Win2003 安全配置技巧_Windows教程
windows server2003是目前最為成熟的網(wǎng)絡(luò)服務(wù)器平臺(tái),安全性相對(duì)于windows 2000有大大的提高,但是2003默認(rèn)的安全配置不一定適合我們的需要,所以,我們要根據(jù)實(shí)際情況來對(duì)win2003進(jìn)行全面安全配置。說實(shí)話,安全配置是一項(xiàng)比較有難度的網(wǎng)絡(luò)技術(shù),權(quán)限配置的太嚴(yán)格,好多程序又運(yùn)行不起,權(quán)限配置的太松,又很容易被黑客入侵,做為網(wǎng)絡(luò)管理員,真的很頭痛,因此,我結(jié)合這幾年的網(wǎng)絡(luò)安全管理經(jīng)驗(yàn),總結(jié)出以下一些方法來提高我們服務(wù)器的安全性。
第一招:正確劃分文件系統(tǒng)格式,選擇穩(wěn)定的操作系統(tǒng)安裝盤
為了提高安全性,服務(wù)器的文件系統(tǒng)格式一定要?jiǎng)澐殖蒒TFS(新技術(shù)文件系統(tǒng))格式,它比FAT16、FAT32的安全性、空間利用率都大大的提高,我們可以通過它來配置文件的安全性,磁盤配額、EPS文件加密等。如果你已經(jīng)分成FAT32的格式了,可以用CONVERT 盤符 /FS:NTFS /V 來把FAT32轉(zhuǎn)換成NTFS格式。正確安裝windows 2003 server,在網(wǎng)安聯(lián)盟http://cqhk.14023.com/Soft/yyrj/bigsoft/200504/502.asp>有 windows 2003的企業(yè)可升級(jí)版,這個(gè)一個(gè)完全破解了的版本,可以直接網(wǎng)上升級(jí),我們安裝時(shí)盡量只安裝我們必須要用的組件,安裝完后打上最新的補(bǔ)丁,到網(wǎng)上升級(jí)到最新版本!保證操作系統(tǒng)本身無漏洞。
第二招:正確設(shè)置磁盤的安全性,具體如下(虛擬機(jī)的安全設(shè)置,我們以asp程序?yàn)槔?重點(diǎn):
1、系統(tǒng)盤權(quán)限設(shè)置
C:分區(qū)部分:
c:\
administrators 全部(該文件夾,子文件夾及文件)
CREATOR OWNER 全部(只有子文件來及文件)
system 全部(該文件夾,子文件夾及文件)
IIS_WPG 創(chuàng)建文件/寫入數(shù)據(jù)(只有該文件夾)
IIS_WPG(該文件夾,子文件夾及文件)
遍歷文件夾/運(yùn)行文件
列出文件夾/讀取數(shù)據(jù)
讀取屬性
創(chuàng)建文件夾/附加數(shù)據(jù)
讀取權(quán)限
c:\Documents and Settings
administrators 全部(該文件夾,子文件夾及文件)
Power Users (該文件夾,子文件夾及文件)
讀取和運(yùn)行
列出文件夾目錄
讀取
SYSTEM全部(該文件夾,子文件夾及文件)
C:\Program Files
administrators 全部(該文件夾,子文件夾及文件)
CREATOR OWNER全部(只有子文件來及文件)
IIS_WPG (該文件夾,子文件夾及文件)
讀取和運(yùn)行
列出文件夾目錄
讀取
Power Users(該文件夾,子文件夾及文件)
修改權(quán)限
SYSTEM全部(該文件夾,子文件夾及文件)
TERMINAL SERVER USER (該文件夾,子文件夾及文件)
修改權(quán)限
2、網(wǎng)站及虛擬機(jī)權(quán)限設(shè)置(比如網(wǎng)站在E盤)
說明:我們假設(shè)網(wǎng)站全部在E盤wwwsite目錄下,并且為每一個(gè)虛擬機(jī)創(chuàng)建了一個(gè)guest用戶,用戶名為vhost1...vhostn并且創(chuàng)建了一個(gè)webuser組,把所有的vhost用戶全部加入這個(gè)webuser組里面方便管理
E:\
Administrators全部(該文件夾,子文件夾及文件)
E:\wwwsite
Administrators全部(該文件夾,子文件夾及文件)
system全部(該文件夾,子文件夾及文件)
service全部(該文件夾,子文件夾及文件)
E:\wwwsite\vhost1
Administrators全部(該文件夾,子文件夾及文件)
system全部(該文件夾,子文件夾及文件)
vhost1全部(該文件夾,子文件夾及文件)
3、數(shù)據(jù)備份盤
數(shù)據(jù)備份盤最好只指定一個(gè)特定的用戶對(duì)它有完全操作的權(quán)限
比如F盤為數(shù)據(jù)備份盤,我們只指定一個(gè)管理員對(duì)它有完全操作的權(quán)限
4、其它地方的權(quán)限設(shè)置
請(qǐng)找到c盤的這些文件,把安全性設(shè)置只有特定的管理員有完全操作權(quán)限
下列這些文件只允許administrators訪問
net.exe
net1.exet
cmd.exe
tftp.exe
netstat.exe
regedit.exe
at.exe
attrib.exe
cacls.exe
format.com
5.刪除c:\inetpub目錄,刪除iis不必要的映射,建立陷阱帳號(hào),更改描述
第三招:禁用不必要的服務(wù),提高安全性和系統(tǒng)效率
Computer Browser 維護(hù)網(wǎng)絡(luò)上計(jì)算機(jī)的最新列表以及提供這個(gè)列表
Task scheduler 允許程序在指定時(shí)間運(yùn)行
Routing and Remote Access 在局域網(wǎng)以及廣域網(wǎng)環(huán)境中為企業(yè)提供路由服務(wù)
Removable storage 管理可移動(dòng)媒體、驅(qū)動(dòng)程序和庫
Remote Registry Service 允許遠(yuǎn)程注冊(cè)表操作
Print Spooler 將文件加載到內(nèi)存中以便以后打印。要用打印機(jī)的朋友不能禁用這項(xiàng)
IPSEC Policy Agent 管理IP安全策略以及啟動(dòng)ISAKMP/OakleyIKE)和IP安全驅(qū)動(dòng)程序
Distributed Link Tracking Client 當(dāng)文件在網(wǎng)絡(luò)域的NTFS卷中移動(dòng)時(shí)發(fā)送通知
Com+ Event System 提供事件的自動(dòng)發(fā)布到訂閱COM組件
Alerter 通知選定的用戶和計(jì)算機(jī)管理警報(bào)
Error Reporting Service 收集、存儲(chǔ)和向 Microsoft 報(bào)告異常應(yīng)用程序
Messenger 傳輸客戶端和服務(wù)器之間的 NET SEND 和 警報(bào)器服務(wù)消息
Telnet 允許遠(yuǎn)程用戶登錄到此計(jì)算機(jī)并運(yùn)行程序
第四招:修改注冊(cè)表,讓系統(tǒng)更強(qiáng)壯
1、隱藏重要文件/目錄可以修改注冊(cè)表實(shí)現(xiàn)完全隱藏:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”,鼠標(biāo)右擊 “CheckedValue”,選擇修改,把數(shù)值由1改為0
2、啟動(dòng)系統(tǒng)自帶的Internet連接_blank">防火墻,在設(shè)置服務(wù)選項(xiàng)中勾選Web服務(wù)器。
3、防止SYN洪水攻擊
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名為SynAttackProtect,值為2
EnablePMTUDiscovery REG_DWORD 0
NoNameReleaseOnDemand REG_DWORD 1
EnableDeadGWDetect REG_DWORD 0
KeepAliveTime REG_DWORD 300,000
PerformRouterDiscovery REG_DWORD 0
EnableICMPRedirects REG_DWORD 0
4. 禁止響應(yīng)ICMP路由通告報(bào)文
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface
新建DWORD值,名為PerformRouterDiscovery 值為0
5. 防止ICMP重定向報(bào)文的攻擊
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
將EnableICMPRedirects 值設(shè)為0
6. 不支持IGMP協(xié)議
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名為IGMPLevel 值為0
7.修改終端服務(wù)端口
運(yùn)行regedit,找到[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ Wds \ rdpwd \ Tds \ tcp],看到右邊的PortNumber了嗎?在十進(jìn)制狀態(tài)下改成你想要的端口號(hào)吧,比如7126之類的,只要不與其它沖突即可。
2、第二處HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp,方法同上,記得改的端口號(hào)和上面改的一樣就行了。
8、禁止IPC空連接:
cracker可以利用net use命令建立空連接,進(jìn)而入侵,還有net view,nBTstat這些都是基于空連接的,禁止空連接就好了。打開注冊(cè)表,找到Local_Machine\System\ CurrentControlSet\Control\LSA-RestrictAnonymous 把這個(gè)值改成”1”即可。
9、更改TTL值
cracker可以根據(jù)ping回的TTL值來大致判斷你的操作系統(tǒng),如:
TTL=107(WINNT);
TTL=108(win2000);
TTL=127或128(win9x);
TTL=240或241(linux);
TTL=252(solaris);
TTL=240(Irix);
實(shí)際上你可以自己更改的:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ Tcpip\Parameters:DefaultTTL REG_DWORD 0-0xff(0-255 十進(jìn)制,默認(rèn)值128)改成一個(gè)莫名其妙的數(shù)字如258,起碼讓那些小菜鳥暈上半天,就此放棄入侵你也不一定哦
10. 刪除默認(rèn)共享
有人問過我一開機(jī)就共享所有盤,改回來以后,重啟又變成了共享是怎么回事,這是2K為管理而設(shè)置的默認(rèn)共享,必須通過修改注冊(cè)表的方式取消它: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters: AutoShareServer類型是REG_DWORD把值改為0即可
11. 禁止建立空連接
默認(rèn)情況下,任何用戶通過通過空連接連上服務(wù)器,進(jìn)而枚舉出帳號(hào),猜測(cè)密碼。我們可以通過修改注冊(cè)表來禁止建立空連接:
Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成”1”即可。
第四招:修改注冊(cè)表,讓系統(tǒng)更強(qiáng)壯
1、隱藏重要文件/目錄可以修改注冊(cè)表實(shí)現(xiàn)完全隱藏:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”,鼠標(biāo)右擊 “CheckedValue”,選擇修改,把數(shù)值由1改為0
2、啟動(dòng)系統(tǒng)自帶的Internet連接_blank">防火墻,在設(shè)置服務(wù)選項(xiàng)中勾選Web服務(wù)器。
3、防止SYN洪水攻擊
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名為SynAttackProtect,值為2
EnablePMTUDiscovery REG_DWORD 0
NoNameReleaseOnDemand REG_DWORD 1
EnableDeadGWDetect REG_DWORD 0
KeepAliveTime REG_DWORD 300,000
PerformRouterDiscovery REG_DWORD 0
EnableICMPRedirects REG_DWORD 0
4. 禁止響應(yīng)ICMP路由通告報(bào)文
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface
新建DWORD值,名為PerformRouterDiscovery 值為0
5. 防止ICMP重定向報(bào)文的攻擊
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
將EnableICMPRedirects 值設(shè)為0
6. 不支持IGMP協(xié)議
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名為IGMPLevel 值為0
7.修改終端服務(wù)端口
運(yùn)行regedit,找到[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ Wds \ rdpwd \ Tds \ tcp],看到右邊的PortNumber了嗎?在十進(jìn)制狀態(tài)下改成你想要的端口號(hào)吧,比如7126之類的,只要不與其它沖突即可。
2、第二處HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp,方法同上,記得改的端口號(hào)和上面改的一樣就行了。
8、禁止IPC空連接:
cracker可以利用net use命令建立空連接,進(jìn)而入侵,還有net view,nBTstat這些都是基于空連接的,禁止空連接就好了。打開注冊(cè)表,找到Local_Machine\System\ CurrentControlSet\Control\LSA-RestrictAnonymous 把這個(gè)值改成”1”即可。
9、更改TTL值
cracker可以根據(jù)ping回的TTL值來大致判斷你的操作系統(tǒng),如:
TTL=107(WINNT);
TTL=108(win2000);
TTL=127或128(win9x);
TTL=240或241(linux);
TTL=252(solaris);
TTL=240(Irix);
實(shí)際上你可以自己更改的:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ Tcpip\Parameters:DefaultTTL REG_DWORD 0-0xff(0-255 十進(jìn)制,默認(rèn)值128)改成一個(gè)莫名其妙的數(shù)字如258,起碼讓那些小菜鳥暈上半天,就此放棄入侵你也不一定哦
10. 刪除默認(rèn)共享
有人問過我一開機(jī)就共享所有盤,改回來以后,重啟又變成了共享是怎么回事,這是2K為管理而設(shè)置的默認(rèn)共享,必須通過修改注冊(cè)表的方式取消它: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters: AutoShareServer類型是REG_DWORD把值改為0即可
11. 禁止建立空連接
默認(rèn)情況下,任何用戶通過通過空連接連上服務(wù)器,進(jìn)而枚舉出帳號(hào),猜測(cè)密碼。我們可以通過修改注冊(cè)表來禁止建立空連接:
Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成”1”即可。
Windows教程Rss訂閱服務(wù)器教程搜索
Windows教程推薦
- 個(gè)人服務(wù)器架設(shè)全攻略(67)
- 個(gè)人服務(wù)器架設(shè)全攻略(23)
- 利用NT建立Web站簡(jiǎn)歷點(diǎn)123(3)
- 個(gè)人服務(wù)器架設(shè)全攻略(72)
- 使用 Translator 模式構(gòu)建更好的網(wǎng)站(4)
- “終端服務(wù)器超出了最大允許連接數(shù)”的解決方法匯總
- Windows服務(wù)器安全策略:IP安全策略設(shè)置方法
- Win2K服務(wù)器端安全設(shè)置教程(2)
- 在不損壞系統(tǒng)源文件的情況下把FAT32轉(zhuǎn)換成NTFS
- 個(gè)人服務(wù)器架設(shè)全攻略(95)
猜你也喜歡看這些
- ASP.NET虛擬主機(jī)安全漏洞解決方案
- linux 下設(shè)置apache開啟htaccess啟用步驟
- 偽靜態(tài)在iis下的規(guī)則和設(shè)置方法
- 如何架設(shè)基于windows XP的Web服務(wù)器
- WEB專用服務(wù)器的安全設(shè)置技巧
- Win2003 Server手動(dòng)設(shè)置全攻略
- 避免惡意攻擊行為 網(wǎng)絡(luò)服務(wù)器安全維護(hù)技巧
- windows中PHP5.2.14以及apache2.2.16安裝配置方法
- Windows服務(wù)器限制訪問人數(shù)、訪問流量和限制IP的設(shè)置
- 扼殺IIS服務(wù)器性能的十條規(guī)則
- 相關(guān)鏈接:
- 教程說明:
Windows教程-Win2003 安全配置技巧。