设为首页 收藏本站
查看: 1437|回复: 0

[经验分享] Windows2003服务器维护

[复制链接]

尚未签到

发表于 2018-6-13 06:22:59 | 显示全部楼层 |阅读模式
安全配置服务器并不是安全工作的结束,相反却是漫长乏味的安全工作的开始,本文我们将初步探讨Win2003服务器***检测的初步技巧和安全配置,希望能帮助您长期维护服务器的安全。
一、安全设置:
1、网络配置备份:
备份:netsh dump > c:\bak1txt
恢复:netsh exec c:\bak1txt
2、重命名管理员用户:
本地计算机策略->Windows设置->安全设置->本地策略->安全选项->重命名系统管理员帐户;
重定向程序安装目录
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
CommonFilesDir —— c:\Program Files\Common Files
ProgramFilesDir —— d:\Program Files
3、终端服务端口重定向:
远程桌面端口号:3389
HLM\System\CurrentControlSet\Control\Terminal Server\Wds\Repwd\Tds\Tcp
HLM\System\CurrentControlSet\Control\Terminal Server\WinStation\RDP-Tcp
远程桌面连接:mstse.exe
Default.rdp 打开用文本编辑:
server port:7000
4、删除系统共享
运行del_netshare.bat
代码如下:
net share C$ /delete
net share D$ /delete
net share Admin$ /delete
Win2003
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
新建DOWN 名为AutoShareServer 赋值为:00000000
WinXP
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
新建DOWN AutoShareWrks 赋值为:00000000
5、加密帐户的密码
Syskey 对账号密码数据文件进行二次加密。对密码进行128位加密;使用Syskey加密的密码,无法逆操作;
Windows\repair\sam备份文件;
6、防火墙配置:(视情况而定)
计算机配置->管理模板->网络->网络连接->Windows防火墙->标准配置文件
Windows 防火墙: 保护所有网络连接  Windows防火墙不运行,管理员从本地登录无法启动防火墙的唯一方法
Windows 防火墙: 不允许例外
Windows 防火墙: 定义程序例外  
Windows 防火墙: 允许本地程序例外
Windows 防火墙: 允许远程管理例外
Windows 防火墙: 允许文件和打印机共享例外  未被配置
Windows 防火墙: 允许 ICMP 例外   未被配置
Windows 防火墙: 允许远程桌面例外 未被配置
Windows 防火墙: 允许 UPnP 框架例外 未被配置
Windows 防火墙: 阻止通知    未被配置
Windows 防火墙: 允许记录日志  未被配置
Windows 防火墙: 阻止对多播或广播请求的单播响应  未被配置
Windows 防火墙: 定义端口例外  未被配置
Windows 防火墙: 允许本地端口例外 未被配置
7、安全日志:
日志审核:计算机配置=>Windows设置=>安全设置=>本地策略->审核策略
本地安全策略->审核策略中打开相应的审核,推荐的审核是:
账户管理 成功 失败
登录事件 成功 失败
对象访问 失败
策略更改 成功 失败
特权使用 失败
系统事件 成功 失败
目录服务访问 失败
账户登录事件 成功 失败
与之相关的是:
在账户策略->密码策略中设定:
密码复杂性要求 启用
密码长度最小值 6
强制密码历史 5
最长存留期 30
在账户策略->账户锁定策略中设定:
账户锁定 3次错误登录
锁定时间 20分钟
复位锁定计数 20分钟

计算机配置-Windows设置-》安全设置-》本地策略-》安全选项
网络访问: 可远程访问的注册表路径
网络访问: 可远程访问的注册表路径和子路径
4、目录和文件权限:
为了控制好服务器上用户的权限,同时也为了预防以后可能的***和溢出,我们还必须非常小心地设置目录和文件的访问权限,NT的访问权限分为:读取、写入、读取及执行、修改、列目录、完全控制。在默认的情况下,大多数的文件夹对所有用户(Everyone这个组)是完全敞开的(Full Control),你需要根据应用的需要进行权限重设。
在进行权限控制时,请记住以下几个原则:
1>权限是累计的:如果一个用户同时属于两个组,那么他就有了这两个组所允许的所有权限;
2>拒绝的权限要比允许的权限高(拒绝策略会先执行)如果一个用户属于一个被拒绝访问某个资源的组,那么不管其他的权限设置给他开放了多少权限,他也一定不能访问这个资源。所以请非常小心地使用拒绝,任何一个不当的拒绝都有可能造成系统无法正常运行;
3>文件权限比文件夹权限高
4>利用用户组来进行权限控制是一个成熟的系统管理员必须具有的优良习惯之一;
5>仅给用户真正需要的权限,权限的最小化原则是安全的重要保障;
5、预防DoS
在注册表HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters中更改以下值可以帮助你防御一定强度的DoS***
SynAttackProtect REG_DWORD 2
EnablePMTUDiscovery REG_DWORD 0
NoNameReleaseOnDemand REG_DWORD 1
EnableDeadGWDetect REG_DWORD 0
KeepAliveTime REG_DWORD 300,000
PerformRouterDiscovery REG_DWORD 0
EnableICMPRedirects REG_DWORD 0

注册表的安全设置:
隐藏重要文件/目录可以修改注册表实现完全隐藏:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
CheckedValue 1 改为 0
对匿名连接的额外限制
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
restrictanonymous 0 改为2
关闭默认的根目录和管理共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
添加DWORD autosharews 0
          autoshareserver 0
禁用Guest用户访问日志
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog下的三个子键:ApplicationSecuritySystem下面的RestrictGuestAccess值改为1
禁止显示上次登录的用户名
HLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon
Dontdisplaylastusername 1即可
在关机时清理虚拟内存页面交换文件:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management
ClearPageFileAtShutdown 值改为1
二、监控
1、端口监控
文件名:del_netshare.bat,用脚本来进行IP日志记录的,看着这个命令:
netstat -n -p tcp 10>>Netstat.log,这个命令每10秒钟自动查看一次TCP的连接状况,基于这个命令我们做一个Netlog.bat文件:
time /t>>Netstat.log
Netstat -n -p tcp 10>>Netstat.log
2、终端服务的日志监控
文件名:remote_HP_record.bat,用来记录登录者的IP,内容如下:
time /t >>TSLog.log
netstat -n -p tcp | find ":3389">>TSLog.log
//start Explorer
同样,Terminal Service的安全日志默认也是不开的,我们可以在Terminal Service Configration(远程服务配置)-权限-高级中配置安全审核,一般来说只要记录登录、注销事件就可以了。
3、监控服务器状态
文件名:pingServer_DNS.bat
time /t >> pingServer.log
ping 58.49.58.89 >> pingServer.log
ping 58.49.58.90 >> pingServer.log
ping 202.103.24.68 >> pingServer.log
三、查看状态:
netstat –a :查看本地计算机开放的端口
netstat –n :查看与本地计算机建立连接的IP地址
netstat –r :查看路由器信息
netstat –s :查看协议统计信息
netstat –e :查看以太网使用情况
netstat -p tcp :查看网络协议

nbtstat——显示远程计算机的MAC地址
nbtstat -a guowei-sd
nbtstat -A 192.168.1.108
四、网络工具的使用:
1PortReporter下载
http://download.microsoft.com/download/2/8/8/28810043-0e21-4004-89a3-2f477a74186f/PRParser.exe
小提示:
1)将PortReporter安装在一个NTFS文件系统分区上;
2)调整安装文件夹上的ACL,以便只有本地Administrators组才能访问此文件夹。
删除PortReporter服务:pr-setup.exe –u
3)日志默认路径:C:\WINDOWS\system32\LogFiles\PortReporter
日志重定向:ld 'c:\logfile'
日志文件的大小:ls 102400 即日志文件大小10M
三种日志内容:
1)PR-INITIAL-*.log 启动服务时计算机运行的端口、进程和模块的数据。其中记录了每个进程运行所在的用户上下文;
2)PR-PORTS日志文件 包含计算机上TCPUDP端口活动的摘要数据。
Windows2003:日期,时间,协议,本地端口,本地IP地址,远程端口,远程IP地址,PID,模块,用户上下文。
3)PR-PIDS日志文件:日志文件包含有关端口、进程、相关模块和运行进程所用的用户帐户的详细信息
2)网络系统状态监视——WhatsUp Gold       www.ipswitch.com
3PingPlus
实现多个主机网络状态的实时监测,并有自动记录分析结果、断网自动告警、端口扫描。
4)漏洞检测:X-Scan          http://www.xfocus.net
5)其它工具:
带宽测试——Ping Plotter Freeware  http://www.pingplotter.com/
TCPViewpathping——路径信息提示工具、IPSentrypcanywhere10
  五、常用服务名称简称
  net start rdr(启动workstation服务)
  net start srv(启动server服务)
  net start netbt (启动netbios over tcpip服务)

运维网声明 1、欢迎大家加入本站运维交流群:群②:261659950 群⑤:202807635 群⑦870801961 群⑧679858003
2、本站所有主题由该帖子作者发表,该帖子作者与运维网享有帖子相关版权
3、所有作品的著作权均归原作者享有,请您和我们一样尊重他人的著作权等合法权益。如果您对作品感到满意,请购买正版
4、禁止制作、复制、发布和传播具有反动、淫秽、色情、暴力、凶杀等内容的信息,一经发现立即删除。若您因此触犯法律,一切后果自负,我们对此不承担任何责任
5、所有资源均系网友上传或者通过网络收集,我们仅提供一个展示、介绍、观摩学习的平台,我们不对其内容的准确性、可靠性、正当性、安全性、合法性等负责,亦不承担任何法律责任
6、所有作品仅供您个人学习、研究或欣赏,不得用于商业或者其他用途,否则,一切后果均由您自己承担,我们对此不承担任何法律责任
7、如涉及侵犯版权等问题,请您及时通知我们,我们将立即采取措施予以解决
8、联系人Email:admin@iyunv.com 网址:www.yunweiku.com

所有资源均系网友上传或者通过网络收集,我们仅提供一个展示、介绍、观摩学习的平台,我们不对其承担任何法律责任,如涉及侵犯版权等问题,请您及时通知我们,我们将立即处理,联系人Email:kefu@iyunv.com,QQ:1061981298 本贴地址:https://www.yunweiku.com/thread-522912-1-1.html 上篇帖子: Windows 7下实现***连接自动创建 下篇帖子: 在Windows Server 2012 R2如何安装重复数据删除功能
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

扫码加入运维网微信交流群X

扫码加入运维网微信交流群

扫描二维码加入运维网微信交流群,最新一手资源尽在官方微信交流群!快快加入我们吧...

扫描微信二维码查看详情

客服E-mail:kefu@iyunv.com 客服QQ:1061981298


QQ群⑦:运维网交流群⑦ QQ群⑧:运维网交流群⑧ k8s群:运维网kubernetes交流群


提醒:禁止发布任何违反国家法律、法规的言论与图片等内容;本站内容均来自个人观点与网络等信息,非本站认同之观点.


本站大部分资源是网友从网上搜集分享而来,其版权均归原作者及其网站所有,我们尊重他人的合法权益,如有内容侵犯您的合法权益,请及时与我们联系进行核实删除!



合作伙伴: 青云cloud

快速回复 返回顶部 返回列表