服务器IP安全策略

admin

服务器IP安全策略
“木马”一个让用户头疼的字眼，它们悄然无声的进入我们的系统，叫人防不胜防。当木马悄悄打开某扇“方便之门”（端口）时，不速之客就会神不知鬼不觉地侵入你的电脑。如果被种下木马其实也不必担心，首先我们要切断它们与外界的联系（就是堵住可疑端口）。
在Win 2000/XP/2003系统中，Microsoft管理控制台（MMC）已将系统的配置功能汇集成配置模块，大大方便我们进行特殊的设置（以Telnet利用的23端口为例，笔者的操作系统为Windows XP）。
操作步骤
首先单击“运行”在框中输入“mmc”后回车，会弹出“控制台1”的窗口。我们依次选择“文件→添加/删除管理单元→在独立标签栏中点击‘添加’→IP安全策略管理”，最后按提示完成操作。这时，我们已把“IP安全策略，在本地计算机”（以下简称“IP安全策略”）添加到“控制台根节点”下。
现在双击“IP安全策略”就可以新建一个管理规则了。右击“IP安全策略”，在弹出的快捷菜单中选择“创建IP安全策略”，打开IP安全策略向导，点击“下一步→名称默认为‘新IP安全策略’→下一步→不必选择‘激活默认响应规则’”（注意:在点击“下一步的同时，需要确认此时“编辑属性”被选中），然后选择“完成→在“新IP安全策略属性→添加→不必选择‘使用添加向导’”。
在寻址栏的源地址应选择“任何IP地址”，目标地址选择“我的IP地址”（不必选择镜像）。在协议标签栏中，注意类型应为TCP，并设置IP协议端口从任意端口到此端口23，最后点击“确定”即可。这时在“IP筛选器列表”中会出现一个“新IP筛选器”，选中它，切换到“筛选器操作”标签栏，依次点击“添加→名称默认为‘新筛选器操作’→添加→阻止→完成”。
新策略需要被激活才能起作用，具体方法是:在“新IP安全策略”上点右键，“指派”刚才制定的策略。
效果
现在，当我们从另一台电脑Telnet到设防的这一台时，系统会报告登录失败。用扫描工具扫描这台计算机，会发现23端口仍然在提供服务。塑料配件加工网的服务器就是用这种方法把其它任何可疑的端口都封杀掉的。

服务器托管必用工具
     当网站发展到一定的规模，站长就应该开始考虑要为网站托管服务器。通常情况下服务器会被放到电信或网通的机房，网站管理员通过远程来管理服务器。在网站服务器进行托管时，需要安装一些常用的服务器上运行的软件，才能更为有效地管理这台远程服务器。
　　远程桌面连接
　　 Remote Desktop - 远程桌面连接（以前称为“终端服务客户 端”）主要是用于对远程托管的服务器进行远程管理，使用非常方便，就如同操作本地电脑一样方便。远程服务器端必须要 先安装“远程桌面连接”的服务器端程序，然后客户端就可以通过远程桌面来管理服务器了。
　　 FTP服务和客户端
　　 FileZilla - 将客户端的文件上传到服务器上，最常用的软件就是FTP了，微软的IIS自带了一个简单的FTP服务器软件，如果觉得不好用，服务器上也可以安装免费的 FileZilla服0务器软件，客户端可以使用免费的FileZilla Client，支持多线程上传文件。
　　 硬件检测
　　 CPU-Z - CPU-Z是一款免费的系统检测工具，可以检测CPU、主板、内存、系统等各种硬件设备的信息。它支持的CPU种类相当全面，软件的启动速度及检测速度都 很快。另外，它还能检测主板和内存的相关信息，其中就有我们常用的内存双通道检测功能。远程管理服务器的时候，使用这个软件可以对服务器的硬件信息一清二 楚。
　　 Arp防火墙
Arp Firewall - 现在托管服务器必须安装的第一个软件就是Arp防火墙，没办法啊，中国这网络环境，不安装Arp防火墙就等着被人挂木马了。现在免费的Arp防火墙主要有两款，一个是奇虎的360 Arp防火墙，一个是金山Arp防火墙。
　　 代码编辑
　　 Notepad++ - Notepad++是一个免费开源的源程序代码、HTML网页代码编辑工具，支持多达数十种常见源代码或脚本的语法，包括 C，C++，Java，C#，XML，HTML，PHP，Javascript，RC resource file，makefile，ASCII，doxygen，ini file，batch file，ASP ，VB/VBS，SQL，Objective-C，CSS，Pascal，Perl，Python，Lua等，功能非常强大。在服务器上安装后可以直接修改网站上的源程序代码。
　　流量监控
　　 DU Meter - DU Meter是一个简单易用的网络流量监视工具，图形化的界面显示非常直观，可以实时监测服务器的上传和下载的网速，同时还有流量统计功能。可以分析出日流量、周流量、月流量等累计统计数据。不过遗憾的是这个软件不是免费的。
　　 端口监控
　　 TcpView - TcpViews是一款免费的端口和线程监控工具，可以列出当前所有TCP和UDP端口的进程清单，包括本地和远程地址的TCP连接，其实和系统命令 netstat类似，不过是GUI界面的，使用方便，占用资源少，默认字体在中文环境下很小，需要手动修改。在服务器上运行的话，默认刷新时间不要用默认 的1秒。
　　 进程监控
　　 Process Explorer - Process Explorer是一款免费的进程监视工具，功能比Windows自带的任务管理器要强大的多，不仅可以监视、暂停、终止进程，还可以查看进程调用的DLL文件，是预防病毒、查杀木马的好帮手。
　　 日志分析
　　 WebLog Expert - 虽然Google Analytics是一款强大的免费的网站分析服务，但必须加入统计代码才能使用，WebLog Expert则可以直接分析网站的访问日志文件，通过日志文件分析出网站的站点访问者、活动统计、文件访问量、搜索引擎、浏览器、操作系统和错误页面等等 众多的统计信息，是网络监测的好助手。这个软件本身不免费，不过其另一个版本WebLog Expert Lite是免费的。
　　 日志搜索
　　 WinHex - WinHex是一款速度很快的文件编辑器。打开数百兆的大型文件速度飞快，使用WinHex可以轻松打开托管服务器上的大型日志文件，并对其进行关键字搜索，效果非常好，是我见到的速度最快的文本编辑搜索软件，总体来说是一款非常不错的16进制编辑器。


分享服务器安全设置步骤
一、系统的安装
1）安装系统；
2）补丁+杀毒程序及常用软件；
3）开启WINDOWS防火墙，关闭不必要端口；
4）修改远程连接端口3389 (更改为6110)
regedit
H-L-M/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/WDS/RDPWD/TDS/TCP
右边键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 10000 )
/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/WINSTATIONS/RDP-TCP/
右边键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 10000 )
注意：别忘了在WINDOWS2003自带的防火墙给+上10000端口
修改完毕.重新启动服务器.设置生效.
二、用户安全设置
1）给GUEST帐号设置转义字符多的密码，禁用该帐号；
2）把系统Administrator账号改名；（10.82.0.66 xxgzwebmaster/xxgzgly^_^glyxxgz）
3）设置administrator新帐号+超强密码做陷阱；
4）设置用户帐号策略，登录次数时间等等限制；
三、系统权限的设置
1）磁盘权限
　　系统盘及所有磁盘只给 Administrators 组和 SYSTEM 的完全控制权限
系统盘及所有磁盘只给 Administrators 组和 SYSTEM 的完全控制权限
　　系统盘\Documents and Settings 目录只给 Administrators 组和 SYSTEM 的完全控制权限
　　系统盘\Documents and Settings\All Users 目录只给 Administrators 组和 SYSTEM 的完全控制权限
　　系统盘\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe、ftp.exe、 tftp.exe、telnet.exe 、 netstat.exe、regedit.exe、at.exe、attrib.exe、format.com、del文件只给 Administrators 组和SYSTEM 的完全 控制权限
另将<systemroot>\System32\cmd.exe、format.com、ftp.exe转移到其他目录或更名
　　Documents and Settings下所有些目录都设置只给adinistrators权限。并且要一个一个目录查看，包括下面的所有子目录。
删除c:\inetpub目录
2）本地安全策略设置
　　开始菜单—>管理工具—>本地安全策略
　　A、本地策略——>审核策略
　　B、本地策略——>用户权限分配
　　关闭系统：只有Administrators组、其它全部删除。
　　通过终端服务允许登陆：只加入Administrators,Remote Desktop Users组，其他全部删除
　　C、本地策略——>安全选项
　　交互式登陆：不显示上次的用户名　　　　　　　启用
　　网络访问：不允许SAM帐户和共享的匿名枚举　 启用
　　网络访问：不允许为网络身份验证储存凭证　　　启用
　　网络访问：可匿名访问的共享　　　　　　　　　全部删除
　　网络访问：可匿名访问的命　　　　　　　　　　全部删除
　　网络访问：可远程访问的注册表路径　　　　　　全部删除
　　网络访问：可远程访问的注册表路径和子路径　　全部删除
　　帐户：重命名来宾帐户　　　　　　　 　　　　　重命名一个帐户
　　帐户：重命名系统管理员帐户　　　　　　　　　重命名一个帐户
3）禁用不必要的服务 开始-运行-services.msc
TCP/IPNetBIOS Helper提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持而使用户能够共享文件、打印和登录到网络Server支持此计算机通过网络的文件、打印、和命名管道共享Computer Browser 维护网络上计算机的最新列表以及提供这个列表 Task scheduler 允许程序在指定时间运行
Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息
　　Distributed File System: 局域网管理共享文件，不需要可禁用
　　Distributed linktracking client：用于局域网更新连接信息，不需要可禁用
　　Error reporting service：禁止发送错误报告
　　Microsoft Serch：提供快速的单词搜索，不需要可禁用
　　NTLMSecuritysupportprovide：telnet服务和Microsoft Serch用的，不需要可禁用
　　PrintSpooler：如果没有打印机可禁用
　　Remote Registry：禁止远程修改注册表
　　Remote Desktop Help Session Manager：禁止远程协助
Workstation 关闭的话远程NET命令列不出用户组
　　以上是在Windows Server 2003 系统上面默认启动的服务中禁用的，默认禁用的服务如没特别需要的话不要启动。
呼呼。。前几天被黑了。。心情N郁闷了。。。重起弄好了。。
可是有过了一次。。不要再来第二次了。。偶吓怕了。呼呼。。在网上找了一个天有关服务器的[安全资料！现在分享给大家用用。。
不要等被黑了。。才来后悔哦。。兄姐妹们！
服务器系统安全
1.使用NTFS分区
2.安装系统。不要默认安装，主要是不要安装网络文件和打印机共享服务协议
3.建立一个。复杂的ADMIN开机密码（本人的密码32位，字母+数字+符号）
4.安装好系统，下载微软所有的补丁安装
5.修改Administrator用户名为***。建立一个陷阱帐号Administrator（分配权限组Guest并设置复杂的密码）
6.修改Guest用户名，并禁用该组
7.右键电击每个分区（C盘 D盘 等等）选属性--安全---删除Everyone和Users组（每个分区都删除）《见图1》
8.建立一个记事本，填上以下代码。保存为*.bat并加到启动项目中
net share c$ /del
net share d$ /del
net share e$ /del
net share f$ /del
net share ipc$ /del
net share admin$ /del
以上代码意思是关闭admin$ C$ D$等等,而IPC$允许匿名用户（即未经登录的用户）访问
9.使用安全策略关闭一些有安全隐患的端口，比如135 137 139 23 445 1433 3389等等，详细介绍：
http://bbs.7qy.com/ShowPost.asp?id=122
10.如果你不需要使用ASP的FSO上传功能，请关闭FSO上传功能（用你的漏洞传木马或者格式化你的硬盘，删除你的数据就是用这个）
以下是关闭和启动FSO的命令：
在自己的服务器(本地)开启/关闭系统FSO支持方法windows98系统
在DOS命令行状态输入以下命令：


关闭命令：RegSvr32 /u C:\WINDOWS\SYSTEM\scrrun.dll
打开命令：RegSvr32 C:\WINDOWS\SYSTEM\scrrun.dll
win2000系统：
在CMD命令行状态输入以下命令：
关闭命令：RegSvr32 /u C:\WINNT\SYSTEM32\scrrun.dll
打开命令：RegSvr32 C:\WINNT\SYSTEM32\scrrun.dll
[注意]关闭端口的方法，防黑策略！
最直接的办法，把系统不用的端口都关闭掉，然后从新启动!
注：关闭的端口有，135，137，138，139，445，1025，2475，3127，6129，3389，593，还有tcp.
具体操作如下:
默认情况下，Windows有很多端口是开放的，在你上网的时候，网络病毒和黑客可以通过这些端口连上你的电脑。为了让你的系统变为铜墙铁壁，应该封闭这些端口，主要有：TCP 135、139、445、593、1025 端口和 UDP 135、137、138、445 端口，一些流行病毒的后门端口（如 TCP 2745、3127、6129 端口），以及远程服务访问端口3389。下面介绍如何在WinXP/2000/2003下关闭这些网络端口：
　　第一步，点击“开始”菜单/设置/控制面板/管理工具，双击打开“本地安全策略”，选中“IP 安全策略，在本地计算机”，在右边窗格的空白位置右击鼠标，弹出快捷菜单，选择“创建 IP 安全策略”，于是弹出一个向导。在向导中点击“下一步”按钮，为新的安全策略命名；再按“下一步”，则显示“安全通信请求”画面，在画面上把“激活默认相应规则”左边的钩去掉，点击“完成”按钮就创建了一个新的IP 安全策略。
　　第二步，右击该IP安全策略，在“属性”对话框中，把“使用添加向导”左边的钩去掉，然后单击“添加”按钮添加新的规则，随后弹出“新规则属性”对话框，在画面上点击“添加”按钮，弹出IP筛选器列表窗口；在列表中，首先把“使用添加向导”左边的钩去掉，然后再点击右边的“添加”按钮添加新的筛选器。
　　第三步，进入“筛选器属性”对话框，首先看到的是寻址，源地址选“任何 IP 地址”，目标地址选“我的 IP 地址”；点击“协议”选项卡，在“选择协议类型”的下拉列表中选择“TCP”，然后在“到此端口”下的文本框中输入“135”，点击“确定”按钮，这样就添加了一个屏蔽 TCP 135（RPC）端口的筛选器，它可以防止外界通过135端口连上你的电脑。
　　点击“确定”后回到筛选器列表的对话框，可以看到已经添加了一条策略，重复以上步骤继续添加 TCP 137、139、445、593 端口和 UDP 135、139、445 端口，为它们建立相应的筛选器。
　　重复以上步骤添加TCP 1025、2745、3127、6129、3389 端口的屏蔽策略，建立好上述端口的筛选器，最后点击“确定”按钮。
　　第四步，在“新规则属性”对话框中，选择“新 IP 筛选器列表”，然后点击其左边的圆圈上加一个点，表示已经激活，最后点击“筛选器操作”选项卡。在“筛选器操作”选项卡中，把“使用添加向导”左边的钩去掉，点击“添加”按钮，添加“阻止”操作：在“新筛选器操作属性”的“安全措施”选项卡中，选择“阻止”，然后点击“确定”按钮。
　　第五步、进入“新规则属性”对话框，点击“新筛选器操作”，其左边的圆圈会加了一个点，表示已经激活，点击“关闭”按钮，关闭对话框；最后回到“新IP安全策略属性”对话框，在“新的IP筛选器列表”左边打钩，按“确定”按钮关闭对话框。在“本地安全策略”窗口，用鼠标右击新添加的 IP 安全策略，然后选择“指派”。
以下引用精华区中的端口设置方法，大家参照一下，一句话，根据自己需要设置！