息 Distributed linktracking client
发送错误报告 Error reporting service
telnet服务和Microsoft Serch用的 NTLMSecuritysupportprovide
传真服务 Fax Service
文件复制 File Replication
索引服务 Indexing Service
Internet 连接共享 Internet Connection Sharing
信使 Messenger
NetMeeting 远程桌面共享 NetMeeting Remote Desktop Sharing
网络 DDE Network DDE
SNMP服务 SNMP
网络 DDE DSDM Network DDE DSDM
NWLink NetBIOS NWLink NetBIOS
NWLink IPX/SPX NWLink IPX/SPX
后台打印程序 Print Spooler
远程注册表服务 Remote Registry
RunAs Service
TCP/IP NetBIOS 支持服务 TCP/IP NetBIOS Helper Service
电话 Telephony
Telnet Telnet
指定时间程序自动运行 Task Scheduler
Workstation
不间断电源 Uninterruptible Power Supply
(4)组策略
A、本地策略——>用户权限分配
关闭系统:只有 Administrators 组、其它全部删除。
通过终端服务允许登陆:只加入 Administrators,Remote Desktop Users 组,其他全部删除
B、本地策略——>安全选项 交互式登陆:不显示上次的用户名 启用 网络访问:
不允许 SAM 帐户和共享的匿名枚举 启用
网络访问:不允许为网络身份验证储存凭证 启用
网络访问:可匿名访问的共享 全部删除
网络访问:可匿名访问的命 全部删除
网络访问:可远程访问的注册表路径 全部删除
网络访问:可远程访问的注册表路径和子路 全部删除
帐户:重命名来宾帐户 重命名一个帐户
帐户:重命名系统管理员帐户 重命名一个帐户
(5) 远程桌面修改3389
两个地方 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] PortNumber值,默认是3389,修改为自定义的端口,如6553
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] PortNumber值,默认是3389,修改为自定义的端口,
(6) 登陆脚本
管理工具中打开终端服务配置(Terminal Service Configration),点击"连接",右击你想配置的RDP服务(如 RDP-TCP(Microsoft RDP 5.0)点"属性",选中书签"权限",点击左下角的"高级"---- "审核",我们来加入一个Everyone组,这代表所有的用户,然后审核他的"连接"、"断开"、"注销"的成功和"登录"的成功和失败就足够了,审核太多了反而不好,这个审核是记录在安全日志中的,可以从"管理工具"->"日志查看器"中查看。
选择“会话”选项卡,在“替代用户设置”中设置“结束已断开的会话”为1分钟;设置“空闲会话限制”为10分钟。
默认的日志监控里不记录客户端的IP(只能查看在线用户的IP),我们可以通过批处理文件来记录登录者的IP:
date /t >>RDPlog.txt
time /t >>RDPlog.txt
netstat -n -p tcp | find ":3489">>RDPlog.txt
start Explorer
(7)设置陷阱用户
在用户管理中将Ghust账户禁用并改名,删除无用账户(除administrator、IUSR、IWAM、ASPNET)
guest 更名之后 给一个强密码 给其设置20位极其复杂的密码 禁用状态
(8)设置IPsec安全策略屏蔽端口
导入策略防止135 139 445 黑客入侵
(9)数据库安全设置 在master 中执行
exec sp_dropextendedproc 'xp_cmdshell'
exec sp_dropextendedproc 'xp_dirtree'
exec sp_dropextendedproc 'xp_enumgroups'
exec sp_dropextendedproc 'xp_fixeddrives'
exec sp_dropextendedproc 'xp_loginconfig'
exec sp_dropextendedproc 'xp_regaddmultistring'
exec sp_dropextendedproc 'xp_regdeletekey'
exec sp_dropextendedproc 'xp_regdeletevalue'
exec sp_dropextendedproc 'xp_regread'
exec sp_dropextendedproc 'xp_regremovemultistring'
exec sp_dropextendedproc 'xp_regwrite'
exec sp_dropextendedproc 'xp_enumerrorlogs'
exec sp_dropextendedproc 'xp_getfiledetails'
exec sp_dropextendedproc 'xp_regenumvalues'
(10)日志安全
1安全性日志:
本地安全策略->审核策略中打开相应的审核,推荐的审核是:
账户管理 成功 失败
账户登录事件 成功 失败
登录事件 成功 失败 -如果用于登录的帐户是本地的,并且启用了“审核帐户登录事件”设置,则该登录将生成两个事件。
对象访问 失败
策略更改 成功 失败
特权使用 失败
系统事件 成功 失败
目录服务访问 失败
过程追踪 失败
审核项目少的缺点是自己需要的信息可能会被漏掉;审核项目太多不仅会占用系统资源而且会导致你根本没空去看,这样就失去了审核的意义。
2设定密码策略
在账户策略->密码策略中设定:
密码复杂性要求 启用
密码长度最小值 8位
强制密码历史 5次--设置重复使用密码的频率限制。设置此值时,将会对比新的密码和所设定数量的早期密码,并在新密码与现有密码匹配时拒绝所进行的密码更改。(请注意,这是在不存储明文密码的情况下进行的。)
密码最长存留期 7天--设置用户在不得不修改密码前可以使用该密码的时间。
密码最短存留期 xx天--设置用户可更改密码前必须使用该密码的时间。
在账户策略->账户锁定策略中设定:
账户锁定阀值 8次错误登录
账户锁定时间 20分钟
复位锁定计数器 20分钟
3设置日志属性
选择 管理工具-事件查看器,选择一个日志类型,右键点击“属性”,设置如下:
日志类别 日志容量 覆盖方式
应用日志 16384K 覆盖早于30天的事件
安全日志 16384K 覆盖早于30天的事件
系统日志 16384K 覆盖早于30天的事件
入侵者在获得了一台机器的完全管理员权限后
就是擦除脚印来隐藏自身.
对应措施:审计
首先我们要确定在windows日志中打开足够的审计项目.
如果审计项目不足.入侵者甚至都无需去删除windows事件.
其次我们可以用自己的cmd.exe以及net.exe来替换系统自带的.
将运行的指令保存下来.了解入侵者的行动.
对于windows日志
我们可以通过将日志发送到远程日志服务器的方式来保证记录的完整性.
evtsys工具(https://engineering.purdue.edu/ECN/Resources/Documents)
提供将windows日志转换成syslog格式并且发送到远程服务器上的功能.
使用此用具.并且在远程服务器上开放syslogd,如果远程服务器是windows系统.
推荐使用kiwi syslog deamon.
4.用SNORT建立IDS
用另一台服务器建立个SNORT.
对于所有进出服务器的包都进行分析和记录
特别是FTP上传的指令以及HTTP对ASP文件的请求
可以特别关注一下.
8 安装macfee杀毒软件 设置asp aspx php 防注入
9 安装serv-u
10 安装 虚拟主机管理系统客户端
11 系统备份
