各类系统lyl9g只存windows server安全配置指南

Windows2003Server端口限制通常是网络管理的基本之一，具体端口的开放与关闭，需要根据实际情况来考虑。关闭端口操作：本地连接--属当然也可以更改连接端口方法WindowsWindowsRegistryEditorVersion[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp]后无法列出和数据传输的问题所以2003系统上增加的Windows连接能很好的解决这个问题笔者不推荐使用网卡的TCP/IP的自身带的网络，并进行端口的改变Internet连接可以有效地对Windows2003服务器的，防止 主机对服务器的扫描，提高Windows2003服务器的安全性。同时，也可以有效利用操作系统进行端口的。合理配置利用Windows2003的功能，能ComputerComputer TaskschedulerMessengerNETSENDDistributedFileSystemDistributedErrorreporting net服务 Remote表RemoteDesktopHelpSession NET命令列不出用户组在"网络连接"里，把不需要的协议和服务都删掉，这里只安装了基本的Internet协议(TCP/IP)，由于要控制带宽流量服务，额外安装了Qos数据包计划程序。在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS(S)"。在高级选项里，使用"Internet连 "，这是windows2003自带的 ，在2000系统里没有的功能，虽然没什么功能，但可以 一个IPSec的功能。在运行中输入gpedit.msc回车，打开组策略编辑器，选择计算机配置-Windows设置-安全设置-审核策略在创建审核项目时需要注意的是如果审核的项目过多，那么要想发现严重的也越难，当然如果审核的太少也会影响你发现严重的，你需要根据情况在这二C盘只给administrators和system权限其他的盘也可以这样设置 要加上给users的默认权限否则ASP和 另外在c:/sandSettings/这里相当重要，后面的 里的权限根本不会继承从前的设置，如果仅仅只是设置了C盘给administrators权限，而在AllUsers/ApplicationData 下会出现everyone用户有完全控制权限，这样这可以跳转到这个目录，写入或只文件，再结合其他来提升权限;譬如利用serv-u的本地溢出提升权限，或系统遗漏有补丁，数据库的弱点，甚至社会工程学等等N多方法。曾经有牛人云："只要给我一个webs，我就能拿到system"，防微杜渐还是塌实些。在用做web/ftp服务 都设置的锁死，每个盘都只给adimistrators权限。net.exenet.exeNETcacls.exeACLNTFSformat.exe这些文件都设置只允许administrator。 六、SQL2000SERV-UFTPSQL1、SystemAdministrators3、不要使用Sauseusesp_dropextendedproc'扩 Xp_regreadXp_regwriteXp_regremovemultistringOLE自 5SQLServer1433右击选属性-常规-网络配置中选择TCP/IPSQLServer1433选中"BlockFTP_bounce"attackandFXP"。什么是FXP呢?通常，当使用FTPFTP服务器1、不使用默认的Web站点，如果使用也要将 2、删除IIS默认创建的 右键单击“默认Web站点→属性→主 5、更改IIS日志的路径右键单击“默认Web站点→属性--在启用日志记录下点击属62000iislockdown来保护IIS2003运行的IE6.0的版本不需要。1、系统升级、打操作系统补丁，尤其是IIS6.0补丁、SQLSP3a补丁，甚至IE6.0补丁也要打。同时及时补丁;2、停掉Guest帐号、并给guest加一个异常复杂的，把Administrator改名或!可以修改表实现完全隐藏Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”“CheckedValue”10。4、启动系统自带的Internet连接，在设置服务选项中勾选Web服务器。5、防止SYN洪水。新建DWORD值，名为SynAttackProtect26.响应ICMP路由通告报HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\新建DWORD值，名为PerformRouterDiscovery0防止ICMP重定向报文的将EnableICMPRedirects0不支持IGMP新建DWORD值，名为IGMPLevel0、禁 运行中输 fg.exe。回车，单击“控制台根节点”下的“组件服务”。打开“计算机”子文件夹清除“COM”3389利用的途径也只能一个一个的穷举你把帐号改了设接--属性--Internet（TCP/IP）--高级--选项--TCP/IPWindowsRegistryEditorVersion5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp]功能，使用FTP服务器的时候，只开放21端口，在进行FTP传输的时候，FTP特有的Port模式和Passive模式，在进行数据传输的时候需要动态的打开高端口所以在使用TCP/IP 的问题。所以在2003系统上增加的Windows连接能很好的解决这个问题，不推荐使用网卡的TCP/IP过滤功能。网络，并进行端口的改变。功能还可以！Internet连接可以有效地对Windows2003服作系统进行端口的，如冲击波等蠕虫。如果在用Windows2003构造的虚拟路由器上启用此功能，ComputerBrowser网络上计算机的列表以及提TaskschedulerMessengerNETSENDDistributedFileSystem:局域理共享文件，不需Distributedlinktracking：用于局域网更新连Errorreportingservice：发送错误报： curitysupportprovidenet服务：Serch用的，不需要禁用RemoteRegistry： 修改表RemoteDesktopHelpSessionManager：协Workstation关闭的话NET命令列不出用户把不必要的服务都掉尽管这些不一定能被者利Internet（TCP/IP），由于要控制带宽流"带的，在2000系统里没有的功能，虽然没什么功能，但可以端口，这样已经基本达到了一个IPSec的功能。gpedit.msc择计算机配置-Windows设置-安全设置-审核策略在创建审核项目时需要注意的是如果审核的项目太多生成的也就越多那么要想发现严重的也越难当然如果审核的太少也会影响你发现严重的你需要根据情况在这二者之间做出选登录账户登录系统对象服务Cadministratorssystemsystem定需要给，只是由于某些第应用程序是以服务形式启动Windows要加上给usersASP和ASPXInstsrvtemp等权限，其实没有这个必要的。Data下会出现everyone这可以跳转到这个，写入或只文件，再结合其他serv-u从前不是有牛人发飑说："只要给我一个webs，我就能拿系统里，建议是将这些都设置的锁死。其他每个盘的net.exeNET CMD~ 表啦大家都知 下设置任何文件夹的任何权限偶的时候没少用这个 哭料~~~（：这些文件都设置只允许administrator。五、、杀毒软件的安六、SQL2000SERV-UFTP1、SystemAdministrators2、如果是在本机最好将验证配置为Win登4、删除以下的扩展过程格式为usesp_dropextendedproc'扩展过程名'表 过程，删Xp_regreadXp_regwriteXp_regremovemultistringOLE自动过程，不需要，删除5SQLServer1433SQLServer1433选中"BlockFTP_bounce"attackandFXPFXP服务器发出一个"PORTIP与其它非客户端的机器建立连接虽然这名用户可能本身FTP服务器有权该务器。选中后就可以防止发生此种情况。1、不使用默认的Web站点，如果使用也要将IIS 2、删除IIS默认创建的Inetpub 3删除系统盘下的虚 _vti_bin4IIS右键单击“默认Web站点→属性→主 为.shtml、.shtm、.stm。右键单击“默认Web站点→属性--在启用日志记录下62000iislockdownIIS，2003IE6.01IIS6.0SQLSP3aIE6.02停掉Guest帐号并给guest加一个异常复杂的，把Administrator改名或！3可以修改表实现完全隐藏：ALLCheckedValue10。Web5、防止SYN洪水DWORDSynAttackProtect6.响应ICMP路由通告报HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\DWORDPerformRouterDiscovery0EnableICMPRedirectsDWORDIGMPLevel0、禁 下的“组件服务”。打开“计算机”子文件夹。清除“在这台计算机上启用分布式COMWindowsServer2003如果你曾经配置过WindowsNTServer或是Windows2000Server，你也许发现这些微软的产品缺省并不是最安全的。虽然微软提供了很多安全机制，但是依然需要你来实现它们。然而当微软发布WindowsServer不过微软得还不够彻底虽然缺省的Windows2003安装绝对比确省的WindowsNT或Windows2000WindowsServer2003更加安全。AdministratorGuest账号，从而实现更高的安全。在WindowsServer2003中，Guest账号是缺省禁用的，但是重命名Administrator账号仍然是必要的，因为往往会从Administrator账号入手开始进攻。方法是：打开“本地安全设置”框，依次展开本地策略→安全选项，在右边窗格中有一个账户：重命名系统管理员账户的策略，双击打开它，给AiittrAmin普通户，如改：etne。后新建个名为Amisttr陷阱号受限制用户把它权限置成低什事也不了那，并加上个超过10位超级杂。样以让那些Sciss忙上段时了并且以借发它们的企图或者它的lnscits上做点手脚。上有很多关于IPC的文章，相信大家一定对它不陌生。所以我们要或删除这些共享以确保安全，方法@echonetshareC$/delnetshareD$/delnetshareE$/delnetshareF$/delnetshareadmin$以上批处理内容大家可以根据自己需要修改。保存为delshare.bat，存放到系统所在文件夹下的 下。然后在开始菜单→运行中输gpedit.msc，回车即可打开组策略编辑器。点击用户配置→Window设置→(登录/注销)→登录，在出现的“登录属性”窗口中单IPCIPC是InternetProcessConnection的缩写也就是网络连接它是WindowsNT/2000/XP/2003例子来说，IPC就象是事先铺好的路，我们可以用程序通过这条“路”主机。默认情况下，IPC是共享的用户名和。打开CMD后输入如下命令即可进行连接：netuse//ip/ipc$"password"/user:"usernqme"。我们可以通过修改表来禁用IPC连接。打开注册表编辑器。找到HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Lsa 中的restrictanonymous子键，将其值改为1即可禁用IPC连接。设置可的表径为空，这可以有地防止利用描器通过表算机的系统信息其它息开组略编器后选择计机配置→Wns设置→安全项→络：可的表径及络可表设置路径路内容设置为即可这样以有防止利扫描通表计算的系信息其它息。大家都知道，139端口是Netbios使用的端口，在以前的Windows版本中，只要不安装网络139端口。在WindowsServer2003中，只这样做是不行的。如果想彻单击“本地连接”，选择“属性”，打开“本地连接属性”页，然后去掉“网络的文件和打印共享”前面的选中，即大功告成！这样做还可有效防止SMBCrack之类工具和利用网页得到我们的NT散列。如果你的机子还装了IIS，你最好设置一下端口过滤。方法如下：选择网卡属性，然后双击“Internet的“TCP/IP筛选”项，点“属性”按钮，会来到“TCP/IP筛选”的窗口，在该窗口的“启用TCP/IP筛选(所有适配（一）ASP为了将系统安全隐患降到最低限度，WindowsServer2003操作系统在默认状态下，是不支持ASP运行的；不过现在许多网页的服务功能多是通过ASP来实现的，为此，我们很有必要在安全有保障的前提下，让系统重新支持ASP。具体实现的方法为在随后出现的Internet“Web服接着在对应该选项右侧的区域中，用鼠标双击“Activesserverpages”选项，然后将“任务栏”设置的“允许”按钮单击一下，系统中的II6就可以重新支持ASP了。（二）添加站点到“信任区域WindowsServer2003操作系统使用了一个安全插件，为用户提供了增强的安全服务功能利用该功能你可以自定义的安全性在缺省状态下，WindowsServer2003操作系统会自动启用增强的安全服务功能并将所有被的Internet站点的安全级别设置（三）心操作系统功能，如Web服务、日志记录、文件服务、帮助和支持、打印、加密和错用Windows2003的帮助与支持，查阅相关资料。WindowsServer2003的应用程序仍然坚持传统的服务账号。如果可能的话，尽量使用本地账号而不是域账号作为服务账号因为如果物理上获得了服务器的权限他可能会转储服务器的LA，并。如果你使用域 ，森林中的任何计算机都可以通过此 获得域权限。而如果使用本地账户， 只能在本地计算机上使用，不会给域带来任何 。在Windows2000中，缺省运行的服务有很多，但是有很大一部分服务在大多数环境中并派不上用场。事实上，Windows2000IIS服务器。而在WindowsServer2003中，微软关闭了大多.安全设置下面在说说其他方面的安全：Windows2003Server“堵住Windows2003中不常见的安全隐患的防堵方法，Windows2003DrWatson会自动将一些重要的调试信息信息就会无疑，为了堵住Dr.Watson自动保存调试信息的隐患，我们可以按如下步骤来实现：开开菜单选中行命在后打运行框中输入表编辑命令“ergedit命令，打开一编辑口；2、在该窗口中，用鼠标依次展开HKEY_local_machine＼software＼＼WindowsdowsN出的参数设置窗口中，将其数值重新设置为“01所示；p文件、Drwtsn32.log文件删除掉。随时将功能关闭哟，以便堵住资源共享隐患，下面就是关闭共享功能的具体步骤：1、执行控制面板菜单2、在打开的快捷菜单中，单击“属性”命令，这样就能打开一个“Internet协议(TCP/IP)”属性设置对，在3系下，进行网接时，系统的桌面能可将进网络接输入的用户名以，通过通明文内容式传输对应连接端的客端程序；在文帐号传输程中，现安插网络道上各种工会动进入状态这个明文帐号就很容易被“俘虏”了明文帐号内容旦被或他者另他用话呵自的系统被“疯狂吧为了杜绝这种安全隐，4、在随后出现的页面中，将“允许用户连接到这台计算机”选项取消掉，这样就可以将，Windows2003系统桌面中，打开开始菜单下面的控制面板命令，找到下面的“管理工具”命令，再执s3操作统即在正工的情也有可会向或其他者漏要的信息，特别是一些要的帐号信。也许我们不会到要查看一下，些可能会泄隐私信息的件，不过s3态中产生的要是不及时它们清，就很有可能成的破口；为此须s31、在Windows2003的“开始”菜单中，执行“运行”命令，打开运行框，并在其中输入“Regedit”＼control＼sessionmanager＼memorymanagementClearPageFileAtShu“1；windows2003server /2009-1-1917:29:54IT网上流传的很多关于windowsserver2003系统的安全配置，但是仔细分析下发现很多都不全面，并且很多仍然配置的不够合理，并且有很大的安全隐患，今天我决定仔细做下BT的2003服务器的安全配置，让的朋友高枕无忧。硬盘权限设置先说关于系统的NTFS2003服务器有些细节地方需要Cadministrators和systemsystem权限也不一定需要给，只是由于某些第应用程序是以服务形式启动的，需要加上这个用户，否则造成启动不了。1WindowsuserseveryoneASP和ASPX另外在c:/sandSettings/这里相当重要，后面的里的权限根本不会继承从前的设置，如果仅仅只是设置了C盘给administrators权限，而在AllUsers/ApplicationData下会出现everyone用户有完全控制权限，这样这可以跳转到这个，写入或只文件，再结合其他来提升权限；譬如利用serv-u的本地溢出提升权限，或系统遗漏有补丁，数据库的弱点，甚至社会工程学adinistrators权限。2.禁用RemoteRegistry服务[说明：连接表.禁用taskschedule服 [说明：自动运行程序.禁用server服 [说明：默认共享.禁用net服 net登陆.禁用workstation服 [说明：防止一些和系统敏感信息获取.TCP/IPNetBIOSHelperService[服务器不需要开启共享 在“网络连接”里，把不需要的协议和服务都删掉，这里只安装了基本的Internet协议（TCP/I在高级选项里，使用“Internet连接”，这是windows2003自带的，在2000系统里没有的功能，虽然没什么功能，但可以屏IPSec的功能。35TCP/IP过滤的情况下，经常会出现连接上后无法列出和数据传输的问题。所以在2003系统上增加的windows连接能很好的解决这个问题，所以都不推荐使用网卡的TCP/IP过滤功能。6SERV-UFTPgftp服务器软件也一样不见得安全到哪儿去。serv-uftp软件：AbilityFTP serv-u的安全设首先，6.0比从前5.x版本的多了个修改本地LocalAdministrtaor的功能5.x版本里可以用ultraedit-32等编辑器修改serv-u端口，6.0修补了这个隐患，单独拿出来方便了大家。不过修改了管理的s是在获得webs的条件后还得有个能在里有“执行”的权限，并且需要管serv-uadministrator的时候才能成功。所以我们的管理员要选中Bock"FP_uc"tackadXP。什么是XP呢？通常，当使用FP协议进行文件传输时，客户端首先向FP服务器发出一个POT命令，该命令中包含此用户的P地址和将被用来进行数据传输的端服务器收到后，利用命令所提供的用户地址信息建立与用户的连接。大多数情况下，上述过程不会出现任何问题，但当客户端是一名用户时，可能会通过在POT命令中加入特定的地址信息，使FP服务器与其它非客户端的机器建立连接。虽然这名用户可能本身无权直接某一特定机器，但是如果FTP服务器有权该机器的话，那么用户就可以通过FTP服务器作为中介，仍然能够最终实现与目标服务器的连接。这就是FXP，也称跨服务器。选中后就可以另外在“Blockantitime-outschemes"也可以选中。其次，在“Advanced”选项卡中，检查“Enablesecurity”是否被选中，如果没有，选择它们。IIS webIIS用户，譬如这里，新建立了一个名guest的。在IIS里的站点属性里“安全性”“验证和控制“里设置访问使用下列Windows用户帐户”的用户名都使用这个用户的信息.在这个站点相对应的web文件，默认的只给IIS用户的和写入权限（后面有BT的设置要介绍。webASP，ASPXphpCGIweb服务扩展，在扩展名(X)php，再在要求的文件(E)C:/php/sapi/php4isapi.dll，并勾选设置状态为允许(S)。然IISPHPCGI同样也是如此。 ASPX这样能对于有ASP注入的站点，可以不反馈程序报错的信息，能够避免一定程度的。HTTP404,500等错误，不过有IIS6.010个左为：315safe的程序池。也就更小些。在一个站点的某些里，譬如这个“uploadfile"，不需要在里面运行asp程序或其他的，就去掉这个的执行程序权限，在“应asp运行的，譬如数据库，等等里都可以这样做，这样主要是能避免在站点应用程序出现bu在默认情况下，我们一般给每个站点的web的权限为IIS用户的和写1．给web 然后我们对响应的uploadfiles/或其他需要存在上传文件的额外给写的权限，并且在IIS里给这个无运行权限，这样即使程序出现，asp木马写进里去，呵呵，不过没这么简单就防止住了攻MS-SQLOK了，但Access的数据库的话，其数据库所在的，或数据库文件也得给写权限，然后数据库文件没必要改成.asp的。这样的大家也都知道了把，一旦你的数据库路径被了，这个数据库就是一个大木马，够可怕的。其实完全还是规矩点只用mdb后缀这个在IIS里不给执行权限然后在IIS里加设dll文件来解析.mdbasp.dll来解析就可以了，这样别人即使获得了数据库路径也无法。这个方法可以说是防止数据库被的终极解决办法了。ASP提供了强大的文件系统能力可以对服务器硬盘上的任何文件进行读、写、、删除、改名等操作，这给学校的安全带来巨大的。现在很多校园主机都过FSO木马的侵扰。但是禁用FSO组件后，引起的就是所有利用这个组件的ASP程序将无法运行，客户的需求。如何既允FileSystemObject组件，又不影响服务器的安全性呢（即：不同虚拟主机用在出现在框中选择“安全”选项卡，将Everyone、Users组删除，删除后如1，经过这样设计后，FSO木马就已经不能运行了。如果你要进行更安全级别的设置，请分别对各个磁盘分区进行如上设置，并为各个站点设置不同访问用户。下面以实例来介绍（EAbc文件夹下设站：并将“用户下次登录时须更改”前的对号去掉选中“用户不能更改”和“密码永不过期”Guests组。E:/Abc，选择“属性→安全”选项卡，此时可以看到该文件夹的默认限”前面的对号去掉，并删除所有，添加Administrators及Abc用户对本的所有安全权限。IIS管理器，右击主机名，在弹出的菜单中选择“属性→目录安全性”选项卡，点击验证和控制的[编辑]，弹出图2所示框，，经过这样设置的用户就以Abc账户E:/Abc文件夹的站AbcF，常见问题：FSO200kIISadminserviceWindows＼System32＼Ines