甲骨文服务器安全组设置 甲骨文系统界面

服务器有哪些安全设置？

1)、系统安全基本设置

10余年的中方网站建设经验，针对设计、前端、开发、售后、文案、推广等六对一服务，响应快，48小时及时工作处理。全网营销推广的优势是能够根据用户设备显示端的尺寸不同，自动调整中方建站的显示方式，使网站能够适用不同显示终端，在浏览器中调整网站的宽度，无论在任何一种浏览器上浏览网站，都能展现优雅布局与设计，从而大程度地提升浏览体验。成都创新互联公司从事“中方网站设计”,“中方网站推广”以来，每个客户项目都认真落实执行。

1.安装说明：系统全部NTFS格式化，重新安装系统（采用原版win2003）,安装杀毒软件(Mcafee)，并将杀毒软件更新，安装sp2补钉，安装IIS（只安装必须的组件）,安装SQL2000，安装点虐 2.0,开启防火墙。并将服务器打上最新的补钉。

2)、关闭不需要的服务

Computer Browser:维护网络计算机更新，禁用

Distributed File System: 局域网管理共享文件，不需要禁用

Distributed linktracking client：用于局域网更新连接信息，不需要禁用

Error reporting service：禁止发送错误报告

Microsoft Serch：提供快速的单词搜索，不需要可禁用

NTLMSecuritysupportprovide：telnet服务和Microsoft Serch用的，不需要禁用

PrintSpooler：如果没有打印机可禁用

Remote Registry：禁止远程修改注册表

Remote Desktop Help Session Manager：禁止远程协助 其他服务有待核查

3)、设置和管理账户

1、将Guest账户禁用并更改名称和描述，然后输入一个复杂的密码

2、系统管理员账户最好少建，更改默认的管理员帐户名(Administrator)和描述，密码最好采用数字加大小写字母加数字的上档键组合，长度最好不少于10位

3、新建一个名为Administrator的陷阱帐号，为其设置最小的权限，然后随便输入组合的最好不低于20位的密码

4、计算机配置-Windows设置-安全设置-账户策略-账户锁定策略，将账户设为“三次登陆无效 时间为30分钟

5、在安全设置-本地策略-安全选项中将“不显示上次的用户名”设为启用

6、 在安全设置-本地策略-用户权利分配中将“从网络访问此计算机”中只保留Internet来宾账户、启动IIS进程账户,Aspnet账户

7、创建一个User账户，运行系统，如果要运行特权命令使用Runas命令。

4）、打开相应的审核策略

审核策略更改:成功

审核登录事件:成功,失败

审核对象访问:失败

审核对象追踪:成功,失败

审核目录服务访问:失败

审核特权使用:失败

审核系统事件:成功,失败

审核账户登录事件:成功,失败

审核账户管理:成功,失败

5）、 其它安全相关设置

1、禁止C$、D$、ADMIN$一类的缺省共享

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters，在右边的 窗口中新建Dword值，名称设为AutoShareServer值设为0

2、解除NetBios与TCP/IP协议的绑定

右击网上邻居-属性-右击本地连接-属性-双击Internet协议-高级-Wins-禁用TCP/IP上的 NETBIOS

3、隐藏重要文件/目录

可以修改注册表实现完全隐藏： “HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrent-VersionExplorerAdvancedFol derHi-ddenSHOWALL”，鼠标右击“CheckedValue”，选择修改，把数值由1改为0

4、防止SYN洪水攻击

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 新建DWORD 值，名为SynAttackProtect，值为2

5、 禁止响应ICMP路由通告报文

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfacesinterface 新建DWORD值，名为PerformRouterDiscovery 值为0

6. 防止ICMP重定向报文的攻击

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 将EnableICMPRedirects 值设为0

7、 不支持IGMP协议

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 新建DWORD 值，名为IGMPLevel 值为0

8、禁用DCOM：运行中输入 Dcomcnfg.exe。 回车， 单击“控制台根节点”下的“组件服务”。 打开“计算机”子 文件夹。

对于本地计算机，请以右键单击“我的电脑”，然后选择“属 性”。选择“默认属性”选项卡。清除“在这台计算机上启用分布式 COM”复选框。

9、终端服务的默认端口为3389，可考虑修改为别的端口。

修改方法为： 服务器端：打开注册表，在“HKLM\SYSTEM\Current ControlSet\Control\Terminal Server\Win Stations” 处找到类似RDP-TCP的子键，修改PortNumber值。 客户端：按正常步骤建一个客户端连接，选中这个连接，在“文件”菜单中选择导出，在指定位置会 生成一个后缀为点吸烟 s的文件。打开该文件，修改“Server Port”值为与服务器端的PortNumber对应的 值。然后再导入该文件（方法：菜单→文件→导入），这样客户端就修改了端口。

6）、配置 IIS 服务

1、不使用默认的Web站点，如果使用也要将 将IIS目录与系统磁盘分开。

2、删除IIS默认创建的Inetpub目录（在安装系统的盘上）。

3、删除系统盘下的虚拟目录，如：_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、 MSADC。

4、删除不必要的IIS扩展名映射。 右键单击“默认Web站点→属性→主目录→配置”，打开应用程序窗口，去掉不必要的应用程序映 射。主要为.shtml, .shtm, .stm

5、更改IIS日志的路径 右键单击“默认Web站点→属性-网站-在启用日志记录下点击属性

6、如果使用的是2000可以使用iislockdown来保护IIS，在2003运行的IE6.0的版本不需要。

7、使用UrlScan

UrlScan是一个ISAPI筛选器，它对传入的HTTP数据包进行分析并可以拒绝任何可疑的通信量。 目前最新的版本是2.5，如果是2000Server需要先安装1.0或2.0的版本。 如果没有特殊的要求采用UrlScan默认配置就可以了。 但如果你在服务器运行ASP.NET程序，并要进行调试你需打开要 %WINDIR%System32InetsrvURLscan，文件夹中的URLScan.ini 文件，然后在UserAllowVerbs节添 加debug谓词，注意此节是区分大小写的。 如果你的网页是.asp网页你需要在DenyExtensions删除.asp相关的内容。 如果你的网页使用了非ASCII代码，你需要在Option节中将AllowHighBitCharacters的值设为1 在对URLScan.ini 文件做了更改后，你需要重启IIS服务才能生效，快速方法运行中输入iisreset 如果你在配置后出现什么问题，你可以通过添加/删除程序删除UrlScan。

8、利用WIS (Web Injection Scanner)工具对整个网站进行SQL Injection 脆弱性扫描.

7）、配置Sql服务器

1、System Administrators 角色最好不要超过两个

3、不要使用Sa账户，为其配置一个超级复杂的密码

4、删除以下的扩展存储过程格式为：

use master sp_dropextendedproc '扩展存储过程名'

xp_cmdshell：是进入操作系统的最佳捷径，删除 访问注册表的存储过程，

删除

Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvalues Xp_regread Xp_regwrite Xp_regremovemultistring

OLE自动存储过程，不需要删除

Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty Sp_OAMethod Sp_OASetProperty Sp_OAStop

5、隐藏 SQL Server、更改默认的1433端口

右击实例选属性-常规-网络配置中选择TCP/IP协议的属性，选择隐藏 SQL Server 实例，并改原默 认的1433端口。

8）、修改系统日志保存地址 默认位置为 应用程序日志、安全日志、系统日志、DNS日志默认位置：%systemroot%\system32\config，默认 文件大小512KB，管理员都会改变这个默认大小。

安全日志文件：%systemroot%\system32\config\SecEvent.EVT 系统日志文件：%systemroot%\system32\config\SysEvent.EVT 应用程序日志文件：%systemroot%\system32\config\AppEvent.EVT Internet信息服务FTP日志默认位置：%systemroot%\system32\logfiles\msftpsvc1\，默认每天一个日 志 Internet信息服务WWW日志默认位置：%systemroot%\system32\logfiles\w3svc1\，默认每天一个日 志 Scheduler(任务计划)服务日志默认位置：%systemroot%\schedlgu.txt 应用程序日志，安全日志，系统日志，DNS服务器日志，它们这些LOG文件在注册表中的： HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog Schedluler(任务计划)服务日志在注册表中 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent SQL 删掉或改名xplog70.dll [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters] "AutoShareServer"=dword:00000000 "AutoShareWks"=dword:00000000 // AutoShareWks 对pro版本 // AutoShareServer 对server版本 // 0

禁止管理共享admin$,c$,d$之类默认共享 [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA] "restrictanonymous"=dword:00000001 //0x1 匿名用户无法列举本机用户列表 //0x2 匿名用户无法连接本机IPC$共享(可能sql server不能够启动

9）、本地安全策略

1．只开放服务需要的端口与协议。 具体方法为：按顺序打开“网上邻居→属性→本地连接→属性→Internet 协议→属性→高级→选项→ TCP/IP筛选→属性”，添加需要的TCP、UDP端口以及IP协议即可。根据服务开设口，常用的TCP 口有：80口用于Web服务；21用于FTP服务；25口用于SMTP；23口用于Telnet服务；110口 用于POP3。常用的UDP端口有：53口－DNS域名解析服务；161口－snmp简单的网络管理协议。 8000、4000用于OICQ，服务器用8000来接收信息，客户端用4000发送信息。 封TCP端口: 21(FTP,换FTP端口)23(TELNET),53(DNS),135,136,137,138,139,443,445,1028,1433,3389 可封TCP端口:1080,3128,6588,8080(以上为代理端口).25(SMTP),161(SNMP),67(引导) 封UDP端口:1434(这个就不用说了吧) 封所有ICMP,即封PING 以上是最常被扫的端口,有别的同样也封,当然因为80是做WEB用的

2、禁止建立空连接 默认情况下，任何用户可通过空连接连上服务器，枚举账号并猜测密码。空连接用的端口是139， 通过空连接，可以复制文件到远端服务器，计划执行一个任务，这就是一个漏洞。可以通过以下两 种方法禁止建立空连接：

（1） 修改注册表中 Local_Machine\System\ CurrentControlSet\Control\LSA-RestrictAnonymous 的值为1。

（2） 修改Windows 2000的本地安全策略。设置“本地安全策略→本地策略→选项”中的 RestrictAnonymous（匿名连接的额外限制）为“不容许枚举SAM账号和共享”。 首先，Windows 2000的默认安装允许任何用户通过空连接得到系统所有账号和共享列表，这本来 是为了方便局域网用户共享资源和文件的，但是，同时任何一个远程用户也可以通过同样的方法得 到您的用户列表，并可能使用暴力法破解用户密码给整个网络带来破坏。很多人都只知道更改注册 表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous = 1来禁止空用户连接， 实际上Windows 2000的本地安全策略里（如果是域服务器就是在域服务器安全和域安全策略里） 就有RestrictAnonymous选项，其中有三个值：“0”这个值是系统默认的，没有任何限制，远程用户 可以知道您机器上所有的账号、组信息、共享目录、网络传输列表(NetServerTransportEnum)等；“1” 这个值是只允许非NULL用户存取SAM账号信息和共享信息；“2”这个值只有Windows 2000才支 持，需要注意的是，如果使用了这个值，就不能再共享资源了，所以还是推荐把数值设为“1”比较 好。

10)、防止asp木马

1、基于FileSystemObject组件的asp木马

cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用 regsvr32 scrrun.dll /u /s //删除

2．基于shell.application组件的asp木马

cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用 regsvr32 shell32.dll /u /s //删除

3．将图片文件夹的权限设置为不允许运行。

4.如果网站中不存在有asp的话，禁用asp

11）、防止SQL注入

1．尽量使用参数化语句

2．无法使用参数化的SQL使用过滤。

3．网站设置为不显示详细错误信息，页面出错时一律跳转到错误页面。

4.不要使用sa用户连接数据库

5、新建一个public权限数据库用户，并用这个用户访问数据库 6、[角色]去掉角色public对sysobjects与syscolumns对象的select访问权限

最后强调一下，以上设置可能会影响到有些应用服务，例如导至不能连接上远程服务器，

因此强烈建议，以上设置首先在本地机器或虚拟机(VMware Workstation)上做好设置，确定没事之后然后再在服务器上做。

云服务器（阿里云）的安全组设置

安全组 是一个ECS的重要安全设置，但对小白用户来说却很难理解其中晦涩难懂的专业术语。websoft9在此介绍个人的理解：

阿里云官方解释 ：安全组是一种虚拟防火墙，用于设置单台或多台云服务器的网络访问控制，它是重要的网络安全隔离手段，用于在云端划分安全域。每个实例至少属于一个安全组，在创建的时候就需要指定。

注解：简单理解：服务器什么端口（服务）可以被访问，什么端口可以被封锁

例子：服务器80端口是用来提供http服务，如果服务器部署了网站，而没有开放80端口，这个网站肯定访问不了，http: //ip 是打不开的。

这是很常见的问题，用户第一感觉就是购买的服务器有问题或购买的镜像用不了。

远程连接（SSH）Linux 实例和远程桌面连接 Windows 实例可能会失败。

远程 ping 该安全组下的 ECS 实例的公网 IP 和内网 IP 可能会失败。

HTTP 访问该安全组下的 ECS 实例暴漏的 Web 服务可能会失败。

该安全组下 ECS 实例可能无法通过内网访问同地域（或者同 VPC）下的其他安全组下的 ECS 实例。

该安全组下 ECS 实例可能无法通过内网访问同地域下（或者同 VPC）的其他云服务。

该安全组下 ECS 实例可能无法访问 Internet 服务。

当用户购买一个新的服务器的时候，阿里云会提醒选择安全组，对于一部分入门用户来说，第一感觉就是选择一个等级比较高的安全组，这样更为保险。实际上，等级越高，开放的端口越少。甚至连80端口、21端口都被封锁了，导致服务器ping不通、http打不开。这样最常见的访问都无法进行，用户第一感觉就是购买的服务器有问题或购买的镜像用不了。

在Websoft9客服工作中统计发现，96%的用户浏览器http://公网IP 打不开首页，都是因为安全组的设置关闭了80端口所导致。

第一，找到对应的实例，通过安全组配置选项进入设置。

第二，点击“配置规则”，进入安全组规则设置。

Windows 服务器安全设置的方法教程

阿江的Windows 2000服务器安全设置教程

前言

其实，在服务器的安全设置方面，我虽然有一些经验，但是还谈不上有研究，所以我写这篇文章的时候心里很不踏实，总害怕说错了会误了别人的事。

本文更侧重于防止ASP漏洞攻击，所以服务器防黑等方面的讲解可能略嫌少了点。

基本的服务器安全设置

安装补丁

安装好操作系统之后，最好能在托管之前就完成补丁的安装，配置好网络后，如果是2000则确定安装上了SP4，如果是2003，则最好安装上SP1，然后点击开始→Windows Update，安装所有的关键更新。

安装杀毒软件

虽然杀毒软件有时候不能解决问题，但是杀毒软件避免了很多问题。我一直在用诺顿2004，据说2005可以杀木马，不过我没试过。还有人用瑞星，瑞星是确定可以杀木马的。更多的人说卡巴司机好，不过我没用过。

不要指望杀毒软件杀掉所有的木马，因为ASP木马的特征是可以通过一定手段来避开杀毒软件的查杀。

设置端口保护和防火墙、删除默认共享

都是服务器防黑的措施，即使你的服务器上没有IIS，这些安全措施都最好做上。这是阿江的盲区，大概知道屏蔽端口用本地安全策略，不过这方面的东西网上攻略很多，大家可以擞出来看看，晚些时候我或者会复制一些到我的网站上。

权限设置

阿江感觉这是防止ASP漏洞攻击的关键所在，优秀的权限设置可以将危害减少在一个IIS站点甚至一个虚拟目录里。我这里讲一下原理和设置思路，聪明的朋友应该看完这个就能解决问题了。

权限设置的原理

WINDOWS用户，在WINNT系统中大多数时候把权限按用户（组）来划分。在【开始→程序→管理工具→计算机管理→本地用户和组】管理系统用户和用户组。

NTFS权限设置，请记住分区的时候把所有的硬盘都分为NTFS分区，然后我们可以确定每个分区对每个用户开放的权限。【文件（夹）上右键→属性→安全】在这里管理NTFS文件（夹）权限。

IIS匿名用户，每个IIS站点或者虚拟目录，都可以设置一个匿名访问用户（现在暂且把它叫“IIS匿名用户），当用户访问你的网站的.ASP文件的时候，这个.ASP文件所具有的权限，就是这个“IIS匿名用户所具有的权限。

权限设置的思路

要为每个独立的要保护的个体（比如一个网站或者一个虚拟目录）创建一个系统用户，让这个站点在系统中具有惟一的可以设置权限的身份。

在IIS的【站点属性或者虚拟目录属性→目录安全性→匿名访问和验证控制→编辑→匿名访问→编辑】填写刚刚创建的那个用户名。

设置所有的分区禁止这个用户访问，而刚才这个站点的主目录对应的那个文件夹设置允许这个用户访问（要去掉继承父权限，并且要加上超管组和SYSTEM组）。

这样设置了之后，这个站点里的ASP程序就只有当前这个文件夹的权限了，从探针上看，所有的硬盘都是红叉叉。

我的设置方法

我是先创建一个用户组，以后所有的站点的用户都建在这个组里，然后设置这个组在各个分区没病权限。然后再设置各个IIS用户在各在的文件夹里的权限。

因为比较多，所以我很不想写，其实知道了上面的原理，大多数人都应该懂了，除非不知道怎么添加系统用户和组，不知道怎么设置文件夹权限，不知道IIS站点属性在那里。真的有那样的人，你也不要着急，要沉住气慢慢来，具体的方法其实自己也能摸索出来的，我就是这样。当然，如果我有空，我会写我的具体设置方法，很傲能还会配上图片。

改名或卸载不安全组件

不安全组件不惊人

我的在阿江探针1.9里加入了不安全组件检测功能（其实这是参考7i24的代码写的，只是把界面改的友好了一点，检测方法和他是基本一样的），这个功能让很多站长吃惊不小，因为他发现他的服务器支持很多不安全组件。

其实，只要做好了上面的权限设置，那么FSO、XML、strem都不再是不安全组件了，因为他们都没有跨出自己的文件夹或者站点的权限。那个欢乐时光更不用怕，有杀毒软件在还怕什么时光啊。

最危险的组件是WSH和Shell，因为它可以运行你硬盘里的EXE等程序，比如它可以运行提升程序来提升SERV-U权限甚至用SERVU来运行更高权限的系统程序。

卸载最不安全的组件

最简单的办法是直接卸载后删除相应的程序文件。将下面的代码保存为一个.BAT文件，

regsvr32/u C:WINNTSystem32wshom.ocx

del C:WINNTSystem32wshom.ocx

regsvr32/u C:WINNTsystem32shell32.dll

del C:WINNTsystem32shell32.dll

然后运行一下，WScript.Shell, Shell.application, WScript.Network就会被卸载了。可能会提示无法删除文件，不用管它，重启一下服务器，你会发现这三个都提示“×安全了。

改名不安全组件

需要注意的是组件的名称和Clsid都要改，并且要改彻底了。下面以Shell.application为例来介绍方法。

打开注册表编辑器【开始→运行→regedit回车】，然后【编辑→查找→填写Shell.application→查找下一个】，用这个方法能找到两个注册表项：“{13709620-C279-11CE-A49E-444553540000}和“Shell.application。为了确保万无一失，把这两个注册表项导出来，保存为 .reg 文件。

比如我们想做这样的更改

13709620-C279-11CE-A49E-444553540000 改名为 13709620-C279-11CE-A49E-444553540001

Shell.application 改名为 Shell.application_ajiang

那么，就把刚才导出的.reg文件里的内容按上面的对应关系替换掉，然后把修改好的.reg文件导入到注册表中（双击即可），导入了改名后的注册表项之后，别忘记了删除原有的`那两个项目。这里需要注意一点，Clsid中只能是十个数字和ABCDEF六个字母。

下面是我修改后的代码（两个文件我合到一起了）：

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}]

@="Shell Automation Service"

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}InProcServer32]

@="C:WINNTsystem32shell32.dll"

"ThreadingModel"="Apartment"

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}ProgID]

@="Shell.Application_ajiang.1"

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}TypeLib]

@="{50a7e9b0-70ef-11d1-b75a-00a0c90564fe}"

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}Version]

@="1.1"

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}VersionIndependentProgID]

@="Shell.Application_ajiang"

[HKEY_CLASSES_ROOTShell.Application_ajiang]

@="Shell Automation Service"

[HKEY_CLASSES_ROOTShell.Application_ajiangCLSID]

@="{13709620-C279-11CE-A49E-444553540001}"

[HKEY_CLASSES_ROOTShell.Application_ajiangCurVer]

@="Shell.Application_ajiang.1"

你可以把这个保存为一个.reg文件运行试一下，但是可别就此了事，因为万一黑客也看了我的这篇文章，他会试验我改出来的这个名字的。

防止列出用户组和系统进程

我在阿江ASP探针1.9中结合7i24的方法利用getobject("WINNT")获得了系统用户和系统进程的列表，这个列表可能会被黑客利用，我们应当隐藏起来，方法是：

【开始→程序→管理工具→服务】，找到Workstation，停止它，禁用它。

防止Serv-U权限提升

其实，注销了Shell组件之后，侵入者运行提升工具的可能性就很小了，但是prel等别的脚本语言也有shell能力，为防万一，还是设置一下为好。

用Ultraedit打开ServUDaemon.exe查找Ascii：LocalAdministrator，和#l@$ak#.lk;0@P，修改成等长度的其它字符就可以了，ServUAdmin.exe也一样处理。

另外注意设置Serv-U所在的文件夹的权限，不要让IIS匿名用户有读取的权限，否则人家下走你修改过的文件，照样可以分析出你的管理员名和密码。

利用ASP漏洞攻击的常见方法及防范

一般情况下，黑客总是瞄准论坛等程序，因为这些程序都有上传功能，他们很容易的就可以上传ASP木马，即使设置了权限，木马也可以控制当前站点的所有文件了。另外，有了木马就然后用木马上传提升工具来获得更高的权限，我们关闭shell组件的目的很大程度上就是为了防止攻击者运行提升工具。

如果论坛管理员关闭了上传功能，则黑客会想办法获得超管密码，比如，如果你用动网论坛并且数据库忘记了改名，人家就可以直接下载你的数据库了，然后距离找到论坛管理员密码就不远了。

作为管理员，我们首先要检查我们的ASP程序，做好必要的设置，防止网站被黑客进入。另外就是防止攻击者使用一个被黑的网站来控制整个服务器，因为如果你的服务器上还为朋友开了站点，你可能无法确定你的朋友会把他上传的论坛做好安全设置。这就用到了前面所说的那一大堆东西，做了那些权限设置和防提升之后，黑客就算是进入了一个站点，也无法破坏这个网站以外的东西。