Windows_2003_Server安全配置指南.doc

41Windows 2003 Server安全配置指南一、先关闭不需要的端口端口限制通常是网络管理的基本手段之一，具体端口的开放与关闭，需要根据实际情况来考虑。关闭端口操作：本地连接-属性-Internet协议(TCP/IP)-高级-选项-TCP/IP筛选-属性-把勾打上，然后添加你需要的端口，重新启动即可。当然也可以更改远程连接端口方法：我们可以写一个.REG文件，如下： WindowsRegistryEditorVersion5.00 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminalServerWinStationsRDP-Tcp PortNumber=dword:00002683双击我们生成的文件，更改数据值，确认重启即可生效。在2003系统里，用TCP/IP筛选里的端口过滤功能，使用FTP服务器的时候，只需开放21端口，在进行FTP传输的时候，FTP 特有的Port模式和Passive模式，在进行数据传输的时候，需要动态的打开高端口，所以在使用TCP/IP过滤的情况下，经常会出现连接上后无法列出目录和数据传输的问题。所以2003系统上增加的Windows连接防火墙能很好的解决这个问题，笔者不推荐使用网卡的TCP/IP过滤功能。如果要关闭不必要的端口，在system32driversetcservices用记事本打开修改。另外还有一中更简单的方法，启用WIN2003的自身带的网络防火墙，并进行端口的改变。Internet 连接防火墙可以有效地拦截对Windows 2003服务器的非法入侵，防止非法远程主机对服务器的扫描，提高Windows 2003服务器的安全性。同时，也可以有效拦截利用操作系统漏洞进行端口攻击的病毒。合理配置利用Windows 2003的防火墙功能，能够对整个内部网络起到很好的保护作用。二.服务与审核策略管理 是系统就必然需要服务，然而不是每一个服务都适用于所有用户的，合理的关闭一些服务，可以减轻系统很多的负担。通常情况下，如下服务可以关闭： ComputerBrowser维护网络上计算机的最新列表以及提供这个列表 Taskscheduler允许程序在指定时间运行 Messenger传输客户端和服务器之间的NETSEND和警报器服务消息 DistributedFileSystem:局域网管理共享文件，不需要禁用 Distributedlinktrackingclient：用于局域网更新连接信息，不需要禁用 Errorreportingservice：禁止发送错误报告 MicrosoftSerch：提供快速的单词搜索，不需要可禁用 NTLMSecuritysupportprovide：telnet服务和MicrosoftSerch用的，不需要禁用 PrintSpooler：如果没有打印机可禁用 RemoteRegistry：禁止远程修改注册表 RemoteDesktopHelpSessionManager：禁止远程协助 Workstation关闭的话远程NET命令列不出用户组。在网络连接里，把不需要的协议和服务都删掉，这里只安装了基本的Internet协议(TCP/IP)，由于要控制带宽流量服务，额外安装了Qos数据包计划程序。在高级tcp/ip设置里-NetBIOS设置禁用tcp/IP上的NetBIOS(S)。在高级选项里，使用Internet连接防火墙，这是windows 2003 自带的防火墙，在2000系统里没有的功能，虽然没什么功能，但可以屏蔽端口，这样已经基本达到了一个IPSec的功能。在运行中输入gpedit.msc回车，打开组策略编辑器，选择计算机配置-Windows设置-安全设置-审核策略在创建审核项目时需要注意的是如果审核的项目过多，那么要想发现严重的事件也越难，当然如果审核的太少也会影响你发现严重的事件，你需要根据情况在这二者之间做出选择。推荐的要审核的项目主要有： 登录事件 账户登录事件 系统事件 策略更改 对象访问 目录服务访问 特权使用三、关闭默认共享的空连接 这个就不必多说了，敞开门让别人拿，用户一定不会干！四、磁盘权限设置C盘只给administrators和system权限，其他的盘也可以这样设置。Windows目录要加上给users的默认权限，否则ASP和ASPX等应用程序就无法运行。以前有朋友单独设置Instsrv和temp等目录权限，其实没有这个必要的。另外在c:/Documents and Settings/这里相当重要，后面的目录里的权限根本不会继承从前的设置，如果仅仅只是设置了C盘给administrators权限，而在All Users/Application Data目录下会 出现everyone用户有完全控制权限，这样入侵这可以跳转到这个目录，写入脚本或只文件，再结合其他漏洞来提升权限;譬如利用serv-u的本地溢出提升权限，或系统遗漏有补丁，数据库的弱点，甚至社会工程学等等N多方法。曾经有牛人云：只要给我一个webshell，我就能拿到system，防微杜渐还是塌实些。在用做web/ftp服务器的系统里，建议是将这些目录都设置的锁死，每个盘都只给adimistrators权限。另外，还需要将： net.exeNET命令 cmd.exe tftp.exe netstat.exe regedit.exe注册表啦用电脑的人都知道 at.exe attrib.exe cacls.exeACL用户组权限设置，此命令可以在NTFS下设置任何文件夹的任何权限。format.exe超级强悍，还是不说了这些文件都设置只允许administrator访问。五、防火墙、杀毒软件的安装曾经还有人炫耀自己的裸机，但如今真的没多少人敢如此忽视杀毒软件的存在。由于对杀毒软件各方看法不一，这里就迎各位的喜好了!六、SQL2000 SERV-U FTP安全设置SQL安全方面1、System Administrators 角色最好不要超过两个2、如果是在本机最好将身份验证配置为Win登陆3、不要使用Sa账户，或为其配置一个超级复杂的密码4、删除以下的扩展存储过程格式为： usemaster sp_dropextendedproc扩展存储过程名 xp_cmdshell：是进入操作系统的最佳捷径，删除 访问注册表的存储过程，删除 Xp_regaddmultistringXp_regdeletekeyXp_regdeletevalueXp_regenumvalues Xp_regreadXp_regwriteXp_regremovemultistring OLE自动存储过程，不需要，删除 Sp_OACreateSp_OADestroySp_OAGetErrorInfoSp_OAGetProperty Sp_OAMethodSp_OASetPropertySp_OAStop5、隐藏 SQL Server、更改默认的1433端口。右击选属性-常规-网络配置中选择TCP/IP协议的属性，选择隐藏 SQL Server 实例，并改原默认的1433端口。serv-u的几点常规安全需要设置下：选中Block FTP_bounceattack and FXP。什么是FXP呢?通常，当使用FTP协议进行文件传输时，客户端首先向FTP服务器发出一个PORT命令，该命令中包含此用户的IP地址和将被用来进行数据传输的端口号，服务器收到后，利用命令所提供的用户地址信息建立与用户的连接。大多数情况下，上述过程不会出现任何问题，但当客户端是一名恶意用户时，可能会通过在PORT命令中加入特定的地址信息，使FTP服务器与其它非客户端的机器建立连接。虽然这名恶意用户可能本身无权直接访问某一特定机器，但是如果FTP服务器有权访问该机器的话，那么恶意用户就可以通过FTP服务器作为中介，仍然能够最终实现与目标服务器的连接。这就是FXP，也称跨服务器攻击。选中后就可以防止发生此种情况。七、IIS安全设置 IIS的安全：1、不使用默认的Web站点，如果使用也要将IIS目录与系统磁盘分开。2、删除IIS默认创建的Inetpub目录(在安装系统的盘上)。3、删除系统盘下的虚拟目录，如：_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。4、删除不必要的IIS扩展名映射。右键单击“默认Web站点属性主目录配置”，打开应用程序窗口，去掉不必要的应用程序映射。主要为.shtml、.shtm、 .stm。5、更改IIS日志的路径右键单击“默认Web站点属性-网站-在启用日志记录下点击属性6、如果使用的是2000可以使用iislockdown来保护IIS，在2003运行的IE6.0的版本不需要。八、其它1、系统升级、打操作系统补丁，尤其是IIS 6.0补丁、SQL SP3a补丁，甚至IE 6.0补丁也要打。同时及时跟踪最新漏洞补丁;2、停掉Guest 帐号、并给guest 加一个异常复杂的密码，把Administrator改名或伪装!3、隐藏重要文件/目录可以修改注册表实现完全隐藏：“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows Current-VersionExplorerAdvancedFolderHi-ddenSHOWALL”，鼠标右击 “CheckedValue”，选择修改，把数值由1改为0。4、启动系统自带的Internet连接防火墙，在设置服务选项中勾选Web服务器。5、防止SYN洪水攻击。HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters新建DWORD值，名为SynAttackProtect，值为26. 禁止响应ICMP路由通告报文HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet ServicesTcpipParametersInterfacesinterface新建DWORD值，名为PerformRouterDiscovery 值为0。7. 防止ICMP重定向报文的攻击HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters将EnableICMPRedirects 值设为08. 不支持IGMP协议HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters新建DWORD值，名为IGMPLevel 值为0。9、禁用DCOM：运行中输入Dcomcnfg.exe。回车，单击“控制台根节点”下的“组件服务”。 打开“计算机”子文件夹。对于本地计算机，请以右键单击“我的电脑”，然后选择“属性”。选择“默认属性”选项卡。清除“在这台计算机上启用分布式 COM”复选框。最后，建议用户在配置每一步时，需要进行相关的测试，避免意外的发生。41一、先关闭不需要的端口 我比较小心，先关了端口。只开了3389、21、80、1433，有些人一直说什么默认的3389不安全，对此我不否认，但是利用的途径也只能一个一个的穷举爆破，你把帐号改了密码设置为十五六位，我估计他要破上好几年，哈哈！办法：本地连接-属性-Internet协议（TCP/IP）-高级-选项-TCP/IP筛选-属性-把勾打上，然后添加你需要的端口即可。PS一句：设置完端口需要重新启动！当然大家也可以更改远程连接端口方法：Windows Registry Editor Version 5.00HKEY_LOCAL_MACHINE SYSTEM Current ControlSet Control Terminal ServerWinStationsRDP-TcpPortNumber=dword:00002683保存为.REG文件双击即可！更改为9859，当然大家也可以换别的端口，直接打开以上注册表的地址，把值改为十进制的输入你想要的端口即可！重启生效！还有一点，在2003系统里，用TCP/IP筛选里的端口过滤功能，使用FTP服务器的时候，只开放21端口，在进行FTP传输的时候，FTP 特有的Port模式和Passive模式，在进行数据传输的时候，需要动态的打开高端口，所以在使用TCP/IP过滤的情况下，经常会出现连接上后无法列出目录和数据传输的问题。所以在2003系统上增加的Windows连接防火墙能很好的解决这个问题，不推荐使用网卡的TCP/IP过滤功能。做FTP下载的用户看仔细，如果要关闭不必要的端口，在system32driversetcservices中有列表，记事本就可以打开的。如果懒的话，最简单的方法是启用WIN2003的自身带的网络防火墙，并进行端口的改变。功能还可以！Internet 连接防火墙可以有效地拦截对Windows 2003服务器的非法入侵，防止非法远程主机对服务器的扫描，提高Windows 2003服务器的安全性。同时，也可以有效拦截利用操作系统漏洞进行端口攻击的病毒，如冲击波等蠕虫病毒。如果在用Windows 2003构造的虚拟路由器上启用此防火墙功能，能够对整个内部网络起到很好的保护作用。二.关闭不需要的服务 打开相应的审核策略我关闭了以下的服务Computer Browser 维护网络上计算机的最新列表以及提供这个列表 Task scheduler 允许程序在指定时间运行 Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息 Distributed File System: 局域网管理共享文件，不需要禁用 Distributed linktracking client：用于局域网更新连接信息，不需要禁用 Error reporting service：禁止发送错误报告 Microsoft Serch：提供快速的单词搜索，不需要可禁用 NTLMSecuritysupportprovide：telnet服务和Microsoft Serch用的，不需要禁用 PrintSpooler：如果没有打印机可禁用 Remote Registry：禁止远程修改注册表 Remote Desktop Help Session Manager：禁止远程协助 Workstation关闭的话远程NET命令列不出用户组把不必要的服务都禁止掉，尽管这些不一定能被攻击者利用得上，但是按照安全规则和标准上来说，多余的东西就没必要开启，减少一份隐患。在网络连接里，把不需要的协议和服务都删掉，这里只安装了基本的Internet协议（TCP/IP），由于要控制带宽流量服务，额外安装了Qos数据包计划程序。在高级tcp/ip设置里-NetBIOS设置禁用tcp/IP上的NetBIOS（S）。在高级选项里，使用Internet连接防火墙，这是windows 2003 自带的防火墙，在2000系统里没有的功能，虽然没什么功能，但可以屏蔽端口，这样已经基本达到了一个IPSec的功能。在运行中输入gpedit.msc回车，打开组策略编辑器，选择计算机配置-Windows设置-安全设置-审核策略在创建审核项目时需要注意的是如果审核的项目太多，生成的事件也就越多，那么要想发现严重的事件也越难当然如果审核的太少也会影响你发现严重的事件，你需要根据情况在这二者之间做出选择。推荐的要审核的项目是： 登录事件账户登录事件系统事件策略更改对象访问目录服务访问特权使用三、关闭默认共享的空连接四、磁盘权限设置C盘只给administrators和system权限，其他的权限不给，其他的盘也可以这样设置，这里给的system权限也不一定需要给，只是由于某些第三方应用程序是以服务形式启动的，需要加上这个用户，否则造成启动不了。Windows目录要加上给users的默认权限，否则ASP和ASPX等应用程序就无法运行。以前有朋友单独设置Instsrv和temp等目录权限，其实没有这个必要的。另外在c:/Documents and Settings/这里相当重要，后面的目录里的权限根本不会继承从前的设置，如果仅仅只是设置了C盘给administrators权限，而在All Users/Application Data目录下会 出现everyone用户有完全控制权限，这样入侵这可以跳转到这个目录，写入脚本或只文件，再结合其他漏洞来提升权限；譬如利用serv-u的本地溢出提升权限，或系统遗漏有补丁，数据库的弱点，甚至社会工程学等等N多方法，从前不是有牛人发飑说：只要给我一个webshell，我就能拿到system，这也的确是有可能的。在用做web/ftp服务器的系统里，建议是将这些目录都设置的锁死。其他每个盘的目录都按照这样设置，每个盘都只给adinistrators权限。另外，还将：net.exe NET命令cmd.exe CMD 懂电脑的都知道咯tftp.exenetstat.exeregedit.exe 注册表啦 大家都知道at.exeattrib.execacls.exe ACL用户组权限设置，此命令可以在NTFS下设置任何文件夹的任何权限！偶入侵的时候没少用这个.（：format.exe 不说了，大家都知道是做嘛的大家都知道ASP木马吧，有个CMD运行这个的，这些如果都可以在CMD下运行.55，估计别的没啥，format下估计就哭料（：这些文件都设置只允许administrator访问。五、防火墙、杀毒软件的安装关于这个东西的安装其实我也说不来，反正安装什么的都有，建议使用卡巴，卖咖啡。用系统自带的防火墙，这个我不专业，不说了！大家凑合！六、SQL2000 SERV-U FTP安全设置SQL安全方面1、System Administrators 角色最好不要超过两个2、如果是在本机最好将身份验证配置为Win登陆3、不要使用Sa账户，为其配置一个超级复杂的密码4、删除以下的扩展存储过程格式为：use master sp_dropextendedproc 扩展存储过程名 xp_cmdshell：是进入操作系统的最佳捷径，删除访问注册表的存储过程，删除Xp_regaddmultistringXp_regdeletekeyXp_regdeletevalueXp_regenumvaluesXp_regread Xp_regwrite Xp_regremovemultistringOLE自动存储过程，不需要，删除Sp_OACreate Sp_OADestroySp_OAGetErrorInfoSp_OAGetProperty Sp_OAMethodSp_OASetPropertySp_OAStop 5、隐藏 SQL Server、更改默认的1433端口。右击实例选属性-常规-网络配置中选择TCP/IP协议的属性，选择隐藏 SQL Server 实例，并改原默认的1433端口。serv-u的几点常规安全需要设置下：选中Block FTP_bounceattack and FXP。什么是FXP呢？通常，当使用FTP协议进行文件传输时，客户端首先向FTP服务器发出一个PORT命令，该命令中包含此用户的IP地址和将被用来进行数据传输的端口号，服务器收到后，利用命令所提供的用户地址信息建立与用户的连接。大多数情况下，上述过程不会出现任何问题，但当客户端是一名恶意用户时，可能会通过在PORT命令中加入特定的地址信息，使FTP服务器与其它非客户端的机器建立连接。虽然这名恶意用户可能本身无权直接访问某一特定机器，但是如果FTP服务器有权访问该机器的话，那么恶意用户就可以通过FTP服务器作为中介，仍然能够最终实现与目标服务器的连接。这就是FXP，也称跨服务器攻击。选中后就可以防止发生此种情况。七、IIS安全设置IIS的安全：1、不使用默认的Web站点，如果使用也要将IIS目录与系统磁盘分开。2、删除IIS默认创建的Inetpub目录（在安装系统的盘上）。3、删除系统盘下的虚拟目录，如：_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。4、删除不必要的IIS扩展名映射。右键单击“默认Web站点属性主目录配置”，打开应用程序窗口，去掉不必要的应用程序映射。主要为.shtml、.shtm、 .stm。5、更改IIS日志的路径右键单击“默认Web站点属性-网站-在启用日志记录下点击属性6、如果使用的是2000可以使用iislockdown来保护IIS，在2003运行的IE6.0的版本不需要。八、其它1、系统升级、打操作系统补丁，尤其是IIS 6.0补丁、SQL SP3a补丁，甚至IE 6.0补丁也要打。同时及时跟踪最新漏洞补丁；2、停掉Guest 帐号、并给guest 加一个异常复杂的密码，把Administrator改名或伪装！3、隐藏重要文件/目录可以修改注册表实现完全隐藏：“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows Current-VersionExplorerAdvancedFolderHi-ddenSHOWALL”，鼠标右击 “CheckedValue”，选择修改，把数值由1改为0。4、启动系统自带的Internet连接防火墙，在设置服务选项中勾选Web服务器。5、防止SYN洪水攻击。HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 新建DWORD值，名为SynAttackProtect，值为2 6. 禁止响应ICMP路由通告报文HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet ServicesTcpipParametersInterfacesinterface新建DWORD值，名为PerformRouterDiscovery 值为0。7. 防止ICMP重定向报文的攻击HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters将EnableICMPRedirects 值设为08. 不支持IGMP协议HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters新建DWORD值，名为IGMPLevel 值为0。9、禁用DCOM：运行中输入Dcomcnfg.exe。回车，单击“控制台根节点”下的“组件服务”。 打开“计算机”子文件夹。对于本地计算机，请以右键单击“我的电脑”，然后选择“属性”。选择“默认属性”选项卡。清除“在这台计算机上启用分布式 COM”复选框架设Windows Server 2003的安全堡垒如果你曾经配置过Windows NT Server或是Windows 2000 Server，你也许发现这些微软的产品缺省并不是最安全的。虽然微软提供了很多安全机制，但是依然需要你来实现它们。然而当微软发布Windows Server 2003的时候，改变了以往的哲学体系。新的理念是，服务器缺省就应该是安全的。这的确是一个不错的理念，不过微软贯彻得还不够彻底。虽然缺省的Windows 2003安装绝对比确省的Windows NT或 Windows 2000安装安全许多，但是它还是存在着一些不足。下面让我教大家如何让Windows Server 2003更加安全。 第一步：修改管理员帐号和创建陷阱帐号 修改内建的用户账号多年以来，微软一直在强调最好重命名Administrator账号并禁用Guest账号，从而实现更高的安全。在Windows Server 2003中，Guest 账号是缺省禁用的，但是重命名Administrator账号仍然是必要的，因为黑客往往会从Administrator账号入手开始进攻。方法是：打开“本地安全设置”对话框，依次展开“本地策略”“安全选项”，在右边窗格中有一个“账户：重命名系统管理员账户”的策略，双击打开它，给Administrator重新设置一个平淡的用户名，当然，请不要使用Admin之类的名字，改了等于没改，尽量把它伪装成普通用户，比如改成：guestone 。然后新建一个名称为Administrator的陷阱帐号“受限制用户”，把它的权限设置成最低，什么事也干不了的那种，并且加上一个超过10位的超级复杂密码。这样可以让那些 Scripts s忙上一段时间了，并且可以借此发现它们的入侵企图。或者在它的login scripts上面做点手脚。 第二步：删除默认共享存在的危险 Windows2003安装好以后，系统会创建一些隐藏的共享，你可以在cmd下打 net share 查看他们。网上有很多关于IPC入侵的文章，相信大家一定对它不陌生。所以我们要禁止或删除这些共享以确保安全，方法是：首先编写如下内容的批处理文件： echo off net share C$ /del net share D$ /del net share E$ /del net share F$ /del net share admin$ /del 以上批处理内容大家可以根据自己需要修改。保存为delshare.bat，存放到系统所在文件夹下的system32/GroupPolicy/User/Scripts/Logon目录下。然后在开始菜单运行中输gpedit.msc，回车即可打开组策略编辑器。点击用户配置Window设置脚本(登录/注销)登录，在出现的“登录 属性”窗口中单击“添加”，会出现“添加脚本”对话框，在该窗口的“脚本名”栏中输入delshare.bat，然后单击“确定”按钮即可。这样就可以通过组策略编辑器使系统开机即执行脚本删除系统默认的共享。 禁用IPC连接 IPC是Internet Process Connection的缩写，也就是远程网络连接。它是Windows NT/2000/XP/2003特有的功能，其实就是在两个计算机进程之间建立通信连接，一些网络通信程序的通信建立在IPC上面。举个例子来说，IPC就象是事先铺好的路，我们可以用程序通过这条“路”访问远程主机。默认情况下，IPC是共享的，也就是说微软已经为我们铺好了路，因此，这种基于IPC的入侵也常常被简称为IPC入侵。建立IPC连接不需要任何黑客工具，在命令行里键入相应的命令就可以了，不过有个前提条件，那就是你需要知道远程主机的用户名和密码。打开CMD后输入如下命令即可进行连接： net use/ip/ipc$ password /user:usernqme。我们可以通过修改注册表来禁用IPC连接。打开注册表编辑器。找到HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Lsa中的restrictanonymous子键，将其值改为1即可禁用IPC连接。 第三步是：重新设置远程可访问的注册表路径 设置远程可访问的注册表路径为空，这样可以有效地防止黑客利用扫描器通过远程注册表读取计算机的系统信息及其它信息。打开组策略编辑器，然后选择“计算机配置”“Windows设置”“安全选项”“网络访问：可远程访问的注册表路径”及“网络访问：可远程访问的注册表”，将设置远程可访问的注册表路径和子路径内容设置为空即可。这样可以有效防止黑客利用扫描器通过远程注册表读取计算机的系统信息及其它信息。 第四步：关闭不需要的端口 大家都知道，139端口是Netbios使用的端口，在以前的Windows版本中，只要不安装Microsoft网络的文件和打印共享协议，就可关闭139端口。在Windows Server 2003中，只这样做是不行的。如果想彻底关闭139端口，方法如下：鼠标右键单击“网络邻居”，选择“属性”，进入“网络和拨号连接”，再用鼠标右键单击“本地连接”，选择“属性”，打开“本地连接 属性”页，然后去掉“Microsoft网络的文件和打印共享”前面的“”，接下来选中“Internet协议(TCP/IP)”，单击“属性”“高级”“WINS”，把“禁用TCP/IP上的NetBIOS”选中，即大功告成！这样做还可有效防止SMBCrack之类工具破解和利用网页得到我们的NT散列。 如果你的机子还装了IIS，你最好设置一下端口过滤。方法如下：选择网卡属性，然后双击“Internet协议(TCP/IP)”，在出现的窗口中单击“高级”按钮，会进入“高级TCP/IP设置”窗口，接下来选择“选项”标签下的“TCP/IP 筛选”项，点“属性”按钮，会来到“TCP/IP 筛选”的窗口，在该窗口的“启用TCP/IP筛选(所有适配器)”前面打上“”，然后根据需要配置就可以了。 比方说如果你只打算浏览网页，则只开放TCP端口80即可，所以可以在“TCP端口”上方选择“只允许”，然后单击“添加”按钮，输入80再单击“确定”即可。如果有其他需要可如法炮制。 以上就是初步的 （一）重新支持ASP脚本 为了将系统安全隐患降到最低限度，Windows Server 2003操作系统在默认状态下，是不支持ASP脚本运行的；不过现在许多网页的服务功能多是通过ASP脚本来实现的，为此，我们很有必要在安全有保障的前提下，让系统重新支持ASP脚本。具体实现的方法为： 1.在系统的开始菜单中，依次单击“管理工具”/“Internet信息服务管理器”命令； 2.在随后出现的Internet信息服务属性设置窗口中，用鼠标选中左侧区域中的“Web服务器设置” 3.接着在对应该选项右侧的区域中，用鼠标双击“Actives server pages”选项，然后将“任务栏”设置项处的“允许”按钮单击一下，系统中的II6就可以重新支持ASP脚本了。 （二）添加站点到“信任区域” Windows Server 2003操作系统使用了一个安全插件，为用户提供了增强的安全服务功能，利用该功能你可以自定义网站访问的安全性。在缺省状态下，Windows Server 2003操作系统会自动启用增强的安全服务功能，并将所有被访问的Internet站点的安全级别设置为“高”。对于频繁访问的网站，你可以将其添加到受信任的站点区域中，日后再次访问它时，系统就不会弹出安全提示框了。 添加站点到“信任区域”的具体做法为： 1.在浏览器的地址框中，输入需要访问的站点地址，单击回车键，就会自动打开一个安全提示警告窗口； 2.要是不想浏览该站点时，直接可以单击“关闭”按钮；要是想浏览的话，可以单击“添加”按钮； 3.在随后打开的“可信任站点”设置窗口中，你会发现当前被访问的站点地址已经出现在信任区域文本框中； 4.继续单击“添加”按钮，就能将该站点添加到网站受信任区域中了；下次重新访问该站点时，浏览器就会跳过安全检查，直接打开该站点的网页页面了。 （三）根据需要对系统服务进行控制 服务是一种在系统后台运行的应用程序类型，它与UNIX后台程序类似。服务提供了核心操作系统功能，如Web 服务、事件日志记录、文件服务、帮助和支持、打印、加密和错误报告。通过服务管理单元，可管理本地或远程计算机上的服务。所以并不是所有默认服务都是我们需要的。我们不需要的可以停用、禁用，来释放系统资源。如果你想更加了解系统的服务，可以到“我的电脑”“控制面板”“服务”中查看，每个服务都有完整的描述，或使用Windows 2003的帮助与支持，查阅相关资料。 特别注意：服务账号 Windows Server 2003在某种程度上最小化服务账号的需求。即便如此，一些第三方的应用程序仍然坚持传统的服务账号。如果可能的话，尽量使用本地账号而不是域账号作为服务账号，因为如果某人物理上获得了服务器的访问权限，他可能会转储服务器的LSA机密，并泄露密码。如果你使用域密码，森林中的任何计算机都可以通过此密码获得域访问权限。而如果使用本地账户，密码只能在本地计算机上使用，不会给域带来任何威胁。 系统服务 一个基本原则告诉我们，在系统上运行的代码越多，包含漏洞的可能性就越大。你需要关注的一个重要安全策略是减少运行在你服务器上的代码。这么做能在减少安全隐患的同时增强服务器的性能。 在Windows 2000中，缺省运行的服务有很多，但是有很大一部分服务在大多数环境中并派不上用场。事实上，Windows 2000的缺省安装甚至包含了完全操作的IIS服务器。而在Windows Server 2003中，微软关闭了大多 .安全设置下面在说说其他方面的安全：全方位堵住Windows 2003 Server的安全隐患 尽管Windows 2003的功能在不断增强，但是由于先天性的原因，它还存在不少安全隐患，要是不将这些隐患“堵住”，可能会给整个系统带来不必要的麻烦；下面就介绍Windows2003中不常见的安全隐患的防堵方法，希望能对各位带来帮助！ 堵住自动保存隐患Windows 2003操作系统在调用应用程序出错时，系统中的Dr. Watson会自动将一些重要的调试信息保存起来，以便日后维护系统时查看，不过这些信息很有可能被黑客“瞄上”，一旦瞄上的话，各种重要的调试信息就会暴露无疑，为了堵住Dr. Watson自动保存调试信息的隐患，我们可以按如下步骤来实现：1、打开开始菜单，选中“运行”命令，在随后打开的运行对话框中，输入注册表编辑命令“ergedit”命令，打开一个注册表编辑窗口；2、在该窗口中，用鼠标依次展开HKEY_local_machinesoftwareMicrosoftWindowsdowsNTCurrentVersionAeDebug分支，在对应AeDebug键值的右边子窗口中，用鼠标双击Auto值，在弹出的参数设置窗口中，将其数值重新设置为“0”，如图1所示；图13、打开系统的Windows资源管理器窗口，并在其中依次展开Documents and Settings文件夹、All Users文件夹、Shared Documents文件夹、DrWatson文件夹，最后将对应DrWatson中的User.dmp文件、Drwtsn32.log文件删除掉。完成上面的设置后，重新启动一下系统，就可以堵住自动保存隐患了。堵住资源共享隐患为了给局域网用户相互之间传输信息带来方便，Windows Server 2003系统很是“善解人意”地为各位提供了文件和打印共享功能，不过我们在享受该功能带来便利的同时，共享功能也会“引狼入室”，“大度”地向黑客们敞开了不少漏洞，给服务器系统造成了很大的不安全性；所以，在用完文件或打印共享功能时，大家千万要随时将功能关闭哟，以便堵住资源共享隐患，下面就是关闭共享功能的具体步骤： 1、执行控制面板菜单项下面的“网络连接”命令，在随后出现的窗口中，用鼠标右键单击一下“本地连接”图标；2、在打开的快捷菜单中，单击“属性”命令，这样就能打开一个“Internet协议(TCP/IP)”属性设置对话框；3、在该界面中取消“Microsoft网络的文件和打印机共享”这个选项；4、如此一来，本地计算机就没有办法对外提供文件与打印共享服务了，这样黑客自然也就少了攻击系统的“通道”。堵住远程访问隐患在Windows2003系统下，要进行远程网络访问连接时，该系统下的远程桌面功能可以将进行网络连接时输入的用户名以及密码，通过普通明文内容方式传输给对应连接端的客户端程序；在明文帐号传输过程中，实现“安插”在网络通道上的各种嗅探工具，会自动进入“嗅探”状态，这个明文帐号就很容易被“俘虏”了；明文帐号内容一旦被黑客或其他攻击者另谋他用的话，呵呵，小心自己的系统被“疯狂”攻击吧！为了杜绝这种安全隐患，我们可以按下面的方法来为系统“加固”：1、点击系统桌面上的“开始”按钮，打开开始菜单；2、从中执行控制面板命令，从弹出的下拉菜单中，选中“系统”命令，打开一个系统属性设置界面； 3、在该界面中，用鼠标单击“远程”标签；4、在随后出现的标签页面中，将“允许用户远程连接到这台计算机”选项取消掉，这样就可以将远程访问连接功能屏蔽掉，从而堵住远程访问隐患了。堵住用户切换隐患Windows 2003系统为我们提供了快速用户切换功能，利用该功能我们可以很轻松地登录到系统中；不过在享受这种轻松时，系统也存在安装隐患，例如我们要是执行系统“开始”菜单中的“注销”命令来，快速“切换用户”时，再用传统的方式来登录系统的话，系统很有可能会本次登录，错误地当作是对计算机系的一次暴力“袭击”，这样Windows2003系统就可能将当前登录的帐号当作非法帐号，将它锁定起来，这显然不是我们所需要的；不过，我们可以按如下步骤来堵住用户切换时，产生的安全隐患：在Windows 2003系统桌面中，打开开始菜单下面的控制面板命令，找到下面的“管理工具”命令，再执行下级菜单中的“计算机管理”命令，找到“用户帐户”图标，并在随后出现的窗口中单击“更改用户登录或注销的方式”；在打开的设置窗口中，将“使用快速用户切换”选项取消掉就可以了。堵住页面交换隐患Windows 2003操作系统即使在正常工作的情况下，也有可能会向黑客或者其他访问者泄漏重要的机密信息，特别是一些重要的帐号信息。也许我们永远不会想到要查看一下，那些可能会泄漏隐私信息的文件，不过黑客对它们倒是很关心的哟！Windows 2003操作系统中的页面交换文件中，其实就隐藏了不少重要隐私信息，这些信息都是在动态中产生的，要是不及时将它们清除，就很有可能成为黑客的入侵突破口；为此，我们必须按照下面的方法，来让Windows 2003操作系统在关闭系统时，自动将系统工作时产生的页面文件全部删除掉：1、在Windows 2003的“开始”菜单中，执行“运行”命令，打开运行对话框，并在其中输入“Regedit”命令，来打开注册表窗口；2、在该窗口的左边区域中，用鼠标依次单击HKEY_local_machinesystemcurrentcontrolsetcontrolsessionmanagermemory management键值，找到右边区域中的ClearPageFileAtShutdown键值(如图2所示)，并用鼠标双击之，在随后打开的数值设置窗口中，将该DWORD值重新修改为“1”；3、完成设置后，退出注册表编辑窗口，并重新启动计算机系统，就能让上面的设置生效了。网上流传的很多关于windows server 2003系统的安全配置，但是仔细分析下发现很多都不全面，并且很多仍然配置的不够合理，并且有很大的安全隐患，今天我决定仔细做下极端BT的2003服务器的安全配置，让更多的网管朋友高枕无忧。 我们配置的服务器需要提供支持的组件如下：（ASP、ASPX、CGI、PHP、FSO、JMAIL、MySql、SMTP、POP3、FTP、3389终端服务、远程桌面Web连接管理服务等），这里前提是已经安装好了系统，IIS，包括FTP服务器，邮件服务器等，这些具体配置方法的就不再重复了，现在我们着重主要阐述下关于安全方面的配置。 硬盘目录权限设置 先说关于系统的NTFS磁盘权限设置，大家可能看得都多了，但是2003服务器有些细节地方需要注意的，我看很多文章都没写完全。 C盘只给administrators 和system权限，其他的权限不给，其他的盘也可以这样设置，这里给的system权限也不一定需要给，只是由于某些第三方应用程序是以服务形式启动的，需要加上这个用户，否则造成启动不