Windows_Server_2003安全配置.doc

Windows Server 2003安全配置全攻略Windows Server 2003是目前微软推出的使用最广泛的服务器操作系统。一开始，该产品叫作“Windows .NET Server”，改成“Windows .NET Server 2003”，后最终被改成“Windows Server 2003”，于2003年3月28日发布，并在同年四月底上市。 下面，就Windows Server 2003安全配置做详细介绍：一、先关闭不需要的端口 我比较小心，先关了端口。只开了3389 21 80 1433有些人一直说什么默认的3389不安全，对此我不否认，但是利用的途径也只能一个一个的穷举爆破，你把帐号改 了密码设置为十五六位，我估计他要破上好几年，哈哈!办法:本地连接-属性-Internet协议(TCP/IP)-高级-选项-TCP/IP筛选-属性-把勾打上 然后添加你需要的端口即可。PS一句:设置完端口需要重新启动!当然大家也可以更改远程连接端口方法: 1.运行regedit2. 进入以下路径：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminalServerWdsrdpwdTdstcp，看见PortNamber值了吗?其默认值是3389，修改成所希望的端口即可，例如6222。 3.再打开HKEY_LOCAL_MACHINESYSTEMCurrentContro1SetControlTenninal ServerWinStationsRDP-Tcp，将PortNumber的值也一样修改成端口如：6222。 修改完毕，重新启动电脑，以后远程登录的时候使用端口6222就可以了。还有一点，在2003系统里，用TCP/IP筛选里的端口过滤功能，使用FTP服务器的时候，只开放21端口，在进行FTP传输的时候，FTP 特有的Port模式和Passive模式，在进行数据传输的时候，需要动态的打开高端口，所以在使用TCP/IP过滤的情况下，经常会出现连接上后无法列出目录和数据传输的问题。所以在2003系统上增加的windows连接防火墙能很好的解决这个问题，所以都不推荐使用网卡的TCP/IP过滤功能。所做FTP下载的用户看仔细点，如果要关闭不必要的端口，在system32driversetcservices中有列表，记事本就可以打开的。如果懒惰的话，最简单的方法是启用WIN2003的自身带的防火墙，在例外中添加需要开放的端口。功能还可以!Internet 连接防火墙可以有效地拦截对Windows 2003服务器的非法入侵，防止非法远程主机对服务器的扫描，提高Windows 2003服务器的安全性。同时，也可以有效拦截利用操作系统漏洞进行端口攻击的病毒，如冲击波等蠕虫病毒。如果在用Windows 2003构造的虚拟路由器上启用此防火墙功能，能够对整个内部网络起到很好的保护作用。二、关闭不需要的服务 打开相应的审核策略我关闭了以下的服务Computer Browser 维护网络上计算机的最新列表以及提供这个列表Task scheduler 允许程序在指定时间运行ServerMessenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息Distributed File System: 局域网管理共享文件，不需要禁用Distributed linktracking client:用于局域网更新连接信息，不需要禁用Error reporting service:禁止发送错误报告Microsoft Serch:提供快速的单词搜索，不需要可禁用NTLMSecuritysupportprovide:telnet服务和Microsoft Serch用的，不需要禁用PrintSpooler:如果没有打印机可禁用Remote Registry:禁止远程修改注册表TCP/IP NetBIOS helperRemote Desktop Help Session Manager:禁止远程协助Workstation 关闭的话远程NET命令列不出用户组把不必要的服务都禁止掉，尽管这些不一定能被攻击者利用得上，但是按照安全规则和标准上来说，多余的东西就没必要开启，减少一份隐患。在网络连接里，把不需要的协议和服务都删掉，这里只安装了基本的Internet协议(TCP/IP)，由于要控制带宽流量服务，额外安装了Qos数据包计划程序。在高级tcp/ip设置里-NetBIOS设置禁用tcp/IP上的NetBIOS(S)。在高级选项里，使用Internet连接防火墙，这是windows 2003 自带的防火墙，在2000系统里没有的功能，虽然没什么功能，但可以屏蔽端口，这样已经基本达到了一个IPSec的功能。在运行中输入gpedit.msc回车，打开组策略编辑器，选择计算机配置-Windows设置-安全设置-审核策略在创建审核项目时需要注意的是如果审核的项目太多，生成的事件也就越多，那么要想发现严重的事件也越难当然如果审核的太少也会影响你发现严重的事件，你需要根据情况在这二者之间做出选择。推荐的要审核的项目是:登录事件 成功 失败账户登录事件 成功 失败系统事件 成功 失败策略更改 成功 失败对象访问 失败目录服务访问 失败特权使用 失败三、关闭默认共享的空连接 由于比较简单，这里就不详谈了。四、磁盘权限设置C盘只给administrators 和system权限，其他的权限不给，其他的盘也可以这样设置，这里给的system权限也不一定需要给，只是由于某些第三方应用程序是以服务形式启动的，需要加上这个用户，否则造成启动不了。Windows目录要加上给users的默认权限，否则ASP和ASPX等应用程序就无法运行。以前有朋友单独设置Instsrv和temp等目录权限，其实没有这个必要的。另外在c:/Documents and Settings/这里相当重要，后面的目录里的权限根本不会继承从前的设置，如果仅仅只是设置了C盘给administrators权限，而在All Users/Application Data目录下会 出现everyone用户有完全控制权限，这样入侵这可以跳转到这个目录，写入脚本或只文件，再结合其他漏洞来提升权限; 譬如利用serv-u的本地溢出提升权限，或系统遗漏有补丁，数据库的弱点，甚至社会工程学等等N多方法，从前不是有牛人发飑说:只要给我一个webshell，我就能拿到system，这也的确是有可能的。在用做web/ftp服务器的系统里，建议是将这些目录都设置的锁死。其他每个盘的目录都按照这样设置，没个盘都只给adinistrators权限。配置磁盘权限时需注意，先安装好所有软件，然后再开始配权限，配置磁盘权限时最后配C盘，而且要先配子目录，再配父目录； 一些常用软件的目录需要给用户留下运行权限，如WinRAR另外，还将:net.exe net1.exe telnet.exe netstat.exe cacls.exe setthc.exe ftp.exe cmd.exe at.exe attrib.exe tftp.exeregedit.exe at.execacls.exe ACL用户组权限设置，此命令可以在NTFS下设置任何文件夹的任何权限! 5、 配置注册表特定项权限 Shell.Application Shell.Application 1 WScript.Shell WScript.Shell 1 Wscript.Network Wscript.Network 1 72C24DD5-D70A-438B-8A42-98424B88AFB8F935DC22-1CF0-11D0-ADB9-00C04FD58A0B这些都只留Administrator和System权限六、防火墙、杀毒软件的安装关于这个东西的安装其实我也说不来，反正安装什么的都有，建议使用卡巴，卖咖啡。 建议使用麦咖啡限制C盘temp文件，禁止.scr .txt .com .cmd .reg.mps .dll .vxd .bat .exe 七、SQL2000 SERV-U FTP安全设置 SQL安全方面1、System Administrators 角色最好不要超过两个2、如果是在本机最好将身份验证配置为Win登陆3、不要使用Sa账户，为其配置一个超级复杂的密码4、删除以下的扩展存储过程格式为:use mastersp_dropextendedproc 扩展存储过程名xp_cmdshell:是进入操作系统的最佳捷径，删除访问注册表的存储过程，删除Xp_regaddmultistringXp_regdeletekeyXp_regdeletevalueXp_regenumvaluesXp_regread Xp_regwrite Xp_regremovemultistringOLE自动存储过程，不需要删除Sp_OACreate Sp_OADestroySp_OAGetErrorInfoSp_OAGetPropertySp_OAMethodSp_OASetPropertySp_OAStop5、隐藏 SQL Server、更改默认的1433端口右击实例选属性-常规-网络配置中选择TCP/IP协议的属性，选择隐藏 SQL Server 实例，并改原默认的1433端口serv-u的几点常规安全需要设置下:选中Block FTP_bounceattack and FXP。什么是FXP呢?通常，当使用FTP协议进行文件传输时，客户端首先向FTP服务器发出一个PORT命令，该命令中包含此用户的IP地址和将被用来进行数据传输的端口号，服务器收到后，利用命令所提供的用户地址信息建立与用户的连接。大多数情况下，上述过程不会出现任何问题，但当客户端是一名恶意用户时，可能会通过在PORT命令中加入特定的地址信息，使FTP服务器与其它非客户端的机器建立连接。虽然这名恶意用户可能本身无权直接访问某一特定机器，但是如果FTP服务器有权访问该机器的话，那么恶意用户就可以通过FTP服务器作为中介，仍然能够最终实现与目标服务器的连接。这就是FXP，也称跨服务器攻击。选中后就可以防止发生此种情况。取消FTP允许匿名访问八、IIS安全设置IIS的安全:1、不使用默认的Web站点，如果使用也要将 将IIS目录与系统磁盘分开。2、删除IIS默认创建的Inetpub目录(在安装系统的盘上)。3、删除系统盘下的虚拟目录，如:_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。4、删除不必要的IIS扩展名映射。右键单击“默认Web站点属性主目录配置”，打开应用程序窗口，去掉不必要的应用程序映射。主要为.shtml, .shtm, .stm5、更改IIS日志的路径右键单击“默认Web站点属性-网站-在启用日志记录下点击属性6、如果使用的是2000可以使用iislockdown来保护IIS，在2003运行的IE6.0的版本不需要。八、其它1、 系统升级、打操作系统补丁，尤其是IIS 6.0补丁、SQL SP3a补丁，甚至IE 6.0补丁也要打。同时及时跟踪最新漏洞补丁;2、停掉Guest 帐号、并给guest 加一个异常复杂的密码，把Administrator改名或伪装!3、隐藏重要文件/目录可以修改注册表实现完全隐藏:“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows Current-VersionExplorerAdvancedFolderHi-ddenSHOWALL”，鼠标右击 “CheckedValue”，选择修改，把数值由1改为04、启动系统自带的Internet连接防火墙，在设置服务选项中勾选Web服务器。5、防止SYN洪水攻击HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters新建DWORD值，名为SynAttackProtect，值为26. 禁止响应ICMP路由通告报文HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfacesinterface新建DWORD值，名为PerformRouterDiscovery 值为07. 防止ICMP重定向报文的攻击HKEY_LOCAL_MACHINESYSTEMCurrentControlSetSer