win2003服务器安全设置教程
. x! h ~) q; ^4 A服务器安全设置 : r0 [; V5 ] |* y( a
1、系统盘和站点放置盘必须设置为NTFS格式,方便设置权限。 " Q" D2 K! }) t! ~0 E) K$ @
2、系统盘和站点放置盘除administrators 和system的用户权限全部去除。 4 o" @/ B2 w" b
+ @; b+ }. P# l( R3、启用windows自带防火墙,只保留有用的端口,比如远程和Web、Ftp(3389、80、21)等等,有邮件服务器的还要打开25和130端口。
" D. ~$ p; Y- T: u& H+ ?
- w8 c3 p- g/ n 0 J9 f: s+ M W( O' Y
# S) P ?* t0 z5 F$ h4、安装好SQL后进入目录搜索 xplog70 然后将找到的三个文件改名或者删除。 / N6 o# z. m; d y) c
" A# H/ {$ a+ I+ t# Y5、更改sa密码为你都不知道的超长密码,在任何情况下都不要用sa这个帐户。 " ~. e# t7 ]3 ~' j" j" l
. _3 p- b* m& X2 B0 B) i7 J
6、改名系统默认帐户名并新建一个Administrator帐户作为陷阱帐户,设置超长密码,并去掉所有用户组。(就是在用户组那里设置为空即可。让这个帐号不属于任何用户组—样)同样改名禁用掉Guest用户。 ! Q# e5 n- Q; Q: h8 O: ]( j; @: Z
, a3 c) m. v1 w. H! |1 ?- ^7、配置帐户锁定策略(在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略,将账户设为“三次登陆无效”,“锁定时间30分钟”,“复位锁定计数设为30分钟”。)
2 j2 {5 ~: f3 o4 p9 y' ]
) v Z2 h6 N6 q' U8、在安全设置里本地策略-安全选项将
; [8 T) v8 @; f5 @ M$ h网络访问:可匿名访问的共享;
- E; N" c' b! N- c* F1 ^8 \9 ]网络访问:可匿名访问的命名管道; T+ L1 K4 _5 c( Q
网络访问:可远程访问的注册表路径;
2 s6 v4 c" N E/ B9 T* j; [网络访问:可远程访问的注册表路径和子路径; $ C; C: S" d: v. ]
以上四项清空。 6 r6 w$ f3 ]6 _- d- U. x" d
N" f/ ]0 r& |- n0 o( \6 I9、在安全设置里 本地策略-安全选项 通过终端服务拒绝登陆 加入
9 b4 a5 ~: Q7 I' q
; m% `2 J9 R+ B% @1 I2 |
* Q$ K8 _% k. ^0 K7 p% e) N1 M: z3 C" c5 W
$ Q1 i; P# _& w1 k
以下为引用的内容: ASPNET Guest IUSR_***** IWAM_***** NETWORK SERVICE SQLDebugger | : d7 L1 V/ J3 L- A3 K
% x: m( W1 z- c+ u9 D+ `- N- `
(****表示你的机器名,具体查找可以点击 添加用户或组 选 高级 选 立即查找 在底下列出的用户列表里选择. 注意不要添加进user组和administrators组 添加进去以后就没有办法远程登陆了。)
/ L; K7 z* T, @8 C ! Q9 K; X- n6 q
10、去掉默认共享,将以下文件存为reg后缀,然后执行导入即可。 . r; r0 f% r1 N- \
Windows Registry Editor Version 5.00 ' Z, T* r1 M8 X- u' ?
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
$ m5 V5 y. O i"AutoShareServer"=dword:00000000
4 G; B+ J% X. q$ H/ p) [- ^"AutoSharewks"=dword:00000000 - l& ` S$ v' R
+ f, }6 M8 p" M9 E11、 禁用不需要的和危险的服务,以下列出服务都需要禁用。
, b& N5 N4 p) P/ NAlerter 发送管理警报和通知 , \; T( |/ w- B1 D
Computer Browser:维护网络计算机更新
; G+ g+ M3 E! K7 ~2 VDistributed File System: 局域网管理共享文件
' P7 U, G8 m2 O+ o3 ]Distributed linktracking client 用于局域网更新连接信息 # O; t# k1 r8 ^. A1 `6 s$ P, A& C, v9 P
Error reporting service 发送错误报告 0 A/ i+ {' N' \+ x: s. Y7 e8 `* m
Remote Procedure Call (RPC) Locator RpcNs*远程过程调用 (RPC) 2 D+ Q% I0 d3 D" s* l i* A- b
Remote Registry 远程修改注册表
+ b- g# @7 h! m8 }3 G- ]7 L7 K0 ZRemovable storage 管理可移动媒体、驱动程序和库
) y% K& A; H1 yRemote Desktop Help Session Manager 远程协助 1 Z2 C' d. [9 a0 L
Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务
# T6 R, K4 ?6 V7 k8 P; @Messenger 消息文件传输服务 * @# X' J+ r$ Z) J4 X D' Z; p
Net Logon 域控制器通道管理
2 L4 B) w+ m! N' S: x% uNTLMSecuritysupportprovide telnet服务和Microsoft Serch用的
6 n w( F; @1 ~7 mPrintSpooler 打印服务 3 H7 _8 ~" J: e6 J! I5 W" N0 u
telnet telnet服务
5 u) z: r( Z# T7 e9 ^+ |7 W5 NWorkstation 泄漏系统用户名列表 2 }6 \/ r2 s B8 X) K4 T& u" x% V. A
12、更改本地安全策略的审核策略
: l2 E7 W' R$ o4 k+ q) f账户管理 成功 失败
7 k' s; A6 F* V' Z登录事件 成功 失败
2 ^9 c! B& J& v! u1 r5 ?: W+ T8 ~对象访问 失败 7 X" e; ^6 m8 U) ~ P4 U
策略更改 成功 失败
: \6 d, @4 S7 {* _+ b) [2 }特权使用 失败 ; I! T% ~# I9 j3 ]4 I* ~ ^
系统事件 成功 失败 1 g% F6 F) m! K6 D
目录服务访问 失败 $ k* v4 I$ N' D% r! d" c8 E7 u
账户登录事件 成功 失败
$ y* ^# K. H' `! \5 q13、更改有可能会被提权利用的文件运行权限,找到以下文件,将其安全设置里除administrators用户组全部删除,重要的是连system也不要留。
% ]: M3 l+ k, d! l% S, mnet.exe % `8 ?9 o- z( ]: }- A, T7 [4 H4 `
net1.exe 8 s+ J% c, w: Q+ j9 A7 d9 U
cmd.exe
9 U% S/ ]# E q( ]) s% r7 ctftp.exe
( P* |7 S+ A2 unetstat.exe
1 I5 ^6 I s- Z9 u" k& k+ V; X3 gregedit.exe
- U6 @% q1 Z, yat.exe
! \0 ?5 L. @+ z; n, dattrib.exe - f, V+ Q$ k) b A5 ~8 a2 T
cacls.exe
# Q0 X# [: @$ F( O. qformat.com / N; f& x& v& ], a0 [% T/ u" R
c.exe 特殊文件 有可能在你的计算机上找不到此文件。 ) d; R* m; o% t6 @
在搜索框里输入
6 q# U$ @4 V9 x) q& H- E9 K"net.exe","net1.exe","cmd.exe","tftp.exe","netstat.exe","regedit.exe","at.exe","attrib.exe","cacls.exe","format.com","c.exe" - v3 r3 A @& d1 {* t f
点击搜索 然后全选 右键 属性 安全
) Q( O; n7 l/ j , R) u' P$ f6 o% F& E
以上这点是最最重要的一点了,也是最最方便减少被提权和被破坏的可能的防御方法了。
5 A) w5 r7 w% o* A C3 R w( A14、后备工作,将当前服务器的进程抓图或记录下来,将其保存,方便以后对照查看是否有不明的程序。将当前开放的端口抓图或记录下来,保存,方便以后对照查看是否开放了不明的端口。当然如果你能分辨每一个进程,和端口这一步可以省略。 |