> 운영 및 유지보수 > 안전 > Windows 서버 보안 설정 요약

Windows 서버 보안 설정 요약

王林
풀어 주다: 2021-02-02 11:50:50
앞으로
7046명이 탐색했습니다.

Windows 서버 보안 설정 요약

Windows Server는 Windows의 서버 운영 체제인 Microsoft Windows Server System(WSS)의 핵심입니다.

모든 Windows 서버에는 해당 홈(워크스테이션) 버전이 있습니다(2003 R2 제외).

1), 기본 시스템 보안 설정

1. 설치 지침: 모든 시스템을 NTFS로 포맷, 시스템 재설치(원본 win2003 사용), 바이러스 백신 소프트웨어(Mcafee) 설치, 바이러스 백신 소프트웨어 업데이트, sp2 설치 패치를 설치하고 IIS를 설치하고(필요한 구성 요소만 설치) SQL2000을 설치하고 .net2.0을 설치하고 방화벽을 켭니다. 그리고 최신 패치를 서버에 적용하세요.

2) 불필요한 서비스 종료

컴퓨터 브라우저: 네트워크 컴퓨터 업데이트 유지, 비활성화

분산 파일 시스템: LAN에서 공유 파일 관리, 비활성화할 필요 없음

분산 링크 추적 클라이언트: LAN에서 연결 정보 업데이트에 사용 , 필요 없음 비활성화

오류 보고 서비스: 오류 보고서 전송 금지

Microsoft Serch: 빠른 단어 검색 제공, 비활성화할 필요 없음

원격 레지스트리: 레지스트리 원격 수정 금지

원격 데스크톱 도움말 세션 관리자: 원격 지원 금지

3) 계정 설정 및 관리

1. 게스트 계정을 비활성화하고 이름과 설명을 변경한 후 복잡한 비밀번호를 입력하세요

2. 시스템 관리자 계정을 적게 만드는 것이 가장 좋습니다. 기본 관리자 계정 이름(Administrator) 및 설명을 변경하세요. 비밀번호는 숫자와 대문자, 소문자와 숫자를 조합하여 사용하는 것이 가장 좋으며 길이는 10자리 이상입니다

3. 관리자라는 이름으로 최소 권한을 설정한 다음 가급적이면 20자리 이상의 비밀번호 조합을 입력하세요

4. 컴퓨터 구성-Windows 설정-보안 설정-계정 정책-계정 잠금 정책, 계정을 "잘못된 계정"으로 설정하세요. 3회 로그인 시간은 30분

5. 보안 설정-로컬 정책-보안 옵션에서 "마지막 사용자 이름 표시 안 함"을 활성화로 설정하세요

6. 보안 설정-로컬 정책-사용자 권한 할당에서 " 네트워크에서 이 컴퓨터에 액세스", 인터넷 게스트 계정만 유지하고 IIS 프로세스 계정 및 Aspnet 계정

7을 시작합니다. 사용자 계정을 만들고 시스템을 실행합니다. 권한 있는 명령을 실행하려면 Runas 명령을 사용합니다.

4) 해당 감사 정책 열기

감사 정책 변경: 성공

감사 로그인 이벤트: 성공, 실패

감사 개체 액세스: 실패

감사 개체 추적: 성공, 실패

디렉터리 서비스 액세스 감사: 실패

권한 사용 감사: 실패

시스템 이벤트 감사: 성공, 실패

계정 로그인 이벤트 감사: 성공, 실패

계정 관리 감사: 성공, 실패

5), 기타 보안 관련 설정

1 프로토콜 바인딩

네트워크 환경 마우스 오른쪽 버튼 클릭-속성-로컬 영역 연결-속성 마우스 오른쪽 버튼 클릭-인터넷 프로토콜-고급-Wins-TCP/IP에서 NETBIOS 비활성화

3. 중요한 파일/디렉터리 숨기기

레지스트리를 수정할 수 있습니다. 완전한 숨기기 달성: "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrent-VersionExplorerAdvancedFol derHi-ddenSHOWALL", "CheckedValue"를 마우스 오른쪽 버튼으로 클릭하고 수정을 선택한 후 값을 1에서 0

4로 변경합니다. SYN 플러드 공격 방지

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters SynAtta라는 새 DWORD 값 ckProtect, 값 2

5, ICMP 경로 광고 메시지에 대한 응답 금지

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfacesinterface 값이 0

6인 PerformRouterDiscovery라는 새 DWORD 값을 생성합니다. ICMP 리디렉션 메시지의 공격을 방지합니다

HKEY_LOCAL_MACHINESYSTE MCurrentControlSetServicesTcp ipParameters EnableICMPRedirects 값을 0

7로 설정합니다. IGMP 프로토콜은 지원되지 않습니다.

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 값이 0

8인 IGMPLevel이라는 새 DWORD 값을 생성합니다. DCOM 비활성화: 작업 중에 Dcomcnfg.exe를 입력합니다. Enter 키를 누르고 "콘솔 루트 노드" 아래의 "구성 요소 서비스"를 클릭합니다. 컴퓨터 하위 폴더를 엽니다.

로컬 컴퓨터의 경우 "내 컴퓨터"를 마우스 오른쪽 버튼으로 클릭하고 "속성"을 선택하세요. 기본 속성 탭을 선택합니다. 이 컴퓨터에서 Distributed COM 활성화 확인란을 선택 취소합니다.

9. 터미널 서비스의 기본 포트는 3389입니다. 다른 포트로 변경하는 것을 고려해 보세요.

수정 방법은 다음과 같습니다. 서버 측: 레지스트리를 열고 "HKLMSYSTEMCurrent ControlSetControlTerminal ServerWin Stations"에서 RDP-TCP와 유사한 하위 키를 찾아 PortNumber 값을 수정합니다. 클라이언트: 클라이언트 연결을 생성하려면 일반적인 단계를 따르십시오. 이 연결을 선택하고 "파일" 메뉴에서 내보내기를 선택하면 접미사가 .cns인 파일이 지정된 위치에 생성됩니다. 파일을 열고 "Server Port" 값을 서버측 PortNumber에 해당하는 값으로 수정합니다. 그런 다음 클라이언트가 포트를 수정하도록 파일을 가져옵니다(방법: 메뉴→파일→가져오기).

6) IIS 서비스 구성

1. 기본 웹 사이트를 사용하는 경우에는 시스템 디스크에서 IIS 디렉터리를 분리하세요. ​

2. IIS에서 기본적으로 생성한 Inetpub 디렉터리(시스템이 설치된 디스크)를 삭제합니다. ​

3. _vti_bin, IISSamples, Scripts, IIShelp, IISAdmin, IIShelp, MSADC와 같은 시스템 디스크 아래의 가상 디렉터리를 삭제합니다. ​

4. 불필요한 IIS 확장 매핑을 삭제합니다. "기본 웹 사이트→속성→홈 디렉터리→구성"을 마우스 오른쪽 버튼으로 클릭하고 응용 프로그램 창을 열고 불필요한 응용 프로그램 매핑을 제거합니다. 주로 .shtml, .shtm, .stm  

5. IIS 로그 경로를 변경하려면 "기본 웹 사이트 → 속성 - 웹 사이트 - 로깅 활성화

에서 속성을 클릭합니다. 2000을 사용하는 경우 iislockdown을 사용할 수 있습니다. IIS를 보호하려면 2003년에 실행되는 IE6.0 버전이 필요하지 않습니다.

7. UrlScan 사용

UrlScan은 들어오는 HTTP 패킷을 분석하고 의심스러운 트래픽을 거부할 수 있는 ISAPI 필터입니다. 2000Server인 경우 먼저 버전 1.0이나 2.0을 설치해야 합니다. 특별한 요구 사항이 없으면 UrlScan의 기본 구성을 사용할 수 있습니다. 그러나 서버에서 ASP.NET 프로그램을 실행하고 디버깅하려는 경우에는 다음과 같습니다. %WINDIR%System32InetsrvURLscan을 사용하려면 폴더의 URLScan.ini 파일로 이동한 다음 UserAllowVerbs 섹션에 디버그 동사를 추가하세요. ASP 페이지의 경우 DenyExtensions에서 .asp 관련 콘텐츠를 삭제해야 합니다. 웹 페이지에서 비ASCII 코드를 사용하는 경우 URLScan.ini 파일을 변경한 후 옵션 섹션에서 AllowHighBitCharacters 값을 1로 설정해야 합니다. , 적용하려면 IIS 서비스를 다시 시작해야 합니다. 구성 후 문제가 발생하면 프로그램 추가/제거를 통해 UrlScan을 삭제할 수 있습니다.

8. 전체 웹사이트에서 SQL 주입 취약점을 검사합니다.

7) SQL 서버 구성

1. 시스템 관리자 역할을 2개 이상 사용하지 않는 것이 가장 좋습니다

3. Sa 계정을 사용하지 말고 매우 복잡한 비밀번호를 구성하세요. for it

4. 다음 확장 저장 프로시저 형식을 삭제하세요.

master sp_dropextendedproc '확장 저장 프로시저 이름' 사용   

xp_cmdshell: 운영 체제에 진입하는 가장 좋은 단축키입니다. 레지스트리에 액세스하는 저장 프로시저를 삭제하세요.

delete

Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvalues 

OLE 자동 저장 프로시저, 삭제할 필요 없음

Sp_OACreate Sp_OADestroy  Sp_OAGetErrorInfo Sp_OAGetProperty Sp_OAM ethod Sp_OASetProperty Sp_OAStop

5. SQL Server 숨기기 및 기본 1433 포트 변경

인스턴스를 마우스 오른쪽 버튼으로 클릭하고 선택 속성-일반-네트워크 구성에서 TCP/IP 프로토콜의 속성을 선택하고 SQL Server 인스턴스 숨기기를 선택한 다음 기본 1433 포트를 변경합니다.

8) 시스템 로그 저장 주소를 수정합니다. 기본 위치는 응용 프로그램 로그, 보안 로그, DNS 로그입니다. 기본 파일 크기는 512KB입니다. 크기.

보안 로그 파일: %systemroot%system32configSecEvent.EVT 시스템 로그 파일: %systemroot%system32configSysEvent.EVT 애플리케이션 로그 파일: %systemroot%system32configAppEvent.EVT 인터넷 정보 서비스 FTP 로그 기본 위치: %systemroot%system32logfilesmsftpsvc1, 하루에 하나의 로그 기본 인터넷 정보 서비스 WWW 로그 기본 위치: %systemroot%system32logfilesw3svc1, 기본적으로 하루에 하나의 로그 스케줄러(작업 일정) 서비스 로그 기본 위치: %systemroot%schedlgu.txt 응용 프로그램 로그, 보안 로그, 시스템 로그, DNS 서버 로그 등 로그 파일은 레지스트리에 있습니다: HKEY_LOCAL_MACHINESystemCurrentControlSetServicesEventlog 스케줄러(작업 계획) 서비스 로그는 레지스트리에 있습니다. HKEY_LOCAL_MACHINESOFTWAREMicrosoftSchedulingAgent SQL xplog70.dll 삭제 또는 이름 바꾸기 [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters] "AutoShareServer"=dword:000 00000 "자동 ShareWks"=dword:00000000 // 다음에 대한 자동공유Wks pro 버전 // AutoShareServer 대 서버 버전 // 0

admin$, c$, d$와 같은 기본 공유 관리 금지 [HKEY_LOCAL_MACHINESystemCurrentControlSetControlLSA] "restrictanonymous"=dword:00000001 //0x1 익명 사용자는 로컬 사용자 목록을 열거할 수 없습니다. //0x2 익명 사용자는 로컬 IPC$ 공유에 연결할 수 없습니다. (SQL 서버가 시작되지 않을 수도 있습니다

9), 로컬 보안 정책

1. 서비스에 필요한 포트와 프로토콜만 엽니다. 구체적인 방법은 다음과 같습니다. "네트워크 환경 → 속성 → 로컬 영역 연결 → 속성 → 인터넷 프로토콜 → 속성 → 고급 → 옵션 → TCP/IP 필터링 → 속성"을 열고 필요한 TCP, UDP 포트 및 IP 프로토콜을 추가합니다. 서비스에 따라 열려 있는 포트는 다음과 같습니다. 웹 서비스용 포트 80, SMTP 서비스용 포트 23, POP3용 포트 110. 일반적으로 사용되는 UDP 포트는 다음과 같습니다. 포트 53 - DNS 도메인 이름 확인 서비스, 포트 161 - snmp 단순 네트워크 관리 프로토콜. 8000과 4000은 OICQ에 사용되고, 서버는 8000을 사용하여 정보를 받고, 클라이언트는 4000을 사용하여 정보를 보냅니다. 차단된 TCP 포트: 21(FTP, FTP 포트 변경) 23(TELNET), 53(DNS), 135, 136, 137, 138, 139, 443, 445, 1028, 1433, 3389 차단 가능한 TCP 포트: 1080, 3128, 6588 , 8080(위는 프록시 포트), 25(SMTP), 161(SNMP), 67(부팅) UDP 포트 차단: 1434(말할 필요도 없이) 모든 ICMP를 차단합니다. 즉, PING을 차단합니다. 물론 80은 WEB용이므로

2. 기본적으로 모든 사용자는 빈 연결을 통해 서버에 연결하고 계정을 열거할 수 있습니다. 비밀번호를 추측해 보세요. 빈 연결에 사용되는 포트는 139입니다. 빈 연결을 통해 파일이 원격 서버로 복사되고 작업이 실행되도록 예약될 수 있는 취약점입니다. 다음 두 가지 방법을 통해 빈 연결 설정을 금지할 수 있습니다.

(1) 레지스트리의 Local_MachineSystem CurrentControlSetControlLSA-RestrictAnonymous 값을 1로 수정합니다.

(2) Windows 2000의 로컬 보안 정책을 수정합니다. "로컬 보안 정책 → 로컬 정책 → 옵션"에서 RestrictAnonymous(익명 연결에 대한 추가 제한)를 "SAM 계정 및 공유 열거 허용 안 함"으로 설정합니다. 우선 Windows 2000의 기본 설치에서는 모든 사용자가 빈 연결을 통해 시스템의 모든 계정과 공유 목록을 얻을 수 있습니다. 이는 원래 LAN 사용자가 리소스와 파일을 쉽게 공유할 수 있도록 하기 위한 것입니다. 원격 사용자도 동일한 방법으로 사용자 목록을 얻을 수 있으며 무차별 대입을 통해 사용자 비밀번호를 해독하고 전체 네트워크를 혼란에 빠뜨릴 수도 있습니다. 많은 사람들은 빈 사용자 연결을 금지하기 위해 레지스트리를 Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous = 1로 변경하는 방법만 알고 있습니다. 실제로 Windows 2000의 로컬 보안 정책(도메인 서버인 경우에는 도메인 서버 보안 및 도메인 보안 정책에 있음)이 있습니다. RestrictAnonymous 옵션에는 세 가지 값이 있습니다. "0"은 제한이 없는 시스템 기본값입니다. 원격 사용자는 컴퓨터의 모든 계정, 그룹 정보, 공유 디렉터리, 네트워크 전송 목록(NetServerTransportEnum) 등을 알 수 있습니다. "는 NULL이 아닌 사용자에게만 SAM 계정 정보 및 공유 정보에 대한 액세스를 허용합니다. 값 "2"는 Windows 2000에서만 지원됩니다. 이 값을 사용하면 리소스를 더 이상 공유할 수 없으므로 주의해야 합니다. 값을 "1"로 설정하는 것이 좋습니다.

10), asp 트로이 목마 방지

1. FileSystemObject 구성 요소를 기반으로 하는 Asp 트로이 목마

cacls %systemroot%system32scrrun.dll /e /d 손님 //regsvr32 scrrun.dll /u /s //Delete

2. shell.application 구성 요소에 기반한 ASP 트로이 목마

cacls %systemroot%system32shell32.dll /e /d 손님 //게스트가 regsvr32 shell32.dll /u /s //Delete

3. 사진 폴더의 권한을 실행하지 못하도록 설정하세요.

4.웹사이트에 asp가 없으면 asp

11)를 비활성화하여 SQL 주입을 방지하세요

1. 매개변수화된 문장을 사용해 보세요

2. 매개변수화된 SQL 사용 필터링을 사용할 수 없습니다.

3. 해당 웹사이트는 자세한 오류 정보를 표시하지 않도록 설정되어 있으며, 오류가 발생하면 항상 오류 페이지로 이동합니다.

4. sa 사용자를 사용하여 데이터베이스에 연결하지 마세요.

5. 공개 권한이 있는 새 데이터베이스 사용자를 생성하고 이 사용자를 사용하여 데이터베이스에 액세스합니다. 6. [역할] 역할의 선택 액세스 권한을 제거합니다. sysobjects 및 syscolumns 개체에 공개됩니다.

참고:

마지막으로, 위의 설정은 원격 서버에 연결할 수 없는 등 일부 응용 프로그램 서비스에 영향을 미칠 수 있다는 점을 강조하고 싶습니다.

따라서 위의 설정을 먼저 수행하는 것이 좋습니다. 로컬 머신 또는 가상 머신(VMware Workstation) 좋은 설정, 모든 것이 괜찮은지 확인한 다음 서버에서 수행하세요

관련 권장 사항: 웹사이트 보안

위 내용은 Windows 서버 보안 설정 요약의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

관련 라벨:
원천:cnblogs.com
본 웹사이트의 성명
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.
인기 튜토리얼
더>
최신 다운로드
더>
웹 효과
웹사이트 소스 코드
웹사이트 자료
프론트엔드 템플릿