服务器操作手册.doc

服务器操作手册第一章 应用服务器的安装配置1.应用服务器操作系统的安装A） 安装操作系统（略）所有设置按照默认，安装完成后仅安装需要的工具，不要乱装其他软件。B） 安装驱动程序（略）C） 分区:C:50g D:100g E:80g F:20gD） 安装关键系统补丁 （360安全卫士）（瑞星卡卡）E） 安装反病毒软件 （360安全卫士）（瑞星卡卡）F） 将服务器连接到网络G） 在线升级操作系统补丁，所有的安全补丁都打上，保持最新。H） 在线升级反病毒软件病毒库。I） 备注:360防ARP防火墙开启J） 做GHOSTK） 重启后,安装SQL SERVER 2000 安装路径为D盘L） D盘为SQL数据库文件夹 E盘为数据备份文件夹 F盘为程序,GHOST文件存储文件夹SQL 2000自动备份部分1、 SQL 代理服务选择启动2、 创建数据库维护计划,下一步3、 选择要维护的数据库4、修改调度时间5、设置作业时间6、设置备份路径7、设置备份事物日志8、完成9、9、选择备份的数据库，故障还原模型为“完全”。4、 IIS部分a) IIS匿名用户问题Windows Server 2003系统下装完GS3.2或以前版本，然后登录时，提示HTTP错误401.1未经授权：由于凭据无效被拒绝。这是由于老版本的程序在安装后对IIS匿名用户口令置空造成的，GS3.5已经进行了修正，处理此问题的步骤如下：打开Internet信息服务（IIS）管理器，找到cwbase。右键点击cwbase，打开其属性，先拷贝出当前虚拟目录的路径，将焦点移到下图所示路径位置，Ctrl+Home到行首，Shift+End到行尾，Ctrl+C拷贝路径，打开记事本，粘贴，用作下一步重新创建虚拟目录用。删除cwbase虚拟目录：右键点击cwbase，选择删除。重新创建虚拟目录：右键点击【默认网站】，选择【新建】，选择【虚拟目录】，出现新建虚拟目录的向导，选择【下一步】，别名输入cwbase，然后选择【下一步】，然后选择虚拟目录的路径，如果刚才已经拷贝出来了原来的目录，则直接粘贴到输入框中即可，也可以通过浏览的方式手工选择路径，如下图：进入虚拟目录权限设置部分，选中【读取】和【运行脚本】，其他不用选，如下图：虚拟目录创建完毕。b) IIS其他安全选项最初安装 IIS 时，该服务在高度安全和“锁定”的模式下安装。在默认情况下，IIS 只为静态内容提供服务 即，ASP、ASP.NET、在服务器端的包含文件、WebDAV 发布和 FrontPage Server Extensions 等功能只有在启用时才工作。如果您在安装 IIS 之后未启用该功能，则 IIS 返回一个 404 错误。您可以为动态内容提供服务，并通过 IIS 管理器中的 Web 服务扩展节点启用这些功能。启用父路径、启用缓冲：启用匿名用户访问：文件夹权限：选择属性【安全】(Permissions)【添加】(Add)-【高级】(Advanced)，添加IUSR_XXXX的用户权限。)Web服务扩展：登录时提示HTTP错误404 ，如下图这是因为IIS6默认是禁用ASP扩展的，因此不能访问，需要开启。从IIS管理器中点击的【Web服务扩展】，然后选择Active Server Pages，然后点击，允许，同时ASP.NET v1.1.4322也要允许如下图：C) IIS工作进程IIS 6.0 使用新的请求处理结构和应用程序隔离环境来使单个 Web 应用程序在独立的工作进程中工作。该环境防止一个应用程序或网站停止另一个应用程序或网站，并减少了管理员在重新启动服务以纠正与应用程序有关的问题时所花的时间。新环境还包括主动型应用程序池运行状况监视，这是一个非常有用的功能，但是设置不当会带来一些麻烦。打开IIS管理器，选中cwbase所在的应用程序池如果自己没有改动会在DefaultAppPool。打开其属性，类似下图的设置可能导致问题：这个设置的意思是IIS的监视进程会不断监视系统资源中CPU使用率的百分比，每5分钟检查一次，如果检查时的值超过了60%，那么将关闭IIS的工作进程。这是客户端访问会出现下面的“服务不可用的”提示：此设置默认是未开启的，如果有需要开启，请权衡阀值，如果刷新时间较短，CPU阀值较低，那么出现这种情况可能比较频繁。其他几个关于工作进程的设置也会导致类似问题，但是几率低一些，如果遇到类似问题，请从此出着手。独立的数据库服务器和应用服务器a) 数据库是SQL Server的情况-数据库服务器：端口协议作用设置方法1433TCP连接监听默认135TCPRPC默认动态分配TCPRPC动态端口分配Error! Reference source not found.第二章服务器的安全配置一、windows权限设置1、系统的NTFS磁盘权限设置，2003服务器有些细节地方需要注意的。C盘只给administrators 和system权限，其他的权限不给，其他的盘也可以这样设置，这里给的system权限也不一定需要给，只是由于某些第三方应用程序是以服务形式启动的，需要加上这个用户，否则造成启动不了。2、Windows目录要加上给users的默认权限，否则ASP和ASPX等应用程序就无法运行。另外在c:/Documents and Settings/这里相当重要，后面的目录里的权限根本不会继承从前的设置，如果仅仅只是设置了C盘给administrators权限，而在All UsersApplication Data目录下会 出现everyone用户有完全控制权限，这样入侵这可以跳转到这个目录，写入脚本或只文件，再结合其他漏洞来提升权限；譬如利用serv-u的本地溢出提升权限，或系统遗漏有补丁，数据库的弱点。在用做webftp服务器的系统里，建议是将这些目录都设置的锁死。其他每个盘的目录都按照这样设置， 3、每个盘都只给adinistrators权限。另外，还将：net.exe，cmd.exe，tftp.exe，netstat.exe，regedit.exe，at.exe，attrib.exe，cacls.exe，这些文件都设置只允许administrators访问。 4、硬盘或文件夹: C: D: E: F: 类推主要权限部分： Administrators 完全控制 无该文件夹，子文件夹及文件 CREATOR OWNER 完全控制只有子文件夹及文件 SYSTEM 完全控制该文件夹，子文件夹及文件二、网络设置1、在“网络连接”里，把不需要的协议和服务都删掉，这里只安装了基本的Internet协议（TCP/IP），由于要控制带宽流量服务，额外安装了Qos数据包计划程序。在高级tcp/ip设置里-“NetBIOS”设置“禁用tcp/IP上的NetBIOS（S）”。在高级选项里，使用“Internet连接_blank防火墙”，这是windows 2003 自带的_blank防火墙，在2000系统里没有的功能，虽然没什么功能，但可以屏蔽端口，这样已经基本达到了一个IPSec的功能。2、SERV-U FTP 服务器的设置：选中“Block FTP_bounceattack and FXP”。什么是FXP呢？通常，当使用FTP协议进行文件传输时，客户端首先向FTP服务器发出一个“PORT”命令，该命令中包含此用户的IP地址和将被用来进行数据传输的端口号，服务器收到后，利用命令所提供的用户地址信息建立与用户的连接。大多数情况下，上述过程不会出现任何问题，但当客户端是一名恶意用户时，可能会通过在PORT命令中加入特定的地址信息，使FTP服务器与其它非客户端的机器建立连接。虽然这名恶意用户可能本身无权直接访问某一特定机器，但是如果FTP服务器有权访问该机器的话，那么恶意用户就可以通过FTP服务器作为中介，仍然能够最终实现与目标服务器的连接。这就是FXP，也称跨服务器攻击。选中后就可以防止发生此种情况。3、另外在“Block anti time-out schemes也可以选中。其次，在“Advanced”选项卡中，检查 “Enable security”是否被选中，如果没有，选择它们。三、IIS的安全1、删掉c:/inetpub目录，删除iis不必要的映射2、首先是每一个web站点使用单独的IIS用户，譬如这里，新建立了一个名为，权限为guest的。 在IIS里的站点属性里“目录安全性”-“身份验证和访问控制“里设置匿名访问使用下列Windows 用户帐户”的用户名密码都使用这个用户的信息.在这个站点相对应的web目录文件，默认的只给IIS用户的读取和写入权限。 在“应用程序配置”里，我们给必要的几种脚本执行权限：ASP.ASPX,PHP， ASP，ASPX默认都提供映射支持了的，对于PHP，需要新添加响应的映射脚本，然后在web服务扩展将ASP，ASPX都设置为允许，对于php以及CGI的支持，需要新建web服务扩展，在扩展名(X)：下输入 php ，再在要求的文件(E)：里添加地址 C:phpsapiphp4isapi.dll ，并勾选设置状态为允许(S)。然后点击确定，这样IIS就支持PHP了。支持CGI同样也是如此。 要支持ASPX，还需要给web根目录给上users用户的默认权限，才能使ASPX能执行3、不使用默认的Web站点，如果使用也要将 将IIS目录与系统磁盘分开。 4、删除IIS默认创建的Inetpub目录（在安装系统的盘上）。 5、删除系统盘下的虚拟目录，如：_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。 6、删除不必要的IIS扩展名映射。右键单击“默认Web站点属性主目录配置”，打开应用程序窗口，去掉不必要的应用程序映射。主要为.shtml, .shtm, .stm 7、更改IIS日志的路径 右键单击“默认Web站点属性-网站-在启用日志记录下点击属性 四、windows管理账户 1、系统管理员账户最好少建，更改默认的管理员帐户名（Administrator）和描述，密码最好采用数字加大小写字母加数字的上档键组合，长度最好不少于14位。 2、新建一个名为Administrator的陷阱帐号，为其设置最小的权限，然后随便输入组合的最好不低于20位的密码 3、将Guest账户禁用并更改名称和描述，然后输入一个复杂的密码，打开注册表程序，把 HKEY_LOCAL_MACHINESAMDomainsAccountUsers下的两个相关键删掉。一个是000001F5，一个是Names下的Guest，利用它来删除Guest账户，但我没有试过。 4、在运行中输入gpedit.msc回车，打开组策略编辑器，选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略，将账户设为“三次登陆无效”，“锁定时间为30分钟”，“复位锁定计数设为30分钟”。 5、在安全设置-本地策略-安全选项中将“不显示上次的用户名”设为启用 6、在安全设置-本地策略-用户权利分配中将“从网络访问此计算机”中只保留Internet来宾账户、启动IIS进程账户。如果你使用了A还要保留Aspnet账户。 7、创建一个User账户，运行系统，如果要运行特权命令使用Runas命令。 五、网络服务安全管理 1、除非特殊情况非开不可，下列系统服务要停止并禁用： 1、Alerter 2、Application Layer Gateway Service 3、Background Intelligent Transfer Service 4、Computer Browser 5、Distributed File System 6、Help and Support 7、Messenger 8、NetMeeting Remote Desktop Sharing 9、Print Spooler 10、Remote Registry 11、Task Scheduler 12、TCP/IP NetBIOS Helper 13、Telnet 14、Workstation 以上是windows2003server标准服务当中需要停止的服务，作为IIS网络服务器，以上服务务必要停止2、服务器安全设置之-组件安全设置篇 (非常重要！) A、卸载WScript.Shell 和 Shell.application 组件，将下面的代码保存为一个.BAT文件执行（2003系统）win2003 regsvr32/u C:WINDOWSSystem32wshom.ocx del C:WINDOWSSystem32wshom.ocx regsvr32/u C:WINDOWSsystem32shell32.dll del C:WINDOWSsystem32shell32.dll B、改名不安全组件，需要注意的是组件的名称和Clsid都要改，并且要改彻底了，不要照抄，要自己改【开始运行regedit回车】打开注册表编辑器然后【编辑查找填写Shell.application查找下一个】用这个方法能找到两个注册表项： 13709620-C279-11CE-A49E-444553540000 和 Shell.application 。第一步：为了确保万无一失，把这两个注册表项导出来，保存为xxxx.reg 文件。第二步：比如我们想做这样的更改13709620-C279-11CE-A49E-444553540000 改名为 13709620-C279-11CE-A49E-444553540001 Shell.application 改名为 Shell.application_nohack第三步：那么，就把刚才导出的.reg文件里的内容按上面的对应关系替换掉，然后把修改好的.reg文件导入到注册表中（双击即可），导入了改名后的注册表项之后，别忘记了删除原有的那两个项目。这里需要注意一点，Clsid中只能是十个数字和ABCDEF六个字母。其实，只要把对应注册表项导出来备份，然后直接改键名就可以了。WScript.Shell 和 Shell.application 组件是 脚本入侵过程中，提升权限的重要环节，这两个组件的卸载和修改对应注册键名，可以很大程度的提高虚拟主机的脚本安全性能，一般来说，ASP和php类脚本提升权限的功能是无法实现了，再加上一些系统服务、硬盘访问权限、端口过滤、本地安全策略的设置，虚拟主机因该说，安全性能有非常大的提高，黑客入侵的可能性是非常低了。注销了Shell组件之后，侵入者运行提升工具的可能性就很小了，但是prel等别的脚本语言也有shell能力，为防万一，还是设置一下为好。下面是另外一种设置，大同小异。C、禁止使用FileSystemObject组件FileSystemObject可以对文件进行常规操作,可以通过修改注册表，将此组件改名，来防止此类木马的危害。 HKEY_CLASSES_ROOTScripting.FileSystemObject 改名为其它的名字，如：改为 FileSystemObject_ChangeName 自己以后调用的时候使用这个就可以正常调用此组件了 也要将clsid值也改一下 HKEY_CLASSES_ROOTScripting.FileSystemObjectCLSID项目的值 也可以将其删除，来防止此类木马的危害。 2000注销此组件命令：RegSrv32 /u C:WINNTSYSTEMscrrun.dll 2003注销此组件命令：RegSrv32 /u C:WINDOWSSYSTEMscrrun.dll 如何禁止Guest用户使用scrrun.dll来防止调用此组件？ 使用这个命令：cacls C:WINNTsystem32scrrun.dll /e /d guests D、禁止使用WScript.Shell组件 WScript.Shell可以调用系统内核运行DOS基本命令 可以通过修改注册表，将此组件改名，来防止此类木马的危害。 HKEY_CLASSES_ROOTWScript.Shell及HKEY_CLASSES_ROOTWScript.Shell.1 改名为其它的名字，如：改为WScript.Shell_ChangeName 或 WScript.Shell.1_ChangeName 自己以后调用的时候使用这个就可以正常调用此组件了 也要将clsid值也改一下 HKEY_CLASSES_ROOTWScript.ShellCLSID项目的值 HKEY_CLASSES_ROOTWScript.Shell.1CLSID项目的值 也可以将其删除，来防止此类木马的危害。 E、禁止使用Shell.Application组件 Shell.Application可以调用系统内核运行DOS基本命令 可以通过修改注册表，将此组件改名，来防止此类木马的危害。 HKEY_CLASSES_ROOTShell.Application 及 HKEY_CLASSES_ROOTShell.Application.1 改名为其它的名字，如：改为Shell.Application_ChangeName 或 Shell.Application.1_ChangeName 自己以后调用的时候使用这个就可以正常调用此组件了 也要将clsid值也改一下 HKEY_CLASSES_ROOTShell.ApplicationCLSID项目的值 HKEY_CLASSES_ROOTShell.ApplicationCLSID项目的值 也可以将其删除，来防止此类木马的危害。 禁止Guest用户使用shell32.dll来防止调用此组件。 2000使用命令：cacls C:WINNTsystem32shell32.dll /e /d guests 2003使用命令：cacls C:WINDOWSsystem32shell32.dll /e /d guests 注：操作均需要重新启动WEB服务后才会生效。 F、调用Cmd.exe 禁用Guests组用户调用cmd.exe 2000使用命令：cacls C:WINNTsystem32Cmd.exe /e /d guests 2003使用命令：cacls C:WINDOWSsystem32Cmd.exe /e /d guests1、禁止C$、D$、ADMIN$一类的缺省共享 打开注册表，HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters，在右边的窗口中新建Dword值，名称设为AutoShareServer值设为0 2、 解除NetBios与TCP/IP协议的绑定 右击网上邻居-属性-右击本地连接-属性-双击Internet协议-高级-Wins-禁用TCP/IP上的NETBIOS 3、关闭不需要的服务，以下为建议选项 Computer Browser:维护网络计算机更新，禁用 Distributed File System: 局域网管理共享文件，不需要禁用 Distributed linktracking client：用于局域网更新连接信息，不需要禁用 Error reporting service：禁止发送错误报告 Microsoft Serch：提供快速的单词搜索，不需要可禁用 NTLMSecuritysupportprovide：telnet服务和Microsoft Serch用的，不需要禁用 PrintSpooler：如果没有打印机可禁用 Remote Registry：禁止远程修改注册表 Remote Desktop Help Session Manager：禁止远程协助 四、打开相应的审核策略 在运行中输入gpedit.msc回车，打开组策略编辑器，选择计算机配置-Windows服务器安全设置之-本地安全策略设置设置-安全设置-审核策略在创建审核项目时需要注意的是如果审核的项目太多，生成的事件也就越多，那么要想发现严重的事件也越难当然如果审核的太少也会影响你发现严重的事件，你需要根据情况在这二者之间做出选择。推荐的要审核的项目是：登录事件 成功 失败账户登录事件 成功 失败系统事件 成功 失败策略更改 成功 失败对象访问 失败目录服务访问 失败特权使用 失败安全策略自动更新命令：GPUpdate /force (应用组策略自动生效不需重新启动)开始菜单管理工具本地安全策略A、 本地策略审核策略B、 审核策略更改 成功 失败C、 审核登录事件 成功 失败D、 审核对象访问 失败E、 审核过程跟踪 无审核F、 审核目录服务访问 失败G、 审核特权使用 失败 H、 审核系统事件 成功 失败I、 审核账户登录事件 成功 失败 J、 审核账户管理 成功 失败 K、 B、本地策略用户权限分配L、 关闭系统：只有Administrators组、其它全部删除。 M、 通过终端服务拒绝登陆：加入Guests、User组N、 通过终端服务允许登陆：只加入Administrators组，其他全部删除 C、本地策略安全选项O、 交互式登陆：不显示上次的用户名 启用P、 网络访问：不允许SAM帐户和共享的匿名枚举 启用Q、 网络访问：不允许为网络身份验证储存凭证 启用R、 网络访问：可匿名访问的共享 全部删除S、 网络访问：可匿名访问的命 全部删除T、 网络访问：可远程访问的注册表路径 全部删除U、 网络访问：可远程访问的注册表路径和子路径 全部删除V、 帐户：重命名来宾帐户 重命名一个帐户W、 帐户：重命名系统管理员帐户 重命名一个帐户其它安全相关设置1、隐藏重要文件/目录可以修改注册表实现完全隐藏：“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows Current-VersionExplorerAdvancedFolderHi-ddenSHOWALL”，鼠标右击 “CheckedValue”，选择修改，把数值由1改为03、防止SYN洪水攻击HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters新建DWORD值，名为SynAttackProtect，值为24. 禁止响应ICMP路由通告报文HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfacesinterface 新建DWORD值，名为PerformRouterDiscovery 值为0 5. 防止ICMP重定向报文的攻击 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 将EnableICMPRedirects 值设为0 6. 不支持IGMP协议 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 新建DWORD值，名为IGMPLevel 值为0 7、禁用DCOM： 运行中输入 Dcomcnfg.exe。 回车， 单击“控制台根节点”下的“组件服务”。 打开“计算机”子文件夹。 对于本地计算机，请以右键单击“我的电脑”，然后选择“属性”。选择“默认属性”选项卡。 清除“在这台计算机上启用分布式 COM”复选框。 7、使用UrlScan UrlScan是一个ISAPI筛选器，它对传入的HTTP数据包进行分析并可以拒绝任何可疑的通信量。目前最新的版本是2.5，如果是2000Server需要先安装1.0或2.0的版本。下载地址见页未的链接 如果没有特殊的要求采用UrlScan默认配置就可以了。 但如果你在服务器运行ASP.NET程序，并要进行调试你需打开要%WINDIR%System32InetsrvURLscan 文件夹中的URLScan.ini 文件，然后在UserAllowVerbs节添加debug谓词，注意此节是区分大小写的。 如果你的网页是.asp网页你需要在DenyExtensions删除.asp相关的内容。 如果你的网页使用了非ASCII代码，你需要在Option节中将AllowHighBitCharacters的值设为1 在对URLScan.ini 文件做了更改后，你需要重启IIS服务才能生效，快速方法运行中输入iisreset 如果你在配置后出现什么问题，你可以通过添加/删除程序删除UrlScan。 七、配置Sql服务器 1、System Administrators 角色最好不要超过两个 2、如果是在本机最好将身份验证配置为Win登陆 3、不要使用Sa账户，为其配置一个超级复杂的密码 4、删除以下的扩展存储过程格式为： use master sp_dropextendedproc 扩展存储过程名 xp_cmdshell：是进入操作系统的最佳捷径，删除 访问注册表的存储过程，删除 Xp_regaddmultistringXp_regdeletekeyXp_regdeletevalueXp_regenumvalues Xp_regread Xp_regwrite Xp_regremovemultistring OLE自动存储过程，不需要删除 Sp_OACreate Sp_OADestroySp_OAGetErrorInfoSp_OAGetProperty Sp_OAMethodSp_OASetPropertySp_OAStop 5、隐藏 SQL Server、更改默认的1433端口 右击实例选属性-常规-网络配置中选择TCP/IP协议的属性，选择隐藏 SQL Server 实例，并改原默认的1433端口。 八、如果只做服务器，不进行其它操作，使用IPSec 1、管理工具本地安全策略右击IP安全策略管理IP筛选器表和筛选器操作在管理IP筛选器表选项下点击 添加名称设为Web筛选器点击添加在描述中输入Web服务器将源地址设为任何IP地址将目标地址设为我的IP地址协议类型设为TcpIP协议端口第一项设为从任意端口，第二项到此端口80点击完成点击确定。 2、再在管理IP筛选器表选项下点击 添加名称设为所有入站筛选器点击添加在描述中输入所有入站筛选将源地址设为任何IP地址将目标地址设为我的IP地址协议类型设为任意点击下一步完成点击确定。 3、在管理筛选器操作选项下点击添加下一步名称中输入阻止下一步选择阻止下一步完成关闭管理IP筛选器表和筛选器操作窗口 4、右击IP安全策略创建IP安全策略下一步名称输入数据包筛选器下一步取消默认激活响应原则下一步完成 5、在打开的新IP安全策略属性窗口选择添加下一步不指定隧道下一步所有网络连接下一步在IP筛选器列表中选择新建的 Web筛选器下一步在筛选器操作中选择许可下一步完成在IP筛选器列表中选择新建的阻止筛选器下一步在筛选器操作中选择阻止 下一步完成确定 6、在IP安全策略的右边窗口中右击新建的数据包筛选器，点击指派，不需要重启，IPSec就可生效. 九、建议 每做一项更改就测试一下服务器，如果有问题可以马上撤消更改。而如果更改的项数多，才发现出问题，那就很难判断问题是出在哪一步上了。 十、运行服务器记录当前的程序和开放的端口 1、将当前服务器的进程抓图或记录下来，将其保存，方便以后对照查看是否有不明的程序。 2、将当前开放的端口抓图或记录下来，保存，方便以后对照查看是否开放了不明的端口。当然如果你能分辨每一个进程，和端口这一步可以省略。修改终端服务的端口终端服务由于使用简单、方便等特点，备受众多管理员喜爱，很多管理员都利用它进行远程管理服务器的一个重要工。然后就是因为它的简单、方便，不与当前用户产生一个交互式登陆，可以在后台登陆操作，它也受到了黑客关注。现在我们来通过认真的配置来加强它的安全性。修改注册表:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp和HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWdsrdpwdTdstcp将这两个分支下的portnumber键值改为你想要的端口。在客户端这样连接就可以了.2。隐藏登陆的用户名 隐藏上次登陆的用户名，这样可防止恶意攻击者获得系统的管理用户名后进行穷举破解。HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonDontDisplayLastUserName 的值改为1就可以了。3。指定用户登陆。为了安全，我们没必要让服务器上所有用户都登陆，譬如以下，我们只允许315safe这个用户登陆到终端服务器，按照如下方法做限制：在“管理工具”-“终端服务配置”-“连接”，再选择右边的“RDP-TCP”的属性，找到“权限”选项，删除administrators组，然后再添加我们允许的315safe这个用户，其他一律不允许登陆。4、启动审核 “终端服务”默认没有日志记录，需要手动开启，在RDP-TCP”的属性，找到“权限”选项下“高级”里有个“审核”添加everyone，然后选择需要记录的的事件。“事件查看器”里终端服务日志很不完善。下面我们就来完善一下终端服务器日志。在D盘目录下，创建2个文件“ts2000.BAT”（用户登录时运行的脚本文件）和“ts2000.LOG”（日志文件）。编写“ts2000.BAT”脚本文件：time /t ts2000.lognetstat -n -p tcp | find :3389ts2000.logstart Explorer第一行代码用于记录用户登录的时间，“time /t”的意思是返回系统时间，使用追加符号“”把这个时间记入“ts2000.LOG”作为日志的时间字段；第二行代码记录终端用户的IP地址，“netstat”是用来显示当前网络连接状况的命令，“-n”用于显示IP和端口，“-p tcp”显示TCP协议，管道符号“|”会将“netstat”命令的结果输出给“find”命令，再从输出结果中查找包含“3389”的行，最后把这个结果重定向到日志文件“ts2000.LOG”；最后一行为启动Explorer的命令。把“ts2000.BAT”设置成用户的登录脚本。在终端服务器上，进入“RDP-Tcp属性”窗口，并切换到“环境”框，勾选“替代用户配置文件和远程桌面连接或终端服务客户端的设置”，在“程序路径和文件名”栏中输入“D：ts2000.bat”，在“开始位置”栏中输入“D：”，点击“确定”即可完成设置。此时，我们就可通过终端服务日志了解到每个用户的行踪了。5。限制、指定连接终端的地址启用服务器自带的IPSEC来指定特定的IP地址连接服务器。首先禁止所有3389的连接。1。在“本地安全策略”选择“IP安全策略，在本地机器”，在右边的空白处按右键，“创建IP安全策略”，下一步，给策略取名（如3389），不选“激活默认响应规则”，完成，这是会打开一个对话框，是新建立策略（3389）的属性。2。添加新建规则，出现“IP筛选器列表”，起名叫all_3389，不选“使用添加向导”再按“添加”。按“确定”、“关闭”回到“新规则”属性窗口，选中刚设置的规则“all_3389”,再按“筛选器操作”选项，“筛选器操作”里没有我们的“阻止”我们新建立一项阻止。还是不选“使用添加向导”，按“添加”，在弹出的对话框中，在“安全措施”处选“阻止”项。再按“常规”，在“名称”处给他起个名字，如”阻止3389“，然后确定回到”新规则“属性的”筛选器操作”处，选中刚才建立的“阻止3389”，再按“关闭”，回到开始时的“本地安全设置”对话框，选中“3389”后指派。这样所有的机器都无法连接到我们终端服务器了。3。同样服务器也被栏在外面了，下面我们建立一条规则，只允许服务器信任的机器进行连接，譬如0 .我们打开“3389”的属性，不选“使用添加向导”，按“添加”，打开“新规则”属性，再按“添加”，出现“IP筛选器列表”，给它起个名字OK_3389,不选使用添加向导，再按”添加“，出现”筛选器“属性，”寻址“选项设置成如图。 协议处设置TCP，3389，在”筛选器操作“里选择”允许“。这样就OK了，这样除了我们自己信任的机器，其他任何机器都无法登陆到终端服务器了。也可以设置为一个网关的信任机器。把下面文本保存为: windows2000-2003服务器安全和性能注册表自动配置文件.reg 运行即可。HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer NoRecentDocsMenu=hex:01,00,00,00 NoRecentDocsHistory=hex:01,00,00,00 HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogon DontDisplayLastUserName=1 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa restrictanonymous=dword:00000001 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverParameters AutoShareServer=dword:00000000 AutoShareWks=dword:00000000 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters EnableICMPRedirect=dword:00000000 KeepAliveTime=dword:000927c0 SynAttackProtect=dword:00000002 TcpMaxHalfOpen=dword:000001f4 TcpMaxHalfOpenRetried=dword:00000190 TcpMaxConnectResponseRetransmissions=dword:00000001 TcpMaxDataRetransmissions=dword:00000003 TCPMaxPortsExhausted=dword:00000005 DisableIPSourceRouting=dword:00000002 TcpTimedWaitDelay=dword:0000001e TcpNumConnections=dword:00004e20 EnablePMTUDiscovery=dword:00000000 NoNameReleaseOnDemand=dword:00000001 EnableDeadGWDetect=dword:00000000 PerformRouterDiscovery=dword:00000000 EnableICMPRedirects=dword:00000000 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetBTParameters BacklogIncrement=dword:00000005 MaxConnBackLog=dword:000007d0 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesAFDParameters EnableDynamicBacklog=dword:00000001 MinimumDynamicBacklog=dword:00000014 MaximumDynamicBacklog=dword:00007530 DynamicBacklogGrowthDelta=dword:0000000a 功能：可抵御DDOS攻击2-3万包，提高服务器TCP-IP整体安全性能（效果等于软件防火墙，节约了系统资源） 6、服务器安全设置之-IP安全策略 (仅仅列出需要屏蔽或阻止的端口或协议) 协议 IP协议端口 源地址 目标地址 描述 方式 ICMP - - - ICMP 阻止 UDP 135 任何IP地址 我的IP地址 135-UDP 阻止 UDP 136 任何IP地址 我的IP地址 136-UDP 阻止 UDP 137 任何IP地址 我的IP地址 137-UDP 阻止 UDP 138 任何IP地址 我的IP地址 138-UDP 阻止 UDP 139 任何IP地址 我的IP地址 139-UDP 阻止 TCP 445 任何IP地址-从任意端口 我的IP地址-445 445-TCP 阻止 UDP 445 任何IP地址-从任意端口 我的IP地址-445 445-UDP 阻止 UDP 69 任何IP地址-从任意端口 我的IP地址-69 69-入 阻止 UDP 69 我的IP地址-69 任何IP地址-任意端口 69-出 阻止 TCP 4444 任何IP地址-从任意端口 我的IP地址-4444 4444-TCP 阻止 TCP 1026 我的IP地址-1026 任何IP地址-任意端口 灰鸽子-1026 阻止 TCP 1027 我的IP地址-1027 任何IP地址-任意端口 灰鸽子-1027 阻止 TCP 1028 我的IP地址-1028 任何IP地址-任意端口 灰鸽子-1028 阻止 UDP 1026 我的IP地址-1026 任何IP地址-任意端口 灰鸽子-1026 阻止 UDP 1027 我的IP地址-1027 任何IP地址-任意端口 灰鸽子-1027 阻止 UDP 1028 我的IP地址-1028 任何IP地址-任意端口 灰鸽子-1028 阻止 TCP 21 我的IP地址-从任意端口 任何IP地址-到21端口 阻止tftp出站 阻止 TCP 99 我的IP地址-99 任何IP地址-任意端口 阻止99shell 阻止 以上是IP安全策略里的设置，可以根据实际情况，增加或删除端口 SQL Server2000数据库的安全配置以及一些相关的安全和使用上的问题。 在进行SQL Server 2000数据库的安全配置之前，首先你必须对操作系统进行安全配置，保证你的操作系统处于安全状态。然后对你要使用的操作数据库软件（程序）进行必要的安全审核，比如对ASP、PHP等脚本，这是很多基于数据库的WEB应用常出现的安全隐患，对于脚本主要是一个过滤问题，需要过滤一些类似 , ; / 等字符，防止破坏者构造恶意的SQL语句。接着，安装SQL Server2000后请打上补丁sp4 在做完上面三步基础之后，我们再来讨论SQL Server的安全配置。 1、使用安全的密码策略 我们把密码策略摆在所有安全配置的第一步，请注意，很多数据库帐号的密码过于简单，这跟系统密码过于简单是一个道理。对于sa更应该注意，同时不要让sa帐号的密码写于应用程序或者脚本中。健壮的密码是安全的第一步！ SQL Server2000安装的时候，如果是使用混合模式，那么就需要输入sa的密码，除非你确认必须使用空密码。这比以前的版本有所改进。 同时养成定期修改密码的好习惯。数