VPS主机-服务器合租-独立服务器-安全设置(3)

PrintSpooler 如果没有打印机可禁用;

Remote Registry 禁止远程修改注册表;

Remote Desktop Help Session Manager 禁止远程协助;

Task scheduler 允许程序在指定时间运行,禁用;

Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务,禁用;

Removable storage 管理可移动媒体,驱动程序和库,禁用;

Com Event System 提供事件的自动发布到订阅COM组件,禁用;

Alerter 通知选定的用户和计算机管理警报,禁用;

Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息,禁用;

Telnet 允许远程用户登录到此计算机并运行程序,禁用;

TCP/IP NetBIOS Helper 禁用;

Workstation 如果服务器不用作域控,我们也可以禁用;(建议 先给所有帐号设置 拒绝远程拨入)

<3>系统

1.关闭137、138、139、445端口

　　这几个端口都是为共享而开的，是NetBios协议的应用，一般上网用户是不需要别人来共享你的内容的，而且也是漏洞最多的端口。关闭的方法很多，最近从网上学了一 招非常好用，一次全部关闭上述端口。

　　开始-> 控制面板-> 系统-> 硬件-> 设备管理器-> 查看-> 显示隐藏的设备-> 非即插即用驱动程序-> Netbios over Tcpip。

　　找到图5界面后禁用该设备重新启动后即可。

二.系统服务安全

1.WEB服务

<1>.删除 c:/inetpub

<2>.删除IIS不必要的映射

<3>.每个网站建立各自的访问帐号,并对其WEB目录设置权限,如果是asp.net,还必须给web目录设置aspnet用户权限

<4>.在应用程序配置里,设置调试为向客户端发送自定义的文本信息,这样能对于有ASP注入漏洞的站点,可以不反馈程序报错的信息,能够避免一定程度的攻击.

[当排除问题时,可以先暂时设置默认,便于查找问题;不推举设置]

<5>.自定义HTTP错误选项里,有必要定义下譬如404,500等错误,不过有有时候为了调试程序,好知道程序出错在什么地方,建议只设置404就可以了.

[不推举设置]

<6>.一个应用池最好放十个网站,在应用程序池可以适当设置下“内存回收”:这里的最大虚拟内存为:1000M,最大使用的物理内存为256M,

这样的设置几乎是没限制这个站点的性能.

<7>.在网站或论坛中往往存在类似 uploadfiles/ 或其他需要存在上传文件的目录额外给写的权限,并且在IIS里给这个目录无脚本运行权限,这样即使网站程序出现漏洞.

<8>.防止ACCESS数据库被下载:所在目录在IIS里不给执行脚本权限.然后在IIS里加设置一个映射规律,这里用任意一个dll文件来解析.mdb后缀名的映射,

只要不用asp.dll来解析就可以了.

<9>.IIS6.0要注意的一个问题."网站" 主目录->配置->选项 "启用父路径"

<10>.为IIS安装 IISSCAN 防护软件,本文最后有其配置文件简要说明,可剩<1>~<8>大多设置,很好的工具.

2.ftp服务

server-u 6.0.2 中文破解版

<1>.不要设置为服务启动即可

<2>.如果非要设置成服务启动(方便): 安装到非系统盘;设置独立服务帐号;安装以及信息目录权限除去"完全控制""取得所有权"外全部给予;

安全设置:

选中“Block "FTP bounce"attack and FXP ” :

当使用FTP协议进行文件传输时,客户端首先向FTP服务器发出一个“PORT”命令,

该命令中包含此用户的IP地址和将被用来进行数据传输的端口号,服务器收到后,利用命令所提供的用户地址信息建立与用户的连接.

大多数情况下,上述过程不会出现任何问题,但当客户端是一名恶意用户时,可能会通过在PORT命令中加入特定的地址信息,

使FTP服务器与其它非客户端的机器建立连接.虽然这名恶意用户可能本身无权直接访问某一特定机器,但是如果FTP服务器有

权访问该机器的话,那么恶意用户就可以通过FTP服务器作为中介,仍然能够最终实现与目标服务,器的连接。这就是FXP,

也称跨服务器攻击,选中后就可以防止发生此种情况.

选中"禁用反超时调度"

选中"高级"->"启用安全"

防止Serv_U6.0.0.2权限提升的方法:(此处为转载)

[在网上看到有不少用Serv_U6.0.0.2提升权限的文章,原来默认的管理帐号密码为l@$ak#.lk;0@P,端口为43958

在ServUDaemon.ini中加上LocalSetupPortNo=12315,可改变默认的管理端口,同时在gpedit.msc中做好IP安全策略,即增加12315端口的阻止,如果不改默认端口,就增加43958端口的阻止,如果"使用设置更改密码"的按钮,即在ServUDaemon.ini中加上LocalSetupPassword=ah6A0ED50ADD0A516DA36992DB43F3AA39

之类的MD5密码,如果对方用ASP木马得到你的ServUDaemon.ini文件,基本上你的系统就完了,解决方案有几个,一是把Serv_U的安装目录权限设为只有ADMIN用户可完全控制,并对GUSETS用户组的拒绝,这样IIS帐号就无法得到ServUDaemon.ini文件,二是用UD之类的十六进制工具修改SU.EXE文件,找到l@$ak#.lk;0@P这个,修改成强密码"这是谁设的密码,什么版本都一样,我晕",如果不设置LocalSetupPassword的话,默认的空密码就是程序中的l@$ak#.lk;0@P,三是阻止43958端口的访问,方法还有好多,要结合整个系 统来设定]-(测试机端口改为40623,并且在BlackIce中做了端口阻止)

3.MSSQL/MYSQL数据库

MSSQL数据库

操作特例:

<1>如何利用远程来导入备份的数据库(恢复数据库):

环境：

A 为需要恢复的SQL数据库 DATA

B 为预备要恢复到A的SQL数据库 DATA

1.首先在B中将 DATA 生成 SQL脚本

利用查询分析器远程以A 中SQL数据库DATA的所有者登陆

打开B机中DATA生成的SQL脚本,保存,点击”对号”

2.在B中利用导出功能,按照提示默认将数据库导入到A中即可.

安全:

删除有安全隐患的扩展:

exec sp_dropextendedproc 'xp_cmdshell' [删除此项扩展后,将无法远程连接数据库]

exec sp_dropextendedproc 'xp_dirtree' [删除此项扩展后,将无法新建或附加数据库]

exec sp_dropextendedproc 'xp_enumgroups'

exec sp_dropextendedproc 'xp_fixeddrives'

exec sp_dropextendedproc 'xp_loginconfig'

exec sp_dropextendedproc 'xp_regaddmultistring'

exec sp_dropextendedproc 'xp_regdeletekey'

exec sp_dropextendedproc 'xp_regdeletevalue'

exec sp_dropextendedproc 'xp_regread'

exec sp_dropextendedproc 'xp_regremovemultistring'

exec sp_dropextendedproc 'xp_regwrite'

exec sp_dropextendedproc 'xp_enumerrorlogs'

exec sp_dropextendedproc 'xp_getfiledetails'

exec sp_dropextendedproc 'xp_regenumvalues'