服务器操作.docx
- 文档编号:10817082
- 上传时间:2023-05-27
- 格式:DOCX
- 页数:54
- 大小:2.55MB
服务器操作.docx
《服务器操作.docx》由会员分享,可在线阅读,更多相关《服务器操作.docx(54页珍藏版)》请在冰点文库上搜索。
服务器操作
服务器操作手册
第一章应用服务器的安装配置
1.应用服务器操作系统的安装
A)安装操作系统(略)
所有设置按照默认,安装完成后仅安装需要的工具,不要乱装其他软件。
B)安装驱动程序(略)
C)分区:
C:
\50gD:
\100gE:
\80gF:
\20g
D)安装关键系统补丁(360安全卫士)(瑞星卡卡)
E)安装反病毒软件(360安全卫士)(瑞星卡卡)
F)将服务器连接到网络
G)在线升级操作系统补丁,所有的安全补丁都打上,保持最新。
H)在线升级反病毒软件病毒库。
I)备注:
360防ARP防火墙开启
J)做GHOST
K)重启后,安装SQLSERVER2000安装路径为D盘
L)D盘为SQL数据库文件夹E盘为数据备份文件夹F盘为程序,GHOST文件存储文件夹
SQL2000自动备份部分
1、SQL代理服务选择启动
2、创建数据库维护计划,下一步
3、选择要维护的数据库
4、修改调度时间
5、设置作业时间
6、设置备份路径
7、设置备份事物日志
8、完成
9、
9、选择备份的数据库,故障还原模型为“完全”。
4、IIS部分
a)IIS匿名用户问题
WindowsServer2003系统下装完GS3.2或以前版本,然后登录时,提示HTTP错误401.1XX:
由于凭据无效被拒绝。
这是由于老版本的程序在安装后对IIS匿名用户口令置空造成的,GS3.5已经进行了修正,处理此问题的步骤如下:
打开Internet信息服务(IIS)管理器,找到cwbase。
右键点击cwbase,打开其属性,先拷贝出当前虚拟目录的路径,将焦点移到下图所示路径位置,Ctrl+Home到行首,Shift+End到行尾,Ctrl+C拷贝路径,打开记事本,粘贴,用作下一步重新创建虚拟目录用。
删除cwbase虚拟目录:
右键点击cwbase,选择删除。
重新创建虚拟目录:
右键点击【默认网站】,选择【新建】,选择【虚拟目录】,出现新建虚拟目录的向导,选择【下一步】,别名输入cwbase,然后选择【下一步】,然后选择虚拟目录的路径,如果刚才已经拷贝出来了原来的目录,则直接粘贴到输入框中即可,也可以通过浏览的方式手工选择路径,如下图:
进入虚拟目录权限设置部分,选中【读取】和【运行脚本】,其他不用选,如下图:
虚拟目录创建完毕。
b)IIS其他安全选项
最初安装IIS时,该服务在高度安全和“锁定”的模式下安装。
在默认情况下,IIS只为静态内容提供服务-即,ASP、ASP.NET、在服务器端的包含文件、WebDAV发布和FrontPageServerExtensions等功能只有在启用时才工作。
如果您在安装IIS之后未启用该功能,则IIS返回一个404错误。
您可以为动态内容提供服务,并通过IIS管理器中的Web服务扩展节点启用这些功能。
启用父路径、启用缓冲:
启用匿名用户访问:
文件夹权限:
选择属性【安全】(Permissions)
【添加】(Add…)-〉【高级】(Advanced…),添加IUSR_XXXX的用户权限。
)
Web服务扩展:
登录时提示HTTP错误404,如下图
这是因为IIS6默认是禁用ASP扩展的,因此不能访问,需要开启。
从IIS管理器中点击的【Web服务扩展】,然后选择ActiveServerPages,然后点击,允许,同时ASP.NETv1.1.4322也要允许如下图:
C)IIS工作进程
IIS6.0使用新的请求处理结构和应用程序隔离环境来使单个Web应用程序在独立的工作进程中工作。
该环境防止一个应用程序或网站停止另一个应用程序或网站,并减少了管理员在重新启动服务以纠正与应用程序有关的问题时所花的时间。
新环境还包括主动型应用程序池运行状况监视,这是一个非常有用的功能,但是设置不当会带来一些麻烦。
打开IIS管理器,选中cwbase所在的应用程序池如果自己没有改动会在DefaultAppPool。
打开其属性,类似下图的设置可能导致问题:
这个设置的意思是IIS的监视进程会不断监视系统资源中CPU使用率的百分比,每5分钟检查一次,如果检查时的值超过了60%,那么将关闭IIS的工作进程。
这是客户端访问会出现下面的“服务不可用的”提示:
此设置默认是未开启的,如果有需要开启,请权衡阀值,如果刷新时间较短,CPU阀值较低,那么出现这种情况可能比较频繁。
其他几个关于工作进程的设置也会导致类似问题,但是几率低一些,如果遇到类似问题,请从此出着手。
独立的数据库服务器和应用服务器
a)数据库是SQLServer的情况-数据库服务器:
端口
协议
作用
设置方法
1433
TCP
连接监听
默认
135
TCP
RPC
默认
动态分配
TCP
RPC动态端口分配
第二章服务器的安全配置
一、windows权限设置
1、系统的NTFS磁盘权限设置,2003服务器有些细节地方需要注意的。
C盘只给administrators和system权限,其他的权限不给,其他的盘也可以这样设置,这里给的system权限也不一定需要给,只是由于某些第三方应用程序是以服务形式启动的,需要加上这个用户,否则造成启动不了。
2、Windows目录要加上给users的默认权限,否则ASP和ASPX等应用程序就无法运行。
另外在c:
/DocumentsandSettings/这里相当重要,后面的目录里的权限根本不会继承从前的设置,如果仅仅只是设置了C盘给administrators权限,而在AllUsers\ApplicationData目录下会出现everyone用户有完全控制权限,这样入侵这可以跳转到这个目录,写入脚本或只文件,再结合其他漏洞来提升权限;譬如利用serv-u的本地溢出提升权限,或系统遗漏有补丁,数据库的弱点。
在用做web\ftp服务器的系统里,建议是将这些目录都设置的锁死。
其他每个盘的目录都按照这样设置,
3、每个盘都只给adinistrators权限。
另外,还将:
net.exe,cmd.exe,tftp.exe,netstat.exe,regedit.exe,at.exe,attrib.exe,cacls.exe,这些文件都设置只允许administrators访问。
4、硬盘或文件夹:
C:
\D:
\E:
\F:
\类推主要权限部分:
Administrators完全控制无该文件夹,子文件夹及文件<不是继承的>CREATOROWNER完全控制只有子文件夹及文件<不是继承的>SYSTEM完全控制该文件夹,子文件夹及文件<不是继承的>
二、网络设置
1、在“网络连接”里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP),由于要控制带宽流量服务,额外安装了Qos数据包计划程序。
在高级tcp/ip设置里--“NetBIOS”设置“禁用tcp/IP上的NetBIOS(S)”。
在高级选项里,使用“Internet连接_blank">防火墙”,这是windows2003自带的_blank">防火墙,在2000系统里没有的功能,虽然没什么功能,但可以屏蔽端口,这样已经基本达到了一个IPSec的功能。
2、SERV-UFTP服务器的设置:
选中“Block"FTP_bounce"attackandFXP”。
什么是FXP呢?
通常,当使用FTP协议进行文件传输时,客户端首先向FTP服务器发出一个“PORT”命令,该命令中包含此用户的IP地址和将被用来进行数据传输的端口号,服务器收到后,利用命令所提供的用户地址信息建立与用户的连接。
大多数情况下,上述过程不会出现任何问题,但当客户端是一名恶意用户时,可能会通过在PORT命令中加入特定的地址信息,使FTP服务器与其它非客户端的机器建立连接。
虽然这名恶意用户可能本身无权直接访问某一特定机器,但是如果FTP服务器有权访问该机器的话,那么恶意用户就可以通过FTP服务器作为中介,仍然能够最终实现与目标服务器的连接。
这就是FXP,也称跨服务器攻击。
选中后就可以防止发生此种情况。
3、另外在“Blockantitime-outschemes"也可以选中。
其次,在“Advanced”选项卡中,检查“Enablesecurity”是否被选中,如果没有,选择它们。
三、IIS的安全
1、删掉c:
/inetpub目录,删除iis不必要的映射
2、首先是每一个web站点使用单独的IIS用户,譬如这里,新建立了一个名为,权限为guest的。
在IIS里的站点属性里“目录安全性”---“身份验证和访问控制“里设置匿名访问使用下列Windows用户帐户”的用户名密码都使用这个用户的信息.在这个站点相对应的web目录文件,默认的只给IIS用户的读取和写入权限。
在“应用程序配置”里,我们给必要的几种脚本执行权限:
ASP.ASPX,PHP,ASP,ASPX默认都提供映射支持了的,对于PHP,需要新添加响应的映射脚本,然后在web服务扩展将ASP,ASPX都设置为允许,对于php以及CGI的支持,需要新建web服务扩展,在扩展名(X):
下输入php,再在要求的文件(E):
里添加地址C:
\php\sapi\php4isapi.dll,并勾选设置状态为允许(S)。
然后点击确定,这样IIS就支持PHP了。
支持CGI同样也是如此。
要支持ASPX,还需要给web根目录给上users用户的默认权限,才能使ASPX能执行
3、不使用默认的Web站点,如果使用也要将将IIS目录与系统磁盘分开。
4、删除IIS默认创建的Inetpub目录(在安装系统的盘上)。
5、删除系统盘下的虚拟目录,如:
_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。
6、删除不必要的IIS扩展名映射。
右键单击“默认Web站点→属性→主目录→配置”,打开应用程序窗口,去掉不必要的应用程序映射。
主要为.shtml,.shtm,.stm
7、更改IIS日志的路径右键单击“默认Web站点→属性-网站-在启用日志记录下点击属性
四、windows管理账户
1、系统管理员账户最好少建,更改默认的管理员帐户名(Administrator)和描述,密码最好采用数字加大小写字母加数字的上档键组合,长度最好不少于14位。
2、新建一个名为Administrator的陷阱帐号,为其设置最小的权限,然后随便输入组合的最好不低于20位的密码
3、将Guest账户禁用并更改名称和描述,然后输入一个复杂的密码,打开注册表程序,把HKEY_LOCAL_MACHINESAMDomainsAccountUsers下的两个相关键删掉。
一个是000001F5,一个是Names下的Guest ,利用它来删除Guest账户,但我没有试过。
4、在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略,将账户设为“三次登陆无效”,“锁定时间为30分钟”,“复位锁定计数设为30分钟”。
5、在安全设置-本地策略-安全选项中将“不显示上次的用户名”设为启用
6、在安全设置-本地策略-用户权利分配中将“从网络访问此计算机”中只保留Internet来宾账户、启动IIS进程账户。
如果你使用了A还要保留Aspnet账户。
7、创建一个User账户,运行系统,如果要运行特权命令使用Runas命令。
五、网络服务安全管理
1、除非特殊情况非开不可,下列系统服务要停止并禁用:
1、Alerter2、ApplicationLayerGatewayService3、BackgroundIntelligentTransferService4、ComputerBrowser5、DistributedFileSystem6、HelpandSupport7、Messenger8、NetMeetingRemoteDesktopSharing9、PrintSpooler10、RemoteRegistry11、TaskScheduler12、TCP/IPNetBIOSHelper13、Telnet14、Workstation以上是windows2003server标准服务当中需要停止的服务,作为IIS网络服务器,以上服务务必要停止
2、服务器安全设置之--组件安全设置篇(非常重要!
!
!
)
A、卸载WScript.Shell和Shell.application组件,将下面的代码保存为一个.BAT文件执行(2003系统)win2003
regsvr32/uC:
\WINDOWS\System32\wshom.ocx
delC:
\WINDOWS\System32\wshom.ocx
regsvr32/uC:
\WINDOWS\system32\shell32.dll
delC:
\WINDOWS\system32\shell32.dll
B、改名不安全组件,需要注意的是组件的名称和Clsid都要改,并且要改彻底了,不要照抄,要自己改【开始→运行→regedit→回车】打开注册表编辑器然后【编辑→查找→填写Shell.application→查找下一个】
用这个方法能找到两个注册表项:
{13709620-C279-11CE-A49E-444553540000}和Shell.application。
第一步:
为了确保万无一失,把这两个注册表项导出来,保存为xxxx.reg文件。
第二步:
比如我们想做这样的更改
13709620-C279-11CE-A49E-444553540000改名为13709620-C279-11CE-A49E-444553540001
Shell.application改名为Shell.application_nohack
第三步:
那么,就把刚才导出的.reg文件里的内容按上面的对应关系替换掉,然后把修改好的.reg文件导入到注册表中(双击即可),导入了改名后的注册表项之后,别忘记了删除原有的那两个项目。
这里需要注意一点,Clsid中只能是十个数字和ABCDEF六个字母。
其实,只要把对应注册表项导出来备份,然后直接改键名就可以了。
WScript.Shell和Shell.application组件是脚本入侵过程中,提升权限的重要环节,这两个组件的卸载和修改对应注册键名,可以很大程度的提高虚拟主机的脚本安全性能,一般来说,ASP和php类脚本提升权限的功能是无法实现了,再加上一些系统服务、硬盘访问权限、端口过滤、本地安全策略的设置,虚拟主机因该说,安全性能有非常大的提高,黑客入侵的可能性是非常低了。
注销了Shell组件之后,侵入者运行提升工具的可能性就很小了,但是prel等别的脚本语言也有shell能力,为防万一,还是设置一下为好。
下面是另外一种设置,大同小异。
C、禁止使用FileSystemObject组件
FileSystemObject可以对文件进行常规操作,可以通过修改注册表,将此组件改名,来防止此类木马的危害。
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\
改名为其它的名字,如:
改为FileSystemObject_ChangeName
自己以后调用的时候使用这个就可以正常调用此组件了
也要将clsid值也改一下
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值
也可以将其删除,来防止此类木马的危害。
2000注销此组件命令:
RegSrv32/uC:
\WINNT\SYSTEM\scrrun.dll
2003注销此组件命令:
RegSrv32/uC:
\WINDOWS\SYSTEM\scrrun.dll
如何禁止Guest用户使用scrrun.dll来防止调用此组件?
使用这个命令:
caclsC:
\WINNT\system32\scrrun.dll/e/dguests
D、禁止使用WScript.Shell组件
WScript.Shell可以调用系统内核运行DOS基本命令
可以通过修改注册表,将此组件改名,来防止此类木马的危害。
HKEY_CLASSES_ROOT\WScript.Shell\及HKEY_CLASSES_ROOT\WScript.Shell.1\
改名为其它的名字,如:
改为WScript.Shell_ChangeName或WScript.Shell.1_ChangeName
自己以后调用的时候使用这个就可以正常调用此组件了
也要将clsid值也改一下
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值
也可以将其删除,来防止此类木马的危害。
E、禁止使用Shell.Application组件
Shell.Application可以调用系统内核运行DOS基本命令
可以通过修改注册表,将此组件改名,来防止此类木马的危害。
HKEY_CLASSES_ROOT\Shell.Application\及
HKEY_CLASSES_ROOT\Shell.Application.1\
改名为其它的名字,如:
改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
自己以后调用的时候使用这个就可以正常调用此组件了
也要将clsid值也改一下
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
也可以将其删除,来防止此类木马的危害。
禁止Guest用户使用shell32.dll来防止调用此组件。
2000使用命令:
caclsC:
\WINNT\system32\shell32.dll/e/dguests
2003使用命令:
caclsC:
\WINDOWS\system32\shell32.dll/e/dguests
注:
操作均需要重新启动WEB服务后才会生效。
F、调用Cmd.exe
禁用Guests组用户调用cmd.exe
2000使用命令:
caclsC:
\WINNT\system32\Cmd.exe/e/dguests
2003使用命令:
caclsC:
\WINDOWS\system32\Cmd.exe/e/dguests
1、禁止C$、D$、ADMIN$一类的缺省共享
打开注册表,HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters,在右边的窗口中新建Dword值,名称设为AutoShareServer值设为0
2、解除NetBios与TCP/IP协议的绑定
右击网上邻居-属性-右击本地连接-属性-双击Internet协议-高级-Wins-禁用TCP/IP上的NETBIOS
3、关闭不需要的服务,以下为建议选项
ComputerBrowser:
维护网络计算机更新,禁用
DistributedFileSystem:
局域网管理共享文件,不需要禁用
Distributedlinktrackingclient:
用于局域网更新连接信息,不需要禁用
Errorreportingservice:
禁止发送错误报告
MicrosoftSerch:
提供快速的单词搜索,不需要可禁用
NTLMSecuritysupportprovide:
telnet服务和MicrosoftSerch用的,不需要禁用
PrintSpooler:
如果没有打印机可禁用
RemoteRegistry:
禁止远程修改注册表
RemoteDesktopHelpSessionManager:
禁止远程协助
四、打开相应的审核策略
在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows
服务器安全设置之--本地安全策略设置
设置-安全设置-审核策略在创建审核项目时需要注意的是如果审核的项目太多,生成的事件也就越多,那么要想发现严重的事件也越难当然如果审核的太少也会影响你发现严重的事件,你需要根据情况在这二者之间做出选择。
推荐的要审核的项目是:
登录事件 成功失败 账户登录事件成功失败 系统事件 成功失败 策略更改 成功失败 对象访问 失败 目录服务访问失败 特权使用 失败
安全策略自动更新命令:
GPUpdate/force(应用组策略自动生效不需重新启动)
开始菜单—>管理工具—>本地安全策略
A、本地策略——>审核策略
B、审核策略更改成功失败
C、审核登录事件成功失败
D、审核对象访问失败
E、审核过程跟踪无审核
F、审核目录服务访问失败
G、审核特权使用失败
H、审核系统事件成功失败
I、审核账户登录事件成功失败
J、审核账户管理成功失败
K、B、本地策略——>用户权限分配
L、关闭系统:
只有Administrators组、其它全部删除。
M、通过终端服务拒绝登陆:
加入Guests、User组
N、通过终端服务允许登陆:
只加入Administrators组,其他全部删除
C、本地策略——>安全选项
O、交互式登陆:
不显示上次的用户名启用
P、网络访问:
不允许SAM帐户和共享的匿名枚举启用
Q、网络访问:
不允许为网络身份验证储存凭证启用
R、网络访问:
可匿名访问的共享全部删除
S、网络访问:
可匿名访问的命全部删除
T、网络访问:
可远程访问的注册表路径全部删除
U、网络访问:
可远程访问的注册表路径和子路径全部删除
V、帐户:
重命名来宾帐户重命名一个帐户
W、帐户:
重命名系统管理员帐户重命名一个帐户
其它安全相关设置1、隐藏重要文件/目录
可以修改注册表实现完全隐藏:
“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”,鼠标右击“CheckedValue”,选择修改,把数值由1改为0
3、防止SYN洪水攻击HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters新建DWORD值,名为SynAttackProtect,值为
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 服务器 操作