Windows 2003 WEB 服务器安全设置
一、操作系统配置
1.安装操作系统(NTFS分区)后,装杀毒软件,我选用的是卡巴。
2.安装系统补丁。扫描漏洞全面杀毒
3.删除Windows Server 2003默认共享
首先编写如下内容的批处理文件:
@echo off
net share C$ /del
net share D$ /del
net share E$ /del
net share F$ /del
net share admin$ /del
文件名为delshare.bat,放到启动项中,每次开机时会自动删除共享。
4.禁用IPC连接
打开CMD后输入如下命令即可进行连接:net use\\ip\ipc$ “password” /user:”usernqme”。我们可以通过修改注册表来禁用IPC连接。打开注册表编辑器。找到如下组建HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa中的restrictanonymous子键,将其值改为1即可禁用IPC连接。
5.删除”网络连接”里的协议和服务
在”网络连接”里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP),同时在高级tcp/ip设置里–”NetBIOS”设置”禁用tcp/IP上的NetBIOS(S)”。
6.启用windows连接防火墙,只开放web服务(80端口)。
注:在2003系统里,不推荐用TCP/IP筛选里的端口过滤功能,譬如在使用FTP服务器的时候,如果仅仅只开放21端口,由于FTP协议的特殊性,在进行FTP传输的时候,由于FTP 特有的Port模式和Passive模式,在进行数据传输的时候,需要动态的打开高端口,所以在使用TCP/IP过滤的情况下,经常会出现连接上后无法列出目录和数据传输的问题。所以在2003系统上增加的windows连接防火墙能很好的解决这个问题,所以都不推荐使用网卡的TCP/IP过滤功能。
7.磁盘权限
系统盘只给 Administrators 和 SYSTEM 权限
系统盘\Documents and Settings 目录只给 Administrators 和 SYSTEM 权限;
系统盘\Documents and Settings\All Users 目录只给 Administrators 和 SYSTEM 权限;
系统盘\Documents and Settings\All Users\Application Data目录只给 Administrators 和 SYSTEM 权限;
系统盘\Windows 目录只给 Administrators 、 SYSTEM 和 users 权限;
系统盘\Windows\System32\net.exe,net1.exe,cmd.exe,command.exe,ftp.exe,netstat.exe,regedit.exe,at.exe,attrib.exe,cacls.exe 文件只给 Administrators 权限(如果觉得没用就删了它,比如我删了cmd.exe,command.exe,嘿嘿。);
其它盘,有安装程序运行的(我的sql server 2000 在D盘)给 Administrators 和 SYSTEM 权限,无只给 Administrators 权限。
8.本地安全策略设置
开始菜单—>管理工具—>本地安全策略
A、本地策略——>审核策略 (可选用)
审核策略更改 成功 失败
审核登录事件 成功 失败
审核对象访问 失败
审核过程跟踪 无审核
审核目录服务访问 失败
审核特权使用 失败
审核系统事件 成功 失败
审核账户登录事件 成功 失败
审核账户管理 成功 失败
B、本地策略——>用户权限分配
关闭系统:只有Administrators组、其它全部删除。
通过终端服务拒绝登陆:加入Guests、Users组
通过终端服务允许登陆:只加入Administrators组,其他全部删除
C、本地策略——>安全选项
交互式登陆:不显示上次的用户名 启用
网络访问:可匿名访问的共享 全部删除
网络访问:可匿名访问的命名管道 全部删除
**网络访问:可远程访问的注册表路径 全部删除
**网络访问:可远程访问的注册表路径和子路径 全部删除
帐户:重命名来宾帐户 重命名一个帐户
(下面一项更改可能导致sqlserver不能使用)
帐户:重命名系统管理员帐户 重命名一个帐户
二、iis配置(包括网站所在目录)
1.新建自己的网站(*注意:在应用程序设置中执行权限设为无,在需要的目录里再更改),目录不在系统盘
注:为支持asp.net,将系统盘\Inetpub\wwwroot中的aspnet_client文件夹复制到web根目录下,并给web根目录加上users权限。
2.删掉系统盘\inetpub目录
3.删除不用的映射
在”应用程序配置”里,只给必要的脚本执行权限:ASP、ASPX。
4.为网站创建系统用户
A.例如:网站为yushan43436.net,新建用户yushan43436.net权限为guests。然后在web站点属性里”目录安全性”—”身份验证和访问控制”里设置匿名访问使用下列Windows 用户帐户”的用户名和密码都使用yushan43436.net这个用户的信息。(用户名:主机名\yushan43436.net)
B.给网站所在的磁盘目录添加用户yushan43436.net,只给读取和写入的权限。
5.设置应用程及子目录的执行权限
A.主应用程序目录中的”属性–应用程序设置–执行权限”设为纯脚本
B.在不需要执行asp、asp.net的子目录中,例如上传文件目录,执行权限设为无
6.应用程序池设置
我的网站使用的是默认应用程序池。设置”内存回收”:这里的最大虚拟内存为:1000M,最大使用的物理内存为256M,这样的设置几乎是没限制这个站点的性能的。
回收工作进程(分钟):1440
在下列时间回收工作进程:06:00
三、sql server 2000 配置
1.密码设置
我编的程序用了sa用户,密码设置超复杂(自己记不住,保存在手机里,嘿嘿)。
2.删除危险的扩展存储过程和相关.dll。
Xp_cmdshell(这个肯定首当其冲,不用说了)、Xp_regaddmultistring、Xp_regdeletekey、Xp_regdeletevalue、Xp_regenumvalues、Xp_regread、Xp_regwrite、Xp_regremovemultistring
四、其它设置(可选用,本人可不负责)
1.任何用户密码都要复杂,不需要的用户—删。
2.防止SYN洪水攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名为SynAttackProtect,值为2
3.禁止响应ICMP路由通告报文
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface
新建DWORD值,名为PerformRouterDiscovery 值为0
4.防止ICMP重定向报文的攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
将EnableICMPRedirects 值设为0
5.不支持IGMP协议
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名为IGMPLevel 值为0
6.禁用DCOM:
运行中输入 Dcomcnfg.exe。 回车, 单击“控制台根节点”下的“组件服务”。 打开“计算机”子文件夹。
对于本地计算机,请以右键单击“我的电脑”,然后选择“属性”。选择“默认属性”选项卡。
清除“在这台计算机上启用分布式 COM”复选框。
使用arp防火墙防止arp攻击
我们先来了解下什么是arp
ARP是地址转换协议(Address Resolution Protocol)的英文缩写,它是一个链路层协议,工作在OSI模型的第二层,在本层和硬件接口间进行联系,同时对上层(网络层)提供服务。
二层的以太网交换设备并不能识别32位的IP地址,它们是以48位以太网地址(就是我们常说的MAC地址)传输以太网数据包的。也就是说IP数据包在局域网内部传输时并不是靠IP地址而是靠MAC地址来识别目标的,因此IP地址与MAC地址之间就必须存在一种对应关系,而ARP协议就是用来确定这种对应关系的协议。
Windows操作系统,在命令行窗口输入”arp -a”命令可查看本机当前的ARP缓存表,ARP缓存表保存的就是IP地址与MAC地址的对应关系,我们来看一下
C:\>arp -a
Interface: 192.168.1.20 — 0×10003
Internet Address Physical Address Type
192.168.1.1 94-0c-6d-49-13-34 dynamic
“Internet Address”指的就是IP地址,”Physical Address”指的就是MAC地址。
接下来我们了解一下ARP协议工作原理
ARP数据包根据接收对象不同,可分为两种:
1. 广播包(Broadcast)。广播包目的MAC地址为FF-FF-FF-FF-FF-FF,交换机设备接收到广播包后,会把它转发给局域网内的所有主机。
2. 非广播包(Non-Broadcast)。非广播包后只有指定的主机才能接收到。
ARP数据包根据功能不同,也可以分为两种:
1. ARP请求包(ARP Request)。ARP请求包的作用是用于获取局域网内某IP对应的MAC地址。
2. ARP回复包(ARP Reply)。ARP回复包的作用是告知别的主机,本机的IP地址和MAC是什么。
广播的一般都是ARP请求包,非广播的一般都是ARP回复包。
假设局域网内有以下两台主机,主机名、IP地址、MAC地址分别如下:
主机名 IP地址 MAC地址
A 192.168.0.1 AA-AA-AA-AA-AA-AA
B 192.168.0.2 BB-BB-BB-BB-BB-BB
当主机A需要与主机B进行通讯时,它会先查一下本机的ARP缓存中,有没有主机B的MAC地址。如果有就可以直接通讯。如果没有,主机A就需要通过ARP协议来获取主机B的MAC地址,具体做法相当于主机A向局域网内所有主机喊一嗓子:“喂~谁是192.168.0.2?我是192.168.0.1,我的MAC地址是AA-AA-AA-AA-AA-AA
。你的MAC地址是什么,快告诉我”,这时候主机A发的数据包类型为:广播-请求。
当主机B接收到来自主机A的“ARP广播-请求”数据包后,它会先把主机A的IP地址和MAC地址对应关系保存/更新到本机的ARP缓存表中,然后它会给主机A发送一个“ARP非广播-回复”数据包,其作用相当于告诉主机A:“嘿,我是192.168.0.2,我的MAC地址是BB-BB-BB-BB-BB-BB”。当主机A接收到主机B的回复后,它会把主机B的IP地址和MAC地址对应关系保存/更新到本机的ARP缓存表中,之后主机A和B就可以进行通讯了。
从上述局域网主机通讯过程可以看出,主机在两种情况下会保存、更新本机的ARP缓存表,
1. 接收到“ARP广播-请求”包时
2. 接收到“ARP非广播-回复”包时
这种机制,或者说ARP协议的设计,会不会存在问题呢?当然,不然怎么会有人利用来攻击呢?
ARP攻击会对我们有什么影响呢?最广的一种方式就是利用arp进行挂马!
用户在浏览某些网页的时候,网页中可能会包含一些恶意的代码,这就是俗称的“网页木马”,此种行为通常被称为“挂马”。
网页中包含的恶意代码通常类似为:<iframe src=http://xxx/xxx width=50 height=0></iframe>
“网页木马”并非万能的,它一般是通过系统中的漏洞(例如浏览器的漏洞、浏览器插件的漏洞等)来对用户的主机进行攻击,进而获取用户主机中的敏感数据,例如QQ号、网银账号、游戏ID等。如果你的主机已经安装了最新的安全补丁,大多数网页木马都无法对你的主机造成伤害。但是,也有不少网页木马是通过系统未公开的漏洞来攻击用户主机,即是说,即使你的主机安装齐全所有安全补丁,也无法做到100%免疫。
网页中为何会被插入恶意代码?
1. 服务器被黑。服务器被入侵或感染病毒,硬盘上的网页文件被修改,被插入恶意代码。这种情况比较少见。表现形式:互联网上所有用户访问这台服务器上的网页时,网页上都会包含有恶意代码。
2. 服务器被ARP欺骗。服务器所处的那个局域网内,有主机被黑客控制或者感染了病毒,服务器返回给用户的网页数据,在传输过程中被ARP欺骗程序、病毒程序所篡改,插入了恶意代码。表现形式:互联网上所有用户访问这台服务器上的网页时,网页上都会包含有恶意代码。
3. 用户的局域网被ARP欺骗。用户所处的那个局域网内,有主机被黑客控制或者感染了病毒。服务器返回给用户的网页数据,在传输过程中被ARP欺骗程序、病毒程序所篡改,插入了恶意代码。表现形式:局域网的用户,在访问所有网站时,网页中都会包含恶意代码。
如何解决呢?
1. 加强服务器的安全管理,避免被黑客入侵或者感染病毒。
2. 安装ARP防火墙,避免受局域网内ARP欺骗程序、ARP病毒的影响。
在这里我介绍一个比较好的arp防火墙。经过我几年来实践测试还是非常不错的,可以有效的对arp进行防护。
彩影arp防火墙 官方网站 http://www.antiarp.com 安装过程不细说。
实践我们看看效果如何
遇到arp攻击时:
最关键的是可以知道谁在攻击我们,可以马上通知机房相关人员进行排查
制作自动启用网卡软件
在帮助一些客户的服务器做运维期间。有一些小白的客户很喜欢对网卡进行这样那样的操作和设置,其实要我来说这样有一定风险性,再者很多客户都在有网络卡或是有什么问题时重置网卡,比如在对个人电脑感觉卡或是有网络访问问题不重启电脑就直接单方面进行禁用网卡,再启用网卡。好吧,这样我很无语。其实一点用也没有。但是你个人电脑使用这样操作没问题。服务器你试试。禁用网卡。你试试启用?不可能吧。哈哈远程直接断了。小白的操作失误。这时我们就很无语了。真是哭笑不得。好吧。为了减少这种客户的“骚扰”。自己动手吧。
以前在利用一些时间了解学习了一些编程软件。delphi就是这么一个方便的程序编译软件。可以利用很少的一段代码调用一些windows系统的东西。
设计思路及要求:
1.软件建立运行服务,服务器启动时自动启动。
2.每五分钟运行一次启动网卡。
3.建立方便的安装删除服务工具。方便一键化安装删除。
好了,我们开始吧代码其实要实现用delphi很容易。调用现成的一些函数和套件可又很方便的建立服务文件
以下给出关键的几条代码吧。太多了不一一发出来。
1 2 3 4 5 6 7 8 9 10 11 | procedure TAutoNetWork.Timer1Timer(Sender: TObject); begin if i>2 then begin EnableNetAdapter; //form1.close; timer1.Enabled:=false; end else i:=i+1; end; |
建立好服务文件后我们就再要对安装文件进行安装了。delphi建立安装服务很容易两条批处理就好了,如下:
建立安装服务文件:install.bat
1 2 3 | @echo copy AutoNetWork.exe %SystemRoot%\system32\ %SystemRoot%\system32\AutoNetWork.exe /install |
建立卸载服务文件:uninstall.bat
1 2 3 4 | @echo net stop AutoNetWork AutoNetWork.exe /uninstall del %SystemRoot%\system32\AutoNetWork.exe |
有需要的的朋友可以下载回去使用。需要源代码的朋友可以找我,我发给有需要的朋友。
自动启用网卡软件 下载
从SEO角度分析提高新站排名的五大因素
很多新站都想让自己的网站尽快的排在搜索引擎的首页,竞价排名能够迅速达到目的,但是却需要雄厚的资金支持。做SEO虽然比较慢,但是却是比较持久的方法。今天知甲网站长从SEO角度分析提高新站排名的五大因素。
一、网站空间的稳定。
一个好的网站,必须要有一个稳定、快速的空间作为支持。所以新站有没有排名空间是关键基础。若修改网站可以在凌晨的时候修改,这样就不会影响搜索引擎的抓取和收录页面。另外,网站空间访问速度很给力的话,也会大大增加网站页面的收录。杭州SEO用wp搭建网站后,第二天百度就收录了。可见,网站空间的重要性。
二、确立合适的关键词。
就以SEO为例,如果一个优化公司,若是把SEO作为网站的关键词,非不能快速提高网站排名,也不能达到精准的效果。如果是杭州的客户,潜意识都喜欢搜杭州优化公司、杭州SEO优化、杭州网站优化等等词。用热门关键词,也会让网站的排名半死不活。
三、合理的网站结构,完美的用户体验。
现在新网站会用CSS布局网站的结构,这样做的好处:结构清晰,符合搜索引擎的规则。这样的网站能不被搜索引擎喜欢上吗?比如:网站导航不要用js文件调用,这样搜索引擎抓不到网站的每个栏目页。文章的结构采用面包屑,用户在阅读文章的时候,可以知道所看的文章属于哪个栏目里,用户轻松跳到另一个栏目或返回首页。
四、优质的网站内容,突出网站主题。
SEO界中常说:内容为王,外链为皇。一个新站,要想有好的权重,一开始就要学着写原创的内容,时间长了,一点点网站权重就是增加。内容里要包含网站的关键词或长尾关键词。所以好的站长都是勤奋开始的,没看哪个懒惰的人成功了。
五、高质量的外链协助提高排名。
相关的友情链接是一种外链支持,好比别的网站对你的网站投了一个认可的一票,友情链接不在多而在于精,时间长积少成多排名也会上去的。如果是做百度排名的新站,可以在百度的一些产品:百度知道,百度百科,贴吧里面等一些产品做外链。
