关于中网云服务器windows2003系统的安全、稳定、备份等相关设置
一、中网云服务器系统权限的设置
1、磁盘权限
系统盘及所有磁盘只给 Administrators 组和 SYSTEM 的完全控制权限;
系统盘\Documents and Settings 目录只给 Administrators 组和 SYSTEM 的完全控制权限
系统盘\Documents and Settings\All Users 目录只给 Administrators 组和 SYSTEM 的完全控制权限
系统盘\Inetpub 目录及下面所有目录、文件只给 Administrators 组和 SYSTEM 的完全控制权限
系统盘\Windows\、、 文件只给 Administrators 组和 SYSTEM 的完全控制权限
系统盘\Windows\ 文件只给 Administrators 组和 SYSTEM 的完全控制权
系统盘及所有磁盘只给 Administrators 组和 SYSTEM 的完全控制权限;
系统盘\Documents and Settings 目录只给 Administrators 组和 SYSTEM 的完全控制权限
系统盘\Documents and Settings\All Users 目录只给 Administrators 组和 SYSTEM 的完全控制权限
系统盘\Inetpub 目录及下面所有目录、文件只给 Administrators 组和 SYSTEM 的完全控制权限
系统盘\Windows\、、 文件只给 Administrators 组和 SYSTEM 的完全控制权限
系统盘\Windows\ 文件只给 Administrators 组和 SYSTEM 的完全控制权
限;
2、本地安全策略设置:开始菜单—>管理工具—>本地安全策略
A、本地策略——>审核策略
审核策略更改 成功 失败
审核登录事件 成功 失败
审核对象访问 失败
审核过程跟踪 无审核
审核目录服务访问 失败
审核特权使用 失败
审核系统事件 成功 失败
审核账户登录事件 成功 失败
审核账户管理 成功 失败
A、本地策略——>审核策略
审核策略更改 成功 失败
审核登录事件 成功 失败
审核对象访问 失败
审核过程跟踪 无审核
审核目录服务访问 失败
审核特权使用 失败
审核系统事件 成功 失败
审核账户登录事件 成功 失败
审核账户管理 成功 失败
B、本地策略——>用户权限分配
关闭系统:只有Administrators组、其它全部删除。
通过终端服务拒绝登陆:加入Guests组
通过终端服务允许登陆:只加入Administrators组和Remote Desktop Users组,其他全部删除
通过终端服务拒绝登陆:加入Guests组
通过终端服务允许登陆:只加入Administrators组和Remote Desktop Users组,其他全部删除
C、本地策略——>安全选项
交互式登陆:不显示上次的用户名 启用
网络访问:不允许SAM帐户和共享的匿名枚举 启用
网络访问:不允许为网络身份验证储存凭证 启用
网络访问:可匿名访问的共享 全部删除
网络访问:可匿名访问的命名管道 全部删除
网络访问:可远程访问的注册表路径 全部删除
网络访问:可远程访问的注册表路径和子路径 全部删除
帐户:重命名来宾帐户 重命名一个帐户
帐户:重命名系统管理员帐户 重命名一个帐户
交互式登陆:不显示上次的用户名 启用
网络访问:不允许SAM帐户和共享的匿名枚举 启用
网络访问:不允许为网络身份验证储存凭证 启用
网络访问:可匿名访问的共享 全部删除
网络访问:可匿名访问的命名管道 全部删除
网络访问:可远程访问的注册表路径 全部删除
网络访问:可远程访问的注册表路径和子路径 全部删除
帐户:重命名来宾帐户 重命名一个帐户
帐户:重命名系统管理员帐户 重命名一个帐户
3、禁用不必要的服务
开始菜单—>管理工具—>服务
Print Spooler
Remote Registry
TCP/IP NetBIOS Helper
Server
Workstation 系统用户和系统进程的列表,这个列表可能会被黑客利用,我们应当隐藏起来
以上是在Windows Server 2003 系统上面默认启动的服务中禁用的,默认禁用的服务如没特别需要的话不要启动。
开始菜单—>管理工具—>服务
Print Spooler
Remote Registry
TCP/IP NetBIOS Helper
Server
Workstation 系统用户和系统进程的列表,这个列表可能会被黑客利用,我们应当隐藏起来
以上是在Windows Server 2003 系统上面默认启动的服务中禁用的,默认禁用的服务如没特别需要的话不要启动。
二、中网云服务器免除ASP木马困扰
1、卸载最不安全的组件
最简单的办法是直接卸载后删除相应的程序文件。将下面的代码保存为一个.BAT文件
regsvr32 /
最简单的办法是直接卸载后删除相应的程序文件。将下面的代码保存为一个.BAT文件
regsvr32 /
del C:\WINDOWS\
regsvr32 /u shell32.dll
del C:\WINDOWS\system32\shell32.dll
然后双击运行一下,WScript.Shell, Shell.application, WScript.Network就会被卸载了。可能会提示无法删除文件,不用管它,重启一下服务器,通过服务器探针您会发现这三个都提示“×安全”了。
regsvr32 /u shell32.dll
del C:\WINDOWS\system32\shell32.dll
然后双击运行一下,WScript.Shell, Shell.application, WScript.Network就会被卸载了。可能会提示无法删除文件,不用管它,重启一下服务器,通过服务器探针您会发现这三个都提示“×安全”了。
2、改名不安全组件(WScript.Shell, Shell.application)
需要注意的是组件的名称和Clsid都要改,并且要改彻底了。下面以Shell.application为例来介绍方法。
打开注册表编辑器【开始→运行→regedit回车】,然后【编辑→查→填写Shell.application→查下一个】,用这个方法能到两个注册表项:
“{13709620-C279-11CE-A49E-444553540000}”和“Shell.application”。为了确保万无一失,把这 两个注册表项导出来,保存为 .reg 文件。
比如我们想做这样的更改 13709620-C279-11CE-A49E-444553540000 改名为 13709620-C279-11CE-A49E-444553540001
需要注意的是组件的名称和Clsid都要改,并且要改彻底了。下面以Shell.application为例来介绍方法。
打开注册表编辑器【开始→运行→regedit回车】,然后【编辑→查→填写Shell.application→查下一个】,用这个方法能到两个注册表项:
“{13709620-C279-11CE-A49E-444553540000}”和“Shell.application”。为了确保万无一失,把这 两个注册表项导出来,保存为 .reg 文件。
比如我们想做这样的更改 13709620-C279-11CE-A49E-444553540000 改名为 13709620-C279-11CE-A49E-444553540001
Shell.application 改名为 Shell.application_chinanet
那么,就把刚才导出的.reg文件里的内容按上面的对应关系替换掉,然后把修改好的.reg文件导入到注册表中(双击即可),导入了改名后的注册表项之后,别忘记了删除原有的那两个项目。
这里需要注意一点,Clsid中只能是十个数字和ABCDEF六个字母。
你可以把这个保存为一个.reg文件运行试一下,但是可别就此了事,因为万一黑客也看了我的这篇文章,他会试验我改出来的这个名字的。
注:操作均需要重新启动WEB服务后才会生效。
那么,就把刚才导出的.reg文件里的内容按上面的对应关系替换掉,然后把修改好的.reg文件导入到注册表中(双击即可),导入了改名后的注册表项之后,别忘记了删除原有的那两个项目。
这里需要注意一点,Clsid中只能是十个数字和ABCDEF六个字母。
你可以把这个保存为一个.reg文件运行试一下,但是可别就此了事,因为万一黑客也看了我的这篇文章,他会试验我改出来的这个名字的。
注:操作均需要重新启动WEB服务后才会生效。
3、防止Guests组用户调用(PRIMA主控服务器不能禁止调用)
禁用Guests组用户调用:
开始->运行 cacls C:\WINDOWS\ /e /d guests
禁用Guests组用户调用:
开始->运行 cacls C:\WINDOWS\ /e /d guests
通过以上3步的设置基本可以防范目前比较流行的几种木马,但最有效的办法还是通过综合安全设置,将服务器、程序安全都达到一定标准,才可能将安全等级设置较高,防范更多非法入侵。
三. 修改中网云服务器Win2003中Terminal Service的3389端口
服务器端更改方法:
1、运行regedit,到[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ Wds \ rdpwd \ Tds \ tcp],看到右边的PortNumber了吗?在十进制状态下改成你想要的端口号吧,比如7126之类的,只要不与其它冲突
服务器端更改方法:
1、运行regedit,到[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ Wds \ rdpwd \ Tds \ tcp],看到右边的PortNumber了吗?在十进制状态下改成你想要的端口号吧,比如7126之类的,只要不与其它冲突
即可。
2、第二处HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp,看到右边的PortNumber,方法同上,记得改的端口号和上面改的一样就行了。
3、改完之后切记到WINDOWS防火墙(或TCP/IP筛选)里面打开修改后的端口,否则将无法远程连接!
4、重新启动计算机,则立即生效!远程连接使用例如: 60.190.133.130:7126
2、第二处HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp,看到右边的PortNumber,方法同上,记得改的端口号和上面改的一样就行了。
3、改完之后切记到WINDOWS防火墙(或TCP/IP筛选)里面打开修改后的端口,否则将无法远程连接!
4、重新启动计算机,则立即生效!远程连接使用例如: 60.190.133.130:7126
四、 中网云服务器启用防火墙 或 TCP/IP筛选
桌面—>网上邻居—>(右键)属性—>本地连接—>(右键)属性—>高级—>(选中)Int
桌面—>网上邻居—>(右键)属性—>本地连接—>(右键)属性—>高级—>(选中)Int
ernet 连接防火墙—>设置
把服务器上面要用到的服务端口选中
例如:一台WEB服务器,要提供WEB(80)、FTP(21)服务及远程桌面管理(3389)
在“FTP 服务器”、“WEB服务器(HTTP)”、“远程桌面”前面打上勾
如果你要提供服务的端口不在里面,你也可以点击“添加”铵钮来添加,具体参数可以参照系统里面原有的参数。
然后点击确定。
注意:1.如果是远程管理这台服务器,请先确定远程管理的端口是否选中或添加;如果3389端口已经更改,还要添加例如7126这样的端口。
2.如果FTP无法正常工作,可关闭防火墙 桌面—>网上邻居—>(右键)属性—>本地连接—>(右键)属性—>internet协议(tcp/ip)?属性—>高级—>选项—>TCP/IP筛选—>属性—>只允许TCP端口添加21/25/80/1433/3306/8383/3389/7126等端口
把服务器上面要用到的服务端口选中
例如:一台WEB服务器,要提供WEB(80)、FTP(21)服务及远程桌面管理(3389)
在“FTP 服务器”、“WEB服务器(HTTP)”、“远程桌面”前面打上勾
如果你要提供服务的端口不在里面,你也可以点击“添加”铵钮来添加,具体参数可以参照系统里面原有的参数。
然后点击确定。
注意:1.如果是远程管理这台服务器,请先确定远程管理的端口是否选中或添加;如果3389端口已经更改,还要添加例如7126这样的端口。
2.如果FTP无法正常工作,可关闭防火墙 桌面—>网上邻居—>(右键)属性—>本地连接—>(右键)属性—>internet协议(tcp/ip)?属性—>高级—>选项—>TCP/IP筛选—>属性—>只允许TCP端口添加21/25/80/1433/3306/8383/3389/7126等端口
;PRIMA平台采用FTP软件Serv-u的还需要添加9000/9001/9002/9003/9004端口,PRIMA的主控被控之间的8000端口也需要添加;
五、中网云服务器管理员账户和密码设置
1、将Administrator用户停用,增加一个管理员帐户用户并给予Administrator组的权限
2、管理员帐户设置复杂的密码,密码采用字母+数字+字符,不低于12位)
六. 其他配置
1、开启FSO权限:
在MS-DOS状态下面键入:
打开fso: regsvr32 scrrun.dll
关闭fso: regsvr32/u scrrun.dll
在MS-DOS状态下面键入:
打开fso: regsvr32 scrrun.dll
关闭fso: regsvr32/u scrrun.dll
2、安装Serv-U,并设置防止Serv-U权限提升(PRIMA平台需要,星外平台不需要):
1).将Serv-U目录及下面所有目录、文件只给 Administrators 组和 SYSTEM 的完全控制权限
2).设置Serv-U的管理密码(初始密码为空)。
1).将Serv-U目录及下面所有目录、文件只给 Administrators 组和 SYSTEM 的完全控制权限
2).设置Serv-U的管理密码(初始密码为空)。
3、设置iisreset每日定时重启:
1)创建管理用户:桌面 右键点击 我的电脑 ->管理->本地用户和组->右键点击 用户->新用户->用户名框内输入“iisreset”->“密码”和“确认密码”框内输入复杂的密码->去除“用户下次登陆时须更改密码”前面的勾->打勾 用户不能更改密
1)创建管理用户:桌面 右键点击 我的电脑 ->管理->本地用户和组->右键点击 用户->新用户->用户名框内输入“iisreset”->“密码”和“确认密码”框内输入复杂的密码->去除“用户下次登陆时须更改密码”前面的勾->打勾 用户不能更改密
码->打勾 密码永不过期->创建;
2)将用户iisreset授予管理员组权限:本地用户和组->用户内到”iisreset”用户->右键->属性->隶属于->添加->高级->立即查->选“Administrators”确定->确定->应用->确定。
3)添加iisreset任务计划配置每天自动重启4次:开始->设置->控制面板->任务计划->添加任务计划->下一步->浏览->文件名后框内输入 C:\WINDOWS\ ->打开->选择 每天->下一步->起始时间设置为0:00->下一步->输入用
2)将用户iisreset授予管理员组权限:本地用户和组->用户内到”iisreset”用户->右键->属性->隶属于->添加->高级->立即查->选“Administrators”确定->确定->应用->确定。
3)添加iisreset任务计划配置每天自动重启4次:开始->设置->控制面板->任务计划->添加任务计划->下一步->浏览->文件名后框内输入 C:\WINDOWS\ ->打开->选择 每天->下一步->起始时间设置为0:00->下一步->输入用
户名iisreset和复杂的密码2遍->下一步->完成->双击任务计划内的iisreset图标->日程安排->选择 显示多项计划->新建 3个 计划任务(每天的6:00 / 12:00 / 18:00) ->应用->输入用户名iisreset和复杂的密码2遍->确定->确定;
4)测试iisreset任务计划是否正常:右键点击 任务计划内的iisreset图标->运行->状态为“正在运行”->上次结果为“0x0”即表示正常。
4)测试iisreset任务计划是否正常:右键点击 任务计划内的iisreset图标->运行->状态为“正在运行”->上次结果为“0x0”即表示正常。
4、设置服务器每周三早晨6:00重启一次:
添加任务计划配置每周三自动重启1次:开始->设置->控制面板->任务计划->添加任务计划->下一步->浏览->文件名后框内输入 C:\WINDOWS\ -r -f -t 0 ->打开->选择 每天->下一步->起始时间设置为6:00->下一
添加任务计划配置每周三自动重启1次:开始->设置->控制面板->任务计划->添加任务计划->下一步->浏览->文件名后框内输入 C:\WINDOWS\ -r -f -t 0 ->打开->选择 每天->下一步->起始时间设置为6:00->下一
步->输入用户名iisreset和复杂的密码2遍->下一步->完成->确定。
5、设置服务器每周二早晨5:00备份数据库一次:
下载:backupsql.rar(每天自动备份SQL2000/Mysql的工具)
文件位置 D:\SOFT\服务器已使用软件\7i24\backupsql.rar
解压缩后放在system32目录, 然后,用记事打开 backupsql.bat
将里面的 "E:\SQL2000所在数据库的Data目录的位置\*.*" 改成您自己的SQL2000的data目录,如 "E:\Program Files\Microsoft SQL Server\MSSQL\Data\*.*"
再将里面的 "E:\Mysql所在数据库的Data目录的位置\*.*" 改成您自己的Mysql的data目录,如: "E:\Program Files\MySQL\MySQL Server 5.0\data\*.*"
保存后, 您就可以在服务器上的控制面板,计划任务中, 添加一个计划任务,调用这个backups
下载:backupsql.rar(每天自动备份SQL2000/Mysql的工具)
文件位置 D:\SOFT\服务器已使用软件\7i24\backupsql.rar
解压缩后放在system32目录, 然后,用记事打开 backupsql.bat
将里面的 "E:\SQL2000所在数据库的Data目录的位置\*.*" 改成您自己的SQL2000的data目录,如 "E:\Program Files\Microsoft SQL Server\MSSQL\Data\*.*"
再将里面的 "E:\Mysql所在数据库的Data目录的位置\*.*" 改成您自己的Mysql的data目录,如: "E:\Program Files\MySQL\MySQL Server 5.0\data\*.*"
保存后, 您就可以在服务器上的控制面板,计划任务中, 添加一个计划任务,调用这个backups
ql.bat来运行就可以实现定时备份.备份生成的文件默认保存在E盘,您可以通过修改backupsql.bat来修改位置.
添加backupsql任务计划配置每周二备份数据库一次:开始->设置->控制面板->任务计划->添加任务计划->下一步->浏览->文件名后框内输入 C:\WINDOWS\system32\backupsql.bat ->打开->选择 每周->下一步->起始时间设置为5:00->下一步下载好的mysql文件无法双击下载->输入用户
添加backupsql任务计划配置每周二备份数据库一次:开始->设置->控制面板->任务计划->添加任务计划->下一步->浏览->文件名后框内输入 C:\WINDOWS\system32\backupsql.bat ->打开->选择 每周->下一步->起始时间设置为5:00->下一步下载好的mysql文件无法双击下载->输入用户
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论