win2003server配置与管理.doc

Windows 2003 server 配制与管理Windows Server 2003 提供了诸多强大的网络服务功能，而且极易上手，网管不需要太多的培训即可配置和管理不过，要配置一个安全的 Windows Server 2003 服务器，需要有经验的网管手动配置很长时间：需要在提供各种服务的同时，保证服务器的安全稳定 运行，最大限度地抵御病毒和黑客的入侵，这是每个网管的基本追求一、 Windows Server2003 的安装1 、安装系统最少需要 2 个分区，分区格式都采用 NTFS 格式2 、在断开网络的情况安装好 2003 系统3 、安装 IIS ，仅安装必要的 IIS 组件(禁用不需要的如 FTP 和 SMTP 服务)默认情况下， IIS 服 务没有安装，在添加 /删除 Win 组件中选择 “应用程序服务器 ”，然后点击 “详细信息 ”，双击 Internet 信息服 务 (iis) ，勾选以下选项：Internet 信息服务管理器；公用文件；后台智能传输服务 (BITS) 服务器扩展；万维网服务如果你使用 FrontPage 扩展的 Web 站点再勾选： FrontPage 2002 Server Extensions4 、安装 MSSQL 及其它所需要的软件然后进行 Update 。

5 、使用 Microsoft 提供的 MBSA ( Microsoft Baseline Security Analyzer ) 工具分析计算机的安全 配置，并标识缺少的修补程序和更新下载地址：见页末的链接二、设置和管理账户1 、系统管理员账户最好少建，更改默认的管理员帐户名( Administrator )和描述，密码最好采用数 字加大小写字母加数字的上档键组合，长度最好不少于 14 位2 、新建一个名为 Administrator 的陷阱帐号，为其设置最小的权限，然后随便输入组合的最好不低于20 位的密码3 、将 Guest 账户禁用并更改名称和描述，然后输入一个复杂的密码，当然现在也有一个 DelGuest 的工具，也许你也可以利用它来删除 Guest 账户，但我没有试过4 、在运行中输入 gpedit.msc 回车，打开组策略编辑器，选择计算机配置 -Windows 设置 -安全设置 - 账户策略 -账户锁定策略，将账户设为 “三次登陆无效 ”，“锁定时间为 30 分钟 ”，“复位锁定计数设为 30 分 钟”5 、在安全设置 -本地策略 -安全选项中将 “不显示上次的用户名 ”设为启用6 、在安全设置 -本地策略 -用户权利分配中将 “从网络访问此计算机 ”中只保留 Internet 来宾账户、启动IIS 进程账户。

如果你使用了 A 还要保留 Aspnet 账户7 、创建一个 User 账户，运行系统，如果要运行特权命令使用 Runas 命令三、安全配制1、禁止 C$、D$ 、ADMIN$ 一类的缺省共享打开注册表，HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters ，在右边的 窗口中新建 Dword 值，名称设为 AutoShareServer 值设为 02 、 解除 NetBios 与 TCP/IP 协议的绑定右击网上邻居 -属性-右击本地连接 -属性-双击 Internet 协议-高级 -Wins- 禁用 TCP/IP 上的 NETBIOS3、关闭不需要的服务，以下为建议选项Computer Browser: 维护网络计算机更新，禁用Distributed File System: 局域网管理共享文件，不需要禁用Distributed linktracking client ：用于局域网更新连接信息，不需要禁用Error reporting service ：禁止发送错误报告Microsoft Serch ：提供快速的单词搜索，不需要可禁用NTLMSecuritysupportprovide ： telnet 服务和 Microsoft Serch 用的，不需要禁用 PrintSpooler ：如果没有打印机可禁用Remote Registry ：禁止远程修改注册表Remote Desktop Help Session Manager ：禁止远程协助 先关闭不需要的端口我比较小心，先关了端口。

只开了 3389 21 80 1433 有些人一直说什么默认的 3389 不安全，对此我 不否认，但是利用的途径也只能一个一个的穷举爆破，你把帐号改了密码设置为十五六位，我估计他要破 上好几年，哈哈 !办法:本地连接 --属性--Internet 协议 (TCP/IP)-- 高级 --选项--TCP/IP 筛选 --属性--把勾打上 然后添加你需要的端口即可 PS 一句 :设置完端口需要重新启动 !当然大家也可以更改远程连接端口方法 :Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]"PortNumber"=dword:00002683保存为 .REG 文件双击即可 !更改为 9859 ，当然大家也可以换别的端口， 直接打开以上注册表的地址，把值改为十进制的输入你想要的端口即可 !重启生效 !还有一点，在 2003 系统里，用 TCP/IP 筛选里的端口过滤功能，使用 FTP 服务器的时候，只开放 21 端口，在进行 FTP 传输的时候， FTP 特有的 Port 模式和 Passive 模式，在进行数据传输的时候，需 要动态的打开高端口，所以在使用 TCP/IP 过滤的情况下，经常会出现连接上后无法列出目录和数据传输 的问题。

所以在 2003 系统上增加的 windows 连接防火墙能很好的解决这个问题， 所以都不推荐使用网卡 的 TCP/IP 过滤功能 所做 FTP 下载的用户看仔细点， 表怪俺说俺写文章是垃圾 ... 如果要关闭不必要的端 口，在 \system32\drivers\etc\services 中有列表，记事本就可以打开的如果懒惰的话，最简单的方法是 启用 WIN2003 的自身带的网络防火墙，并进行端口的改变功能还可以 !Internet 连接防火墙可以有效地 拦截对 Windows 2003 服务器的非法入侵， 防止非法远程主机对服务器的扫描， 提高 Windows 2003 服务 器的安全性同时，也可以有效拦截利用操作系统漏洞进行端口攻击的病毒，如冲击波等蠕虫病毒如果 在用 Windows 2003 构造的虚拟路由器上启用此防火墙功能，能够对整个内部网络起到很好的保护作用关于端口的介绍可以访问 :4、磁盘权限设置C 盘只给 administrators 和 system 权限，其他的权限不给，其他的盘也可以这样设置，这里给的 system 权限也不一定需要给，只是由于某些第三方应用程序是以服务形式启动的，需要加上这个用户， 否则造成启动不了。

Windows 目录要加上给 users 的默认权限，否则 ASP 和 ASPX 等应用程序就无法运行以前有朋友单独设置 Instsrv 和 temp 等目录权限，其实没有这个必要的另外在 c:/Documents and Settings/ 这里相当重要，后面的目录里的权限根本不会继承从前的设置， 如果仅仅只是设置了 C 盘给 administrators 权限，而在 All Users/Application Data 目录下会 出现 everyone 用户有完全控制权限， 这样入侵这可以跳转到这个目录， 写入脚本或只文件， 再结合其他漏洞来提升权限譬如利用 serv-u 的本地溢出提升权限，或系统遗漏有补丁，数据库的弱点，甚至社会工程学等等 N 多方法，从前不是有牛人发飑说 :" 只要给我一个 webshell ，我就能拿到 system" ，这也的确是有可能的 在用做 web/ftp 服务器的系统里，建议是将这些目录都设置的锁死其他每个盘的目录都按照这样设置， 没个盘都只给 adinistrators 权限另外，还将 :net.exe NET 命令cmd.exe CMD 懂电脑的都知道咯 ~tftp.exenetstat.exeregedit.exeat.exeattrib.execacls.exe ACL 用户组权限设置，此命令可以在 NTFS 下设置任何文件夹的任何权限 !偶入侵的时候 没少用这个 （:format.exe大家都知道 ASP 木马吧，有个 CMD 运行这个的，这些如果都可以在 CMD 下运行 ..55 ，，估计别的 没啥， format 下估计就哭料 ~~~（: 这些文件都设置只允许 administrators 访问。

5、防火墙、杀毒软件的安装 关于这个东西的安装其实我也说不来，反正安装什么的都有，建议使用卡巴，卖咖啡6、 SQL2000 SERV-U FTP 安全设置SQL 安全方面（ 1 ）、 System Administrators 角色最好不要超过两个（2）、如果是在本机最好将身份验证配置为 Win 登陆（3）、不要使用 Sa 账户，为其配置一个超级复杂的密码（4）、删除以下的扩展存储过程格式为 : use master sp_dropextendedproc ' 扩展存储过程名 ' xp_cmdshell: 是进入操作系统的最佳捷径，删除 访问注册表的存储过程，删除Xp_regaddmultistringXp_regdeletekeyXp_regdeletevalueXp_regenumvalues Xp_regreadXp_regwriteXp_regremovemultistringOLE 自动存储过程，不需要删除 Sp_OACreateSp_OADestroySp_OAGetErrorInfoSp_OAGetProperty Sp_OAMethodSp_OASetPropertySp_OAStop（5）、隐藏 SQL Server 、更改默认的 1433 端口 右击实例选属性 -常规-网络配置中选择 TCP/IP 协议的属性，选择隐藏 SQL Server 实例，并改原默认的 1433 端口serv-u 的几点常规安全需要设置下 :选中 "Block "FTP_bounce"attack and FXP" 。

什么是 FXP 呢 ?通常，当使用 FTP 协议进行文件传输 时，客户端首先向 FTP 服务器发出一个 "PORT" 命令，该命令中包含此用户的 IP 地址和将被用来进行数 据传输的端口号，服务器收到后，利用命令所提供的用户地址信息建立与用户的连接大多数情况下，上 述过程不会出现任何问题，但当客户端是一名恶意用户时，可能会通过在 PORT 命令中加入特定的地址 信息，使 FTP 服务器与其它非客户端的机器建立连接虽然这名恶意用户可能本身无权直接访问某一特 定机器，但是如果 FTP 服务器有权访问该机器的话，那么恶意用户就可以通过 FTP 服务器作为中介，仍 然能够最终实现与目标服务器的连接这就是 FXP ，也称跨服务器攻击选中后就可以防止发生此种情况7、 IIS 安全设置IIS 的安全 :1、不使用默认的 Web 站点，如果使用也要将 将 IIS 目录与系统磁盘分开2、删除 IIS 默认创建的 Inetp。