Windows2003 Server安全配置完整篇

 

1、先關閉不須要的端口

我比較當心，先關了端口。只開了 3389 21 80 1433 有些人一直說什麼默認的 3389 不安全，對此我不否定，可是利用的途徑也只能一個一個的窮舉爆破，你把賬號改了密碼設置爲十五六位，我估計他要破上好幾年，哈哈 ! 辦法 : 本地鏈接 -- 屬性 --Internet 協議 (TCP/IP)-- 高級 -- 選項 --TCP/IP 篩選 -- 屬性 -- 把勾打上 而後添加你須要的端口便可。 PS 一句 : 設置完端口須要從新啓動 !

固然你們也能夠更改遠程鏈接端口方法 :

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]

"PortNumber"=dword:00002683

保存爲 .REG 文件雙擊便可 ! 更改成 9859 ，固然你們也能夠換別的端口， 直接打開以上註冊表的地址，把值改成十進制的輸入你想要的端口便可 ! 重啓生效 !

還有一點，在 2003 系統裏，用 TCP/IP 篩選裏的端口過濾功能，使用 FTP 服務器的時候，只開放 21 端口，在進行 FTP 傳輸的時候， FTP 特有的 Port 模式和 Passive 模式，在進行數據傳輸的時候，須要動態的打開高端口，因此在使用 TCP/IP 過濾的狀況下，常常會出現鏈接上後沒法列出目錄和數據傳輸的問題。因此在 2003 系統上增長的 windows 鏈接防火牆能很好的解決這個問題，因此都不推薦使用網卡的 TCP/IP 過濾功能。所作 FTP 下載的用戶看仔細點，表怪俺說俺寫文章是垃圾 ... 若是要關閉沒必要要的端口，在 [url= file://\\system32\\drivers\\etc\\services]\\system32\\drivers\\etc\\services[/url]中有列表 ，記事本就能夠打開的。若是懶惰的話，最簡單的方法是啓用 WIN2003 的自身帶的網絡防火牆，並進行端口的改變。功能還能夠 !Internet 鏈接防火牆能夠有效地攔截對 Windows 2003 服務器的非法***，防止非法遠程主機對服務器的掃描，提升 Windows 2003 服務器的安全性。同時，也能夠有效攔截利用操做系統漏洞進行端口***的病毒，如衝擊波等蠕蟲病毒。若是在用 Windows 2003 構造的虛擬路由器上啓用此防火牆功能，可以對整個內部網絡起到很好的保護做用。

關於端口的介紹能夠訪問 : [url]http://bbs.86dm.net/viewthread.php?tid=7&extra=page%3D1[/url]

2、關閉不須要的服務 打開相應的審覈策略

我關閉瞭如下的服務

Computer Browser 維護網絡上計算機的最新列表以及提供這個列表

Task scheduler 容許程序在指定時間運行

Messenger 傳輸客戶端和服務器之間的 NET SEND 和 警報器服務消息

Distributed File System: 局域網管理共享文件，不須要禁用

Distributed linktracking client: 用於局域網更新鏈接信息，不須要禁用

Error reporting service: 禁止發送錯誤報告

Microsoft Serch: 提供快速的單詞搜索，不須要可禁用

NTLMSecuritysupportprovide:telnet 服務和 Microsoft Serch 用的，不須要禁用

PrintSpooler: 若是沒有打印機可禁用

Remote Registry: 禁止遠程修改註冊表

Remote Desktop Help Session Manager: 禁止遠程協助

Workstation 關閉的話遠程 NET 命令列不出用戶組

把沒必要要的服務都禁止掉，儘管這些不必定能被***者利用得上，可是按照安全規則和標準上來講，多餘的東西就不必開啓，減小一份隱患。

在 " 網絡鏈接 " 裏，把不須要的協議和服務都刪掉，這裏只安裝了基本的 Internet 協議 (TCP/IP) ，因爲要控制帶寬流量服務，額外安裝了 Qos 數據包計劃程序。在高級 tcp/ip 設置裏 --"NetBIOS" 設置 " 禁用 tcp/IP 上的 NetBIOS(S)" 。在高級選項裏，使用 "Internet 鏈接防火牆 " ，這是 windows 2003 自帶的防火牆，在 2000 系統裏沒有的功能，雖然沒什麼功能，但能夠屏蔽端口，這樣已經基本達到了一個 IPSec 的功能。

在運行中輸入 gpedit.msc 回車，打開組策略編輯器，選擇計算機配置 -Windows 設置 - 安全設置 - 審覈策略在建立審覈項目時須要注意的是若是審覈的項目太多，生成的事件也就越多，那麼要想發現嚴重的事件也越難固然若是審覈的太少也會影響你發現嚴重的事件，你須要根據狀況在這兩者之間作出選擇。

推薦的要審覈的項目是 :

登陸事件 成功 失敗

帳戶登陸事件 成功 失敗

系統事件 成功 失敗

策略更改 成功 失敗

對象訪問 失敗

目錄服務訪問 失敗

特權使用 失敗

3、關閉默認共享的空鏈接

因爲比較簡單，這裏就不詳談了。

4、磁盤權限設置

C 盤只給 administrators 和 system 權限，其餘的權限不給，其餘的盤也能夠這樣設置，這裏給的 system 權限也不必定須要給，只是因爲某些第三方應用程序是以服務形式啓動的，須要加上這個用戶，不然形成啓動不了。

Windows 目錄要加上給 users 的默認權限，不然 ASP 和 ASPX 等應用程序就沒法運行。之前有朋友單獨設置 Instsrv 和 temp 等目錄權限，其實沒有這個必要的。

另外在 c:/Documents and Settings/ 這裏至關重要，後面的目錄裏的權限根本不會繼承從前的設置，若是僅僅只是設置了 C 盤給 administrators 權限，而在 All Users/Application Data 目錄下會 出現 everyone 用戶有徹底控制權限，這樣***這能夠跳轉到這個目錄，寫入腳本或只文件，再結合其餘漏洞來提高權限 ;

    譬如利用 serv-u 的本地溢出提高權限，或系統遺漏有補丁，數據庫的弱點，甚至社會工程學等等 N 多方法，從前不是有牛人發颮說 :" 只要給我一個 webshell ，我就能拿到 system" ，這也的確是有可能的。在用作 web/ftp 服務器的系統裏，建議是將這些目錄都設置的鎖死。其餘每一個盤的目錄都按照這樣設置，沒個盤都只給 adinistrators 權限。

另外，還將 :

net.exe NET 命令

cmd.exe CMD 懂電腦的都知道咯 ~

tftp.exe

netstat.exe

regedit.exe

at.exe

attrib.exe

cacls.exe ACL 用戶組權限設置，此命令能夠在 NTFS 下設置任何文件夾的任何權限 ! 偶***的時候沒少用這個 ....(:

format.exe

你們都知道 ASP ***吧，有個 CMD 運行這個的，這些若是均可以在 CMD 下運行 ..55 ，，估計別的沒啥， format 下估計就哭料 ~~~(: 這些文件都設置只容許 administrators 訪問。

5、防火牆、殺毒軟件的安裝

關於這個東西的安裝其實我也說不來，反正安裝什麼的都有，建議使用卡巴，賣咖啡。

6、 SQL2000 SERV-U FTP 安全設置

SQL 安全方面

1 、 System Administrators 角色最好不要超過兩個

2 、若是是在本機最好將身份驗證配置爲 Win 登錄

3 、不要使用 Sa 帳戶，爲其配置一個超級複雜的密碼

4 、刪除如下的擴展存儲過程格式爲 :

use master

sp_dropextendedproc ' 擴展存儲過程名 '

xp_cmdshell: 是進入操做系統的最佳捷徑，刪除

訪問註冊表的存儲過程，刪除

Xp_regaddmultistring 　　 Xp_regdeletekey 　　 Xp_regdeletevalue 　　 Xp_regenumvalues

Xp_regread Xp_regwrite 　　　 Xp_regremovemultistring

OLE 自動存儲過程，不須要刪除

Sp_OACreate Sp_OADestroy 　　　　 Sp_OAGetErrorInfo 　　 Sp_OAGetProperty

Sp_OAMethod 　　 Sp_OASetProperty 　　 Sp_OAStop

5 、隱藏 SQL Server 、更改默認的 1433 端口

右擊實例選屬性 - 常規 - 網絡配置中選擇 TCP/IP 協議的屬性，選擇隱藏 SQL Server 實例，並改原默認的 1433 端口

serv-u 的幾點常規安全須要設置下 :

選中 "Block "FTP_bounce"attack and FXP" 。什麼是 FXP 呢 ? 一般，當使用 FTP 協議進行文件傳輸時，客戶端首先向 FTP 服務器發出一個 "PORT" 命令，該命令中包含此用戶的 IP 地址和將被用來進行數據傳輸的端口號，服務器收到後，利用命令所提供的用戶地址信息創建與用戶的鏈接。大多數狀況下，上述過程不會出現任何問題，但當客戶端是一名惡意用戶時，可能會經過在 PORT 命令中加入特定的地址信息，使 FTP 服務器與其它非客戶端的機器創建鏈接。雖然這名惡意用戶可能自己無權直接訪問某一特定機器，可是若是 FTP 服務器有權訪問該機器的話，那麼惡意用戶就能夠經過 FTP 服務器做爲中介，仍然可以最終實現與目標服務器的鏈接。這就是 FXP ，也稱跨服務器***。選中後就能夠防止發生此種狀況。

7、 IIS 安全設置

IIS 的安全 :

1 、不使用默認的 Web 站點，若是使用也要將 將 IIS 目錄與系統磁盤分開。

2 、刪除 IIS 默認建立的 Inetpub 目錄 ( 在安裝系統的盤上 ) 。

3 、刪除系統盤下的虛擬目錄，如 :_vti_bin 、 IISSamples 、 Scripts 、 IIShelp 、 IISAdmin 、 IIShelp 、 MSADC 。

4 、刪除沒必要要的 IIS 擴展名映射。

右鍵單擊 「默認Web 站點→屬性→主目錄→配置 」，打開應用程序窗口，去掉沒必要要的應用程序映射。主要爲.shtml, .shtm, .stm

5 、更改 IIS 日誌的路徑

右鍵單擊 「默認Web 站點→屬性 - 網站 - 在啓用日誌記錄下點擊屬性

6 、若是使用的是 2000 可使用 iislockdown 來保護 IIS ，在 2003 運行的 IE6.0 的版本不須要。

8、其它

1 、 系統升級、打操做系統補丁，尤爲是 IIS 6.0 補丁、 SQL SP3a 補丁，甚至 IE 6.0 補丁也要打。同時及時跟蹤最新漏洞補丁 ;

2 、停掉 Guest 賬號、並給 guest 加一個異常複雜的密碼，把 Administrator 更名或假裝 !

3 、隱藏重要文件 / 目錄

能夠修改註冊表實現徹底隱藏 :「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL」 ，鼠標右擊 「CheckedValue」 ，選擇修改，把數值由 1 改成 0

4 、啓動系統自帶的 Internet 鏈接防火牆，在設置服務選項中勾選 Web 服務器。

5 、防止 SYN 洪水***

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

新建 DWORD 值，名爲 SynAttackProtect ，值爲 2

6. 禁止響應 ICMP 路由通告報文

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface

新建 DWORD 值，名爲 PerformRouterDiscovery 值爲 0

7. 防止 ICMP 重定向報文的***

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

將 EnableICMPRedirects 值設爲 0

8. 不支持 IGMP 協議

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

新建 DWORD 值，名爲 IGMPLevel 值爲 0

9 、禁用 DCOM:

運行中輸入 Dcomcnfg.exe 。 回車， 單擊 「控制檯根節點」下的「組件服務」。 打開 「計算機」子文件夾。

對於本地計算機，請以右鍵單擊 「個人電腦」，而後選擇「屬性」。選擇「默認屬性」選項卡。

清除 「在這臺計算機上啓用分佈式 COM」 複選框。