win2003服务器安全设置教程: Q! r e9 m7 m% V' a
服务器安全设置 0 j) t9 P/ y0 S0 G6 d3 q
1、系统盘和站点放置盘必须设置为NTFS格式,方便设置权限。
5 J7 k8 W3 g1 y" T$ w6 m* Q" B2、系统盘和站点放置盘除administrators 和system的用户权限全部去除。
7 M: B" U; g3 l' q6 ~ V
! F) {6 t) w: g3、启用windows自带防火墙,只保留有用的端口,比如远程和Web、Ftp(3389、80、21)等等,有邮件服务器的还要打开25和130端口。
2 C* b' n, i0 ~# ?7 V6 s# y) q
3 z7 B/ ^- A8 t" | Z- `* J . d7 n) w! q5 o2 u8 |
 * [# j4 E) _$ I# @" A/ w* f
4、安装好SQL后进入目录搜索 xplog70 然后将找到的三个文件改名或者删除。 4 w% r: X0 |. V# J* L% p+ M
 4 M, N/ o8 |; m" t: N: u, m! f: L
5、更改sa密码为你都不知道的超长密码,在任何情况下都不要用sa这个帐户。 ( p) K J( b+ P' R5 e; s
 - C3 f. y& r. C
6、改名系统默认帐户名并新建一个Administrator帐户作为陷阱帐户,设置超长密码,并去掉所有用户组。(就是在用户组那里设置为空即可。让这个帐号不属于任何用户组—样)同样改名禁用掉Guest用户。
8 K) C) C. V* Y) S: R
# q: U8 ], u% d$ s: a( D7、配置帐户锁定策略(在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略,将账户设为“三次登陆无效”,“锁定时间30分钟”,“复位锁定计数设为30分钟”。)
: a8 n( ]% D1 w# O/ U
; P U% z+ R8 G8、在安全设置里本地策略-安全选项将
; X) T$ V4 d. I+ Q! C: C网络访问:可匿名访问的共享; : a! a' J/ i: v( X
网络访问:可匿名访问的命名管道; 6 |) w# P1 E, j; Y4 i
网络访问:可远程访问的注册表路径; % w" G7 ]6 n( ]/ v) j
网络访问:可远程访问的注册表路径和子路径;
8 d2 A7 Y" v; t8 F# C以上四项清空。 ( [( s; f3 T$ o+ n: e5 \
 % q# d1 f1 w5 N3 {, k
9、在安全设置里 本地策略-安全选项 通过终端服务拒绝登陆 加入
- ]; b7 q% X8 Z7 [; S, l& r2 m: _( [' ^: A, N
2 G; {5 H4 D m- g$ q
' p0 c4 Z1 `" ~# j0 H! T
* }, r$ w; B8 I以下为引用的内容: ASPNET Guest IUSR_***** IWAM_***** NETWORK SERVICE SQLDebugger |
2 C8 M* y( k+ E7 Q7 e0 C- d
5 X1 Z/ D: O/ h2 R4 g4 x$ \" {(****表示你的机器名,具体查找可以点击 添加用户或组 选 高级 选 立即查找 在底下列出的用户列表里选择. 注意不要添加进user组和administrators组 添加进去以后就没有办法远程登陆了。) ' _8 K1 r B) k; V N* ^5 Q' Y

/ [* D# c+ R. \4 ?; c( L10、去掉默认共享,将以下文件存为reg后缀,然后执行导入即可。
4 n, W3 p/ a# u- |2 K2 \, n3 iWindows Registry Editor Version 5.00
* J3 o) G; ]4 y5 K& F3 N1 {) G* y, _[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters] - v. g7 i1 ] U* x6 T8 Y' p
"AutoShareServer"=dword:00000000 / w; f, ?: h) Q' w* F
"AutoSharewks"=dword:00000000 ' M' z9 q/ O$ ]) m& j( q' t# k5 K

* t, P* P$ M2 _" b) @11、 禁用不需要的和危险的服务,以下列出服务都需要禁用。 + r5 O' ^- n$ F9 L6 q. I
Alerter 发送管理警报和通知 , t0 u" E4 {3 ]0 W
Computer Browser:维护网络计算机更新
2 D. i4 c. O- i& pDistributed File System: 局域网管理共享文件 ( m' Y4 n1 J. `3 m& b
Distributed linktracking client 用于局域网更新连接信息 7 u5 h, i: d% z8 F+ y+ F
Error reporting service 发送错误报告 - Y9 ~. P, ?3 a% j _6 [
Remote Procedure Call (RPC) Locator RpcNs*远程过程调用 (RPC)
0 Q$ x. I2 l" t m/ x$ L0 {Remote Registry 远程修改注册表 1 d7 U: s) J7 h/ U7 C
Removable storage 管理可移动媒体、驱动程序和库
/ }/ t: L' b3 ^' i) U7 y2 _Remote Desktop Help Session Manager 远程协助 ( X$ `# M- g5 {0 Y; m* z% a9 D' P
Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务 % G9 X) A; W! h6 j$ W. |
Messenger 消息文件传输服务
( H1 X p3 O4 v* Y; y2 V% ?# `) ?Net Logon 域控制器通道管理
' |9 F8 `" Y3 L. T9 D+ ZNTLMSecuritysupportprovide telnet服务和Microsoft Serch用的 ) v: o) l/ w/ r1 |, l1 ?
PrintSpooler 打印服务
# c4 V8 H, f6 F Ctelnet telnet服务
8 @7 Q5 O$ q% xWorkstation 泄漏系统用户名列表
5 q, [+ P D! |# z3 j4 L: l12、更改本地安全策略的审核策略 9 n. n) [! Y5 U6 _4 N& N0 a( J
账户管理 成功 失败 9 G5 f& z* F/ @* }' K7 I C0 u
登录事件 成功 失败 7 d. V' A& e8 `) k8 u" p/ h/ T5 [
对象访问 失败 . B& N1 H2 C; l& W! O; R6 m
策略更改 成功 失败 % m5 ^6 e; q6 x) f% f! N
特权使用 失败
2 l1 U' E/ }6 l. P8 W5 G5 M# b系统事件 成功 失败
* w% i- B& _# N5 E! B目录服务访问 失败 4 i- ?$ ]% B# ~
账户登录事件 成功 失败 / t2 F- J# Y% f
13、更改有可能会被提权利用的文件运行权限,找到以下文件,将其安全设置里除administrators用户组全部删除,重要的是连system也不要留。 / }4 a/ y0 C# }, G$ D4 D
net.exe / \- Z2 k8 F* [: V4 L) Z
net1.exe ; v. v; q" x1 j1 ]- _( z
cmd.exe . \4 g, b g+ W8 ~/ I
tftp.exe " Q6 M1 P, x! z. v0 F7 O4 W
netstat.exe
& m- Y8 n+ ~, r! o- I8 O/ ]6 A7 J% `regedit.exe
0 m9 i1 L) L$ \, l# m, Fat.exe
; ?: t* G! u6 Q9 Y+ Mattrib.exe 3 m% C$ f7 f- U6 Q
cacls.exe $ W7 {4 U" e. P+ h/ i
format.com
' h( }1 x$ y& v* h) Sc.exe 特殊文件 有可能在你的计算机上找不到此文件。 , V2 H* q# D( @- s
在搜索框里输入
O, m- X1 V8 W6 Z ~"net.exe","net1.exe","cmd.exe","tftp.exe","netstat.exe","regedit.exe","at.exe","attrib.exe","cacls.exe","format.com","c.exe" / v1 H, z: U f+ C
点击搜索 然后全选 右键 属性 安全
9 W1 v/ ^1 s' a+ v* A) z, X + J' d- F" H- M4 A9 {5 [& i
以上这点是最最重要的一点了,也是最最方便减少被提权和被破坏的可能的防御方法了。
1 a8 \, K& t3 U1 J14、后备工作,将当前服务器的进程抓图或记录下来,将其保存,方便以后对照查看是否有不明的程序。将当前开放的端口抓图或记录下来,保存,方便以后对照查看是否开放了不明的端口。当然如果你能分辨每一个进程,和端口这一步可以省略。 |