打造安全WINDOWS服務器的終極手段

這是因為ADMIN5被黑.而引發出來的一篇針對服務器安全的文章.由靜花木木原創.希望對大家有幫助.[eek]
.廢話也不說了.直接開始今天的正題.完全打造安全WINDOWS服務器的終極法寶.
　　我的目標：,加固WEB服務器系統，使之提高并完善其穩定性及安全性。[muteness]
　　系統環境：Windows Server 2003 Enterprise Edition With Service Pack 1（以下簡稱W2k3SP1），WEB平臺為IIS6，FTP平臺為Serv-U FTP Server6.4
系統的安裝
這個不需要講把.[lol]
1、IIS6.0的安裝
　　開始菜單—>控制面板—>添加或刪除程序—>添加/刪除Windows組件
　　應用程序 ———ASP.NET（可選）
　　　　　　　|——啟用網絡 COM+ 訪問（必選）
　　　　　　　|——Internet 信息服務(IIS)———Internet 信息服務管理器（必選）　
　　　　　　　　　　　　　　　　　　　　　 |——公用文件（必選）
　　　　　　　　　　　　　　　　　　　　　 |——萬維網服務———Active Server pages（必選）
　　　　　　　　　　　　　　　　　　　　　　 　　　　　　　|——Internet 數據連接器（可選）
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 |——WebDAV 發布（可選）
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 |——萬維網服務（必選）
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 |——在服務器端的包含文件（可選）
　　然后點擊確定—>下一步安裝。
打開自動更新.安裝常用軟件.WINRAR.GHOST.我們進入下一步[redface]
2.很多服務器被黑.很大一部分是被因為權限分配問題導致的,下面寫出推薦的權限分配:
　　系統盤及所有磁盤只給 Administrators 組和 SYSTEM 的完全控制權限
　　系統盤\Documents and Settings 目錄只給 Administrators 組和 SYSTEM 的完全控制權限
注意:另外別忘記還有一個隱藏目錄也需要同樣操作[eek]
　　系統盤\Documents and Settings\All Users 目錄只給 Administrators 組和 SYSTEM 的完全控制權限
　　系統盤\Inetpub 目錄及下面所有目錄、文件只給 Administrators 組和 SYSTEM 的完全控制權限(建議刪除netpub目錄)
　　系統盤\Windows\System32\cmd.exe、ftp.exe、scrrun.dll、shell.dll.net.exe net1.exe,netstat.exe ,tftp.exe ,regedit.exe ,at.exe ,attrib.exe,cacls.exe ,format.com 文件只給 Administrators 組和 SYSTEM 的完全控制權限(這些都是殺手锏,千萬注意)[cool]
注意:如果服務器安裝了ASPUPLOAD組件,會默認在系統盤建立 UPLOAD 一定要刪除.
3.打開服務器本地計算機策略（gpedit.msc）
　　開始菜單—>管理工具—>本地安全策略
　　A、本地策略——>審核策略
　　審核策略更改　　　成功　失敗　　
　　審核登錄事件　　　成功　失敗
　　審核對象訪問　　　　　　失敗
　　審核過程跟蹤　　　無審核
　　審核目錄服務訪問　　　　失敗
　　審核特權使用　　　　　　失敗
　　審核系統事件　　　成功　失敗
　　審核賬戶登錄事件　成功　失敗
　　審核賬戶管理　　　成功　失敗
　　B、本地策略——>用戶權限分配
　　關閉系統：只有Administrators組、其它全部刪除。
　　通過終端服務拒絕登陸：加入Guests、User組
　　通過終端服務允許登陸：只加入Administrators組，其他全部刪除
　　C、本地策略——>安全選項
　　交互式登陸：不顯示上次的用戶名　　　　　　　啟用
　　網絡訪問：不允許SAM帳戶和共享的匿名枚舉　　 啟用
　　網絡訪問：不允許為網絡身份驗證儲存憑證　　　啟用
　　網絡訪問：可匿名訪問的共享　　　　　　　　　全部刪除
　　網絡訪問：可匿名訪問的命　　　　　　　　　　全部刪除
　　網絡訪問：可遠程訪問的注冊表路徑　　　　　　全部刪除
　　網絡訪問：可遠程訪問的注冊表路徑和子路徑　　全部刪除
　　帳戶：重命名來賓帳戶　　　　　　　　　　　　重命名一個帳戶
　　帳戶：重命名系統管理員帳戶　　　　　　　　　重命名一個帳戶
修改Administrator和Guest這兩個賬號 一定要改的夠復雜./最好@#$@!這樣類似的組合.
4.禁用不必要的服務
禁用不必要的服務不但可以降低服務器的資源占用減輕負擔，而且可以增強安全性.列出:
　　開始菜單—>管理工具—>服務
　　Application Experience Lookup Service
　　BITS
　　Computer Browser
　　DHCP Client
　　Error Reporting Service
　　Help and Support
　　Network Location Awareness
　　Print Spooler
　　Remote Registry
　　Secondary Logon　　
　　Smartcard
　　TCP/IP NetBIOS Helper
　　Workstation  這個就是"啊江"經常說到的,利用getobject("WINNT")獲得了系統用戶和系統進程的列表.
　　Windows Audio
　　Windows Time
　　Wireless Configuration
　　TCP/IP NetBIOS Helper
　　Server  這個就是默認共享了，如果連這個都不禁用的話,危險很大哦[sad]
5.更改遠程桌面端口和禁用IPC連接
1. 打開注冊表并轉到此項：
　　HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
　　2. 找到“PortNumber”子項，看到值 00000D3D，它是 3389 的十六進制表示形式。使用十六進制數值修改此端口號，并保存新值。
2.禁用IPC連接：打開注冊表編輯器，依次展開[HKEY_　　LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa ]分支，在右側窗口中找到“restrictanonymous”子鍵，將其值改為“1”即可
6.關于ASP木馬.這里借鑒圖王和啊江的解決方法
    在IIS系統上，大部分木馬都是ASP寫的，因此，ASP組件的安全是非常重要的。
　　ASP木馬實際上大部分通過調用Shell.Application、WScript.Shell、WScript.Network、FSO、Adodb.Stream組件來實現其功能，除了FSO之外，其他的大多可以直接禁用。
　　WScript.Shell組件使用這個命令刪除：regsvr32 WSHom.ocx /u
　　WScript.Network組件使用這個命令刪除：regsvr32 wshom.ocx /u
　　Shell.Application可以使用禁止Guest用戶使用shell32.dll來防止調用此組件。使用命令：cacls C：\WINNT\system32\shell32.dll /e /d guests
　　禁止guests用戶執行cmd.exe的命令是： cacls C：\WINNT\system32\Cmd.exe /e /d guests
　　FSO組件的禁用比較麻煩，如果網站本身不需要用這個組件，那么就通過RegSrv32 scrrun.dll /u命令來禁用吧。
7.WINDOWS的默認防火墻和TCP_IP篩選
1.TCP_IP篩選,打開網絡連接.屬性——>高級——>選項——>屬性
開放的端口是：TCP80、TCP25、TCP20、TCP21、TCP3389、TCP4000~4005。開放4000~4005是為了支持Serv- U的PASV模式（要在Serv-U中設置這段被動端口范圍）
這是最簡單的做法,但是不是最有效的下面介紹我最常用的,
2.WINDOWS的默認防火墻:
桌面—>網上鄰居—>（右鍵）屬性—>本地連接—>（右鍵）屬性—>高級—>（選中）Internet 連接防火墻—>設置
　　把服務器上面要用到的服務端口選中
一臺WEB服務器，要提供WEB（80）、FTP（21）服務及遠程桌面管理（3389）
在“FTP 服務器”、“WEB服務器（HTTP）”、“遠程桌面”前面打上對號
　　如果你要提供服務的端口不在里面，你也可以點擊“添加”銨鈕來添加，具體參數可以參照系統里面原有的參數。
　　然后點擊確定。
注意：千萬要選遠程桌面管理，否則改完了,上不去服務器別哭[sad]
不要問我為什么推薦使用自帶的防火墻.呵呵
關于IIS的配置和網站權限的設置,我沒有進一步講解/.主要原因是,我一直利用虛擬主機管理軟件自動開設.筆者接觸的大都是IDC商服務器.虛擬主機管理軟件，我還是推薦使用易方.需要的也可以找我，是破解版本.當然是免費的.