Windows 2003 Server安全配置完全篇（3）-交流共享-唐山网站建设

Windows 2003 Server安全配置完全篇（3）

核心提示：C盘只给administrators和system权限，其他的权限不给，其他的盘也能够这样设置，这里给的system权限也不1定需要给，只是由于某些第3方利用程序是以服务情势启动的，需要加上这个用户，否则造成启动不了。

4、磁盘权限设置

C盘只给administrators和system权限，其他的权限不给，其他的盘也能够这样设置，这里给的system权限也不1定需要给，只是由于某些第3方利用程序是以服务情势启动的，需要加上这个用户，否则造成启动不了。

Windows目录要加上给users的默许权限，否则ASP和ASPX等利用程序就没法运行。之前有朋友单独设置Instsrv和temp等目录权限，实在没有这个必要的。

另外在c:/Documents and Settings/这里相当重要，后面的目录里的权限根本不会继续从前的设置，假设仅仅只是设置了C盘给administrators权限，而在All Users/Application Data目录下会出现everyone用户有完全控制权限，这样进侵这可以跳转到这个目录，写进脚本或只文件，再结合其他漏洞来提升权限；比方利用serv-u的本地溢出提升权限，或系统遗漏有补钉，数据库的弱点，乃至社会工程学等等N多方法，从前不是有牛人发飑说："只要给我1个webshell，我便可以拿到system"，这也的确是有可能的。在用做web/ftp服务器的系统里，建议是将这些目录都设置的锁死。其他每个盘的目录都依照这样设置，每个盘都只给adinistrators权限。

另外，还将：

net.exe NET命令

cmd.exe

tftp.exe

netstat.exe

regedit.exe

at.exe

attrib.exe

cacls.exe ACL用户组权限设置，此命令可以在NTFS下设置任何文件夹的任何权限！

format.exe

大家都知道ASP木马吧，有个CMD运行这个的，这些假设都可以在CMD下运行..55，，估计别的没啥，format下估计就哭料~~~（：这些文件都设置只答应administrator访问。

5、防火墙、杀毒软件的安装

关于这个东西的安装实在我也说不来，反正安装甚么的都有，建议使用卡巴，卖咖啡。用系统自带的防火墙，这个我不专业，不说了！大家凑合！

6、SQL2000 SERV-U FTP安全设置

SQL安全方面

1、System Administrators 角色最好不要超过两个

2、假设是在本机最好将身份验证配置为Win登陆

3、不要使用Sa账户，为其配置1个超级复杂的密码

4、删除以下的扩大存储进程格式为：

use master

sp_dropextendedproc '扩大存储进程名'

xp_cmdshell：是进进操纵系统的最好捷径，删除

访问注册表的存储进程，删除

Xp_regaddmultistringXp_regdeletekeyXp_regdeletevalueXp_regenumvalues

Xp_regread Xp_regwrite Xp_regremovemultistring

OLE自动存储进程，不需要，删除

Sp_OACreate Sp_OADestroySp_OAGetErrorInfoSp_OAGetProperty

Sp_OAMethodSp_OASetPropertySp_OAStop

5、隐躲 SQL Server、更改默许的1433端口。

右击实例选属性-常规-网络配置当选择TCP/IP协议的属性，选择隐躲 SQL Server 实例，并改原默许的1433端口。

serv-u的几点常规安全需要设置下：

选中"Block "FTP_bounce"attack and FXP"。甚么是FXP呢？通常，当使用FTP协议进行文件传输时，客户端首先向FTP服务器发出1个"PORT"命令，该命令中包括此用户的IP地址和将被用来进行数据传输的端口号，服务器收到后，利用命令所提供的用户地址信息建立与用户的连接。大多数情况下，上述进程不会出现任何题目，但当客户端是1名恶意用户时，可能会通过在PORT命令中加进特定的地址信息，使FTP服务器与其它非客户真个机器建立连接。固然这名恶意用户可能本身无权直接访问某1特定机器，但是假设FTP服务器有权访问该机器的话，那末恶意用户便可以够通过FTP服务器作为中介，依然能够终极实现与目标服务器的连接。这就是FXP，也称跨服务器攻击。选中后便可以够避免产生此种情况。

7、IIS安全设置

IIS的安全：

1、不使用默许的Web站点，假设使用也要将IIS目录与系统磁盘分开。

2、删除IIS默许创建的Inetpub目录（在安装系统的盘上）。

3、删除系统盘下的虚拟目录，如：_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。

4、删除没必要要的IIS扩大名映照。

右键单击“默许Web站点→属性→主目录→配置”，打开利用程序窗口，往掉没必要要的利用程序映照。主要为.shtml、.shtm、 .stm。

5、更改IIS日志的路径

右键单击“默许Web站点→属性-网站-在启用日志记录下点击属性

6、假设使用的是2000可使用iislockdown来保护IIS，在2003运行的IE6.0的版本不需要。

8、其它

1、系统升级、打操纵系统补钉，特别是IIS 6.0补钉、SQL SP3a补钉，乃至IE 6.0补钉也要打。同时及时跟踪最新漏洞补钉；