qiangren 2008-2-22 16:29
2.28 (周四) Windows服务器安全设置精简讲座
时间:星期四 2.28 日 14:00-16:00
主题 :Windows服务器安全设置精简讲座
QQ 群:56487362
主讲人:刘岛
2000年开始接触互联网并从事Web研发、推广
2003年至今一直从事擅长服务器安全维护设置,网站运营策划、Asp.net研发工作
现从事网站运营顾问工作,欢迎大家进行网站安全、运营及开发方面的交流
当前典型客户网站为:[url=http://www.51aspx.com/]http://www.51aspx.com[/url]
主讲内容:
一、听证对象要求:
1、对Windows2003Server及IIS站点配置了解
2、有一定的asp、asp.net程序基础
3、听课认真、仔细,不乱发牢骚
4、提问比较有针对性,不钻牛角尖
二、培训大纲
1、讲座环境:WindowsServer2003 企业版
2、操作系统安装、升级
3、关闭服务、开启防火墙、设定磁盘权限
4、常用软件安装
5、虚拟主机的安全设置
6、安全常识
7、Sql数据库的安全设置
______
讲座规则:
1 在主讲人讲座的时候,因为qq群内人比较多,所以请勿插话。打断,询问 。
2 在讲座过程中,一般关闭qq群加人信息。所以讲座,请及时提前一点加群。
3 讲座的后一半时间是 讨论,交流时间。 请将问题,轮流提出。 同时 因为我们是草根站长群,主讲人并不能面面俱到,也希望更多站长,相互补充完善。
4 讲座完毕后一小时,我们解散qq群,为下次讲座留空。请及时备份你的资料。
我们每天举行一次 qq群讲座,
[url=http://bbs.admin5.com/forum-165-1.html]http://bbs.admin5.com/forum-165-1.html[/url]
诚征更多主讲人, 诚征更多主讲话题。 有准备做主讲人的联系qq:316290906 安排时间和主题。
------------------------------------------------------------------------------------------------------------------------------------------
主讲内容:
本次讲座主要是简要的说明一下服务器的安全设置,比较基础一些,也比较实用,为个人多年经验,不妥之处还望大家海涵
1、讲座环境:WindowsServer2003 企业版
服务器的安装这里就不再说了,一般都是自己或者idc就给装上了
win2003安装完毕并配置好IP以后,要打开windows自带的防火墙,暂时只开放默认的3389(远程端口)
下一步的操作就是系统的升级,这个时间会很长,升级的时候要有选择的进行(比如说IE7等就不要装了),同时windows sp2建议也先不要装,因为可能会与一些软件冲突,比如说卡巴斯基
升级完毕后就安装SqlServer(建议用比较流行的2000版本+sp4)
sql的sa密码要设置的尽量复杂,以后基本上也用不到的
下一步的工作就是关闭用不到的服务
Computer Browser:维护网络计算机更新,禁用
Distributed File System:局域网管理共享文件,不需要就禁用
Distributed linktracking client:用于局域网更新连接信息,不需要就禁用
Error reporting service:禁止发送错误报告
Microsoft Search:提供快速的单词搜索,不需要可禁用
NT LMSecuritysupportprovide:telnet服务和MicrosoftSerch用的,不需要就禁用
PrintSpooler:如果没有打印机可禁用
RemoteRegistry:禁止远程修改注册表
RemoteDesktop Help Session Manager:禁止远程协助
Workstation :禁止
Server
设置磁盘权限:系统盘及所有磁盘只给 Administrators 组和 SYSTEM 的完全控制权限
系统盘\Documents and Settings 目录只给 Administrators 组和 SYSTEM 的完全控制权限
系统盘\Documents and Settings\All Users 目录只给 Administrators 组和 SYSTEM 的完全控制权限
系统盘\Inetpub 目录及下面所有目录、文件只给 Administrators 组和 SYSTEM 的完全控制权限
系统盘\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe、regedit.exe、at.exe、attrib.exe、format.com 文件只给 Administrators 组和 SYSTEM 的完全控制权限
可以更改C:\Windows\Temp的路径(修改时注意设置Users、IIS_WPG读写权限,否则Asp.net程序会运行出错)
下一步是安装常用的软件,如果杀毒、serv-u、第三方防火墙(小心误操作把远程关闭)
下面开始回答大家的问题,请一个个提问
天涯浪子
怎样关闭用不到的服务?
刘岛
我的电脑右键-》管理-》服务 把不需要的服务的启动类型改为禁用就可以了
哈哈
装什么杀毒?麦咖啡是不是最佳的?
我推荐卡巴斯基
Win in China
WindowsServer2003刚装上,要怎么样升级?用系统自带的更新么?
刘岛
对 系统的自动更新就可以了
下一步就是关键的设置了 IIS
windows2003的iis默认情况下是不开启asp服务、不支持父路径的
使用前要做相应的配置,同时默认的framework(aspx需要)版本为1.1,需要另外安装framework2.0/3.x,版本向下兼容
如果是虚拟主机或者多站点建议为每个站点设置一个独立的帐号,这样避免城门失火殃及池鱼,也就是一个站点遭到攻击不至于连累其他站点
默认的iis日志是在C盘下的,建议改到其他非系统盘
这里还要说明一下serv-u的安装技巧,默认不要安装在C盘一下,这样即使下一次系统重装,serv-u也就不用装了,可以直接用,用户也不受影响
安全方面就是尽量用最新版本,不要在桌面建立快捷方式
否则远程可能会连不上
Windows默认的防火墙再打开80及其它一些需要的端口即可,ftp默认端口21不用打开,在win防火墙中例外加上serv-u即可,防火墙的那个[自定义表情]一定 不要勾选
sql的远程端口是1433、邮件的是25、110
卡巴斯基有时候会把serv-u当作木马处理,设置的时候把serv-u的目录过滤掉即可
这里不得不再提sql的安全,安装的时候也不能安装在C盘,特别是数据文件夹
最好每个数据库一个用户,权限为ower即可
大家可以提问了,关于维护常识稍后继续
冰雪
如何安装防火墙 而不关闭 了3389
刘岛
例外中加入远程桌面就不用再开3389了
自由人
每个站点设置一个独立的帐号 是什么意思,看不懂?
那不是更麻烦了。
刘岛
独立帐号的建立:
1、用户管理-》新建 要选择密码永不过期 然后去掉users组权限
2、在对应站点的匿名用户中加上上一步建立的用户
3、站点-》权限 加上该用户的读写权限(如果是asp.net 还要加上users组的读写权限
刘岛
对 是很麻烦 但是很安全
以上介绍了服务器的安全配置,根据个人的不同要求也许会不同,当然也有很多细节地方没有讲到
下一步就是平时安全的维护技巧了,有些朋友认为服务器上的病毒只要有杀毒软件就能防范,有的人甚至还指望着某些杀毒软件能彻底解决,这里要告诉大家的是这种想法是错误的
服务器遭到入侵的情况主要有以下几种:
1、程序漏洞:主要表现为上传、Sql注入
以前比较典型的就是dvbbs的上传漏洞,原来很简单就是攻击者可以通过漏洞绕过管理帐号上传一些相关的木马文件(实际就是一些超权限的web程序)从而达到入侵的目的
sql注入就是攻击者通过程序的漏洞(url参数)得到数据库帐号信息或者数据库内容,然后进一步的提权达到攻击的目的
开始讲到的安全设置都是为此做准备的
2、服务器上开启了没必要的服务,比如文件共享等也是遭到入侵的主要原因
3、Arp攻击:这种攻击一般都是机房路由器的问题,我们所要做的防范就是安装arp防火墙
下面说一下安全防范知识:
一定要定期检查服务器是否异常,特别是出现了不明的user帐号、sql中多了莫名其妙的数据库或者帐号
有些朋友认为服务器上的病毒只要有杀毒软件就能防范,有的人甚至还指望着某些杀毒软件能彻底解决,这里要告诉大家的是这种想法是错误的 那应该怎样防范呢
一定要定期检查服务器是否异常,特别是出现了不明的user帐号、sql中多了莫名其妙的数据库或者帐号
防护墙用瑞星的就可以
防范中定期排查很重要
补充:设置和管理账户
1、系统管理员账户最好少建,更改默认的管理员帐户名(Administrator)和描述,密码最好采用数字加大小写字母加数字的上档键组合,长度最好不少于14位。
2、新建一个名为Administrator的陷阱帐号,为其设置最小的权限,然后随便输入组合的最好不低于20位的密码
3、将Guest账户禁用并更改名称和描述,然后输入一个复杂的密码。
4、在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略,将账户设为“三次登陆无效”,“锁定时间10分钟”,“复位锁定计数设为30分钟”。
5、在安全设置-本地策略-安全
木头/dx狼
怎么把IIS架设在80端口之上?
刘岛
是打开80端口就可以了 web默认是80端口
木头/dx狼
不是,比如说我服务器上开着游戏,是占80端口的,我如果再在上面放网站,具体需要怎么设置
刘岛
那最好把游戏的端口改一下 比较web用的多
wwha
再问一下防火墙的问题。您为什么推荐瑞星防火墙呢。他是否有独道之处。
刘岛
配置简单,功能也不少
好了 这次讲座部分基本结束 有问题请继续提问
(问题讨论中)
[[i] 本帖最后由 qiangren 于 2008-2-28 15:49 编辑 [/i]]
chinale2008 2008-2-22 20:27
呵呵 越来越有味道了。。。。
dream96138 2008-2-23 17:58
好不错
2008-2-27 12:02
中国网络营销网支持你
中国网络营销网[url]www.netwin123.com[/url]支持你
2008-2-27 21:10
[url]www.356a.cn[/url]谢谢图王
2008-2-29 09:37
[url]www.pspjia.com[/url]支持
dream96138 2008-2-29 17:22
不错,学习了
2008-3-1 02:04
[url=http://www.cssf15.cn]传世私服[/url].[url=http://www.15cssf.cn]传世私服[/url].[url=http://www.sf15.net]传世私服[/url].[url=http://www.sf15.net]传奇世界私服[/url].[url=http://www.cssf15.cn]传奇世界私服[/url].[url=http://www.15cssf.cn]传奇世界私服[/url]