1 安裝系統 進行分區 d盤爲tools 40G E盤爲web 盤 200G F 盤爲backup 盤 300G
2 安裝360 安全衛士 掃描系統漏洞 打系統補丁 進行殺毒掃描
3 安裝iis
4 安裝數據庫sql2000 sp4補丁 sql2005
5 系統備份
6 安裝mysql php 測試php 程序
7 安全配置
(1)權限設置系統盤及所有磁盤只給 Administrators 組和 SYSTEM 的完全控制權限
系統盤\Documents and Settings 目錄只給 Administrators 組和 SYSTEM 的完全控制權限 系統盤\Documents and Settings\All Users 目錄只給 Administrators 組和 SYSTEM 的完全控 制權限 系統盤\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe、ftp.exe、tftp.exe、 telnet.exe 、netstat.exe、regedit.exe、at.exe、attrib.exe、format.com、del 文件只給 Administrators 組和 SYSTEM 的完全控制權限 另將<systemroot>\System32\cmd.exe、format.com、ftp.exe 轉移到其他目錄或更名
Documents and Settings 下所有些目錄都設置只給 adinistrators 權限。並且要一個一個目錄查看, 包括下面的所有子目錄。
刪除 c:\inetpub 目錄 對winnt\system32目錄下的下列文件需做特殊設置,只允許system和administrators組完全控制,其餘帳戶無任何權限。文件列表如下:
xcopy.exe wscript.exe cscript.exe net.exe
arp.exe edlin.exe ping.exe route.exe
posix.exe Rsh.exe atsvc.exe
cacls.exe ipconfig.exe rcp.exe cmd.exe
debug.exe regedt32.exe regedit.exe edit.com
telnet.exe Finger.exe Nslookup.exe Rexec.exe
ftp.exe at.exe runonce.exe nbtstat.exe net1.exe
Tracert.exe netstat.exe tftp.exe command.com
(2)註冊表
1、防止 SYN 洪水*** HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 新建 DWORD 值,名爲 SynAttackProtect,值爲 2
新建 EnablePMTUDiscovery 類型爲 REG_DWORD 值爲 0
新建 NoNameReleaseOnDemand 類型爲 REG_DWORD 值爲 1 新建 EnableDeadGWDetect 類型爲 REG_DWORD 值爲 0
新建 KeepAliveTime 類型爲 REG_DWORD 值爲 300,000
新建 PerformRouterDiscovery 類型爲 REG_DWORD 值爲 0 新建 EnableICMPRedirects 類型爲 REG_DWORD 值爲 0
2、禁止 IPC 空連接:
cracker 可以利用 net use 命令建立空連接,進而***,還有 net view,nbtstat 這些都是基於空連 接的,禁止空連接就好了。
Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 把這個值改 成”1”即可。
3. 刪除默認共享
有人問過我一開機就共享所有盤,改回來以後,重啓又變成了共享是怎麼回事,這是 NT 爲管理 而設置的默認共享, HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters: AutoShareServer 類型是 REG_DWORD 把值改爲 0 即可
4. 不支持 IGMP 協議 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 新建 DWORD 值,名爲 IGMPLevel 值爲 0
5. 防止 ICMP 重定向報文的*** HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters將 EnableICMPRedirects 值設爲 0
6 禁止ADMIN$缺省共享[腳本]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
“AutoShareWks”爲REG_DWORD類型,值爲“0”
7 禁止C$、D$一類的缺省共享[腳本]
修改註冊表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
“AutoShareServer”爲REG_DWORD類型,值爲“0”
注:某些應用軟件可能需要該共享,如Veritas Netbackup
(3)服務
開始-運行-services.msc 禁用一下服務
警報器 Alerter
剪貼簿 ClipBook
計算機瀏覽器 Computer Browser
DHCP 客戶端 DHCP Client
DHCP 服務器 DHCP Server
DFS服務 Distributed File System
DLKS
用於局域網更新連接信息 Distributed linktracking client
發送錯誤報告 Error reporting service
telnet服務和Microsoft Serch用的 NTLMSecuritysupportprovide
傳真服務 Fax Service
文件複製 File Replication
索引服務 Indexing Service
Internet 連接共享 Internet Connection Sharing
信使 Messenger
NetMeeting 遠程桌面共享 NetMeeting Remote Desktop Sharing
網絡 DDE Network DDE
SNMP服務 SNMP
網絡 DDE DSDM Network DDE DSDM
NWLink NetBIOS NWLink NetBIOS
NWLink IPX/SPX NWLink IPX/SPX
後臺打印程序 Print Spooler
遠程註冊表服務 Remote Registry
RunAs Service
TCP/IP NetBIOS 支持服務 TCP/IP NetBIOS Helper Service
電話 Telephony
Telnet Telnet
指定時間程序自動運行 Task Scheduler
Workstation
不間斷電源 Uninterruptible Power Supply
(4)組策略
A、本地策略——>用戶權限分配
關閉系統:只有 Administrators 組、其它全部刪除。
通過終端服務允許登陸:只加入 Administrators,Remote Desktop Users 組,其他全部刪除
B、本地策略——>安全選項 交互式登陸:不顯示上次的用戶名 啓用 網絡訪問:
不允許 SAM 帳戶和共享的匿名枚舉 啓用
網絡訪問:不允許爲網絡身份驗證儲存憑證 啓用
網絡訪問:可匿名訪問的共享 全部刪除
網絡訪問:可匿名訪問的命 全部刪除
網絡訪問:可遠程訪問的註冊表路徑 全部刪除
網絡訪問:可遠程訪問的註冊表路徑和子路 全部刪除
帳戶:重命名來賓帳戶 重命名一個帳戶
帳戶:重命名系統管理員帳戶 重命名一個帳戶
(5) 遠程桌面修改3389
兩個地方 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] PortNumber值,默認是3389,修改爲自定義的端口,如6553
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] PortNumber值,默認是3389,修改爲自定義的端口,
(6) 登陸腳本
管理工具中打開終端服務配置(Terminal Service Configration),點擊"連接",右擊你想配置的RDP服務(如 RDP-TCP(Microsoft RDP 5.0)點"屬性",選中書籤"權限",點擊左下角的"高級"---- "審覈",我們來加入一個Everyone組,這代表所有的用戶,然後審覈他的"連接"、"斷開"、"註銷"的成功和"登錄"的成功和失敗就足夠了,審覈太多了反而不好,這個審覈是記錄在安全日誌中的,可以從"管理工具"->"日誌查看器"中查看。
選擇“會話”選項卡,在“替代用戶設置”中設置“結束已斷開的會話”爲1分鐘;設置“空閒會話限制”爲10分鐘。
默認的日誌監控裏不記錄客戶端的IP(只能查看在線用戶的IP),我們可以通過批處理文件來記錄登錄者的IP:
date /t >>RDPlog.txt
time /t >>RDPlog.txt
netstat -n -p tcp | find ":3489">>RDPlog.txt
start Explorer
(7)設置陷阱用戶
在用戶管理中將Ghust賬戶禁用並改名,刪除無用賬戶(除administrator、IUSR、IWAM、ASPNET)
guest 更名之後 給一個強密碼 給其設置20位極其複雜的密碼 禁用狀態
(8)設置IPsec安全策略屏蔽端口
導入策略防止135 139 445 ******
(9)數據庫安全設置 在master 中執行
exec sp_dropextendedproc 'xp_cmdshell'
exec sp_dropextendedproc 'xp_dirtree'
exec sp_dropextendedproc 'xp_enumgroups'
exec sp_dropextendedproc 'xp_fixeddrives'
exec sp_dropextendedproc 'xp_loginconfig'
exec sp_dropextendedproc 'xp_regaddmultistring'
exec sp_dropextendedproc 'xp_regdeletekey'
exec sp_dropextendedproc 'xp_regdeletevalue'
exec sp_dropextendedproc 'xp_regread'
exec sp_dropextendedproc 'xp_regremovemultistring'
exec sp_dropextendedproc 'xp_regwrite'
exec sp_dropextendedproc 'xp_enumerrorlogs'
exec sp_dropextendedproc 'xp_getfiledetails'
exec sp_dropextendedproc 'xp_regenumvalues'
(10)日誌安全
1安全性日誌:
本地安全策略->審覈策略中打開相應的審覈,推薦的審覈是:
賬戶管理 成功 失敗
賬戶登錄事件 成功 失敗
登錄事件 成功 失敗 -如果用於登錄的帳戶是本地的,並且啓用了“審覈帳戶登錄事件”設置,則該登錄將生成兩個事件。
對象訪問 失敗
策略更改 成功 失敗
特權使用 失敗
系統事件 成功 失敗
目錄服務訪問 失敗
過程追蹤 失敗
審覈項目少的缺點是自己需要的信息可能會被漏掉;審覈項目太多不僅會佔用系統資源而且會導致你根本沒空去看,這樣就失去了審覈的意義。
2設定密碼策略
在賬戶策略->密碼策略中設定:
密碼複雜性要求 啓用
密碼長度最小值 8位
強制密碼歷史 5次--設置重複使用密碼的頻率限制。設置此值時,將會對比新的密碼和所設定數量的早期密碼,並在新密碼與現有密碼匹配時拒絕所進行的密碼更改。(請注意,這是在不存儲明文密碼的情況下進行的。)
密碼最長存留期 7天--設置用戶在不得不修改密碼前可以使用該密碼的時間。
密碼最短存留期 xx天--設置用戶可更改密碼前必須使用該密碼的時間。
在賬戶策略->賬戶鎖定策略中設定:
賬戶鎖定閥值 8次錯誤登錄
賬戶鎖定時間 20分鐘
復位鎖定計數器 20分鐘
3設置日誌屬性
選擇 管理工具-事件查看器,選擇一個日誌類型,右鍵點擊“屬性”,設置如下:
日誌類別 日誌容量 覆蓋方式
應用日誌 16384K 覆蓋早於30天的事件
安全日誌 16384K 覆蓋早於30天的事件
系統日誌 16384K 覆蓋早於30天的事件
***者在獲得了一臺機器的完全管理員權限後
就是擦除腳印來隱藏自身.
對應措施:審計
首先我們要確定在windows日誌中打開足夠的審計項目.
如果審計項目不足.***者甚至都無需去刪除windows事件.
其次我們可以用自己的cmd.exe以及net.exe來替換系統自帶的.
將運行的指令保存下來.瞭解***者的行動.
對於windows日誌
我們可以通過將日誌發送到遠程日誌服務器的方式來保證記錄的完整性.
evtsys工具(https://engineering.purdue.edu/ECN/Resources/Documents)
提供將windows日誌轉換成syslog格式並且發送到遠程服務器上的功能.
使用此用具.並且在遠程服務器上開放syslogd,如果遠程服務器是windows系統.
推薦使用kiwi syslog deamon.
4.用SNORT建立IDS
用另一臺服務器建立個SNORT.
對於所有進出服務器的包都進行分析和記錄
特別是FTP上傳的指令以及HTTP對ASP文件的請求
可以特別關注一下.
8 安裝macfee殺毒軟件 設置asp aspx php 防注入
9 安裝serv-u
10 安裝 虛擬主機管理系統客戶端
11 系統備份