服务器安全

hbyhby

服务器系统安全
1.使用NTFS分区
2.安装系统。不要默认安装，主要是不要安装网络文件和打印机共享服务协议
3.建立一个。复杂的ADMIN开机密码（本人的密码32位，字母+数字+符号）
4.安装好系统，下载微软所有的补丁安装
5.修改Administrator用户名为***。建立一个陷阱帐号Administrator（分配权限组Guest并设置复杂的密码）
6.修改Guest用户名，并禁用该组
7.右键电击每个分区（C盘 D盘 等等）选属性--安全---删除Everyone和Users组（每个分区都删除）《见图1》

8.建立一个记事本，填上以下代码。保存为*.bat并加到启动项目中
net share c$ /del
net share d$ /del
net share e$ /del
net share f$ /del
net share ipc$ /del
net share admin$ /del
以上代码意思是关闭admin$ C$ D$等等,而IPC$允许匿名用户（即未经登录的用户）访问
9.使用安全策略关闭一些有安全隐患的端口，比如135 137 139 23 445 1433 3389等等
10.如果你不需要使用ASP的FSO上传功能，请关闭FSO上传功能（用你的漏洞传木马或者格式化你的硬盘，删除你的数据就是用这个）
以下是关闭和启动FSO的命令：
在自己的服务器(本地)开启/关闭系统FSO支持方法windows98系统
在DOS命令行状态输入以下命令：


关闭命令：RegSvr32 /u C:\WINDOWS\SYSTEM\scrrun.dll
打开命令：RegSvr32 C:\WINDOWS\SYSTEM\scrrun.dll
win2000系统：
在CMD命令行状态输入以下命令：
关闭命令：RegSvr32 /u C:\WINNT\SYSTEM32\scrrun.dll
打开命令：RegSvr32 C:\WINNT\SYSTEM32\scrrun.dll

[注意]关闭端口的方法，防黑策略！
最直接的办法，把系统不用的端口都关闭掉，然后从新启动!
注：关闭的端口有，135，137，138，139，445，1025，2475，3127，6129，3389，593，还有tcp.
具体操作如下:
默认情况下，Windows有很多端口是开放的，在你上网的时候，网络病毒和黑客可以通过这些端口连上你的电脑。为了让你的系统变为铜墙铁壁，应该封闭这些端口，主要有：TCP 135、139、445、593、1025 端口和 UDP 135、137、138、445 端口，一些流行病毒的后门端口（如 TCP 2745、3127、6129 端口），以及远程服务访问端口3389。下面介绍如何在WinXP/2000/2003下关闭这些网络端口：
　　第一步，点击“开始”菜单/设置/控制面板/管理工具，双击打开“本地安全策略”，选中“IP 安全策略，在本地计算机”，在右边窗格的空白位置右击鼠标，弹出快捷菜单，选择“创建 IP 安全策略”，于是弹出一个向导。在向导中点击“下一步”按钮，为新的安全策略命名；再按“下一步”，则显示“安全通信请求”画面，在画面上把“激活默认相应规则”左边的钩去掉，点击“完成”按钮就创建了一个新的IP 安全策略。
　　第二步，右击该IP安全策略，在“属性”对话框中，把“使用添加向导”左边的钩去掉，然后单击“添加”按钮添加新的规则，随后弹出“新规则属性”对话框，在画面上点击“添加”按钮，弹出IP筛选器列表窗口；在列表中，首先把“使用添加向导”左边的钩去掉，然后再点击右边的“添加”按钮添加新的筛选器。
　　第三步，进入“筛选器属性”对话框，首先看到的是寻址，源地址选“任何 IP 地址”，目标地址选“我的 IP 地址”；点击“协议”选项卡，在“选择协议类型”的下拉列表中选择“TCP”，然后在“到此端口”下的文本框中输入“135”，点击“确定”按钮，这样就添加了一个屏蔽 TCP 135（RPC）端口的筛选器，它可以防止外界通过135端口连上你的电脑。
　　点击“确定”后回到筛选器列表的对话框，可以看到已经添加了一条策略，重复以上步骤继续添加 TCP 137、139、445、593 端口和 UDP 135、139、445 端口，为它们建立相应的筛选器。
　　重复以上步骤添加TCP 1025、2745、3127、6129、3389 端口的屏蔽策略，建立好上述端口的筛选器，最后点击“确定”按钮。
　　第四步，在“新规则属性”对话框中，选择“新 IP 筛选器列表”，然后点击其左边的圆圈上加一个点，表示已经激活，最后点击“筛选器操作”选项卡。在“筛选器操作”选项卡中，把“使用添加向导”左边的钩去掉，点击“添加”按钮，添加“阻止”操作：在“新筛选器操作属性”的“安全措施”选项卡中，选择“阻止”，然后点击“确定”按钮。
　　第五步、进入“新规则属性”对话框，点击“新筛选器操作”，其左边的圆圈会加了一个点，表示已经激活，点击“关闭”按钮，关闭对话框；最后回到“新IP安全策略属性”对话框，在“新的IP筛选器列表”左边打钩，按“确定”按钮关闭对话框。在“本地安全策略”窗口，用鼠标右击新添加的 IP 安全策略，然后选择“指派”。
以下引用精华区中的端口设置方法，大家参照一下，一句话，根据自己需要设置！
QQ端口
源地址/我的IP 地址
目标地址 / 任何IP 地址
协议：UDP
从任意端口
到此端口
4000
源地址/我的IP 地址
目标地址 / 任何IP 地址
协议：UDP
从任意端口
到此端口
8000

hbyhby

MU
源地址/任何IP 地址
目标地址 / 我的IP 地址
协议：TCP
从任意端口
到此端口
44409
源地址/我的IP地址
目标地址 / 任何IP 地址
协议：TCP
从任意端口
从此端口
55901
到任意端口
源地址/我的IP地址
目标地址 / 任何IP 地址
协议：TCP
从任意端口
从此端口
55902
到任意端口
花生
源地址/我的IP 地址
目标地址 / 任何IP 地址
协议：TCP
从任意端口
到此端口
5000
源地址/我的IP 地址
目标地址 / 任何IP 地址
协议：TCP
从任意端口
到此端口
5050
源地址/我的IP 地址
目标地址 / 任何IP 地址
协议：UDP
从任意端口
到此端口
5050
IIS
源地址/我的IP 地址
目标地址 / 任何IP 地址
协议：TCP
从任意端口
到此端口
80
源地址/任何IP 地址
目标地址 / 我的IP 地址
协议：TCP
从任意端口
到此端口
80
源地址/我的IP 地址
目标地址 / 任何IP 地址
协议：UDP
从任意端口
到此端口
53
FTP端口
源地址/我的IP 地址
目标地址 / 任何IP 地址
协议：TCP
从任意端口
到此端口
21
源地址/我的IP 地址
目标地址 / 任何IP 地址
协议：TCP
从任意端口
到此端口
20
源地址/任何IP 地址
目标地址 / 我的IP 地址
协议：TCP
从任意端口
到此端口
21
源地址/任何IP 地址
目标地址 / 我的IP 地址
协议：TCP
从任意端口
到此端口
20

[二]禁止远程sql连接
这个东西平时没用
现在 Mu GameManager 完全了
根本就可以丢开。。

具体设置 企业管理器 - sql组 - (local)(windows nt) - 属性 - 连接
下面有禁止 远程连接

hbyhby

1：打开“开始菜单”—“程序”—“管理工具”—“本地安全策略”
2：在“本地安全策略”中选择“IP安全策略，在本地”然后创建IP安全策略
3：一直点下一步，在弹出来的“IP安全策略名称”窗口中命名你自己的IP安全策略名称。“安全通讯请求”中选择“默认激活响应规则”；“默认响应规则身份验证方式”中选择“win2000默认”最后在弹出来的警告中点“是”
4：编辑属性，点选“添加”在弹出来的新窗口--“新规则属性”中再点“添加”又有一个新窗口弹出--“IP筛选列表”，在这个窗口中，把“使用添加向导”前面的钩取消。点选“添加”在弹出来的“筛选器属性”窗口中
“寻址”栏是一个双相选择，你可以根据实际情况来选择。
“协议”栏可以在这里定义你要关闭的端口可具体网络通讯协议
“描述”为方便辨认在这里可以添加描述
添加完成后，在编辑规则的属性窗口里的“筛选操作”栏里选择“阻止”
“身份验证方法”“隧道设置”都不做设定，最后在连接类型里选择“远程访问”最后完成。
新的IP规则就会显示在你刚才新建的IP安全属性表框里，你以后还可以随时改变开放和关闭端口

我所关闭的端口有：ICMP协议，8080，69，67，6588，593，57，55970，55962，55960，55557，53DNS，445，44405，31287，2847，25，161，1434，1433，139，138，136，135，1080
我的服务器关闭以上端口后正常运行
搞完以后在“IP安全策略，在本地”里就会有个新的IP规则就是你刚才建立的，点选“指派”新的IP规则上就会出现一个绿色的小点，这时新的IP规则就应用了

增加你的服务器安全,禁止PING到!

　　Step 1：添加IP筛选器和筛选器操作

　　依次单击“开始→管理工具→本地安全策略”，打开“本地安全设置”对话框，右击该对话框左侧的“IP安全策略，在本地计算机”选项，执行“管理IP筛选器表和筛选器操作”命令；在弹出对话框的“管理IP筛选器列表”标签下单击[添加]按钮，命名这个筛选器的名称为“禁止Ping”，描述语言可以为“禁止任何其他计算机Ping我的主机”，单击[下一步]；选择“IP通信源地址”为“我的IP地址”，单击[下一步]；选择“IP通信目标地址”为“任何IP地址”，单击[下一步]；选择“IP协议类型”为“ICMP”（Ping和Tracert等命令操作都是利用ICMP协议中的报文进行的），单击[下一步]，最后点击[完成]结束添加。之后切换到“管理筛选器操作”标签下，依次单击“添加→下一步”，命名筛选器操作名称为“阻止所有连接”，描述语言可以为“阻止所有网络连接”，单击[下一步]；点选“阻止”选项作为此筛选器的操作行为，最后单击[下一步]，完成所有添加操作。

Step 2：创建IP安全策略

　　右击控制台中的“IP安全策略，在本地计算机”选项，执行[创建安全策略]命令，然后单击[下一步]按钮；命名这个IP安全策略为“禁止Ping主机”，描述语言为“拒绝任何其他计算机的Ping要求”，并单击[下一步]；勾选“激活默认响应规则”后，单击[下一步]；在“默认响应规则身份验证方法”对话框中点选“使用此字符串保护密钥交换”选项，并在下面的文字框中任意键入一段字符串（如“NO Ping”），单击[下一步]；最后勾选“编辑属性”，单击[完成]按钮结束创建。

　　Step 3：配置IP安全策略

　　在打开的“禁止Ping属性”对话框中的“常规”标签下单击“添加→下一步”，点选“此规则不指定隧道”并单击[下一步]；点选“所有网络连接”，保证所有的计算机都Ping不通该主机，单击[下一步]；在“IP筛选器列表”框中点选“禁止Ping”，单击[下一步]；在“筛选器操作”列表框中点选“阻止所有连接”，单击[下一步]；取消“编辑属性”选项并单击[完成]，结束配置。


　　Step4：指派IP安全策略

　　安全策略创建完毕后并不能马上生效，我们还需通过“指派”功能令其发挥作用。右击“本地安全设置”对话框右侧的“禁止Ping主机”策略，执行“指派”命令，即可启用该策略。

　　至此，这台主机已经具备了拒绝其他任何机器Ping自己IP地址的功能，不过在本地仍然能够Ping通自己。经过这样的设置之后，所有用户（包括管理员）都不能在其他机器上对此服务器进行Ping操作。限于技术水平，笔者暂时无法提供在IP安全策略下实现用户权限划分的方法，希望有相关经验的朋友补充指正。此方案在Windows 2000/XP系统下同样适用。

6512399

收藏 了

xqidlt

支持楼主，谢谢分享

lovebabay

hjio256