win2003服务器安全设置教程
! z: M! i* y* F; L( X服务器安全设置
7 y9 L7 l3 j1 D6 O1 d. e& r& f1、系统盘和站点放置盘必须设置为NTFS格式,方便设置权限。 : V% ^: H+ A9 y5 A/ p5 |
2、系统盘和站点放置盘除administrators 和system的用户权限全部去除。 + F* T3 Z/ T. J
 / r* M ]4 o5 ^; h
3、启用windows自带防火墙,只保留有用的端口,比如远程和Web、Ftp(3389、80、21)等等,有邮件服务器的还要打开25和130端口。 - C3 K, X' {. L" H( a
 # x$ K, T- p# B5 J! D! j1 p- U

# {8 C( a' E7 n' O
/ j" p: a7 l, ~( L4、安装好SQL后进入目录搜索 xplog70 然后将找到的三个文件改名或者删除。 0 S/ s& _+ C# ?. T9 ?6 N7 G4 Z, T
 # P4 j* J8 B5 U: `8 c) Z- v8 Y
5、更改sa密码为你都不知道的超长密码,在任何情况下都不要用sa这个帐户。 . W; Q2 f, o2 E, W" c

& R& h$ q( f6 ~: y! v: D6、改名系统默认帐户名并新建一个Administrator帐户作为陷阱帐户,设置超长密码,并去掉所有用户组。(就是在用户组那里设置为空即可。让这个帐号不属于任何用户组—样)同样改名禁用掉Guest用户。
. d9 k8 W4 t0 y) Q
0 P# ]! p( z: @$ O2 J8 e _; h7、配置帐户锁定策略(在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略,将账户设为“三次登陆无效”,“锁定时间30分钟”,“复位锁定计数设为30分钟”。)
5 C8 |% @0 S8 j, F {3 D7 d! i; u
; b. `% D; _6 y8、在安全设置里本地策略-安全选项将 1 k0 p7 f% O* [; y) I1 g
网络访问:可匿名访问的共享; " j/ e# x) c& F
网络访问:可匿名访问的命名管道;
% k: ]" a( |& C( m$ E/ b0 @( t网络访问:可远程访问的注册表路径; % \; U/ C- o4 t+ S
网络访问:可远程访问的注册表路径和子路径;
, x8 _+ `& V" o) | E( _8 g9 F以上四项清空。
& h8 y' ?+ r6 \% Q+ L 2 f( f4 r) V4 d% p, F
9、在安全设置里 本地策略-安全选项 通过终端服务拒绝登陆 加入 ( z/ i, r* T" g7 ?1 J z) R" \
2 @3 K) m( q- H! z' l: C
- o9 d- ^/ \" t6 N9 X4 [- i
* Q& [4 ?* N& l
]" Z7 w6 d8 Q o( G7 Q以下为引用的内容: ASPNET Guest IUSR_***** IWAM_***** NETWORK SERVICE SQLDebugger |
6 x& h# I) L/ [; ^+ I0 s8 J H9 q- K0 B5 m1 d$ T
(****表示你的机器名,具体查找可以点击 添加用户或组 选 高级 选 立即查找 在底下列出的用户列表里选择. 注意不要添加进user组和administrators组 添加进去以后就没有办法远程登陆了。) 7 a9 }% k) Y8 `4 n' J

. T; s. B' h+ R4 T, m1 |10、去掉默认共享,将以下文件存为reg后缀,然后执行导入即可。
& ?9 a' i* W* nWindows Registry Editor Version 5.00 o) C- \* a4 C7 I$ d+ `
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters] - p: M& ^, \: m
"AutoShareServer"=dword:00000000
9 h4 ] X5 @% }9 t" c"AutoSharewks"=dword:00000000 6 i' L( Q" B$ h! p& D

+ `5 m2 N1 ?. o. ]& a# o5 f7 q3 G4 J: N11、 禁用不需要的和危险的服务,以下列出服务都需要禁用。 % D" `9 ~# F6 t# P0 b6 x4 b) }
Alerter 发送管理警报和通知 ; P9 v9 U3 R- R3 z/ Y
Computer Browser:维护网络计算机更新 ! S5 q) ?$ }! `" x% B7 F
Distributed File System: 局域网管理共享文件
* s9 S9 u4 [+ j X+ xDistributed linktracking client 用于局域网更新连接信息
0 I2 x5 I3 k# D3 Z4 M. ~0 n6 \0 w( }9 @Error reporting service 发送错误报告
( z+ }1 C6 k, G+ jRemote Procedure Call (RPC) Locator RpcNs*远程过程调用 (RPC)
8 u& W: @4 C% u0 M7 B; M" ERemote Registry 远程修改注册表
9 w4 P. x7 u" L" C4 C+ NRemovable storage 管理可移动媒体、驱动程序和库
# y4 P( d- P* JRemote Desktop Help Session Manager 远程协助 & F2 P& Q# ~' W1 U& R$ i4 v- O7 G
Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务
$ J5 N5 q! @/ i. jMessenger 消息文件传输服务
1 _( _2 C6 ^! ?. iNet Logon 域控制器通道管理
( R3 C% d: p# t+ L0 b" YNTLMSecuritysupportprovide telnet服务和Microsoft Serch用的
3 {8 b' K' B2 JPrintSpooler 打印服务
1 L# x- m, l. N' p4 Gtelnet telnet服务 - ~3 z' J# C- K# F2 a
Workstation 泄漏系统用户名列表
7 X" z% ^$ ?/ R4 D" p12、更改本地安全策略的审核策略
: e0 n4 P6 P2 K* Q+ b账户管理 成功 失败
" C! c2 Y- x( A' }, v& X2 W登录事件 成功 失败 - u( ^& B8 [! @# z
对象访问 失败
. Q+ V6 l3 m/ e7 t; \策略更改 成功 失败
- Q) C/ s$ s' l/ u特权使用 失败 * ?2 R9 O; u* a7 q; I
系统事件 成功 失败 2 }8 d, |" r% K& E! x+ P/ |
目录服务访问 失败 U7 c& ^7 l3 ~" h3 ^# n
账户登录事件 成功 失败 5 y6 b7 T3 y! V3 f) c
13、更改有可能会被提权利用的文件运行权限,找到以下文件,将其安全设置里除administrators用户组全部删除,重要的是连system也不要留。 ! W. E F" E" X4 `6 B" K7 @$ f2 i/ I3 ^
net.exe
1 c3 |& R% ^! [5 u+ u) d K7 @net1.exe ) U1 z! V, P" _5 I* m. a F v
cmd.exe
$ E0 n" H& e# S2 ltftp.exe 5 g B2 S, m. }, ?. O3 P
netstat.exe
0 N4 Q0 K! I" Hregedit.exe
9 W) ?! Z: N, \at.exe
0 F5 a( U% w4 d7 {- E: w" Kattrib.exe
6 B- L/ w- p+ ^& j; z2 D' |cacls.exe
$ d6 d) Q+ \3 X6 |format.com
6 V F- `/ N" \c.exe 特殊文件 有可能在你的计算机上找不到此文件。
! l/ q, ~* v4 S& j在搜索框里输入
; r2 r( ]: V9 o( `6 z: A( V$ h# ~ g"net.exe","net1.exe","cmd.exe","tftp.exe","netstat.exe","regedit.exe","at.exe","attrib.exe","cacls.exe","format.com","c.exe" % X z0 h$ h! ~. P4 J$ \
点击搜索 然后全选 右键 属性 安全 8 D' w# c( q) }
 * ]$ ]" s" b, r
以上这点是最最重要的一点了,也是最最方便减少被提权和被破坏的可能的防御方法了。
* Z7 a+ Y! z3 e14、后备工作,将当前服务器的进程抓图或记录下来,将其保存,方便以后对照查看是否有不明的程序。将当前开放的端口抓图或记录下来,保存,方便以后对照查看是否开放了不明的端口。当然如果你能分辨每一个进程,和端口这一步可以省略。 |