科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道虚拟主机安全配置与优化(4)

虚拟主机安全配置与优化(4)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

最近刚到网络公司担当系统管理员,下面就依照自己的经验和环境做一下Win2000服务器的安全配置和优化。下面我来说一下从安装系统、安装服务器应用程序、安全设置和优化的过程。

作者:51CTO.COM 2007年10月26日

关键字: 安全配置 虚拟主机 系统优化

  • 评论
  • 分享微博
  • 分享邮件

  在C:\Program Files\Common Files文件夹属性对话框安全选项卡中,取消"允许将来自父系的可继承权限传播给该对象",访问权限设成redblood、system完全控制,everyone读取及运行、列出文件夹目录、读取。因为ASP连接数据库的时候会用到这个目录。然后把WINNT目录也按照同样的方法来设置成和Common Files文件夹同样的权限。

  我们还要特殊设置一个目录那就是C:\WINNT\Temp,这个目录的访问权限是everyone修改、读取及运行、列出文件夹目录、读取、写入。

  把如下文件设置成只有redblood完全控制权限,取消父系继承来的权限。这些文件有:C:\winnt\sytem32文件夹和C:\winnt\sytem32\dllcache文件夹的net.exe、net1.exe、netstat、netsh、cacls、cmd.exe、ftp.exe、tftp.exe、at.exe、format.com、xcopy.exe.

  把装应用程序的目录我这里是f:\soft目录的访问权限设成redblood、system完全控制和everyone读取、读取和运行、列出文件夹目录的权限。

  禁用一些不安全的组件,如:Scripting.FileSystemObject、WScript.Shell、Shell.Application组件。

  Scripting.FileSystemObject组件:

  我们可以修改对应项在注册表里面的名称和值:

  HKEY_CLASSES_ROOT\Scripting.FileSystemObject\

  HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值

  WScript.Shell组件:

  HKEY_CLASSES_ROOT\WScript.Shell\

  HKEY_CLASSES_ROOT\WScript.Shell.1\

  HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值

  HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值

  Shell.Application组件:

  HKEY_CLASSES_ROOT\Shell.Application\

  HKEY_CLASSES_ROOT\Shell.Application.1\

  HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值

  HKEY_CLASSES_ROOT\Shell.Application.1\CLSID\项目的值

  因为在前里我们已经单独的设置相应的Web站点,所以不必修改Scripting.FileSystemObject(fso)组件。

  在这里我直接注销下面两个组件:

  regsvr32 /u C:\WINNT\System32\wshom.ocx对应于WScript.Shell组件。

  regsvr32/u C:\WINNT\System32\shell32.dll对应于Shell.Application组件。

  禁止guests组的用户调用它:

  cacls C:\WINNT\system32\scrrun.dll /e /d guests

  cacls C:\WINNT\system32\shell32.dll /e /d guests

  前面在服务设置的时候我把Workstation服务禁用了,因为ASP木马运行候可以通过它来列出系统的用户和进程。所以为了安全考虑我们禁用它。

  5.修改注册表提高系统安全和性能

  下面我使用注册表和组策略一起来设置系统。

  开始-运行-gpeidt.msc打开组策略,计算机配置-Windows配置-安全设置-帐户策略-密码策略.

  下面是我的策略设置:

  密码策略

  密码必须符合复杂性要求:启用

  密码长度最小值:8个字符

  密码最长存留期:30天

  密码最短存留期:3天

  强制密码历史:5个记住的密码

  帐户锁定策略设置

  复位帐户锁定计数器:20分钟之后

  帐户销定时间:20分钟

  帐户锁定阀值:5次无效登录

  计算机配置-Windows配置-安全设置-本地策略,审核策略设置:

  审核策略更改:成功、失败

  审核登录事件:成功、失败

  审核对象访问:失败

  审核过程追踪:无审核

  审核目录服务访问:无审核

  审核特权使用:失败

  审核系统事件:失败

  审核帐户登录事件:成功、失败

  审核帐户管理:成功、失败

  计算机配置-Windows配置-安全设置-本地策略-用户权限指派

  更改系统时间:administrators

  关闭系统:administrators

  管理审核和安全日志:administrators

  计算机配置-Windows配置-安全设置-本地策略-安全选项

  登录屏幕上不要显示上次登录的用户名:已启用

  对匿名连接的额个限制:不允许枚举 SAM 帐号和共享

  故障恢复控制台:允许对所以驱动器和文件夹进行软盘复制和访问:已启用

  在关机时清理虚拟内存页面交换文件:已启用

  重命名来宾帐户:我命名成administrator。

  重命名系统管理员帐户:redblood

 

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章