win2003server配置与管理.doc

Windows 2003 server配制与管理Windows Server 2003提供了诸多强大的网络服务功能，而且极易上手，网管不需要太多的培训即可配置和管理。不过，要配置一个安全的Windows Server 2003服务器，需要有经验的网管手动配置很长时间：需要在提供各种服务的同时，保证服务器的安全稳定运行，最大限度地抵御病毒和黑客的入侵，这是每个网管的基本追求。 一、Windows Server2003的安装 1、安装系统最少需要2个分区，分区格式都采用NTFS格式 2、在断开网络的情况安装好2003系统 3、安装IIS，仅安装必要的 IIS 组件（禁用不需要的如FTP 和 SMTP 服务）。默认情况下，IIS服务没有安装，在添加/删除Win组件中选择“应用程序服务器”，然后点击“详细信息”，双击Internet信息服务(iis)，勾选以下选项： Internet 信息服务管理器； 公用文件； 后台智能传输服务 (BITS) 服务器扩展； 万维网服务。 如果你使用 FrontPage 扩展的 Web 站点再勾选：FrontPage 2002 Server Extensions 4、安装MSSQL及其它所需要的软件然后进行Update。 5、使用Microsoft 提供的 MBSA（Microsoft Baseline Security Analyzer） 工具分析计算机的安全配置，并标识缺少的修补程序和更新。下载地址：见页末的链接 二、设置和管理账户 1、系统管理员账户最好少建，更改默认的管理员帐户名（Administrator）和描述，密码最好采用数字加大小写字母加数字的上档键组合，长度最好不少于14位。 2、新建一个名为Administrator的陷阱帐号，为其设置最小的权限，然后随便输入组合的最好不低于20位的密码 3、将Guest账户禁用并更改名称和描述，然后输入一个复杂的密码，当然现在也有一个DelGuest的工具，也许你也可以利用它来删除Guest账户，但我没有试过。 4、在运行中输入gpedit.msc回车，打开组策略编辑器，选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略，将账户设为“三次登陆无效”，“锁定时间为30分钟”，“复位锁定计数设为30分钟”。 5、在安全设置-本地策略-安全选项中将“不显示上次的用户名”设为启用 6、在安全设置-本地策略-用户权利分配中将“从网络访问此计算机”中只保留Internet来宾账户、启动IIS进程账户。如果你使用了A还要保留Aspnet账户。 7、创建一个User账户，运行系统，如果要运行特权命令使用Runas命令。 三、安全配制 1、禁止C$、D$、ADMIN$一类的缺省共享打开注册表，HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters，在右边的窗口中新建Dword值，名称设为AutoShareServer值设为0 2、 解除NetBios与TCP/IP协议的绑定 右击网上邻居-属性-右击本地连接-属性-双击Internet协议-高级-Wins-禁用TCP/IP上的NETBIOS 3、关闭不需要的服务，以下为建议选项 Computer Browser:维护网络计算机更新，禁用 Distributed File System: 局域网管理共享文件，不需要禁用 Distributed linktracking client：用于局域网更新连接信息，不需要禁用 Error reporting service：禁止发送错误报告 Microsoft Serch：提供快速的单词搜索，不需要可禁用 NTLMSecuritysupportprovide：telnet服务和Microsoft Serch用的，不需要禁用 PrintSpooler：如果没有打印机可禁用 Remote Registry：禁止远程修改注册表 Remote Desktop Help Session Manager：禁止远程协助 先关闭不需要的端口我比较小心，先关了端口。只开了3389 21 80 1433有些人一直说什么默认的3389不安全，对此我不否认，但是利用的途径也只能一个一个的穷举爆破，你把帐号改了密码设置为十五六位，我估计他要破上好几年，哈哈!办法:本地连接-属性-Internet协议(TCP/IP)-高级-选项-TCP/IP筛选-属性-把勾打上 然后添加你需要的端口即可。PS一句:设置完端口需要重新启动!当然大家也可以更改远程连接端口方法:Windows Registry Editor Version 5.00HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-TcpPortNumber=dword:00002683保存为.REG文件双击即可!更改为9859，当然大家也可以换别的端口， 直接打开以上注册表的地址，把值改为十进制的输入你想要的端口即可!重启生效!还有一点，在2003系统里，用TCP/IP筛选里的端口过滤功能，使用FTP服务器的时候，只开放21端口，在进行FTP传输的时候，FTP 特有的Port模式和Passive模式，在进行数据传输的时候，需要动态的打开高端口，所以在使用TCP/IP过滤的情况下，经常会出现连接上后无法列出目录和数据传输的问题。所以在2003系统上增加的windows连接防火墙能很好的解决这个问题，所以都不推荐使用网卡的TCP/IP过滤功能。所做FTP下载的用户看仔细点，表怪俺说俺写文章是垃圾.如果要关闭不必要的端口，在system32driversetcservices中有列表，记事本就可以打开的。如果懒惰的话，最简单的方法是启用WIN2003的自身带的网络防火墙，并进行端口的改变。功能还可以!Internet 连接防火墙可以有效地拦截对Windows 2003服务器的非法入侵，防止非法远程主机对服务器的扫描，提高Windows 2003服务器的安全性。同时，也可以有效拦截利用操作系统漏洞进行端口攻击的病毒，如冲击波等蠕虫病毒。如果在用Windows 2003构造的虚拟路由器上启用此防火墙功能，能够对整个内部网络起到很好的保护作用。关于端口的介绍可以访问:/viewthread.php?tid=7&extra=page%3D14、磁盘权限设置C盘只给administrators 和system权限，其他的权限不给，其他的盘也可以这样设置，这里给的system权限也不一定需要给，只是由于某些第三方应用程序是以服务形式启动的，需要加上这个用户，否则造成启动不了。Windows目录要加上给users的默认权限，否则ASP和ASPX等应用程序就无法运行。以前有朋友单独设置Instsrv和temp等目录权限，其实没有这个必要的。另外在c:/Documents and Settings/这里相当重要，后面的目录里的权限根本不会继承从前的设置，如果仅仅只是设置了C盘给administrators权限，而在All Users/Application Data目录下会 出现everyone用户有完全控制权限，这样入侵这可以跳转到这个目录，写入脚本或只文件，再结合其他漏洞来提升权限;譬如利用serv-u的本地溢出提升权限，或系统遗漏有补丁，数据库的弱点，甚至社会工程学等等N多方法，从前不是有牛人发飑说:只要给我一个webshell，我就能拿到system，这也的确是有可能的。在用做web/ftp服务器的系统里，建议是将这些目录都设置的锁死。其他每个盘的目录都按照这样设置，没个盘都只给adinistrators权限。另外，还将:net.exe NET命令cmd.exe CMD 懂电脑的都知道咯tftp.exenetstat.exeregedit.exe at.exeattrib.execacls.exe ACL用户组权限设置，此命令可以在NTFS下设置任何文件夹的任何权限!偶入侵的时候没少用这个.(:format.exe 大家都知道ASP木马吧，有个CMD运行这个的，这些如果都可以在CMD下运行.55，估计别的没啥，format下估计就哭料(:这些文件都设置只允许administrators访问。5、防火墙、杀毒软件的安装关于这个东西的安装其实我也说不来，反正安装什么的都有，建议使用卡巴，卖咖啡。6、SQL2000 SERV-U FTP安全设置SQL安全方面（1）、System Administrators 角色最好不要超过两个（2）、如果是在本机最好将身份验证配置为Win登陆（3）、不要使用Sa账户，为其配置一个超级复杂的密码（4）、删除以下的扩展存储过程格式为:use mastersp_dropextendedproc 扩展存储过程名xp_cmdshell:是进入操作系统的最佳捷径，删除访问注册表的存储过程，删除Xp_regaddmultistringXp_regdeletekeyXp_regdeletevalueXp_regenumvaluesXp_regreadXp_regwriteXp_regremovemultistringOLE自动存储过程，不需要删除Sp_OACreateSp_OADestroySp_OAGetErrorInfoSp_OAGetPropertySp_OAMethodSp_OASetPropertySp_OAStop（5）、隐藏 SQL Server、更改默认的1433端口右击实例选属性-常规-网络配置中选择TCP/IP协议的属性，选择隐藏 SQL Server 实例，并改原默认的1433端口serv-u的几点常规安全需要设置下:选中Block FTP_bounceattack and FXP。什么是FXP呢?通常，当使用FTP协议进行文件传输时，客户端首先向FTP服务器发出一个PORT命令，该命令中包含此用户的IP地址和将被用来进行数据传输的端口号，服务器收到后，利用命令所提供的用户地址信息建立与用户的连接。大多数情况下，上述过程不会出现任何问题，但当客户端是一名恶意用户时，可能会通过在PORT命令中加入特定的地址信息，使FTP服务器与其它非客户端的机器建立连接。虽然这名恶意用户可能本身无权直接访问某一特定机器，但是如果FTP服务器有权访问该机器的话，那么恶意用户就可以通过FTP服务器作为中介，仍然能够最终实现与目标服务器的连接。这就是FXP，也称跨服务器攻击。选中后就可以防止发生此种情况。7、IIS安全设置IIS的安全:1、不使用默认的Web站点，如果使用也要将 将IIS目录与系统磁盘分开。2、删除IIS默认创建的Inetpub目录(在安装系统的盘上)。3、删除系统盘下的虚拟目录，如:_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。4、删除不必要的IIS扩展名映射。右键单击“默认Web站点属性主目录配置”，打开应用程序窗口，去掉不必要的应用程序映射。主要为.shtml， .shtm， .stm5、更改IIS日志的路径右键单击“默认Web站点属性-网站-在启用日志记录下点击属性6、如果使用的是2000可以使用iislockdown来保护IIS，在2003运行的IE6.0的版本不需要。8、其它安全相关设置 （1）、隐藏重要文件/目录 可以修改注册表实现完全隐藏：“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows Current-VersionExplorerAdvancedFolderHi-ddenSHOWALL”，鼠标右击 “CheckedValue”，选择修改，把数值由1改为0 （2）、启动系统自带的Internet连接防火墙，在设置服务选项中勾选Web服务器。 （3）、防止SYN洪水攻击 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 新建DWORD值，名为SynAttackProtect，值为2 （4）. 禁止响应ICMP路由通告报文 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfacesinterface 新建DWORD值，名为PerformRouterDiscovery 值为0 （5）. 防止ICMP重定向报文的攻击 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 将EnableICMPRedirects 值设为0 （6）. 不支持IGMP协议 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 新建DWORD值，名为IGMPLevel 值为0 （7）、禁用DCOM： 运行中输入 Dcomcnfg.exe。 回车， 单击“控制台根节点”下的“组件服务”。 打开“计算机”子文件夹。 对于本地计算机，请以右键单击“我的电脑”，然后选择“属性”。选择“默认属性”选项卡。 清除“在这台计算机上启用分布式 COM”复选框。 注：3-6项内容我采用的是Server2000设置，没有测试过对2003是否起作用。但有一点可以肯定我用了一段的时间没有发现其它副面的影响。 四、配置FTP 服务现在我们开始使用Win2003系统自带的FTP服务架设一台安全的FTP服务器。步骤1、为FTP服务器建立一个安全的专用FTP帐号：点击开始菜单管理工具计算机管理，这里弹出一个计算机管理窗口，我们在里面建立一个供FTP客户端登陆的帐号，双击左栏中的本地用户和组然后在右栏中点击鼠标右键，选择新建命令，就会弹出一个新用户建立窗口，现在我们建立一个用户，在这里我们建立一个用户名为 cnhack 的帐号，密码为chinanetpk ，并去除用户下次登陆时须更改密码的选项，勾选用户不能更改密码及密码永不过期选项。然后点击创建按钮，就创建了一个用户名为 cnhack 的用户。如下图（图15）所示：15）（图为了服务器安装着想，我们还须进行如下安全设置，在默认的情况下，我们建立的用户帐号为 Users 组用户，虽然普通用户组对服务器安全影响不大，但我们还是把这个用户所属的 Users 组删除，把刚建立的 cnhack 用户添加到 Guests 用户组，步骤如下：右击右栏中刚才建立的普通用户 cnhack ，出现一个菜单，选择属性，这时会弹出别一个窗口cnhack 属性窗口，选择隶属于标签，这时我们会看到cnhack 用户隶属于Users组，我们选择下栏中的Users组名称，并选择删除按钮，这里cnhack用户原来的隶属组被删除，我们再点击下栏中的添加按钮，这时弹出一个选择组窗口，选择高级按钮，再点击立即查找按钮，这时我们会看到一个Guests用户组名，双击Guests用户组名称后返回选择组窗口，点击确定按钮退出。这样我们就把刚建立的 cnhack 用户添加进了Guests 用户组，并把原 cnhack 隶属的用户组删除了。基本配置方法如下图（图16）所示：16）（图为了服务器安装着想，我们还应在cnhack属性栏里选择远程控制标签，把启用远程控制的勾去掉。这里一个安全的FTP帐号建立成功。如下图（图17）所示：17）（图本例中，我们在D盘建立一个文件夹，并重命名该文件夹文件名为 cnhack ，然后在该文件夹图标处点击右键，出现一菜单，选择属性，这里弹出一个属性对话框，在 cnhack 属性中选择安全标签，点击右下方的高级选项，并去除勾选允许父项的继承权限传播到该对像和所有对像，包括那些在此明确定定义的项目(A)。如下图（图18）（图19所示）然后点击确定按钮，返回cnhack属性的安全标签，在这里会看到还剩下一个超级管理员组 Administrators 成员可以管理cnhack 文件夹，我们再勾选允许超级管理员组成员允许完全控制该文件夹，这样就给了我们管理员组对cnhack文件夹的完全控制权，现在我们再给我们刚才建立的 cnhack 用户管理权限，我们点击添加按钮，根据提示把 cnhack 帐号添加成为 cnhack 文件夹的管理员，然后再勾选允许cnhack 帐号完全管理该文件夹，这样就给了 cnhack 帐号对该文件夹的完全管理权。如下图现在D:cnhack 文件夹只允许超级管理员组Administrators 成员和帐号为 cnhack 的来宾组成员进行管理与访问了，其它帐户的帐号将不能对 cnhack 文件夹有任何的访问权及修改权限。步骤2、使用Internet 信息服务(IIS)管理器建立一个安全的FTP空间：现在我们打开开始菜单程序管理工具Internet 信息服务(IIS)管理器，弹出一个IIS管理器窗口，在里面找到FTP站点 默认 FTP 站点，并在默认 FTP 站点里点击鼠标右键，选择属性选择，出现一个默认 FTP 站点属性对话框，选择主目录标签，把原来默认的地址改为我们刚才建立的文件夹D:cnhack 的路径，下面会有三个选项，分别是、读取、写入、记录访问，你可以根据需要勾选，如果中介提供给别人下载的FTP空间，则不要勾选写入选项，如果需要提供给别人上传及更改FTP空间内容的，则需要勾选写入选项。本例中，我们是让朋友可以把数据上传到FTP空间的，所以我们勾选了写入选项，如下图（图20）所示：20）（图下面我们再来配置使用指定的我们刚才建立的帐号cnhack 才能登陆现在这个FTP空间，我们现在点击安全帐户标签，再点击浏览按钮，根据提示选择我们刚才建立的cnhack用户名，然后点击确定，这样就指定了这个空间只有使用我们设置的 cnhack 用户帐号才能登陆，记住不要勾选下面的只允许匿名连接选项，因为这样将会带来安全问题，如下图（图21）所示：现在我们再来指定该FTP站点的IP地址，我们只要点击FTP站点标签，然后在IP地址（I）的右栏输入框里输入我们本机的IP地址即可。还有可以在TCP/IP端口（T）的右输入框里修改当前FTP站点的TCP/IP端口号，默认情况下是使用21端口的。如下图（图22）所示：这样一个安全的FTP站点就建立成功了。使用IIS6建立的FTP服务器可以使用IE及FTP客户端软件登陆FTP空间。而且功能强大。五、配置 IIS 服务： 1、不使用默认的Web站点，如果使用也要将 将IIS目录与系统磁盘分开。 2、删除IIS默认创建的Inetpub目录（在安装系统的盘上）。 3、删除系统盘下的虚拟目录，如：_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。 4、删除不必要的IIS扩展名映射。 右键单击“默认Web站点属性主目录配置”，打开应用程序窗口，去掉不必要的应用程序映射。主要为.shtml, .shtm, .stm 5、更改IIS日志的路径 右键单击“默认Web站点属性-网站-在启用日志记录下点击属性 6、如果使用的是2000可以使用iislockdown来保护IIS，在2003运行的IE6.0的版本不需要。 7、使用UrlScan UrlScan是一个ISAPI筛选器，它对传入的HTTP数据包进行分析并可以拒绝任何可疑的通信量。目前最新的版本是2.5，如果是2000Server需要先安装1.0或2.0的版本。下载地址见页未的链接 如果没有特殊的要求采用UrlScan默认配置就可以了。 但如果你在服务器运行ASP.NET程序，并要进行调试你需打开要%WINDIR%System32InetsrvURLscan 文件夹中的URLScan.ini 文件，然后在UserAllowVerbs节添加debug谓词，注意此节是区分大小写的。 如果你的网页是.asp网页你需要在DenyExtensions删除.asp相关的内容。 如果你的网页使用了非ASCII代码，你需要在Option节中将AllowHighBitCharacters的值设为1 在对URLScan.ini 文件做了更改后，你需要重启IIS服务才能生效，快速方法运行中输入iisreset 如果你在配置后出现什么问题，你可以通过添加/删除程序删除UrlScan。 8、利用WIS (Web Injection Scanner)工具对整个网站进行SQL Injection 脆弱性扫描. 下载地址：/websample/othersample.aspxVB.NET爱好者/url 六、