一、关闭多余端口
本地连接/属性/Internet协议(TCP/IP)/高级/选项/TCP/IP筛选/属性/把勾打上,再添加所需的端口,重启。
TCP/IP筛选里的端口过滤功能,用FTP服务器的时候,只需开放21端口,在进行FTP传输的时候,FTP 特有的Port模式和Passive模式,在进行数据传输的时候,需要动态的打开高端口,所以在使用TCP/IP过滤的情况下,经常会出现连接上后无法列出目录和数据传输的问题。所以2003系统上增加的Windows连接防火墙能很好的解决这个问题,不推荐使用网卡的TCP/IP过滤功能。
二.服务与审核策略管理
是系统就必然需要服务,然而不是每一个服务都适用于所有用户的,合理的关闭一些服务,可以减轻系统很多的负担。通常情况下,如下服务可以关闭:
Computer Browser 维护网络上计算机的最新列表以及提供这个列表
Task scheduler 允许程序在指定时间运行
Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息
Distributed File System: 局域网管理共享文件,不需要禁用
Distributed linktracking client:用于局域网更新连接信息,不需要禁用
Error reporting service:禁止发送错误报告
Microsoft Serch:提供快速的单词搜索,不需要可禁用
NTLMSecuritysupportprovide:telnet服务和Microsoft Serch用的,不需要禁用
PrintSpooler:如果没有打印机可禁用
Remote Registry:禁止远程修改注册表
Remote Desktop Help Session Manager:禁止远程协助
Workstation关闭的话远程NET命令列不出用户组。
在"网络连接"里,把不需要的协议和服务都删掉。
三、磁盘权限设置
C盘只给administrators和system权限,其他的盘也可以这样设置。Windows目录要加上给users的默认权限,否则ASP和ASPX等应用程序就无法运行。
还要注意一个重要地方,在c:/Documents and Settings/这里相当重要,后面的目录里的权限根本不会继承从前的设置,如果仅设置了C盘给administrators权限,而在All Users/Application Data目录下会出现everyone用户有完全控制权限,这样入侵者可跳转到这个目录,写入脚本文件,结合其他漏洞来提升权限。
四、SQL2000 SERV-U FTP安全设置
SQL安全方面
1、System Administrators 角色最好不要超过两个
2、如果是在本机最好将身份验证配置为Win登陆
3、不要使用Sa账户,或为其配置一个超级复杂的密码
4、隐藏 SQL Server、更改默认的1433端口。
serv-u的几点常规安全需要设置下:
选中"Block "FTP_bounce"attack and FXP"。通常,当使用FTP协议进行文件传输时,客户端首先向FTP服务器发出一个"PORT"命令,该命令中包含此用户的IP地址和将被用来进行数据传输的端口号,服务器收到后,利用命令所提供的用户地址信息建立与用户的连接。 五、IIS安全设置
IIS的安全:
1、不使用默认的Web站点,如果使用也要将IIS目录与系统磁盘分开。
2、删除IIS默认创建的Inetpub目录。
3、删除不必要的IIS扩展名映射。
4、更改IIS日志的路径
六、其它
1、系统升级、打操作系统补丁。
2、停掉Guest 帐号、并给guest 加一个异常复杂的密码,把Administrator改名。
3、隐藏重要文件目录。
4、启动系统自带的Internet连接防火墙,在设置服务选项中勾选Web服务器。
5、防止ICMP重定向报文的攻击。
6、建议用户在配置每一步时,需要进行相关的测试,避免意外的发生。