win2003服务器安全设置教程
0 |6 U& j2 S2 j0 a+ t服务器安全设置
- | b3 z& Y1 o) R X' O1、系统盘和站点放置盘必须设置为NTFS格式,方便设置权限。
+ P( P! \ k9 R8 Q) P7 f2、系统盘和站点放置盘除administrators 和system的用户权限全部去除。 - |: Q% c. s$ E3 |8 h% \* ^
 0 b: O7 t, r- K; U
3、启用windows自带防火墙,只保留有用的端口,比如远程和Web、Ftp(3389、80、21)等等,有邮件服务器的还要打开25和130端口。
3 O- `* |2 a, _/ V% O2 e9 ~
) ^! l5 f1 ]2 k1 ^( T% ?/ L
@8 L, G6 S9 E7 T7 ^
5 }$ s( j# n( ]0 B, X, Z3 {0 E3 Z4、安装好SQL后进入目录搜索 xplog70 然后将找到的三个文件改名或者删除。 0 W2 R2 c0 C0 l8 G3 L* Y
 & }7 I4 K1 ^" E3 f$ D% ]
5、更改sa密码为你都不知道的超长密码,在任何情况下都不要用sa这个帐户。
. a# v, H2 L9 i$ i1 b8 ^ " j' X. A1 W' V4 B- U
6、改名系统默认帐户名并新建一个Administrator帐户作为陷阱帐户,设置超长密码,并去掉所有用户组。(就是在用户组那里设置为空即可。让这个帐号不属于任何用户组—样)同样改名禁用掉Guest用户。 & O$ V- {, M, _0 z5 ]2 r
 9 ?4 a& l/ s0 Z1 @
7、配置帐户锁定策略(在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略,将账户设为“三次登陆无效”,“锁定时间30分钟”,“复位锁定计数设为30分钟”。)
; a. ~7 N) v% q0 b' t' e
% w y0 }& u. u g8、在安全设置里本地策略-安全选项将 ' C5 D% F" {2 P4 ?2 {8 r! j3 c
网络访问:可匿名访问的共享;
: z1 T5 {$ I5 R; ~# o- Q% S2 K' q网络访问:可匿名访问的命名管道;
& S0 B8 }& S6 g. s/ M6 F. A, j网络访问:可远程访问的注册表路径;
" A; y5 M. F5 \0 N& z+ V5 E网络访问:可远程访问的注册表路径和子路径;
+ P0 K3 B0 I1 S8 X以上四项清空。 , o& R5 _8 x8 R1 |/ b9 r- u( U

) j! ?3 `# Z; |; B8 t+ H9、在安全设置里 本地策略-安全选项 通过终端服务拒绝登陆 加入 1 g9 X0 \; D0 S4 V5 e. S0 P" K- ?7 c
) R" t6 c+ e% z2 o2 R
; e6 {& z6 M+ A0 ~
! u1 y. d3 B3 {4 k
9 Z$ _% J/ H0 L- g9 @9 f3 N以下为引用的内容: ASPNET Guest IUSR_***** IWAM_***** NETWORK SERVICE SQLDebugger |
5 W. e, @* [4 f% g r5 D/ Q1 m
8 @: V! u: w9 {6 U' [(****表示你的机器名,具体查找可以点击 添加用户或组 选 高级 选 立即查找 在底下列出的用户列表里选择. 注意不要添加进user组和administrators组 添加进去以后就没有办法远程登陆了。)
8 k; T2 b3 p7 }& \ ) {0 C" ^* d7 I* |( d
10、去掉默认共享,将以下文件存为reg后缀,然后执行导入即可。 - b. `3 }% Y2 x
Windows Registry Editor Version 5.00 , I4 {2 l- a3 S. b+ D
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
; R% a+ {7 n# D% j"AutoShareServer"=dword:00000000
+ s/ Q' m5 B2 ?+ P! A6 I"AutoSharewks"=dword:00000000 : y5 B/ f* S8 F% i( V4 P0 d% ]1 W

% X l; b2 A% p6 Q8 j3 X( G; {11、 禁用不需要的和危险的服务,以下列出服务都需要禁用。
3 x* w+ W G. VAlerter 发送管理警报和通知
. s5 C1 v& `5 ^& S* o( d; g# DComputer Browser:维护网络计算机更新
) ]& m: q5 e: h/ `! ~% @+ s* u1 d+ gDistributed File System: 局域网管理共享文件 2 x) S9 H M( D, r _* q: ^
Distributed linktracking client 用于局域网更新连接信息
+ I0 G/ p! { R0 I8 B- S7 VError reporting service 发送错误报告
! _- [; m, T- F( GRemote Procedure Call (RPC) Locator RpcNs*远程过程调用 (RPC)
. W5 S4 x% D8 D; ?( A# vRemote Registry 远程修改注册表 4 [8 _ a" `' O5 o
Removable storage 管理可移动媒体、驱动程序和库
) u. S$ M8 E1 r3 S* Y4 p8 m4 H. H$ kRemote Desktop Help Session Manager 远程协助 7 L9 k7 n9 V3 I7 I U- ^
Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务
9 v% r& A) a0 W3 Y0 }4 b8 B! m1 G1 DMessenger 消息文件传输服务 - C ?! A2 h5 m- y9 P6 z Y
Net Logon 域控制器通道管理
2 N3 J4 m+ ]* g( D3 t- y9 W5 k& INTLMSecuritysupportprovide telnet服务和Microsoft Serch用的 5 V% j# j$ o- e6 S* R, ~: y
PrintSpooler 打印服务
8 Y+ @& I; z$ Mtelnet telnet服务 1 B+ O( g& p/ X! F' A% [, j' D
Workstation 泄漏系统用户名列表 2 F& T% v# F' m8 H
12、更改本地安全策略的审核策略 & \; {) {6 Q! h9 C) m
账户管理 成功 失败 3 \2 {) |& G; g0 q5 ?0 W
登录事件 成功 失败 . k: `5 G( ?$ ?- p
对象访问 失败 ! t9 o. w( w! ^1 J0 `7 R6 `
策略更改 成功 失败 ' k% {: B2 s* ^9 n9 G5 L. L0 d
特权使用 失败
- S; r- [3 z: V系统事件 成功 失败 8 c& P) L* A* a
目录服务访问 失败 7 d4 ?, @( j2 J% q+ z( j' ^7 E
账户登录事件 成功 失败
" F u' Y: U4 Z13、更改有可能会被提权利用的文件运行权限,找到以下文件,将其安全设置里除administrators用户组全部删除,重要的是连system也不要留。
2 y! [# v% h* m" u" | a- G. bnet.exe & d# A+ O; B2 K! H* Y3 S
net1.exe
$ e* J5 }* w# s5 P& ocmd.exe 8 B2 j: h5 q+ G6 o+ v
tftp.exe
( w# \5 ] @6 U; Dnetstat.exe
J9 s( i: j9 ~' ?" zregedit.exe
" ]+ j& n9 s ]; K* _9 vat.exe 0 a( l! W* s3 z$ D/ @; S+ s8 w ]- C. a
attrib.exe $ I) d W: a& I( g' j$ Y
cacls.exe
# ~ B/ U1 p5 a" k' J3 ~7 _8 jformat.com 8 ?8 a$ M4 D D7 |5 c3 ]
c.exe 特殊文件 有可能在你的计算机上找不到此文件。
n. n7 S& z' f" e在搜索框里输入 % I9 Y$ [) J/ ~ H
"net.exe","net1.exe","cmd.exe","tftp.exe","netstat.exe","regedit.exe","at.exe","attrib.exe","cacls.exe","format.com","c.exe"
7 G2 A' w J. q e5 @点击搜索 然后全选 右键 属性 安全
; V, M% V# S1 i* H, e% E
1 o8 Y) K1 |0 ~- d6 H+ R以上这点是最最重要的一点了,也是最最方便减少被提权和被破坏的可能的防御方法了。
0 M' N( i; Y: u" e. E i7 y7 P14、后备工作,将当前服务器的进程抓图或记录下来,将其保存,方便以后对照查看是否有不明的程序。将当前开放的端口抓图或记录下来,保存,方便以后对照查看是否开放了不明的端口。当然如果你能分辨每一个进程,和端口这一步可以省略。 |