VPS(win 2003)セキュリティ設定チュートリアル
3424 ワード
一、デフォルトの共有を禁止する.
方法1:
メモ帳を作成し、以下のコードを記入します.*として保存batを起動項目に追加
方法2:レジストリを修正する(レジストリを修正する前に必ずレジストリをバックアップし、方法をバックアップすることに注意する.実行>regedit、ファイルを選択する)でエクスポートし、ファイル名を取ってエクスポートすればよい.レジストリの修正に失敗した場合、エクスポートしたレジストリファイルを見つけてダブルクリックして実行すればよい.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
新しい「DWORD値」の値名が「AutoShareWks」データ値が「0」
二、リモートデスクトップ接続構成.
スタート>プログラム>管理ツール>ターミナルサービス構成>接続
右側の「RDP-tcp」接続右クリック属性>権限削除(systemを除く)すべてのユーザグループが、サーバが他の管理者を作成する場合でも、使用可能な管理者アカウントを単一に追加することを選択する.ターミナルサービスも利用できません.
三、serv_uセキュリティ設定(管理パスワードを必ず設定してください.そうしないと権限が与えられます)①serv_を開きますu、「ローカルサービス」をクリックし、右側で「パスワードの設定/変更」をクリックし、パスワードを設定していない場合は、「古いパスワード」が空で、新しいパスワードを記入してクリック「OK」をクリックします.
②また、ローカル管理ポートの変更を提案する.サーヴァンダーにいるだけだiniの[global]にLocalSetup PortNo=ポート番号を1行追加すればよい
四、139、445ポートを閉じる
①コントロールパネル-ネットワーク-ローカルリンク-プロパティ(ここでは「ネットワークファイルとプリンタの共有を解除する」)-tcp/ipプロトコルプロパティ-高度-WINS-Netbios設定-Netbiosを無効にすると139ポートが閉じる.
②445ポートをオフにする(レジストリを変更する前に必ずレジストリをバックアップしておく.バックアップ方法.実行>regedit、ファイルを選択する)エクスポートし、ファイル名を取ってエクスポートすればよい.レジストリの変更に失敗した場合、エクスポートしたレジストリファイルを見つけてダブルクリックして実行すればよい.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\ServicesetBT\Parameters
新しい「DWORD値」の値名が「SMBDEviceEnabled」データがデフォルト値「0」
五、安全でない部品を削除する
WScript.Shell 、Shell.アプリケーションの2つのコンポーネントは、一般的にASP木馬や悪意のあるプログラムで使用されます.
方法:「運転」にそれぞれ次のコマンドを入力します.
①regsvr32/u wshom.义齿Shellコンポーネント
②regsvr32/u shell32.アンインストールアプリケーションコンポーネント.
③regsvr32/u %windir%\system32\Wshext.dll
プログラムがfsoオブジェクトを使用しない場合は、fsoコンポーネントもアンインストールし、必要に応じて再登録することをお勧めします.
Regsvr32/u scrrun.dll
六、iis権限を設定する.
Webサイトごとにユーザーを個別に作成します.
①まず、「マイコンピュータ」管理」ローカルコンピュータとグループのユーザーを右クリックし、右側にあります.「新規ユーザー」を右クリックし、新規ユーザーを作成し、パスワードを設定します.図:
たとえば、testをWebサイトにアクセスするユーザーに追加します.
②サイトフォルダ権限の設定
次にインターネット情報サービスマネージャを開きます.該当するサイトが見つかりました.右クリックして、図のように「権限」を選択します.
権限を選択すると、次の図になります.
管理者グループではなく、スーパー管理者を1人だけ保持します(自分で定義できます).システムユーザー(system)、追加されたウェブサイトユーザーもいます.「追加」をクリックすると、さっきシステムで作成したユーザーをtestなどに追加できます.その後、そのユーザ(test)にのみディレクトリの読み取りと実行、参照、読み取りの権限を与えます.その他の権限は与えません.また,スーパーマネージャも書き込み権限を与えず,システムユーザ(system)は「完全制御」権限を取り除く.後点確定を設定します.
③アクセスユーザを設定します.
サイト・プロパティのディレクトリ・セキュリティの編集を右クリックし、testなどのさっき追加したユーザーを匿名アクセス・ユーザーに追加します.パスワードは元のパスワードと一致しています.
サイトへのアクセス権を設定します.
設定するサイトを右クリックします.≪プロパティ|Properties|ldap≫・ホームのローカル・パスの下にある「≪レコードの読取り|Read Record|ldap≫」のみを選択して索引リソースにアクセスします
他は選択しないでください.実行権限選択性「純スクリプト」.スクリプトと実行可能ファイルを選択しないでください.図に示すように、
その他の設定とiisサイトの一般的な設定は、もう言わないでください.
注意:ASPについてNETプログラムはIIS_を設定する必要がありますWPGグループのアカウント権限、アップロードディレクトリの権限設定:ユーザーのウェブサイトに1つまたはいくつかのディレクトリがファイルのアップロードを許可するように設定可能で、アップロードの方式は一般的にASP、PHP、ASPを通じて(通って)NETなどのプログラムが完成します.この場合は、必ずアップロードディレクトリの実行権限を「なし」にしておくと、ASPやPHPなどのスクリプトプログラムやexeプログラムをアップロードしても、ユーザーブラウザで実行をトリガーすることはありません
(スクリプトのみ)を(なし)に変更します.
七、データベースのセキュリティ設定は必ずデータベースのパスワードを設定しなければならない.
また.sqlデータベースの場合、拡張ストレージ・プロシージャxp_をアンインストールすることを推奨します.cmdshell
xp_cmdshellはオペレーティングシステムに入るのに最適な近道であり、データベースがオペレーティングシステムに残した大きなバックドアである.それを外してください.このSQL文を使用します.
use master
sp_dropextendedproc 'xp_cmdshell'
このストレージ・プロシージャが必要な場合は、この文で復元することもできます.
sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
方法1:
メモ帳を作成し、以下のコードを記入します.*として保存batを起動項目に追加
net share c$ /del
net share d$ /del
net share e$ /del
net share f$ /del
net share ipc$ /del
net share admin$ /del
方法2:レジストリを修正する(レジストリを修正する前に必ずレジストリをバックアップし、方法をバックアップすることに注意する.実行>regedit、ファイルを選択する)でエクスポートし、ファイル名を取ってエクスポートすればよい.レジストリの修正に失敗した場合、エクスポートしたレジストリファイルを見つけてダブルクリックして実行すればよい.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
新しい「DWORD値」の値名が「AutoShareWks」データ値が「0」
二、リモートデスクトップ接続構成.
スタート>プログラム>管理ツール>ターミナルサービス構成>接続
右側の「RDP-tcp」接続右クリック属性>権限削除(systemを除く)すべてのユーザグループが、サーバが他の管理者を作成する場合でも、使用可能な管理者アカウントを単一に追加することを選択する.ターミナルサービスも利用できません.
三、serv_uセキュリティ設定(管理パスワードを必ず設定してください.そうしないと権限が与えられます)①serv_を開きますu、「ローカルサービス」をクリックし、右側で「パスワードの設定/変更」をクリックし、パスワードを設定していない場合は、「古いパスワード」が空で、新しいパスワードを記入してクリック「OK」をクリックします.
②また、ローカル管理ポートの変更を提案する.サーヴァンダーにいるだけだiniの[global]にLocalSetup PortNo=ポート番号を1行追加すればよい
四、139、445ポートを閉じる
①コントロールパネル-ネットワーク-ローカルリンク-プロパティ(ここでは「ネットワークファイルとプリンタの共有を解除する」)-tcp/ipプロトコルプロパティ-高度-WINS-Netbios設定-Netbiosを無効にすると139ポートが閉じる.
②445ポートをオフにする(レジストリを変更する前に必ずレジストリをバックアップしておく.バックアップ方法.実行>regedit、ファイルを選択する)エクスポートし、ファイル名を取ってエクスポートすればよい.レジストリの変更に失敗した場合、エクスポートしたレジストリファイルを見つけてダブルクリックして実行すればよい.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\ServicesetBT\Parameters
新しい「DWORD値」の値名が「SMBDEviceEnabled」データがデフォルト値「0」
五、安全でない部品を削除する
WScript.Shell 、Shell.アプリケーションの2つのコンポーネントは、一般的にASP木馬や悪意のあるプログラムで使用されます.
方法:「運転」にそれぞれ次のコマンドを入力します.
①regsvr32/u wshom.义齿Shellコンポーネント
②regsvr32/u shell32.アンインストールアプリケーションコンポーネント.
③regsvr32/u %windir%\system32\Wshext.dll
プログラムがfsoオブジェクトを使用しない場合は、fsoコンポーネントもアンインストールし、必要に応じて再登録することをお勧めします.
Regsvr32/u scrrun.dll
六、iis権限を設定する.
Webサイトごとにユーザーを個別に作成します.
①まず、「マイコンピュータ」管理」ローカルコンピュータとグループのユーザーを右クリックし、右側にあります.「新規ユーザー」を右クリックし、新規ユーザーを作成し、パスワードを設定します.図:
たとえば、testをWebサイトにアクセスするユーザーに追加します.
②サイトフォルダ権限の設定
次にインターネット情報サービスマネージャを開きます.該当するサイトが見つかりました.右クリックして、図のように「権限」を選択します.
権限を選択すると、次の図になります.
管理者グループではなく、スーパー管理者を1人だけ保持します(自分で定義できます).システムユーザー(system)、追加されたウェブサイトユーザーもいます.「追加」をクリックすると、さっきシステムで作成したユーザーをtestなどに追加できます.その後、そのユーザ(test)にのみディレクトリの読み取りと実行、参照、読み取りの権限を与えます.その他の権限は与えません.また,スーパーマネージャも書き込み権限を与えず,システムユーザ(system)は「完全制御」権限を取り除く.後点確定を設定します.
③アクセスユーザを設定します.
サイト・プロパティのディレクトリ・セキュリティの編集を右クリックし、testなどのさっき追加したユーザーを匿名アクセス・ユーザーに追加します.パスワードは元のパスワードと一致しています.
サイトへのアクセス権を設定します.
設定するサイトを右クリックします.≪プロパティ|Properties|ldap≫・ホームのローカル・パスの下にある「≪レコードの読取り|Read Record|ldap≫」のみを選択して索引リソースにアクセスします
他は選択しないでください.実行権限選択性「純スクリプト」.スクリプトと実行可能ファイルを選択しないでください.図に示すように、
その他の設定とiisサイトの一般的な設定は、もう言わないでください.
注意:ASPについてNETプログラムはIIS_を設定する必要がありますWPGグループのアカウント権限、アップロードディレクトリの権限設定:ユーザーのウェブサイトに1つまたはいくつかのディレクトリがファイルのアップロードを許可するように設定可能で、アップロードの方式は一般的にASP、PHP、ASPを通じて(通って)NETなどのプログラムが完成します.この場合は、必ずアップロードディレクトリの実行権限を「なし」にしておくと、ASPやPHPなどのスクリプトプログラムやexeプログラムをアップロードしても、ユーザーブラウザで実行をトリガーすることはありません
(スクリプトのみ)を(なし)に変更します.
七、データベースのセキュリティ設定は必ずデータベースのパスワードを設定しなければならない.
また.sqlデータベースの場合、拡張ストレージ・プロシージャxp_をアンインストールすることを推奨します.cmdshell
xp_cmdshellはオペレーティングシステムに入るのに最適な近道であり、データベースがオペレーティングシステムに残した大きなバックドアである.それを外してください.このSQL文を使用します.
use master
sp_dropextendedproc 'xp_cmdshell'
このストレージ・プロシージャが必要な場合は、この文で復元することもできます.
sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'