win2003服务器安全设置教程. q) {# J) R% V- F0 l
服务器安全设置 5 A6 [- O' J+ M2 _1 G
1、系统盘和站点放置盘必须设置为NTFS格式,方便设置权限。
{3 w8 W+ a; @% ~2、系统盘和站点放置盘除administrators 和system的用户权限全部去除。
* V, M8 z! H5 {. W* w 6 J/ m; r! ^$ s, {7 r4 n% Y. w2 ^
3、启用windows自带防火墙,只保留有用的端口,比如远程和Web、Ftp(3389、80、21)等等,有邮件服务器的还要打开25和130端口。 ) J& q2 Z1 V8 h( X* I' Z
 # C7 a' ~% _# J
 . Q; E" d8 z" ~2 _/ t

; I. D% [- }- i2 _+ L8 y4、安装好SQL后进入目录搜索 xplog70 然后将找到的三个文件改名或者删除。
. p4 o$ ^! k" n. _7 N2 r: \3 R & F: ]# }# R# W/ z6 _5 [1 i, C
5、更改sa密码为你都不知道的超长密码,在任何情况下都不要用sa这个帐户。
~2 B- j! U" I s6 \! | 7 @5 g9 S2 `) t1 c+ k
6、改名系统默认帐户名并新建一个Administrator帐户作为陷阱帐户,设置超长密码,并去掉所有用户组。(就是在用户组那里设置为空即可。让这个帐号不属于任何用户组—样)同样改名禁用掉Guest用户。 4 d8 u1 M4 g. k% v" q, ]

9 G4 i8 }4 ]# C/ N i7、配置帐户锁定策略(在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略,将账户设为“三次登陆无效”,“锁定时间30分钟”,“复位锁定计数设为30分钟”。)
" z/ V7 S9 J/ M/ P7 M6 F2 O/ n, ~
% `, s9 D8 ?, Q5 ~8、在安全设置里本地策略-安全选项将
7 C3 I! u0 |5 E2 E, H9 [/ T网络访问:可匿名访问的共享; 4 E! b$ q4 c. V2 Y8 A% _' k4 O5 o
网络访问:可匿名访问的命名管道;
" G+ S) c- e8 |) B' D4 f9 F9 K网络访问:可远程访问的注册表路径; 7 @# n4 V; N5 B; @
网络访问:可远程访问的注册表路径和子路径; 0 I- A0 y# L5 Q$ N
以上四项清空。
5 G9 y4 E* @; O: ?3 e 0 ]- i% Z+ B( J- a+ b" w5 C
9、在安全设置里 本地策略-安全选项 通过终端服务拒绝登陆 加入
5 F! t$ ^! o/ h) k
; l, y% l* `' w& s
. e$ l* q3 o+ A. y0 S
8 t- m9 b+ ^6 i3 ~' t( O& [7 r t" X* X7 g9 }3 B
以下为引用的内容: ASPNET Guest IUSR_***** IWAM_***** NETWORK SERVICE SQLDebugger |
c9 n* R5 ]! e' n7 ]9 e/ o" X( u: F. z8 [7 g0 d7 k
(****表示你的机器名,具体查找可以点击 添加用户或组 选 高级 选 立即查找 在底下列出的用户列表里选择. 注意不要添加进user组和administrators组 添加进去以后就没有办法远程登陆了。)
/ B, l) B( ~$ z2 K# C' T) V
6 R1 v* A- Q1 C. ]6 t7 k5 X3 ^10、去掉默认共享,将以下文件存为reg后缀,然后执行导入即可。 : Z# p& y6 }$ |0 n4 q1 _& ]
Windows Registry Editor Version 5.00
* H) U& x$ y- u' k[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters] & C0 H* b9 t1 ~3 r; f; Q
"AutoShareServer"=dword:00000000 8 r! L, S0 x7 e! c
"AutoSharewks"=dword:00000000 ! a1 I r9 r8 t% _
 * r- i& b s- |8 @7 U
11、 禁用不需要的和危险的服务,以下列出服务都需要禁用。 % k! S8 V+ ?2 ], M7 P+ j, V
Alerter 发送管理警报和通知 % H/ Z: c- y3 L! W% |& M L7 b4 F
Computer Browser:维护网络计算机更新 9 g3 F9 V% K# m) B* K; x$ I" D
Distributed File System: 局域网管理共享文件 7 L9 Y) u0 A" K1 @% C( e* ]
Distributed linktracking client 用于局域网更新连接信息 7 n7 i; t9 ]0 e5 i" c$ N
Error reporting service 发送错误报告
n) A: n; F9 { r5 G' @Remote Procedure Call (RPC) Locator RpcNs*远程过程调用 (RPC)
, q' c# x" u( K6 I1 n, VRemote Registry 远程修改注册表
- Y7 s% J7 ?4 x Y, hRemovable storage 管理可移动媒体、驱动程序和库 # c4 V! ~" V; ^$ e! R" H
Remote Desktop Help Session Manager 远程协助 ( j* s# z) G% P0 o! u
Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务
/ M, H5 T1 K4 V- H3 E9 `( f6 \# kMessenger 消息文件传输服务 * v* s" J/ \6 m* \+ M
Net Logon 域控制器通道管理
( n" [6 V$ Y% m; w3 y' F+ ~- O3 CNTLMSecuritysupportprovide telnet服务和Microsoft Serch用的 & X4 Y$ H5 s7 ]. e
PrintSpooler 打印服务 7 ^0 m! F, d% e! d3 v, ?9 y E
telnet telnet服务
# V5 T# |8 @7 XWorkstation 泄漏系统用户名列表 / F j( h, i: o. m+ ^8 S5 m
12、更改本地安全策略的审核策略
+ |/ \3 J- c3 N/ ?& f3 d账户管理 成功 失败 4 F; W2 \1 n& d1 h
登录事件 成功 失败
1 Y( O# S8 E$ U5 o+ \) M, t对象访问 失败
" w( f8 \9 U7 X3 c策略更改 成功 失败
. `1 Q( V# I( W" ~特权使用 失败
2 {: E4 t. @- }1 D6 d7 J, q系统事件 成功 失败
! l4 _* [4 `/ X$ T# z7 q5 B目录服务访问 失败
8 O1 A4 M4 _6 h! @, t- V账户登录事件 成功 失败
" ?9 y7 y( R2 k/ b4 C0 R4 Y13、更改有可能会被提权利用的文件运行权限,找到以下文件,将其安全设置里除administrators用户组全部删除,重要的是连system也不要留。 ) V/ K8 @9 N5 R- X
net.exe
8 V3 F8 ~! _. l2 F- vnet1.exe * Q8 W& {6 j0 f% ?; @, H) C
cmd.exe
+ C$ X& A& p5 \9 n/ z( |tftp.exe 7 T) ~6 J& z! x9 }$ g
netstat.exe
" ]: ]% h6 F. r; d% y) f( cregedit.exe
- R8 C: ?. {- U5 ?) _/ d4 R: Iat.exe , w) a! f* ^$ l
attrib.exe
/ E) d! M* y4 Q, ~- e1 U" ~cacls.exe % D5 o9 }* ]% B' V8 Y6 Z
format.com
2 ?, }! A9 p8 y( u4 y$ n- Yc.exe 特殊文件 有可能在你的计算机上找不到此文件。 / M h; z' `7 p+ j( I
在搜索框里输入 ) h) f5 _0 |) x; K5 v: U
"net.exe","net1.exe","cmd.exe","tftp.exe","netstat.exe","regedit.exe","at.exe","attrib.exe","cacls.exe","format.com","c.exe" 2 m1 E) M' T/ q, k; _( g
点击搜索 然后全选 右键 属性 安全
9 {& l3 z0 o8 D' d9 q
: e- A! L6 Q4 ?* a* s3 W7 R v以上这点是最最重要的一点了,也是最最方便减少被提权和被破坏的可能的防御方法了。 5 n5 q8 d0 g3 Z, H5 @
14、后备工作,将当前服务器的进程抓图或记录下来,将其保存,方便以后对照查看是否有不明的程序。将当前开放的端口抓图或记录下来,保存,方便以后对照查看是否开放了不明的端口。当然如果你能分辨每一个进程,和端口这一步可以省略。 |