标签归档:配置

Windows Server 2003服务器简易安全配置

    这两天接触微软的windows server 2003搭建web服务器,实在是一个头两个大,对于安全防范及配置方面可谓是从未琢磨过,一次次的尝试一次次的验证修改,感觉其实也不是很复杂吧,如果搞清楚思路后。。。。

    根据“最小的权限+最少的服务=最大的安全”的原则
    最小权限的设置:
    使用NTFS系统文件格式,对每个硬盘根目录只给予administrator用户及system用户完全控制权限,并删除其他用户权限。
    如:C:Windows  Administrator、System完全控制权限;Users用户默认权限不修改删除其他用户

   
    修改C:Windows目录下相关可执行文件权限:
    net.exe、cmd.exe、tftp.exe、netstat.exe、regedit.exe、at.exe、attrib.exe、cacls.exe、format.com、regsvr32.exe、xcopy.exe、wscript.exe、cscript.exe、ftp.exe、telnet.exe、arp.exe、edlin.exe、ping.exe、route.exe、finger.exe、posix.exe、rsh.exe、atsvc.exe、qbasic.exe、runonce.exe、syskey.exe
    修改以上权限,删除所有用户只保留Adminstrators和system用户组完全控制权限

    对于各个站点虚拟目录对应权限严格设置:
        添加个站点或虚拟目录对应用户到GUESTS组
        Administraotrs 完全控制
        System 完全控制
        ASP.NET 读取写入
        NETWORK SERVICE 读取
     

     

       

禁止建立空链接:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa
新建 “DWORD值”值名为 “RestrictAnonymous” 数据值为“1” [2003默认为1]

禁止系统自动启动服务器共享:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters
新建 “DWORD值”值名为 “AutoShareServer” 数据值为“0”

禁止系统自动启动管理共享:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters
新建 “DWORD值”值名为 “AutoShareWks” 数据值为“0”

通过修改注册表防止小规模DDOS攻击
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
新建 “DWORD值”值名为 “SynAttackProtect” 数据值为“1”

本地安全策略配置:
开始 > 程序 > 管理工具 > 本地安全策略
账户策略 > 密码策略 > 密码最短使用期限 改成0天
账户策略 > 账户锁定策略 > 账户锁定阈值 5 次 账户锁定时间 10分钟 [个人推荐配置]
本地策略 > 审核策略 >
账户管理 成功 失败
登录事件 成功 失败
对象访问 失败
策略更改 成功 失败
特权使用 失败
系统事件 成功 失败
目录服务访问 失败
账户登录事件 成功 失败

本地策略 > 安全选项 >
清除虚拟内存页面文件 更改为"已启用"
不显示上次的用户名 更改为"已启用"
不需要按CTRL+ALT+DEL 更改为"已启用"
不允许 SAM 账户的匿名枚举 更改为"已启用"
不允许 SAM 账户和共享的匿名枚举 更改为"已启用"
重命名来宾账户 更改成一个复杂的账户名
重命名系统管理员账号 更改一个自己用的账号 [同时可建立一个无用户组的Administrat账户]

删除不安全组件:
WScript.Shell 、Shell.application 两个组件一般一些ASP木马或一些恶意程序入侵渗透点。
方案一、
regsvr32 /u wshom.ocx 卸载WScript.Shell 组件
regsvr32 /u shell32.dll 卸载Shell.application 组件
方案二、
删除注册表 HKEY_CLASSES_ROOTCLSID{72C24DD5-D70A-438B-8A42-98424B88AFB8} 对应 WScript.Shell
删除注册表 HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540000} 对应 Shell.application

最少的服务的设置:
黑色为自动 绿色为手动 红色为禁用
Alerter
服务描述: 通知选定的用户和计算机管理警报。如果服务停止,使用管理警报的程序将不会收到它们。如果此服务被禁用,任何直接依赖它的服务都将不能启动。
Application Experience Lookup Service
Application Layer Gateway Service

服务描述: 为应用程序级协议插件提供支持并启用网络/协议连接。如果此服务被禁用,任何依赖它的服务将无法启动。
Application Management
Automatic Updates [Windows自动更新,可选项]
Background Intelligent Transfer Service

服务描述: 服务描述:利用空闲的网络带宽在后台传输文件。如果服务被停用,例如 Windows Update 和 MSN Explorer 的功能将无法自动下载程序和其他信息。如果此服务被禁用,任何依赖它的服务如果没有容错技术以直接通过 IE 传输文件,一旦 BITS 被禁用,就可能无法传输文件。
ClipBook
COM+ Event System
COM+ System Application
Computer Browser

服务描述: 服务描述:维护网络上计算机的更新列表,并将列表提供给计算机指定浏览。如果服务停止,列表不会被更新或维护。如果服务被禁用,任何直接依赖于此服务的服务将无法启动。
Cryptographic Services
DCOM Server Process Launcher
DHCP Client
Distributed File System

服务描述: 将分散的文件共享合并成一个逻辑名称空间并在局域网或广域网上管理这些逻辑卷。如果这个服务被停止,用户则无法访问文件共享。如果这个服务被禁用,任何依赖它的服务将无法启动。
Distributed Link Tracking Client
Distributed Link Tracking Server
Distributed Transaction Coordinator
DNS Client
Error Reporting Service
Event Log

File Replication
Help and Support
服务描述: 启用在此计算机上运行帮助和支持中心。如果停止服务,帮助和支持中心将不可用。如果禁用服务,任何直接依赖于此服务的服务将无法启动。
HTTP SSL
Human Interface Device Access

IIS Admin Service
IMAPI CD-Burning COM Service
Indexing Service
Intersite Messaging
IPSEC Services [如果使用了IP安全策略则自动,如无则禁用,可选操作]
Kerberos Key Distribution Center
License Logging

Logical Disk Manager [可选,多硬盘建议自动]
Logical Disk Manager Administrative Service
Messenger
服务描述: 传输客户端和服务器之间的 NET SEND 和 警报器服务消息。此服务与 Windows Messenger 无关。如果服务停止,警报器消息不会被传输。如果服务被禁用,任何直接依赖于此服务的服务将无法启动。
Microsoft Search
Microsoft Software Shadow Copy Provider
MSSQLSERVER
MSSQLServerADHelper
Net Logon

NetMeeting Remote Desktop Sharing
服务描述: 允许经过授权的用户用 NetMeeting 在公司 intranet 上远程访问这台计算机。如果服务被停止,远程桌面共享将不可用。如果服务被禁用,依赖这个服务的任何服务都会无法启动。
Network Connections
Network DDE
Network DDE DSDM

Network Location Awareness (NLA)
Network Provisioning Service
NT LM Security Support Provider
Performance Logs and Alerts

Plug and Play
Portable Media Serial Number Service [微软反盗版工具,目前只针对多媒体类]
Print Spooler

服务描述: 管理所有本地和网络打印队列及控制所有打印工作。如果此服务被停用,本地计算机上的打印将不可用。如果此服务被禁用,任何依赖于它的服务将无法启用。
Protected Storage
Remote Access Auto Connection Manager
Remote Access Connection Manager
Remote Desktop Help Session Manager

Remote Procedure Call (RPC)
Remote Procedure Call (RPC) Locator
Remote Registry
服务描述: 使远程用户能修改此计算机上的注册表设置。如果此服务被终止,只有此计算机上的用户才能修改注册表。如果此服务被禁用,任何依赖它的服务将无法启动。
Removable Storage
Resultant Set of Policy Provider

Routing and Remote Access
Secondary Logon
Security Accounts Manager
Server
Shell Hardware Detection
Smart Card
Special Administration Console Helper
SQLSERVERAGENT

System Event Notification
Task Scheduler
服务描述: 使用户能在此计算机上配置和计划自动任务。如果此服务被终止,这些任务将无法在计划时间里运行。如果此服务被禁用,任何依赖它的服务将无法启动。
TCP/IP NetBIOS Helper
服务描述: 提供 TCP/IP (NetBT) 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持,从而使用户能够共享文件、打印和登录到网络。如果此服务被停用,这些功能可能不可用。如果此服务被禁用,任何依赖它的服务将无法启动。
Telephony
Telnet
服务描述: 允许远程用户登录到此计算机并运行程序,并支持多种 TCP/IP Telnet 客户端,包括基于 UNIX 和 Windows 的计算机。如果此服务停止,远程用户就不能访问程序,任何直接依赖于它的服务将会启动失败。
Terminal Services
Terminal Services Session Directory
Themes

Uninterruptible Power Supply
Upload Manager
Virtual Disk Service
Volume Shadow Copy

WebClient
Windows Audio [服务器没必要使用声音]
Windows Firewall/Internet Connection Sharing (ICS)
Windows Image Acquisition (WIA)

Windows Installer
Windows Management Instrumentation
Windows Management Instrumentation Driver Extensions
Windows Time
Windows User Mode Driver Framework
WinHTTP Web Proxy Auto-Discovery Service

Wireless Configuration
WMI Performance Adapter
Workstation

服务描述: 创建和维护到远程服务的客户端网络连接。如果服务停止,这些连接将不可用。如果服务被禁用,任何直接依赖于此服务的服务将无法启动。
World Wide Web Publishing Service

基于IIS6.0安装配置PHP程序支持:
先安装php使用最新版本php-5.2.8-win32-installer.msi
安装过程中选择所设置的the web server 为IIS ISAPI module如图所示:

       

       
    紧接着简单配置IIS完成站点c.com支持PHP程序
    站点属性–>主目录–>配置–>应用程序扩展–>添加 可执行文件:C:PHPphp5isapi.dll   格式为:.php
如下图所示:

    
    添加相应支持php程序“web服务扩展”,即打开“ Internet 信息服务(IIS)管理器”,在“ Web 服务扩展”里,选择“添加一个新的 Web 服务扩展”,扩展名可填写“PHP”,要求的文件选择: C:PHPphp5isapi.dll,并设置扩展状态为允许。结果如下图所示:

   
    打开“网站”->“属性”->“文档”->“启用默认内容文档”->“添加”,可以将 index.php 添加为默认内容文档。最后并重新启动IIS服务项。
    最后使用phpinfo();函数测试结果

   

配置Mysql实现远程操作

刚刚在虚拟机简单使用apt-get命令快速安装mysql数据库
问题来了,想在主机上使用root账号远程登陆数据库进行管理总是遇到连接测试不成功
起初还以为是root超级用户的缘故,还特地到虚拟机下另外创建新的一个普通用户,测试结果一样~
sigh 烦躁哈 后来ping了下虚拟机下的IP的3306端口号 原来连通都没有~。。。。
好吧,看来不是人品问题 或主机问题 不是数据库账户问题 估计是虚拟机mysql数据库配置文件问题~
回到虚拟机下 使用ip地址尝试登陆mysql都失败 即: mysql -h ip -u username -p password 竟然失败
而之前使用 mysql -u username -p password 在虚拟机终端下都很正常的登陆~
原来问题出在 my.cnf 数据库配置文件上~ 打开/etc/mysql/my.cnf 配置文件后 才发现
原来mysql数据库安装完成后默认host默认是使用localhost 或 127.0.0.1 而且不会自动与本机的ip地址关联一起
修改下配置文件并重启下mysql服务就可以搞定啦~
$ sudo vim /etc/mysql/my.cnf #打开数据库核心配置文件my.cnf
找到以下一行 并修改或注释掉
bind-address = 127.0.0.1 –> #bind-address = 127.0.0.1 或 bind-address = 虚拟机IP地址
保存退出 并重启mysql数据库
$ sudo /etc/init.d/mysql restart #重启mysql数据库服务
好啦 你可以测试下在虚拟机下 使用 mysql -h 虚拟机ip地址 -u root -p 命令能否连接上mysql数据库啦~
先别高兴太早,在主机或其他机子说不定还没办法成功的远程连接登陆到此数据库呢~
原因也很简单 为了安全考虑 基本默认都是限制远程登陆 特殊是对于root超级用户角色
现在先在本机上连接登陆到mysql数据库上 然后使用以下命令修改root可以在任何主机远程登陆管理的权限:
mysql>grant all privileges on *.* to root@”%” identified by “password” with grant option;
mysql>flush privileges;
好啦 这样就可以在任何一台机子通过IP地址使用root远程登陆到此mysql数据库进行操作管理啦~(前提:只要本机Mysql数据库服务有启动的话 哈哈)
这文章可能有点肤浅 但是之前倒确实没有遇到尝试过这东西 今天无聊玩弄的时候就当作记录下吧  或许对像自己这样的新手有所帮助