win2003服务器安全设置教程- s9 j- I0 g* K# f2 P7 Z! j
服务器安全设置 - d1 | R2 P* D" S: h f2 G d
1、系统盘和站点放置盘必须设置为NTFS格式,方便设置权限。 ! v, W1 _/ [" P" [ Z( O
2、系统盘和站点放置盘除administrators 和system的用户权限全部去除。 + [/ I% H9 Y V, K% ^& n6 H
![](http://upload.chinaz.com/upimg/userup//0801/29100I53453.jpg) 5 _* ^5 q/ P4 U- E3 v8 Z
3、启用windows自带防火墙,只保留有用的端口,比如远程和Web、Ftp(3389、80、21)等等,有邮件服务器的还要打开25和130端口。 & l( K i' k" r7 |1 ~3 R
![](http://upload.chinaz.com/upimg/userup//0801/29100K1WY.jpg)
- U, `5 i; [7 k: ^# a![](http://upload.chinaz.com/upimg/userup//0801/29100P32953.jpg) # _- g- m8 n7 K$ k( ?
![](http://upload.chinaz.com/upimg/userup//0801/29100PWU7.jpg)
1 [- i7 q# m5 S: t" P5 y" K8 `4、安装好SQL后进入目录搜索 xplog70 然后将找到的三个文件改名或者删除。
8 I8 {. T7 L8 h1 N0 o. _* }![](http://upload.chinaz.com/upimg/userup//0801/29100Q929D.jpg)
- S$ Z) ?7 n G; m/ E2 ^- O7 ~5、更改sa密码为你都不知道的超长密码,在任何情况下都不要用sa这个帐户。 . n- f3 f; g! H: U
![](http://upload.chinaz.com/upimg/userup//0801/29100T05264.jpg)
. z; @1 z* l- c/ C2 V6、改名系统默认帐户名并新建一个Administrator帐户作为陷阱帐户,设置超长密码,并去掉所有用户组。(就是在用户组那里设置为空即可。让这个帐号不属于任何用户组—样)同样改名禁用掉Guest用户。
4 t$ f2 ~* I5 x* f9 P& P8 T![](http://upload.chinaz.com/upimg/userup//0801/291009119212.jpg) * a6 T3 d* o$ ?" s
7、配置帐户锁定策略(在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略,将账户设为“三次登陆无效”,“锁定时间30分钟”,“复位锁定计数设为30分钟”。) 2 C3 o& a+ u, W6 q! |2 Q$ I
![](http://upload.chinaz.com/upimg/userup//0801/2910092HD8.jpg)
! R, a* S& q1 F) B9 ]& ?( y8、在安全设置里本地策略-安全选项将
7 ?0 n X; v* e+ ]! G) C网络访问:可匿名访问的共享; % v- t& K/ C E- k( O% y4 z1 a5 \0 V9 W
网络访问:可匿名访问的命名管道; 2 F8 L9 t- x5 t5 S0 T/ n3 T: I& w
网络访问:可远程访问的注册表路径;
* y; {" X6 A( F/ @* N. \网络访问:可远程访问的注册表路径和子路径; 5 F* F. B6 h8 L: f1 Y& M
以上四项清空。 3 L/ x8 ]) J, M0 n: U
![](http://upload.chinaz.com/upimg/userup//0801/291009435C2.jpg) 5 I5 `9 U. H" E8 y9 F; q4 |' C- g* S
9、在安全设置里 本地策略-安全选项 通过终端服务拒绝登陆 加入 8 `, F6 E" \, E$ L9 k0 G4 Z; m
: o8 f: V6 m! p" H1 W& j
+ ^! E' F' t2 x, _2 O P# E9 Q4 a0 q4 w* n7 `# P
' T% @0 ]* N+ M! ^9 ^* u以下为引用的内容: ASPNET Guest IUSR_***** IWAM_***** NETWORK SERVICE SQLDebugger |
' ?/ L" K6 O7 q* P
7 }/ w! e/ J" I7 z7 y. Q: X* \(****表示你的机器名,具体查找可以点击 添加用户或组 选 高级 选 立即查找 在底下列出的用户列表里选择. 注意不要添加进user组和administrators组 添加进去以后就没有办法远程登陆了。) ! [8 j! ]- z" K' R" Y
![](http://upload.chinaz.com/upimg/userup//0801/2910100531B.jpg) ! x2 T$ H4 \/ W1 _: @4 D/ `* I
10、去掉默认共享,将以下文件存为reg后缀,然后执行导入即可。 8 U0 v, y5 S) c, V' |5 k- M: ` W
Windows Registry Editor Version 5.00 5 |/ M; t5 j# H8 z# R. e6 l
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
! T. k! g# Z0 o"AutoShareServer"=dword:00000000
& R+ d0 T* g' E5 c5 i"AutoSharewks"=dword:00000000 / y* i* ^9 s1 N$ L+ ?
![](http://upload.chinaz.com/upimg/userup//0801/291011109126.jpg) ! r; y0 P) I) o7 D$ P, M
11、 禁用不需要的和危险的服务,以下列出服务都需要禁用。
' s, `$ ~7 Y. O3 g0 O- H0 m6 iAlerter 发送管理警报和通知 3 I0 F/ R* q5 O, S$ h
Computer Browser:维护网络计算机更新 3 n7 ]) |9 U( W: l9 S/ @& w
Distributed File System: 局域网管理共享文件 ' k& N0 B9 L) P+ ~' D- J S
Distributed linktracking client 用于局域网更新连接信息 ; R( J1 g g& R9 X, r, p# S
Error reporting service 发送错误报告 4 I# z5 M# e% }( n
Remote Procedure Call (RPC) Locator RpcNs*远程过程调用 (RPC) : {/ i: K2 i3 e# k! U( w' o
Remote Registry 远程修改注册表 ! {) K4 b5 t; H: n, c! k
Removable storage 管理可移动媒体、驱动程序和库 7 n: {( f) v: z6 l7 F3 D
Remote Desktop Help Session Manager 远程协助
- ^( f; a! v1 A! ^) GRouting and Remote Access 在局域网以及广域网环境中为企业提供路由服务 ) O% d* q8 I8 [/ r! X* {8 M
Messenger 消息文件传输服务
9 R4 W/ w6 o$ @- N& E1 Q, ^Net Logon 域控制器通道管理 9 _" p( ]8 O( q$ x7 e; ^5 R, S6 h/ b
NTLMSecuritysupportprovide telnet服务和Microsoft Serch用的 % r1 I$ U: a ?/ e9 ]
PrintSpooler 打印服务
0 ~ o+ e2 R3 ]% N: dtelnet telnet服务 % F- d& [ E V& I% c
Workstation 泄漏系统用户名列表 . |% b9 P5 i! ^: N. O8 c
12、更改本地安全策略的审核策略
# E7 i- c; w! W0 N6 h Y) `2 h账户管理 成功 失败 3 H* }$ B y8 P3 L$ x5 r8 w* H
登录事件 成功 失败
: t2 r, V" B" r' W3 k, z' s对象访问 失败 ) C6 v' @$ t, v
策略更改 成功 失败
6 A% N& S# \. j, _8 R特权使用 失败
/ U7 _4 [5 C; x2 ^系统事件 成功 失败
( T* E) D1 H4 J6 L8 p+ |目录服务访问 失败
+ h2 ?2 b. C$ n& S6 u/ i2 t( {: ~3 t账户登录事件 成功 失败
# n( l& R. e9 m: a/ l% L4 O13、更改有可能会被提权利用的文件运行权限,找到以下文件,将其安全设置里除administrators用户组全部删除,重要的是连system也不要留。 & r& b: W5 u6 _- H( b6 s, r3 B! I) a- _
net.exe g3 }- G$ T# D2 F/ ^4 w, C
net1.exe ) v6 ?) @% s7 C: p: f8 c7 `; A4 n
cmd.exe
' V& ^8 A( i5 U- ]; u$ mtftp.exe
H. |' |# V3 rnetstat.exe
# U0 ]9 r$ |% N7 M/ D/ zregedit.exe
( D/ b2 g4 H# w6 e" E8 V& Iat.exe " U& W6 V5 }, B
attrib.exe
1 m2 Q( b1 n& p: f! x+ i9 ]cacls.exe
6 w& h6 A# l B6 z& [. ^format.com 4 t' y7 p. ~% o4 U: A W, ?) @/ A
c.exe 特殊文件 有可能在你的计算机上找不到此文件。
( ?# ]: a# Q" d+ ~- m在搜索框里输入
9 V0 d4 M1 W% C9 t- b: w' y7 h"net.exe","net1.exe","cmd.exe","tftp.exe","netstat.exe","regedit.exe","at.exe","attrib.exe","cacls.exe","format.com","c.exe" ! }, u1 i, Z+ ?/ u. A3 h. ^, p
点击搜索 然后全选 右键 属性 安全 ( _$ A- X6 h- y
![](http://upload.chinaz.com/upimg/userup//0801/291011416312.jpg) ! x) y! q8 q" q# H/ Z
以上这点是最最重要的一点了,也是最最方便减少被提权和被破坏的可能的防御方法了。 ! F) C" R' g* W
14、后备工作,将当前服务器的进程抓图或记录下来,将其保存,方便以后对照查看是否有不明的程序。将当前开放的端口抓图或记录下来,保存,方便以后对照查看是否开放了不明的端口。当然如果你能分辨每一个进程,和端口这一步可以省略。 |