win2003专业服务器版相关安全知识与设置.doc

1)、系统安全基本设置1.安装说明：系统全部NTFS格式化，重新安装系统（采用原版win2003）,安装杀毒软件(Mcafee)，并将杀毒软件更新，安装sp2补钉，安装IIS（只安装必须的组件）,安装SQL2000，安装.net2.0,开启防火墙。并将服务器打上最新的补钉。 2)、关闭不需要的服务 Computer Browser:维护网络计算机更新，禁用Distributed File System: 局域网管理共享文件，不需要禁用Distributed linktracking client：用于局域网更新连接信息，不需要禁用Error reporting service：禁止发送错误报告Microsoft Serch：提供快速的单词搜索，不需要可禁用NTLMSecuritysupportprovide：telnet服务和Microsoft Serch用的，不需要禁用PrintSpooler：如果没有打印机可禁用Remote Registry：禁止远程修改注册表Remote Desktop Help Session Manager：禁止远程协助 其他服务有待核查 3)、设置和管理账户 1、将Guest账户禁用并更改名称和描述，然后输入一个复杂的密码 2、系统管理员账户最好少建，更改默认的管理员帐户名(Administrator)和描述，密码最好采用数字加大小写字母加数字的上档键组合，长度最好不少于10位 3、新建一个名为Administrator的陷阱帐号，为其设置最小的权限，然后随便输入组合的最好不低于20位的密码 4、计算机配置-Windows设置-安全设置-账户策略-账户锁定策略，将账户设为“三次登陆无效 时间为30分钟 5、在安全设置-本地策略-安全选项中将“不显示上次的用户名”设为启用 6、 在安全设置-本地策略-用户权利分配中将“从网络访问此计算机”中只保留Internet来宾账户、启动IIS进程账户,Aspnet账户 7、创建一个User账户，运行系统，如果要运行特权命令使用Runas命令。 4）、打开相应的审核策略 审核策略更改:成功 审核登录事件:成功,失败 审核对象访问:失败 审核对象追踪:成功,失败 审核目录服务访问:失败 审核特权使用:失败 审核系统事件:成功,失败 审核账户登录事件:成功,失败审核账户管理:成功,失败 5）、 其它安全相关设置 1、禁止C$、D$、ADMIN$一类的缺省共享 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters，在右边的 窗口中新建Dword值，名称设为AutoShareServer值设为0 2、解除NetBios与TCP/IP协议的绑定 右击网上邻居-属性-右击本地连接-属性-双击Internet协议-高级-Wins-禁用TCP/IP上的 NETBIOS 3、隐藏重要文件/目录可以修改注册表实现完全隐藏： “HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrent-VersionExplorerAdvancedFol derHi-ddenSHOWALL”，鼠标右击“CheckedValue”，选择修改，把数值由1改为0 4、防止SYN洪水攻击 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 新建DWORD 值，名为SynAttackProtect，值为2 5、 禁止响应ICMP路由通告报文 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfacesinterface 新建DWORD值，名为PerformRouterDiscovery 值为0 6. 防止ICMP重定向报文的攻击 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 将EnableICMPRedirects 值设为0 7、 不支持IGMP协议 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 新建DWORD 值，名为IGMPLevel 值为0 8、禁用DCOM：运行中输入 Dcomcnfg.exe。 回车， 单击“控制台根节点”下的“组件服务”。 打开“计算机”子 文件夹。对于本地计算机，请以右键单击“我的电脑”，然后选择“属 性”。选择“默认属性”选项卡。清除“在这台计算机上启用分布式 COM”复选框。 9、终端服务的默认端口为3389，可考虑修改为别的端口。修改方法为： 服务器端：打开注册表，在“HKLMSYSTEMCurrent ControlSetControlTerminal ServerWin Stations” 处找到类似RDP-TCP的子键，修改PortNumber值。 客户端：按正常步骤建一个客户端连接，选中这个连接，在“文件”菜单中选择导出，在指定位置会 生成一个后缀为.cns的文件。打开该文件，修改“Server Port”值为与服务器端的PortNumber对应的 值。然后再导入该文件（方法：菜单文件导入），这样客户端就修改了端口。6）、配置 IIS 服务1、不使用默认的Web站点，如果使用也要将 将IIS目录与系统磁盘分开。2、删除IIS默认创建的Inetpub目录（在安装系统的盘上）。3、删除系统盘下的虚拟目录，如：_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、 MSADC。4、删除不必要的IIS扩展名映射。右键单击“默认Web站点属性主目录配置”，打开应用程序窗口，去掉不必要的应用程序映 射。主要为.shtml, .shtm, .stm 5、更改IIS日志的路径右键单击“默认Web站点属性-网站-在启用日志记录下点击属性6、如果使用的是2000可以使用iislockdown来保护IIS，在2003运行的IE6.0的版本不需要。 7、使用UrlScan UrlScan是一个ISAPI筛选器，它对传入的HTTP数据包进行分析并可以拒绝任何可疑的通信量。 目前最新的版本是2.5，如果是2000Server需要先安装1.0或2.0的版本。如果没有特殊的要求采用UrlScan默认配置就可以了。但如果你在服务器运行ASP.NET程序，并要进行调试你需打开要 %WINDIR%System32InetsrvURLscan，文件夹中的URLScan.ini 文件，然后在UserAllowVerbs节添 加debug谓词，注意此节是区分大小写的。如果你的网页是.asp网页你需要在DenyExtensions删除.asp相关的内容。如果你的网页使用了非ASCII代码，你需要在Option节中将AllowHighBitCharacters的值设为1 在对URLScan.ini 文件做了更改后，你需要重启IIS服务才能生效，快速方法运行中输入iisreset 如果你在配置后出现什么问题，你可以通过添加/删除程序删除UrlScan。8、利用WIS (Web Injection Scanner)工具对整个网站进行SQL Injection 脆弱性扫描. 7）、配置Sql服务器1、System Administrators 角色最好不要超过两个3、不要使用Sa账户，为其配置一个超级复杂的密码4、删除以下的扩展存储过程格式为：use master sp_dropextendedproc 扩展存储过程名 xp_cmdshell：是进入操作系统的最佳捷径，删除访问注册表的存储过程，删除Xp_regaddmultistringXp_regdeletekeyXp_regdeletevalueXp_regenumvalues Xp_regread Xp_regwrite Xp_regremovemultistring OLE自动存储过程，不需要删除Sp_OACreate Sp_OADestroySp_OAGetErrorInfoSp_OAGetProperty Sp_OAMethodSp_OASetPropertySp_OAStop 5、隐藏 SQL Server、更改默认的1433端口右击实例选属性-常规-网络配置中选择TCP/IP协议的属性，选择隐藏 SQL Server 实例，并改原默 认的1433端口。 8）、修改系统日志保存地址 默认位置为 应用程序日志、安全日志、系统日志、DNS日志默认位置：%systemroot%system32config，默认 文件大小512KB，管理员都会改变这个默认大小。 安全日志文件：%systemroot%system32configSecEvent.EVT 系统日志文件：%systemroot%system32configSysEvent.EVT 应用程序日志文件：%systemroot%system32configAppEvent.EVT Internet信息服务FTP日志默认位置：%systemroot%system32logfilesmsftpsvc1，默认每天一个日 志 Internet信息服务WWW日志默认位置：%systemroot%system32logfilesw3svc1，默认每天一个日 志 Scheduler(任务计划)服务日志默认位置：%systemroot%schedlgu.txt 应用程序日志，安全日志，系统日志，DNS服务器日志，它们这些LOG文件在注册表中的： HKEY_LOCAL_MACHINESystemCurrentControlSetServicesEventlog Schedluler(任务计划)服务日志在注册表中 HKEY_LOCAL_MACHINESOFTWAREMicrosoftSchedulingAgent SQL 删掉或改名xplog70.dll HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters AutoShareServer=dword:00000000 AutoShareWks=dword:00000000 / AutoShareWks 对pro版本 / AutoShareServer 对server版本 / 0 禁止管理共享admin$,c$,d$之类默认共享 HKEY_LOCAL_MACHINESystemCurrentControlSetControlLSA restrictanonymous=dword:00000001 /0x1 匿名用户无法列举本机用户列表 /0x2 匿名用户无法连接本机IPC$共享(可能sql server不能够启动 9）、本地安全策略 1只开放服务需要的端口与协议。 具体方法为：按顺序打开“网上邻居属性本地连接属性Internet 协议属性高级选项 TCP/IP筛选属性”，添加需要的TCP、UDP端口以及IP协议即可。根据服务开设口，常用的TCP 口有：80口用于Web服务；21用于FTP服务；25口用于SMTP；23口用于Telnet服务；110口 用于POP3。常用的UDP端口有：53口DNS域名解析服务；161口snmp简单的网络管理协议。 8000、4000用于OICQ，服务器用8000来接收信息，客户端用4000发送信息。 封TCP端口: 21(FTP,换FTP端口)23(TELNET),53(DNS),135,136,137,138,139,443,445,1028,1433,3389 可封TCP端口:1080,3128,6588,8080(以上为代理端口).25(SMTP),161(SNMP),67(引导) 封UDP端口:1434(这个就不用说了吧) 封所有ICMP,即封PING 以上是最常被扫的端口,有别的同样也封,当然因为80是做WEB用的 2、禁止建立空连接 默认情况下，任何用户可通过空连接连上服务器，枚举账号并猜测密码。空连接用的端口是139， 通过空连接，可以复制文件到远端服务器，计划执行一个任务，这就是一个漏洞。可以通过以下两 种方法禁止建立空连接： （1） 修改注册表中Local_MachineSystem CurrentControlSetControlLSA-RestrictAnonymous 的值为1。 （2） 修改Windows 2000的本地安全策略。设置“本地安全策略本地策略选项”中的 RestrictAnonymous（匿名连接的额外限制）为“不容许枚举SAM账号和共享”。 首先，Windows 2000的默认安装允许任何用户通过空连接得到系统所有账号和共享列表，这本来 是为了方便局域网用户共享资源和文件的，但是，同时任何一个远程用户也可以通过同样的方法得 到您的用户列表，并可能使用暴力法破解用户密码给整个网络带来破坏。很多人都只知道更改注册 表Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous = 1来禁止空用户连接， 实际上Windows 2000的本地安全策略里（如果是域服务器就是在域服务器安全和域安全策略里） 就有RestrictAnonymous选项，其中有三个值：“0”这个值是系统默认的，没有任何限制，远程用户 可以知道您机器上所有的账号、组信息、共享目录、网络传输列表(NetServerTransportEnum)等；“1” 这个值是只允许非NULL用户存取SAM账号信息和共享信息；“2”这个值只有Windows 2000才支 持，需要注意的是，如果使用了这个值，就不能再共享资源了，所以还是推荐把数值设为“1”比较 好。 10)、防止asp木马 1、基于FileSystemObject组件的asp木马 cacls %systemroot%system32scrrun.dll /e /d guests /禁止guests使用 regsvr32 scrrun.dll /u /s /删除 2基于shell.application组件的asp木马 cacls %systemroot%system32shell32.dll /e /d guests /禁止guests使用 regsvr32 shell32.dll /u /s /删除 3将图片文件夹的权限设置为不允许运行。 4.如果网站中不存在有asp的话，禁用asp 11）、防止SQL注入 1尽量使用参数化语句 2无法使用参数化的SQL使用过滤。 3网站设置为不显示详细错误信息，页面出错时一律跳转到错误页面。 4.不要使用sa用户连接数据库 5、新建一个public权限数据库用户，并用这个用户访问数据库 6、角色去掉角色public对sysobjects与syscolumns对象的select访问权限最后强调一下，以上设置可能会影响到有些应用服务，例如导至不能连接上远程服务器，因此强烈建议，以上设置首先在本地机器或虚拟机(VMware Workstation)上做好设置，确定没事之后然后再在服务器上做。Win 2003安全检测 让入侵者无处遁形作者：甘肃老五出处：IT专家网2008-08-13 09:13Windows Server 2003是服务器版的系统，个人用户时有使用，但其多被用来做服务器的系统平台。攻击者更愿意获取其控制权，因此它面临的安全威胁也最大。安全策略检测主要从下面几个方面入手：(1).协议相关：打开“本地连接”的属性，查看“常规”中是否只勾选了“TCP/IP协议”。因为一个安全的Server 2003其他的选项是不需要，但这也许是攻击者所需要的。(2).TCP/IP筛选：打开“TCP/IP”协议设置，点“高级”“选项”，查看“IP安全机制”是否是设定的IP策略，查看“TCP/IP”筛选允许的端口有没有被更改。(3).IP安全策略：依次打开“管理工具”“本地安全策略”，查看目前使用的IP安全策略是否发生更改。(4).本地策略：在“本地安全策略”查看“本地策略”下的“用户权限分配”和“安全选项”相关策略有无更改。比如“使用空白密码的本地帐户只允许进行控制台登录”策略默认是“启用”的，攻击者可能基于远程登录的需要会改为“已禁用”。(图11)总结：Windows Server 2003不管是作为个人系统还是服务器系统，安全检测是非常重要的。只要我们提高警惕，进行针对上述系统敏感区域的检测就能够在极大程度上提升系统安全，让入侵者无处遁形。Windows Server 2003是服务器版的系统，个人用户时有使用，但其多被用来做服务器的系统平台。攻击者更愿意获取其控制权，因此它面临的安全威胁也最大。2.检查当前进程情况进程是非常重要的一项，通过其可以查看是否可疑的程序在系统中运行。在一般情况下，可以通过“任务管理器”查看Server 2003进程情况，在其“进程”选项卡下Server 2003当前显式进程一目了然。甄别是否是危险进程，管理员要对系统进程或者常用程序的进程比较了解。对于拿不准的进程或者说不知道是Server 2003上哪个应用程序开启的进程，可以在网络上搜索一下该进程名加以确定。比如大家可以在“进程知识库”()进行查看比对。该网站比较详细地列举了“系统进程”、“应用程序进程”、“存在安全风险的进程”。当然，病毒、木马的进程是可以由攻击者更改的，但它们为了达到目的往往会在进程名上做文章，一般会取一个与系统进程类似的名称。通常迷惑手段是变字母o为数字0，变字母l为数字1，如svch0st.exe、exp1orer.exe等，此时要仔细辨别。(图3)虽然Windows Server 2003集成了进程查看器，但其功能比较简陋而且对一些通过Hook或者Rootkit方式插入正常系统进程或者隐藏的进程显得无能为力。笔者推荐类似IceSword(冰刃)这样的工具，通其可以查看进程的线程及其该进程调用的模块信息，从而帮助管理员找到隐藏的进程。(图4)相关消息：3.检查系统文件攻击者在入侵中或者入侵成功后，会在系统文件上做文章隐藏保护入侵工具(一般是木马的客户端)。其主要手段是替换同名的系统文件(exe和dll文件)，或者实施系统文件与木马的捆绑。检测系统文件，笔者建议在Server 2003系统安装完毕之后用“dir *.exe /s 1.txt”将系统盘所有的exe文件列表保存下来。这样，在检测时，先该命令生成一份当前Server 2003系统盘文件列表，然后用FC命令比较两个文件从而发现可疑文件，对于dll文件的检测方法类似。需要注意的是打补丁或者安装软件后重新生成一次原始列表。检查相关系统文件是否被替换或系统中是否被安装了木马后门等恶意程序。(图5)对于被捆绑的系统文件的安全检测，笔者建议可以通过SFC命令还原纯净的系统文件。必要时可运行一次杀毒程序对系统盘进行一次扫描处理。4.检查目录权限Server 2003支持NTFS文件格式，我们一般要对磁盘、目录的权限往往经过严格的设置。这些设置加固了系统的安全，限制的攻击者的入侵。因此，攻击者在攻击过程中或者攻击完成后，往往要对目录的权限进行调整，以方便自己后期的使用。比如攻击者在获得一Web站点的webshell后，就要进行进一步的渗透、提权等操作，其中对于目录权限的突破是一个手段。所以，对于磁盘、目录权限的检测也是系统入侵检测的一个重要方面。(图6)(1).需要检查权限的磁盘、目录有：系统盘及其它分区，%windir%、%windir%system32、%windir%system32inetsrv、%windir%system32inetsrvdata、documents Settings，如果是虚拟主机还应该有每个Web站点的目录。(2).对于用serv-u部署的FTPServer 2003，需要查看serv-u安装目录的权限是否做过变动。(3).检查system32下的某些重要系统命令的权限有无更改，这些命令文件是：cmd、net、ftp、tftp、cacls等。5.检查启动项攻击者在控制Server 2003后，往往会上传一个木马服务端，这个服务端除了注册为系统Server 2003外，有的会添加到系统启动项里随系统启动。因此，对Server 2003的入侵检测启动项也是一个重要的地方。启动项的检查可用的方法主要有以下三个：(1).Msconfig工具。运行该工具，在“启动”选项卡下可以看到随系统启动的程序，只需取消对可疑程序启动的勾选即可。(2).regedit(注册表)工具。运行该工具，定位到如下注册表项下进行检查：HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunHKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunHKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices以上的键值会出现在msconfig的“启动”项中。HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnceHKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnceHKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnce以上的键值比较隐蔽HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonShell=EXPLORER.EXE,*.exe*为某病毒或者木马的可执行文件，这种方法非常隐蔽，被当前的许多病毒采用。(3).专门工具。这样的工具比较多，比如RegRunFirst就不错。运行后点选左边相关的注册表启动项项，就可以看到该项下的启动程序。另外，C:Documents and SettingsAdministrator开始菜单程序启动也是个比较危险的地方。比如攻击者获得了一WebServer 2003的webshell，没有命令执行权限但具有对该目录的写权限，就可以向该目录上传木马程序等Server 2003重启后木马也就运行了。(图7)相关消息：二、容易被忽视的安全角落1.检查系统服务攻击者在攻克Server 2003后，往往会上传一个木马的服务端从而实现对Server 2003的远程控制。这些木马的服务端往往是以服务的形式随系统启动而运行的。对这木马服务端的检测，可以通过系统的“服务”工具实现。运行services.msc，检查处于已启动状态的服务，查看是否有新加的未知服务并确定服务的用途。对于不清楚的服务打开该服务的属性，查看该服务所对应的可执行文件是什么，如果确定该文件是系统内的正常使用的文件，可粗略放过。查看是否有其他正常开放服务依存在该服务上，如果有，可以粗略的放过。如果无法确定该执行文件是否是系统内正常文件并且没有其他正常开放服务依存在该服务上，可暂时停止掉该服务，然后测试下各种应用是否正常。对于一些后门由于采用了hook系统API技术，添加的服务项目在服务管理器中是无法看到的，这时需要打开注册表中的HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices项进行查找，通过查看各服务的名称、对应的执行文件来确定是否是后门、木马程序等。需要提醒的是，这些木马的服务端在生成之前都可以进行设置。比如服务端运行后进程的名称、释放的目录、Server 2003描述等，所以管理员一定要仔细辨别。(图8)2.查看相关日志Server 2003中的日志有很多类，与笔者认为与入侵检测相关首先是“安全”日志，该日志记录了用户(本地或者远程)系统的详细信息。另外，与Server 2003中运行的服务相关的比如DNS、IIS等也是入侵检测中特别注意的。运行eventvwr.msc，点击“安全性”就可以在右边看到与安全相关的日志。比如第一条日志显示LW用户在2008-6-21的12:46:23远程登陆了系统图9，如果管理员自己没有登录或者系统中本来没有该用户，那么就可以断定Server 2003被入侵了。(图9)相关消息：Server 2003中的日志信息往往非常多，要对这么多的日志信息进行分析显然是不可能的，我们可以在日志记录上点右键选“属性”，在“筛选器”中设置一个日志筛选器根据自己的需要进行筛选，过滤无用的信息。如果要分析Web是否被入侵，可以打开“IIS管理器”定位到其日志文件进行查看。不过，web日志是非常多的，因此需要通过专门的工具进行分析，比如“Web Log Explorer”就是一款不错的工具，可以查看浏览者的IP及其该IP访问、下载或者修改了哪些文件等等。(图10)正因为，日志会记录入侵者的踪迹。所有狡猾的入侵者往往在入侵后会对日志进行操作，擦除入侵痕迹。常见的手段是：(1).删掉日志。这是最低级的做法，虽然消除了日志，但也暴露了入侵者自己。如果是这样，管理员看到日志被删除可以马上断定Server 2003被入侵。(2).部分删除。一些比较高明的入侵者在入侵结束后会删除日志中与自己相关的部分。如果这样，管理员可以实施对日志的监控保护，一旦发现日志有删除的痕迹就可以进行入侵检测。(3).部分修改。这是一些高明的入侵者采用的方法，他们在入侵结束后会修改与自己相关的日志，以欺骗管理员或者嫁祸于人，金蝉脱壳。对才，管理员可以采取同上的方法，不过还要进行一定的分析。最后，笔者以一个安全爱好者的角度建议管理员一定要备份好Server 2003的日志。3.检查安全策略是否更改Server 2003的安全级别比较高，其默认的安全策略限制了攻击者的很多行为，因此他们在入侵过程中或者入侵后往往对Server 2003的安全策略进行调整设置以利用对Server 2003的长久控制。所以，安全策略检测也是Server 2003入侵检测的一个重要方面。安全策略检测主要从下面几个方面入手：(1).协议相关：打开“本地连接”的属性，查看“常规”中是否只勾选了“TCP/IP协议”。因为一个安全的Server 2003其他的选项是不需要，但这也许是攻击者所需要的。(2).TCP/IP筛选：打开“TCP/IP”协议设置，点“高级”“选项”，查看“IP安全机制”是否是设定的IP策略，查看“TCP/IP”筛选允许的端口有没有被更改。(3).IP安全策略：依次打开“管理工具”“本地安全策略”，查看目前使用的IP安全策略是否发生更改。(4).本地策略：在“本地安全策略”查看“本地策略”下的“用户权限分配”和“安全选项”相关策略有无更改。比如“使用空白密码的本地帐户只允许进行控制台登录”策略默认是“启用”的，攻击者可能基于远程登录的需要会改为“已禁用”。(图11)总结：Windows Server 2003不管是作为个人系统还是服务器系统，安全检测是非常重要的。只要我们提高警惕，进行针对上述系统敏感区域的检测就能够在极大程度上提升系统安全，让入侵者无处遁形。Windows Server 2003作为Microsoft 最新推出的服务器操作系统，相比Windows 2000/XP系统来说，各方面的功能确实得到了增强，尤其在安全方面，总体感觉做的还算不错。但“金无足赤”任何事物也没有十全十美的，微软Windows 2003也是如此，照样存在着系统漏洞、存在着不少安全隐患！无论你用计算机欣赏音乐、上网冲浪、运行游戏，还是编写文档都要不可避免地遭受新病毒泛滥时的威胁，如何让Windows Server 2003更加安全，成为广大用户十分关注的问题。 一、 取消IE安全提示对话框 面对黑客组织恶意程序的攻击，微软公司一直都在努力致力于降低产品的安全隐患，这是有目共睹的。微软新一代的Windows Server 2003操作系统在安全性能方面就得到了加强。比如在使用 Windows Server 2003自带的IE浏览器浏览网页时，每次都会弹出一个安全提示框，“不厌其烦”地提示我们，是否需要将当前访问的网站添加到自己信任的站点中去；如果表示不信任的话，只能单击“关闭”按钮；而要是想浏览该站点的话，就必须单击“添加”按钮，将该网页添加到信任网站的列表中去。不过每次访问网页，都要经过这样的步骤，实在是太烦琐了。其实我们可以通过下面的方法来让IE取消对网站安全性的检查： 1.一旦系统打开安全提示页面时，你可以用鼠标将其中的“当网站的内容被堵塞时继续提示”复选项选中； 2.在浏览界面中，用鼠标单击“工具”菜单项，从打开的下拉菜单中执行“Internet选项”命令； 3.在弹出的选项设置界面中，你可以将系统默认状态下的最高安全级别设置为中等级别； 4.设置时，只要在“安全”标签页面中，拖动其中的安全滑块到“中”位置处就可以了； 5.完成设置后，单击“确定”按钮，就可以将浏览器的安全自动提示页面取消了。 经过修改IE的默认安全级别的设置，再上网的时候，IE就不会自动去检查网站的安全性了，麻烦解决了吧！二、重新支持 ASP 脚本 提起ASP(ActiveServerPage)大家都会联想到Windows，它以其强大的功能，简单易学的特点而受到广大WEB开发人员的喜欢。但为了将系统安全隐患降到最低限度，Windows Server 2003操作系统在默认状态下，是不支持ASP脚本运行的系统将不会再对网站中的ASP代码进行任何的操作；但现在许多网页的服务功能多是通过ASP脚本来实现的，怎么办？其实我们完全可以在系统安全得到保障的前提下，让系统重新支持ASP脚本。具体实现的方法为： 1.在系统的开始菜单中，依次单击“管理工具”/“Internet信息服务管理器”命令（如图1）。 图1 2.在随后出现的Internet信息服务属性设置窗口中，用鼠标选中左侧区域中的“Web服务器扩展”选项； 3.接着在对应该选项右侧的区域中，用鼠标双击“Actives server pages”选项，然后将“任务栏”设置项处的“允许”按钮单击一下，系统中的IIS6就可以重新支持ASP脚本了（如图2）。 图2 用户最关心的问题大概就是原有的ASP组件是否还可以继续使用？我可以告诉大家，经这番修改设置，系统中的IIS6重新支持ASP脚本了，一切的操作是不是很简单啊！ 三、清除默认共享隐患 使用Windows Server 2003的用户都会碰到一个问题，就是系统在默认安装时，都会产生默认的共享文件夹。虽然用户并没有设置共享，但每个盘符都被Windows自动设置了共享，其共享名为盘符 后面加一个符号（共享名称分别为c$、d$、ipc$以及admin$）。也就是说，只要攻击者知道了该系统的管理员密码，就有可能通过“工作站名共享名称”的方法，来打开系统的指定文件夹，如此一来，用户精心设置的安全防范岂不成了摆设？还有安全嘛！为此，我们很有必要将Windows Server 2003系统默认的共享隐患，立即从系统中清除掉。 1、删除Windows Server 2003默认共享 首先编写如下内容的批处理文件： echo off net share C$ /del net share D$ /del net share E$ /del net share F$ /del net share admin$ /del 以上文件的内容用户可以根据自己需要进行修改。保存为delshare.bat，存放到系统所在文件夹下的system32GroupPolicyUserScriptsLogon目录下。然后在开始菜单运行中输入gpedit.msc， 回车即可打开组策略编辑器。点击用户配置Windows设置脚本(登录/注销)登录（如图3）。 图3 在出现的“登录 属性”窗口中单击“添加”，会出现“添加脚本”对话框，在该窗口的“脚本名”栏中输入delshare.bat，然后单击“确定”按钮即可（如图4）。 图4 重新启动计算机系统，就可以自动将系统所有的隐藏共享文件夹全部取消了，这样就能将系统安全隐患降低到最低限度。 2、禁用IPC连接 IPC$(Internet Process Connection)是共享“命名管道”的资源，它是为了让进程间通信而开放的命名管道，通过提供可信任的用户名和口令，连接双方计算机即可以建立安全的通道并以此通道进行 加密 数据的交换，从而实现对远程计算机的访问。它是Windows NT/2000/XP/2003特有的功能，但它有一个特点，即在同一时间内，两个IP之间只允许建立一个连接。NT/2000/XP/2003在提供了ipc$功能的同时，在初次安装系统时还打开了默认共享，即所有的逻辑共享(c$,d$,e$)和系统目录winnt或windows(admin$)共享。所有的这些，微软的初衷都是为了方便管理员的管理，但也为简称为IPC入侵者有意或无意的提供了方便条件，导致了系统安全性能的降低。在建立IPC的连接中不需要任何黑客工具，在命令行里键入相应的命令就可以了，不过有个前提条件，那就是你需要知道远程主机的用户名和密码。打开CMD后输入如下命令即可进行连接：net useipipc$ password /user:usernqme。我们可以通过修改 注册表 来禁用IPC连接。打开注册表编辑器。找到如下组建HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa中的restrictanonymous子键，将其值改为1即可禁用IPC连接（如图5）。 图5 四、清空远程可访问的注册表路径 大家都知道，Windows 2003操作系统提供了注册表的远程访问功能，只有将远程可访问的注册表路径设置为空，这样才能有效的防止黑客利用扫描器通过远程注册表读取计算机的系统信息及其它信息（如图6）。 图6 打开组策略编辑器，依次展开“计算机配置Windows 设置安全设置本地策略安全选项”，在右侧窗口中找到“网络访问：可远程访问的注册表路径”，然后在打开的窗口中，将可远程访问的注册表路径和子路径内容全部设置为空即可（如图7）。 图7 五、关闭不必要的端口 对于个人用户来说安装中默认的有些端口确实是没有什么必要的，关掉端口也就是关闭无用的服务。139端口是NetBIOS协议所使用的端口，在安装了TCP/IP 协议的同时，NetBIOS 也会被作为默认设置安装到系统中。139端口的开放意味着硬盘可能会在网络中共享；网上黑客也可通过NetBIOS知道你的电脑中的一切！在以前的Windows版本中，只要不安装Microsoft网络的文件和打印共享协议，就可关闭139端口。但在Windows Server 2003中，只这样做是不行的。如果想彻底关闭139端口，具体步骤如下： 鼠标右键单击“网络邻居”，选择“属性”，进入“网络和拨号连接”，再用鼠标右键单击“本地连接”，选择“属性”，打开“本地连接 属性”页（如图8）， 图8 然后去掉“Microsoft网络的文件和打印共享”前面的“”（如图9）， 图9 接下来选中“Internet协议(TCP/IP)”，单击“属性”“高级”“WINS”，把“禁用TCP/IP上的NetBIOS”选中，即任务完成(如图10)！ 图10 对于个人用户来说，可以在各项服务属性设置中设为“禁用”，以免下次重启服务也重新启动，端口也开放了。 假如你的电脑中还装了IIS，你最好重新设置一下端口过滤。步骤如下：选择网卡属性，然后双击“Internet协议(TCP/IP)”，在出现的窗口中单击“高级”按钮，会进入“高级TCP/IP设置”窗口，接下来选择“选项”标签下的“TCP/IP 筛选”项，点“属性”按钮，会来到“TCP/IP 筛选”的窗口，在该窗口的“启用TCP/IP筛选(所有适配器)”前面打上“”，然后根据需要配置就可以了。如果你只打算浏览网页，则只开放TCP端口80即可，所以可以在“TCP端口”上方选择“只允许”，然后单击“添加”按钮，输入80再单击“确定”即可（如图11） 图11 六、杜绝非法访问应用程序 Windows Server 2003是一种服务器操作系统，为了防止登陆到其中的用户，随意启动服务器中的应用程序，给服务器的正常运行带来不必要的麻烦，我们很有必要根据不同用户的访问权限，来限制。 他们去调用应用程序。实际上我们只要使用组策略编辑器作进一步的设置，即可实现这一目的，具体步骤如下： 打开“组策略编辑器”的方法为：依次点击“开始运行”，在“运行”对话框中键入“gpedit.msc”命令并回车，即可打开“组策略编辑器”窗口。然后依次打开“组策略控制台用户配置管理模 板系统”中的“只运行许可的应用程序”并启用此策略（如图12）。 图12 然后点击下面的“允许的应用程序列表”边的“显示”按钮，弹出一个“显示内容”对话框，在此单击“添加”按钮来添加允许运行的应用程序即可（如图13）。 以后一般用户只能运行“允许的应用程序列表”中的程序。win2003安全设置第一招：正确划分文件系统格式，选择稳定的操作系统安装盘 为了提高安全性，服务器的文件系统格式一定要划分成NTFS（新技术文件系统）格式，它比FAT16、FAT32的安全性、空间利用率都大大的提高，我们可以通过它来配置文件的安全性，磁盘配额、EPS文件加密等。如果你已经分成FAT32的格式了，可以用CONVERT 盘符 /FS：NTFS /V 来把FAT32转换成NTFS格式。正确安装windows 2003 server,在/SoftView/SoftView_78.asp有 windows 2003的大客户企业可升级版，可以直接网上升级,我们安装时尽量只安装我们必须要用的组件，安装完后打上最新的补丁，到网上升级到最新版本！保证操作系统本身无漏洞。 第二招：正确设置磁盘的安全性,具体如下(虚拟机的安全设置，我们以asp程序为例子)重点： 1、系统盘权限设置 C:分区部分： c: administrators 全部(该文件夹，子文件夹及文件) CREATOR OWNER全部(只有子文件来及文件) system 全部(该文件夹，子文件夹及文件) IIS_WPG 创建文件/写入数据(只有该文件夹) IIS_WPG(该文件夹，子文件夹及文件) 遍历文件夹/运行文件 列出文件夹/读取数据 读取属性 创建文件夹/附加数据 读取权限 c:Documents and Settings administrators 全部(该文件夹，子文件夹及文件) Power Users (该文件夹，子文件夹及文件) 读取和运行 列出文件夹目录 读取 SYSTEM全部(该文件夹，子文件夹及文件) C:Program Files administrators 全部(该文件夹，子文件夹及文件) CREATOR OWNER全部(只有子文件来及文件) IIS_WPG (该文件夹，子文件夹及文件) 读取和运行 列出文件夹目录 读取 Power Users(该文件夹，子文件夹及文件) 修改