win2003服务器安全设置(整理).docx

win2003服务器安全设置一、先关闭不需要的端口 办法：本地连接-属性-Internet协议（TCP/IP）-高级-选项-TCP/IP筛选-属性-把勾打上 然后添加你需要的端口即可。设置完端口需要重新启动！二、换远程连接端口提示：打开“组策略编辑器”的方法为：依次点击“开始运行”，在“运行”对话框中键入“gpedit.msc”命令并回车，即可打开“组策略编辑器”窗口1、允许/禁止“远程桌面”连接我们能通过组策略允许或禁止使用“远程桌面”连接功能。在“组策略编辑器”左侧窗口中，依次展开“计算机设置管理模板视窗系统组件终端服务”目录。单击目录名“终端服务”，在右侧窗口中双击“允许用户使用终端服务远程连接”选项。然后在属性对话框的“设置”选项卡下点选“已启用”或“已禁用”单选框并单击“确定”按钮即可。打开注册表（运行：regedit） ，找到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWdsrdpwdTdstcp，在右边的窗口里面将会看到名字为PortNumber的DWORD值，打开之后选中十进制，你就会看到默认的远程桌面端口3389，修改其值为你自己定义的一个端口，如3390。然后再找到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp，在右侧的窗口中同样看到一个名字为PortNumber的DWORD值，同样修改为3390。服务器重起后使用远程桌面客户端，输入：111.222.333.444:3390，远程登陆成功.如果服务器上有防火墙和安全策略，千万别忘了开放3390端口哦！三.关闭不需要的服务 打开相应的审核策略 Computer Browser 维护网络上计算机的最新列表以及提供这个列表 Smart Card 你没有智能卡阅读器 Task scheduler 允许程序在指定时间运行 Telnet 允许远程用户登录到此计算机并运行程序 TCP/IP NetBIOS Helper Service 你的计算机不准备让别人共享Message Queuing 传输客户端和服务器之间的 NET SEND 和 警报器服务消息 Distributed File System: 局域网管理共享文件，不需要禁用 Distributed linktracking client：用于局域网更新连接信息，不需要禁用 Error reporting service：禁止发送错误报告 Microsoft Serch：提供快速的单词搜索，不需要可禁用 PrintSpooler：如果没有打印机可禁用 Remote Registry：禁止远程修改注册表 Remote Desktop Help Session Manager：禁止远程协助 Routing and Remote Access在局域网以及广域网环境中为企业提供路由服务Removable storage 管理可移动媒体、驱动程序和库 Workstation 关闭的话远程NET命令列不出用户组 Routing and Remote Access 你的计算机不做路由器四、在网络连接里，把不需要的协议和服务都删掉只安装了基本的Internet协议（TCP/IP）五、磁盘权限设置C盘只给administrators 和system权限，其他的权限不给，其他的盘也可以这样设置，这里给的system权限也不一定需要给，只是由于某些第三方应用程序是以服务形式启动的，需要加上这个用户，否则造成启动不了。Windows目录要加上给users的默认权限，否则ASP和ASPX等应用程序就无法运行。以前有朋友单独设置Instsrv和temp等目录权限，其实没有这个必要的。另外在c:/Documents and Settings/这里相当重要，后面的目录里的权限根本不会继承从前的设置，如果仅仅只是设置了C盘给administrators权限，而在All Users/Application Data目录下会 出现everyone用户有完全控制权限，这样入侵这可以跳转到这个目录，写入脚本或只文件，再结合其他漏洞来提升权限；譬如利用serv-u的本地溢出提升权限，或系统遗漏有补丁，数据库的弱点，甚至社会工程学等等N多方法，从前不是有牛人发飑说：只要给我一个webshell，我就能拿到system，这也的确是有可能的。在用做web/ftp服务器的系统里，建议是将这些目录都设置的锁死。其他每个盘的目录都按照这样设置，没个盘都只给adinistrators权限。C:Program FilesCommon Files目录给Internet来宾账户读取权限。C:WINDOWSTemp目录给Internet来宾账户读取权限。 六、本地安全策略账户策略密码长度最小值 10个字符帐户锁定阈值 5次账户锁定时间 30分钟复位账户锁定计数器 30分钟本地策略用户权限分配安全选项交互式登陆：不显示上次的用户名启用网络访问：不允许SAM帐户和共享的匿名枚举 启用网络访问：不允许为网络身份验证储存凭证启用网络访