Windows2003Server安全配置指南.doc

Windows 2003 Server 安全配置指南一、先关闭不需要的端口端口限制通常是网络管理的基本手段之一，具体端口的开放与关闭，需要根据实际情况来考虑关闭端口操作：本地连接--属性--Internet 协议(TCP/IP)--高级--选项--TCP/IP 筛选--属性-- 把勾打上，然后添加你需要的端口，重新启动即可 当然也可以更改远程连接端口方法：我们可以写一个.REG 文件，如下：Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE \ SYSTEM\ Current ControlSet \ Control \ Terminal Server\WinStations\RDP-Tcp]"PortNumber"=dword:00002683双击我们生成的文件，更改数据值，确认重启即可生效在 2003 系统里，用 TCP/IP 筛选里的端口过滤功能，使用 FTP 服务器的时候，只需开放 21 端口，在进行 FTP 传输的时候，FTP 特有的 Port 模式和 Passive 模式，在进行数据传输的时候，需要动态的打开高端口，所以在使用 TCP/IP 过滤的情况下，经常会出现连接上后无法列出目录和数据传输的问题。

所以 2003 系统上增加的 Windows 连接防火墙能很好的解决这个问题，笔者不推荐使用网卡的 TCP/IP 过滤功能 如果要关闭不必要的端口，在\system32\drivers\etc\services 用记事本打开修改另外还有一中更简单的方法，启用 WIN2003 的自身带的网络防火墙，并进行端口的改变Internet 连接防火墙可以有效地拦截对 Windows 2003 服务器的非法入侵，防止非法远程主机对服务器的扫描，提高 Windows 2003 服务器的安全性同时，也可以有效拦截利用操作系统漏洞进行端口攻击的病毒合理配置利用 Windows 2003 的防火墙功能，能够对整个内部网络起到很好的保护作用二.服务与审核策略管理是系统就必然需要服务，然而不是每一个服务都适用于所有用户的，合理的关闭一些服务，可以减轻系统很多的负担通常情况下，如下服务可以关闭：Computer Browser 维护网络上计算机的最新列表以及提供这个列表Task scheduler 允许程序在指定时间运行Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息Distributed File System: 局域网管理共享文件，不需要禁用Distributed linktracking client：用于局域网更新连接信息，不需要禁用Error reporting service：禁止发送错误报告Microsoft Serch：提供快速的单词搜索，不需要可禁用NTLMSecuritysupportprovide：telnet 服务和 Microsoft Serch 用的，不需要禁用PrintSpooler：如果没有打印机可禁用Remote Registry：禁止远程修改注册表Remote Desktop Help Session Manager：禁止远程协助Workstation 关闭的话远程 NET 命令列不出用户组。

在"网络连接"里，把不需要的协议和服务都删掉，这里只安装了基本的 Internet 协议(TCP/IP)，由于要控制带宽流量服务，额外安装了 Qos 数据包计划程序在高级 tcp/ip 设置里--"NetBIOS"设置"禁用 tcp/IP 上的 NetBIOS(S)"在高级选项里，使用"Internet 连接防火墙"，这是 windows 2003 自带的防火墙，在 2000 系统里没有的功能，虽然没什么功能，但可以屏蔽端口，这样已经基本达到了一个 IPSec 的功能在运行中输入 gpedit.msc 回车，打开组策略编辑器，选择计算机配置-Windows 设置-安全设置- 审核策略在创建审核项目时需要注意的是如果审核的项目过多，那么要想发现严重的事件也越难，当然如果审核的太少也会影响你发现严重的事件，你需要根据情况在这二者之间做出选择推荐的要审核的项目主要有：登录事件账户登录事件系统事件策略更改对象访问目录服务访问特权使用三、关闭默认共享的空连接这个就不必多说了，敞开门让别人拿，用户一定不会干!四、磁盘权限设置C 盘只给 administrators 和 system 权限，其他的盘也可以这样设置。

Windows 目录要加上给users 的默认权限，否则 ASP 和 ASPX 等应用程序就无法运行以前有朋友单独设置 Instsrv 和temp 等目录权限，其实没有这个必要的另外在 c:/Documents and Settings/这里相当重要，后面的目录里的权限根本不会继承从前的设置，如果仅仅只是设置了 C 盘给 administrators 权限，而在 All Users/Application Data 目录下会 出现 everyone 用户有完全控制权限，这样入侵这可以跳转到这个目录，写入脚本或只文件，再结合其他漏洞来提升权限;譬如利用 serv-u 的本地溢出提升权限，或系统遗漏有补丁，数据库的弱点，甚至社会工程学等等 N 多方法曾经有牛人云："只要给我一个 webshell，我就能拿到 system"，防微杜渐还是塌实些在用做 web/ftp 服务器的系统里，建议是将这些目录都设置的锁死，每个盘都只给adimistrators 权限另外，还需要将：net.exe NET 命令cmd.exetftp.exenetstat.exeregedit.exe 注册表啦 用电脑的人都知道at.exeattrib.execacls.exe ACL 用户组权限设置，此命令可以在 NTFS 下设置任何文件夹的任何权限。

format.exe 超级强悍，还是不说了这些文件都设置只允许 administrator 访问五、防火墙、杀毒软件的安装曾经还有人炫耀自己的裸机，但如今真的没多少人敢如此忽视杀毒软件的存在由于对杀毒软件各方看法不一，这里就迎各位的喜好了!六、SQL2000 SERV-U FTP 安全设置SQL 安全方面1、System Administrators 角色最好不要超过两个2、如果是在本机最好将身份验证配置为 Win 登陆3、不要使用 Sa 账户，或为其配置一个超级复杂的密码4、删除以下的扩展存储过程格式为：use mastersp_dropextendedproc '扩展存储过程名'xp_cmdshell：是进入操作系统的最佳捷径，删除访问注册表的存储过程，删除Xp_regaddmultistringXp_regdeletekeyXp_regdeletevalueXp_regenumvaluesXp_regread Xp_regwrite Xp_regremovemultistringOLE 自动存储过程，不需要，删除Sp_OACreate Sp_OADestroySp_OAGetErrorInfoSp_OAGetPropertySp_OAMethodSp_OASetPropertySp_OAStop5、隐藏 SQL Server、更改默认的 1433 端口。

右击选属性-常规 -网络配置中选择 TCP/IP 协议的属性，选择隐藏 SQL Server 实例，并改原默认的1433 端口serv-u 的几点常规安全需要设置下：选中"Block "FTP_bounce"attack and FXP"什么是 FXP 呢?通常，当使用 FTP 协议进行文件传输时，客户端首先向 FTP 服务器发出一个"PORT"命令，该命令中包含此用户的 IP 地址和将被用来进行数据传输的端口号，服务器收到后，利用命令所提供的用户地址信息建立与用户的连接大多数情况下，上述过程不会出现任何问题，但当客户端是一名恶意用户时，可能会通过在 PORT 命令中加入特定的地址信息，使 FTP 服务器与其它非客户端的机器建立连接虽然这名恶意用户可能本身无权直接访问某一特定机器，但是如果 FTP 服务器有权访问该机器的话，那么恶意用户就可以通过 FTP 服务器作为中介，仍然能够最终实现与目标服务器的连接这就是 FXP，也称跨服务器攻击选中后就可以防止发生此种情况七、IIS 安全设置IIS 的安全：1、不使用默认的 Web 站点，如果使用也要将 IIS 目录与系统磁盘分开2、删除 IIS 默认创建的 Inetpub 目录(在安装系统的盘上 )。

3、删除系统盘下的虚拟目录，如：_vti_bin、IISSamples、Scripts、IIShelp 、IISAdmin、IIShelp、MSADC4、删除不必要的 IIS 扩展名映射右键单击“默认 Web 站点→属性 →主目录→配置” ，打开应用程序窗口，去掉不必要的应用程序映射主要为.shtml、.shtm 、 .stm5、更改 IIS 日志的路径右键单击“默认 Web 站点→属性 -网站-在启用日志记录下点击属性6、如果使用的是 2000 可以使用 iislockdown 来保护 IIS，在 2003 运行的 IE6.0 的版本不需要八、其它1、系统升级、打操作系统补丁，尤其是 IIS 6.0 补丁、SQL SP3a 补丁，甚至 IE 6.0 补丁也要打同时及时跟踪最新漏洞补丁;2、停掉 Guest 帐号、并给 guest 加一个异常复杂的密码，把 Administrator 改名或伪装!3、隐藏重要文件/目录可以修改注册表实现完全隐藏：“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”，鼠标右击 “CheckedValue”，选择修改，把数值由 1 改为 0。

4、启动系统自带的 Internet 连接防火墙，在设置服务选项中勾选 Web 服务器5、防止 SYN 洪水攻击HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters新建 DWORD 值，名为 SynAttackProtect，值为 26. 禁止响应 ICMP 路由通告报文HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet\ Services\Tcpip\Parameters\Interfaces\interface新建 DWORD 值，名为 PerformRouterDiscovery 值为 07. 防止 ICMP 重定向报文的攻击HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters将 EnableICMPRedirects 值设为 08. 不支持 IGMP 协议HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters新建 DWORD 值，名为 IGMPLevel 值为 0。

9、禁用 DCOM：运行中输入 Dcomcnfg.exe回车，单击“控制台根节点”下的“组件服务” 打开“计算机” 子文件夹对于本地计算机，请以右键单击“我的电脑”，然后选择“ 属性 ”选择“ 默认属性”选项卡 清除“在这台计算机上启用分布式 COM”复选框最后，建议用户在配置每一步时，需要进行相关的测试，避免意外的发生。