win2003服务器安全设置教程
4 j3 P7 B) R! d3 ]2 B服务器安全设置
4 `8 f+ l! k' R5 ~) n2 X- X1、系统盘和站点放置盘必须设置为NTFS格式,方便设置权限。 V3 w! G( {, R& t' O3 r& _
2、系统盘和站点放置盘除administrators 和system的用户权限全部去除。
$ S" W9 Y$ o) |2 p) |4 Z 6 W! n9 Q+ |) P: n- T! j
3、启用windows自带防火墙,只保留有用的端口,比如远程和Web、Ftp(3389、80、21)等等,有邮件服务器的还要打开25和130端口。 5 X2 A }. {0 H0 }

: y* ^; X* A4 K1 K. o8 U9 n+ N
3 Q% m; c; ?( W1 z; h( U
`2 J- ~; y) E5 r0 h4、安装好SQL后进入目录搜索 xplog70 然后将找到的三个文件改名或者删除。
' |- c5 Q3 z2 z! n
2 u+ B; e- r5 H$ ?9 d/ ~9 W: X# _* j5、更改sa密码为你都不知道的超长密码,在任何情况下都不要用sa这个帐户。 6 b/ v. F$ P& @* b+ K; } q3 a% H
 : X' z& S# h7 H; J8 ]
6、改名系统默认帐户名并新建一个Administrator帐户作为陷阱帐户,设置超长密码,并去掉所有用户组。(就是在用户组那里设置为空即可。让这个帐号不属于任何用户组—样)同样改名禁用掉Guest用户。
) V& I2 u" j2 O& H
0 O) e: M4 D" y+ D- K, \7、配置帐户锁定策略(在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略,将账户设为“三次登陆无效”,“锁定时间30分钟”,“复位锁定计数设为30分钟”。) 0 s* h( p& }( N0 K& d2 V. c3 i

* P! j) t- g+ a7 g4 r" n8、在安全设置里本地策略-安全选项将
& o& s0 e5 b9 M: ?" l& j' J网络访问:可匿名访问的共享;
' ]9 Q" N ^4 T# s |网络访问:可匿名访问的命名管道; 9 U2 p# f; ^1 i9 _( P+ [/ ~( H
网络访问:可远程访问的注册表路径;
( Q" {+ Q# k" Q- V) Q网络访问:可远程访问的注册表路径和子路径; Y1 m$ k9 a4 j% @9 e
以上四项清空。
5 f5 ~3 B+ M9 n1 { ! ?6 q) @) e9 `! y, ?3 A
9、在安全设置里 本地策略-安全选项 通过终端服务拒绝登陆 加入
) f0 T( |! B8 |3 s
: }& W3 ]% Z. G3 X5 m4 I3 X
- o) b) T/ N' W2 b
! J$ f* F7 E: n: P
0 B& T P, q4 W, b以下为引用的内容: ASPNET Guest IUSR_***** IWAM_***** NETWORK SERVICE SQLDebugger |
0 T6 ~# U. V9 K+ u
: Q. m. {0 \( l9 {) T- r( M: r |- m(****表示你的机器名,具体查找可以点击 添加用户或组 选 高级 选 立即查找 在底下列出的用户列表里选择. 注意不要添加进user组和administrators组 添加进去以后就没有办法远程登陆了。) `6 u3 [, d) v+ P

+ N2 g6 H; @: a9 h7 m" h F/ R' ^10、去掉默认共享,将以下文件存为reg后缀,然后执行导入即可。 . R o& _* J: U5 ?7 s6 `% _
Windows Registry Editor Version 5.00
0 I& w$ G) V9 ?! m; t* v( R[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
5 Y+ `7 m: I" T2 E, w"AutoShareServer"=dword:00000000
. o( `7 F4 J, y7 O! K3 Q"AutoSharewks"=dword:00000000
! b1 O. `3 j/ @* A0 U, s J + `" ^* S0 R& X# W2 }$ J6 G- x
11、 禁用不需要的和危险的服务,以下列出服务都需要禁用。 - | J! T. _7 N: J! o# A& _. j
Alerter 发送管理警报和通知 * e* T6 c0 p, g" x1 U, x
Computer Browser:维护网络计算机更新 ! P3 p' g" H% A4 h; n$ t5 S8 `
Distributed File System: 局域网管理共享文件 & ]* U* }; k8 ?+ J2 G: n3 w
Distributed linktracking client 用于局域网更新连接信息 ! v! f3 J6 A& W( |9 T7 \ y$ c
Error reporting service 发送错误报告
' O0 h0 d2 E" k- V6 Q" |- L7 vRemote Procedure Call (RPC) Locator RpcNs*远程过程调用 (RPC)
' j3 M" D3 Y3 g7 }! PRemote Registry 远程修改注册表
# r- u4 N) p: _ Y: Q' uRemovable storage 管理可移动媒体、驱动程序和库
8 U; P/ g' ^8 q0 f0 X- lRemote Desktop Help Session Manager 远程协助
! |" Q$ L+ L% I$ o( o3 z+ RRouting and Remote Access 在局域网以及广域网环境中为企业提供路由服务
; e: K' n1 u: X5 F3 b+ i) o( UMessenger 消息文件传输服务
: U1 @0 R) h5 D( V c$ G& z8 U( T4 lNet Logon 域控制器通道管理
2 X0 P( Q. f. D; d. o# p: H8 YNTLMSecuritysupportprovide telnet服务和Microsoft Serch用的
% s( E+ `0 c X" U) k1 l- MPrintSpooler 打印服务 % |+ I7 }" I* P) f
telnet telnet服务 & f, O" \" Z( ~
Workstation 泄漏系统用户名列表 0 y: R5 F! ?4 E: \
12、更改本地安全策略的审核策略
2 t) E S' d2 G% a$ W2 \账户管理 成功 失败 5 J- O+ ?1 ~6 ]" T
登录事件 成功 失败 & U- c: ^* J/ `7 b4 j* D2 W
对象访问 失败 # z3 \8 Y& n9 E7 `, p( \, E% n
策略更改 成功 失败
, l+ r$ }, F6 Z7 x- g( b特权使用 失败 & Z9 \4 T2 q! c* i& }% o
系统事件 成功 失败 ' D( _" Y) N# X& p0 x! K
目录服务访问 失败 ( U, w, x# u, a I1 k
账户登录事件 成功 失败
, m, `# E) R& e$ I' h7 C. }* F13、更改有可能会被提权利用的文件运行权限,找到以下文件,将其安全设置里除administrators用户组全部删除,重要的是连system也不要留。
7 B9 m/ O: N4 |$ ~1 K* Fnet.exe
$ B g$ @5 J8 C5 {) q. M. enet1.exe
% D, L* x; m7 {; Zcmd.exe % V) U' W1 @' c6 x) N
tftp.exe 7 E5 P0 X/ c4 t0 j, G# L; c3 p
netstat.exe
S" g7 P. A% A, I2 mregedit.exe
. H4 x8 \' |" o" C: K4 T# Z/ uat.exe
5 V8 B4 d8 q! u& b4 o, C4 y- [attrib.exe
- R! V! a5 \; D, \% Z7 D0 a/ R0 a+ {cacls.exe 6 h _) M" }. o& w
format.com # }) K O# ^6 p6 i! ^3 a: Y
c.exe 特殊文件 有可能在你的计算机上找不到此文件。
7 Y, f& M0 y; p! U( f2 h3 F在搜索框里输入
! @0 D# [0 h% g |"net.exe","net1.exe","cmd.exe","tftp.exe","netstat.exe","regedit.exe","at.exe","attrib.exe","cacls.exe","format.com","c.exe" / ]; f6 `2 Q$ @& e$ }8 K7 s
点击搜索 然后全选 右键 属性 安全 - n5 r7 G6 g/ w- d: |" m, A
 1 H/ B( d3 c6 h5 J; n, \
以上这点是最最重要的一点了,也是最最方便减少被提权和被破坏的可能的防御方法了。
2 q N ~# X) r* Z% Q14、后备工作,将当前服务器的进程抓图或记录下来,将其保存,方便以后对照查看是否有不明的程序。将当前开放的端口抓图或记录下来,保存,方便以后对照查看是否开放了不明的端口。当然如果你能分辨每一个进程,和端口这一步可以省略。 |