Windows2003服务器维护

安全配置服务器并不是安全工作的结束，相反却是漫长乏味的安全工作的开始，本文我们将初步探讨 Win2003 服务器入侵检测的初步技巧和安全配置，希望能帮助您长期维护服务器的安全。

一、安全设置：

1 、网络配置备份：

备份： netsh dump > c:\bak1txt

恢复： netsh exec c:\bak1txt

2 、重命名管理员用户：

本地计算机策略 ->Windows 设置 -> 安全设置 -> 本地策略 -> 安全选项 -> 重命名系统管理员帐户；

重定向程序安装目录

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion

CommonFilesDir —— c:\Program Files\Common Files

ProgramFilesDir —— d:\Program Files

3 、终端服务端口重定向：

远程桌面端口号： 3389

HLM\System\CurrentControlSet\Control\Terminal Server\Wds\Repwd\Tds\Tcp

HLM\System\CurrentControlSet\Control\Terminal Server\WinStation\RDP-Tcp

远程桌面连接： mstse.exe

Default.rdp 打开用文本编辑：

server port:7000

4 、删除系统共享

运行 del_netshare.bat

代码如下：

net share C$ /delete

net share D$ /delete

net share Admin$ /delete

Win2003

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters

新建 DOWN 名为 AutoShareServer 赋值为 :00000000

WinXP

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters

新建 DOWN 值 AutoShareWrks 赋值为： 00000000

5 、加密帐户的密码

Syskey 对账号密码数据文件进行二次加密。对密码进行 128 位加密；使用 Syskey 加密的密码，无法逆操作；

Windows\repair\ 有 sam 备份文件；

6 、防火墙配置：（视情况而定）

计算机配置 -> 管理模板 -> 网络 -> 网络连接 ->Windows 防火墙 -> 标准配置文件

Windows 防火墙 : 保护所有网络连接   Windows 防火墙不运行，管理员从本地登录无法启动防火墙的唯一方法

Windows 防火墙 : 不允许例外

Windows 防火墙 : 定义程序例外  

Windows 防火墙 : 允许本地程序例外

Windows 防火墙 : 允许远程管理例外

Windows 防火墙 : 允许文件和打印机共享例外   未被配置

Windows 防火墙 : 允许 ICMP 例外    未被配置

Windows 防火墙 : 允许远程桌面例外 未被配置

Windows 防火墙 : 允许 UPnP 框架例外 未被配置

Windows 防火墙 : 阻止通知     未被配置

Windows 防火墙 : 允许记录日志   未被配置

Windows 防火墙 : 阻止对多播或广播请求的单播响应   未被配置

Windows 防火墙 : 定义端口例外   未被配置

Windows 防火墙 : 允许本地端口例外 未被配置

7 、安全日志：

日志审核：计算机配置 =>Windows 设置 => 安全设置 => 本地策略 -> 审核策略

本地安全策略 -> 审核策略中打开相应的审核，推荐的审核是：

账户管理 成功 失败

登录事件 成功 失败

对象访问 失败

策略更改 成功 失败

特权使用 失败

系统事件 成功 失败

目录服务访问 失败

账户登录事件 成功 失败

与之相关的是：

在账户策略 -> 密码策略中设定：

密码复杂性要求 启用

密码长度最小值 6 位

强制密码历史 5 次

最长存留期 30 天

在账户策略 -> 账户锁定策略中设定：

账户锁定 3 次错误登录

锁定时间 20 分钟

复位锁定计数 20 分钟

 

计算机配置 - 》 Windows 设置 - 》安全设置 - 》本地策略 - 》安全选项

网络访问 : 可远程访问的注册表路径

网络访问 : 可远程访问的注册表路径和子路径

4 、目录和文件权限：

为了控制好服务器上用户的权限，同时也为了预防以后可能的入侵和溢出，我们还必须非常小心地设置目录和文件的访问权限， NT 的访问权限分为：读取、写入、读取及执行、修改、列目录、完全控制。在默认的情况下，大多数的文件夹对所有用户（ Everyone 这个组）是完全敞开的（ Full Control ），你需要根据应用的需要进行权限重设。

在进行权限控制时，请记住以下几个原则：

1> 权限是累计的：如果一个用户同时属于两个组，那么他就有了这两个组所允许的所有权限；

2> 拒绝的权限要比允许的权限高（拒绝策略会先执行）如果一个用户属于一个被拒绝访问某个资源的组，那么不管其他的权限设置给他开放了多少权限，他也一定不能访问这个资源。所以请非常小心地使用拒绝，任何一个不当的拒绝都有可能造成系统无法正常运行；

3> 文件权限比文件夹权限高

4> 利用用户组来进行权限控制是一个成熟的系统管理员必须具有的优良习惯之一；

5> 仅给用户真正需要的权限，权限的最小化原则是安全的重要保障；

5 、预防 DoS ：

在注册表 HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 中更改以下值可以帮助你防御一定强度的 DoS 攻击

SynAttackProtect REG_DWORD 2

EnablePMTUDiscovery REG_DWORD 0

NoNameReleaseOnDemand REG_DWORD 1

EnableDeadGWDetect REG_DWORD 0

KeepAliveTime REG_DWORD 300,000

PerformRouterDiscovery REG_DWORD 0

EnableICMPRedirects REG_DWORD 0

 

注册表的安全设置：

隐藏重要文件 / 目录可以修改注册表实现完全隐藏：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

CheckedValue 由 1 改为 0

对匿名连接的额外限制

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

restrictanonymous 由 0 改为 2

关闭默认的根目录和管理共享

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters

添加 DWORD autosharews 0

          autoshareserver 0

禁用 Guest 用户访问日志

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog 下的三个子键： Application 、 Security 、 System 下面的 RestrictGuestAccess 值改为 1

禁止显示上次登录的用户名

HLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon

Dontdisplaylastusername 为 1 即可

在关机时清理虚拟内存页面交换文件：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management

把 ClearPageFileAtShutdown 值改为 1

二、监控

1 、端口监控

文件名： del_netshare.bat ，用脚本来进行 IP 日志记录的，看着这个命令：

netstat -n -p tcp 10>>Netstat.log, 这个命令每 10 秒钟自动查看一次 TCP 的连接状况，基于这个命令我们做一个 Netlog.bat 文件 :

time /t>>Netstat.log

Netstat -n -p tcp 10>>Netstat.log

2 、终端服务的日志监控

文件名： remote_HP_record.bat ，用来记录登录者的 IP ，内容如下：

time /t >>TSLog.log

netstat -n -p tcp | find ":3389">>TSLog.log

//start Explorer

同样， Terminal Service 的安全日志默认也是不开的，我们可以在 Terminal Service Configration （远程服务配置） - 权限 - 高级中配置安全审核，一般来说只要记录登录、注销事件就可以了。

3 、监控服务器状态

文件名： pingServer_DNS.bat

time /t >> pingServer.log

ping 58.49.58.89 >> pingServer.log

ping 58.49.58.90 >> pingServer.log

ping 202.103.24.68 >> pingServer.log

三、查看状态：

netstat –a ：查看本地计算机开放的端口

netstat –n ：查看与本地计算机建立连接的 IP 地址

netstat –r ：查看路由器信息

netstat –s ：查看协议统计信息

netstat –e ：查看以太网使用情况

netstat -p tcp ：查看网络协议

 

nbtstat ——显示远程计算机的 MAC 地址

nbtstat -a guowei-sd

nbtstat -A 192.168.1.108

四、网络工具的使用：

（ 1 ） PortReporter 下载

[url]http://download.microsoft.com/download/[/url] 2/8/8 /28810043-0e21-4004 -89a 3 -2f 477a 74186f /PRParser.exe

小提示：

1 ）将 PortReporter 安装在一个 NTFS 文件系统分区上；

2 ）调整安装文件夹上的 ACL ，以便只有本地 Administrators 组才能访问此文件夹。

删除 PortReporter 服务： pr-setup.exe –u

3 ）日志默认路径： C:\WINDOWS\system32\LogFiles\PortReporter

日志重定向： ld 'c:\logfile'

日志文件的大小： ls 102400 即日志文件大小 10M

三种日志内容：

1)PR-INITIAL-*.log 启动服务时计算机运行的端口、进程和模块的数据。其中记录了每个进程运行所在的用户上下文；

2)PR-PORTS 日志文件 包含计算机上 TCP 和 UDP 端口活动的摘要数据。

Windows2003 ：日期，时间，协议，本地端口，本地 IP 地址，远程端口，远程 IP 地址， PID ，模块，用户上下文。

3)PR-PIDS 日志文件：日志文件包含有关端口、进程、相关模块和运行进程所用的用户帐户的详细信息

（ 2 ）网络系统状态监视—— WhatsUp Gold       [url]www.ipswitch.com[/url]

（ 3 ） PingPlus

实现多个主机网络状态的实时监测 , 并有自动记录分析结果、断网自动告警、端口扫描。

（ 4 ）漏洞检测： X-Scan          [url]http://www.xfocus.net[/url]

（ 5 ）其它工具：

带宽测试—— Ping Plotter Freeware  [url]http://www.pingplotter.com/[/url]

TCPView 、 pathping ——路径信息提示工具、 IPSentry 、 pcanywhere10

五、常用服务名称简称

net start rdr（启动workstation服务）

net start srv（启动server服务）

net start netbt （启动netbios over tcpip服务）