windows 2003 服务器安全攻略-交流共享-唐山网站建设

windows 2003 服务器安全攻略

核心提示：安装IIS，仅安装必要的 IIS 组件(禁用不需要的如FTP 和 SMTP 服务)。默许情况下，IIS服务没有安装，在添加/删除Win组件当选择“利用程序服务器”，然后点击“具体信息”，双击Internet信息服务(iis)，勾选以下选项...

1、Windows Server2003的安装

1、安装系统最少两需要个分区，分区格式都采取NTFS格式

2、在断开网络的情况安装好2003系统

3、安装IIS，仅安装必要的 IIS 组件(禁用不需要的如FTP 和 SMTP 服务)。默许情况下，IIS服务没有安装，在添加/删除Win组件当选择“利用程序服务器”，然后点击“具体信息”，双击Internet信息服务(iis)，勾选以下选项：

Internet 信息服务治理器;

公用文件;

后台智能传输服务 (BITS) 服务器扩大;

万维网服务。

假设你使用 FrontPage 扩大的 Web 站点再勾选：FrontPage 2002 Server Extensions

4、安装MSSQL及其它所需要的软件然落后行Update。

5、使用Microsoft 提供的 MBSA(Microsoft Baseline Security Analyzer) 工具分析计算机的安全配置，并标识缺少的修补程序和更新。下载地址：见页末的链接

2、设置和治理账户

1、系统账户最好少建，更改默许的帐户名(Administrator)和描写，密码最好采取数字加大小写字母加数字的上档键组合，长度最好很多于14位。

2、新建1个名为Administrator的圈套帐号，为其设置最小的权限，然后随便输进组合的最好不低于20位的密码

3、将Guest账户禁用并更改名称和描写，然后输进1个复杂的密码，固然现在也有1个DelGuest的工具，或许你也能够利用它来删除Guest账户，但我没有试过。

4、在运行中输进gpedit.msc回车，打开组策略编辑器，选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略，将账户设为“3次登陆无效”，“锁定时渖栉?0分钟”，“复位锁定计数设为30分钟”。

5、在安全设置-本地策略-安全选项中将“不显示上次的用户名”设为启用

6、在安全设置-本地策略-用户权利分配中将“从网络访问此计算机”中只保存Internet来宾账户、启动IIS进程账户。假设你使用了Asp.net还要保存Aspnet账户。

7、创建1个User账户，运行系统，假设要运行特权命令使用Runas命令。

3、网络服务安全治理

1、制止C$、D$、ADMIN$1类的缺省共享

打开注册表，HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters，在右侧的窗口中新建Dword值，名称设为AutoShareServer值设为0

1 2 3 4 5 下1页

2、消除NetBios与TCP/IP协议的绑定

右击网上邻居-属性-右击本地连接-属性-双击Internet协议-高级-Wins-禁用TCP/IP上的NETBIOS

3、封闭不需要的服务，以下为建议选项

Computer Browser:保护网络计算机更新，禁用

Distributed File System: 局域网治理共享文件，不需要禁用

Distributed linktracking client：用于局域网更新连接信息，不需要禁用

Error reporting service：制止发送毛病报告

Microsoft Serch：提供快速的单词搜索，不需要可禁用

NTLMSecuritysupportprovide：telnet服务和Microsoft Serch用的，不需要禁用

PrintSpooler：假设没有打印机可禁用

Remote Registry：制止远程修改注册表

Remote Desktop Help Session Manager：制止远程协助

4、打开相应的审核策略

在运行中输进gpedit.msc回车，打开组策略编辑器，选择计算机配置-Windows设置-安全设置-审核策略在创建审核项目时需要留意的是假设审核的项目太多，天生的事件也就越多，那末要想发现严重的事件也越难固然假设审核的太少也会影响你发现严重的事件，你需要根据情况在这2者之间做出选择。

推荐的要审核的项目是：

登录事件成功失败

账户登录事件成功失败

系统事件成功失败

策略更改成功失败

对象访问失败目录服务访问失败

特权使用失败

5、其它安全相干设置

1、隐躲重要文件/目录

可以修改注册表实现完全隐躲：“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrent-VersionExplorerAdvancedFolderHi-ddenSHOWALL”，鼠标右击“CheckedValue”，选择修改，把数值由1改成0

2、启动系统自带的Internet连接防火墙，在设置服务选项中勾选Web服务器。

3、避免SYN洪水攻击

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters

新建DWORD值，名为SynAttackProtect，值为2

4. 制止响应ICMP路由通告报文

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInte***cesinte***ce

上1页 1 2 3 4 5 下1页

新建DWORD值，名为PerformRouterDiscovery 值为0

5. 避免ICMP重定向报文的攻击

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters

将EnableICMPRedirects 值设为0

6. 不支持IGMP协议

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters

新建DWORD值，名为IGMPLevel 值为0

7、禁用DCOM：

运行中输进 Dcomcnfg.exe。回车，单击“控制台根节点”下的“组件服务”。打开“计算机”子文件夹。

对本地计算机，请以右键单击“我的电脑”，然后选择“属性”。选择“默许属性”选项卡。

清除“在这台计算机上启用散布式 COM”复选框。

注：3⑹项内容我采取的是Server2000设置，没有测试过对2003是否是起作用。但有1点可以肯定我用了1段的时间没有发现其它副面的影响。

6、配置 IIS 服务：

1、不使用默许的Web站点，假设使用也要将将IIS目录与系统磁盘分开。

2、删除IIS默许创建的Inetpub目录(在安装系统的盘上)。

3、删除系统盘下的虚拟目录，如：_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。

4、删除没必要要的IIS扩大名映照。

右键单击“默许Web站点→属性→主目录→配置”，打开利用程序窗口，往掉没必要要的利用程序映照。主要为.shtml, .shtm, .stm

5、更改IIS日志的路径

右键单击“默许Web站点→属性-网站-在启用日志记录下点击属性

6、假设使用的是2000可使用iislockdown来保护IIS，在2003运行的IE6.0的版本不需要。

7、使用UrlScan

UrlScan是1个ISAPI挑选器，它对传进的HTTP数据包进行分析并可以拒尽任何可疑的通讯量。目前最新的版本是2.5，假设是2000Server需要先安装1.0或2.0的版本。下载地址见页未的链接

假设没有特殊的要求采取UrlScan默许配置便可以够了。

但假设你在服务器运行ASP.NET程序，并要进行调试你需打开要%WINDIR%System32InetsrvURLscan

文件夹中的URLScan.ini 文件，然后在UserAllowVerbs节添加debug谓词，留意此节是辨别大小写的。

假设你的网页是.asp网页你需要在DenyExtensions删除.asp相干的内容。

上1页 1 2 3 4 5 下1页

假设你的网页使用了非ASCII代码，你需要在Option节中将AllowHighBitCharacters的值设为1

在对URLScan.ini 文件做了更改后，你需要重启IIS服务才能生效，快速方法运行中输进iisreset

假设你在配置后出现甚么题目，你可以通过添加/删除程序删除UrlScan。

8、利用WIS (Web Injection Scanner)工具对全部网站进行SQL Injection 脆弱性扫描.

下载地址：VB.NET爱好者

7、配置Sql服务器

1、System Administrators 角色最好不要超过两个

2、假设是在本机最好将身份验证配置为Win登陆

3、不要使用Sa账户，为其配置1个超级复杂的密码

4、删除以下的扩大存储进程格式为：use master

sp_dropextendedproc '扩大存储进程名'

xp_cmdshell：是进进*作系统的最好捷径，删除

访问注册表的存储进程，删除

Xp_regaddmultistring　　Xp_regdeletekey　　Xp_regdeletevalue　　Xp_regenumvalues

Xp_regread　　　　　 Xp_regwrite　　　 Xp_regremovemultistring

OLE自动存储进程，不需要删除

Sp_OACreate　　Sp_OADestroy　　　　Sp_OAGetErrorInfo　　Sp_OAGetProperty

Sp_OAMethod　　Sp_OASetProperty　　Sp_OAStop

5、隐躲 SQL Server、更改默许的1433端口

右击实例选属性-常规-网络配置当选择TCP/IP协议的属性，选择隐躲 SQL Server 实例，并改原默许的1433端口。

8、假设只做服务器，不进行其它*作，使用IPSec

1、治理工具—本地安全策略—右击IP安全策略—治理IP挑选器表和挑选器*作—在治理IP挑选器表选项下点击

添加—名称设为Web挑选器—点击添加—在描写中输进Web服务器—将源地址设为任何IP地址——将目标地址设为我的IP地址——协议类型设为Tcp——IP协议端口第1项设为从任意端口，第2项到此端口80——点击完成——点击肯定。

2、再在治理IP挑选器表选项下点击

添加—名称设为所有进站挑选器—点击添加—在描写中输进所有进站挑选—将源地址设为任何IP地址——将目标地址设为我的IP地址——协议类型设为任意——点击下1步——完成——点击肯定。

上1页 1 2 3 4 5 下1页

3、在治理挑选器*作选项下点击添加——下1步——名称中输进禁止——下1步——选择禁止——下1步——完成——封闭治理IP挑选器表和挑选器*作窗口

4、右击IP安全策略——创建IP安全策略——下1步——名称输进数据包挑选器——下1步——取消默许激活响应原则——下1步——完成

5、在打开的新IP安全策略属性窗口选择添加——下1步——不指定隧道——下1步——所有网络连接——下1步——在IP挑选器列表当选择新建的Web挑选器——下1步——在挑选器*作当选择许可——下1步——完成——在IP挑选器列表当选择新建的禁止挑选器——下1步——在挑选器*作当选择禁止——下1步——完成——肯定

6、在IP安全策略的右侧窗口中右击新建的数据包挑选器，点击指派，不需要重启，IPSec便可生效.

9、建议

假设你按本文往*作，建议每做1项更改就测试1下服务器，假设有题目可以马上撤消更改。而假设更改的项数多，才发现出题目，那就很难判定题目是出在哪1步上了。

10、运行服务器记录当前的程序和开放的端口

1、将当前服务器的进程抓图或记录下来，将其保存，方便以后对照查看是否是有不明的程序。

2、将当前开放的端口抓图或记录下来，保存，方便以后对照查看是否是开放了不明的端口。固然假设你能分辨每1个进程，和端口这1步可以省略.

上1页 1 2 3 4 5 唐山网站建设www.fw8.net

TAG:程序,服务器,组件,账户,选项

评论加载中...