Windows2003服務器安全講座記錄（轉）

　　第一.在安裝系統的時候首先需要把磁盤分區全部統一用NTFS格式

　　系統安裝好以后,首先更新系統所有補丁,其次是打好ARP補丁,因為ARP漏洞在微軟站上不能下載,黑客可通過此漏洞進行大批量的掛馬

　　第二,修改硬盤權限.

　　NTFS系統權限設置 在使用之前將每個硬盤根加上 Administrators 用戶為全部權限(可選加入SYSTEM用戶)刪除其它用戶，

　　進入系統盤:權限如下

　　C:\WINDOWS Administrators SYSTEM用戶全部權限 Users 用戶默認權限不作修改

　　其它目錄刪除Everyone用戶，切記C:\Documents and Settings下All Users\Default User目錄及其子目錄

　　如C:\Documents and Settings\All Users\Application Data 目錄默認配置保留了Everyone用戶權限

　　C:\WINDOWS 目錄下面的權限也得注意,如 C:\WINDOWS\PCHealth、C:\windows\Installer也是保留了Everyone權限.

　　刪除C:\WINDOWS\Web\printers目錄，此目錄的存在會造成IIS里加入一個.printers的擴展名，可溢出攻擊

　　默認IIS錯誤頁面已基本上沒多少人使用了。建議刪除C:\WINDOWS\Help\iisHelp目錄

　　刪除C:\WINDOWS\system32\inetsrv\iisadmpwd，此目錄為管理IIS密碼之用，如一些因密碼不同步造成500

　　錯誤的時候使用 OWA 或 Iisadmpwd 修改同步密碼，但在這里可以刪掉，下面講到的設置將會杜絕因系統

　　設置造成的密碼不同步問題。

　　打開C:\Windows 搜索

　　net.exe;cmd.exe;tftp.exe;netstat.exe;regedit.exe;at.exe;attrib.exe;cacls.exe;format.com;

　　regsvr32.exe;xcopy.exe;wscript.exe;cscript.exe;ftp.exe;telnet.exe;arp.exe;edlin.exe;

　　ping.exe;route.exe;finger.exe;posix.exe;rsh.exe;atsvc.exe;qbasic.exe;runonce.exe;syskey.exe

　　修改權限，刪除所有的用戶只保存Administrators 和SYSTEM為所有權限

　　這些大家只要知道步驟 具體的操作我在結束后給大家相應的文檔和路徑去按照步驟來設置

　　這些權限設置好以后 然后打開本地安全策略

　　設置審核權限 更改GUSET帳戶名字 并設置個很復雜的密碼

　　本地安全策略配置

　　開始 > 程序 > 管理工具 > 本地安全策略

　　賬戶策略 > 密碼策略 > 密碼最短使用期限 改成0天[即密碼不過期，上面我講到不會造成IIS密碼不同步]

　　賬戶策略 > 賬戶鎖定策略 > 賬戶鎖定閾值 5 次 賬戶鎖定時間 10分鐘 [個人推薦配置]

　　本地策略 > 審核策略 >

　　賬戶管理 成功 失敗

　　登錄事件 成功 失敗

　　對象訪問 失敗

　　策略更改 成功 失敗

　　特權使用 失敗

　　系統事件 成功 失敗

　　目錄服務訪問 失敗

　　賬戶登錄事件 成功 失敗

　　地策略 > 安全選項 > 清除虛擬內存頁面文件 更改為"已啟用"

　　> 不顯示上次的用戶名 更改為"已啟用"

　　> 不需要按CTRL+ALT+DEL 更改為"已啟用"

　　> 不允許 SAM 賬戶的匿名枚舉 更改為"已啟用"

　　> 不允許 SAM 賬戶和共享的匿名枚舉 更改為"已啟用"

　　> 重命名來賓賬戶 更改成一個復雜的賬戶名

　　> 重命名系統管理員賬號 更改一個自己用的賬號

　　這些都是在本地安全里設置的

　　第三 ,關閉不需要的服務

　　IPSEC Services

　　Print Spooler

　　TCP/IP NetBIOS Helper

　　這3個需要停止其服務

　　第四打開注冊表 修改遠程端口 關閉默認共享等

　　關閉445端口

　　HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\netBT\Parameters

　　新建 “DWORD值”值名為 “SMBDeviceEnabled” 數據為默認值“0”

　　禁止建立空連接

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

　　新建 “DWORD值”值名為 “RestrictAnonymous” 數據值為“1” [2003默認為1]

　　禁止系統自動啟動服務器共享

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

　　新建 “DWORD值”值名為 “AutoShareServer” 數據值為“0”

　　禁止系統自動啟動管理共享

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

　　新建 “DWORD值”值名為 “AutoShareWks” 數據值為“0”

　　通過修改注冊表防止小規模DDOS攻擊

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

　　新建 “DWORD值”值名為 “SynAttackProtect” 數據值為“1”

　　修改端口沒列舉出來 這個可以去搜索一下

　　然后卸載不安全的組件

　　主要是黑客用于提權的組件

　　這個只需要保存一個BAT文件放在啟動里面即可

　　內容為 :

　　regsvr32/u C:\WINDOWS\System32\wshom.ocx

　　del C:\WINDOWS\System32\wshom.ocx

　　regsvr32/u C:\WINDOWS\system32\shell32.dll

　　del C:\WINDOWS\system32\shell32.dll

　　然后在網卡那里只開放自己所需要的端口

　　這樣服務器基本安全已經設置好

　　然后安裝好殺毒軟件

　　推薦用MACFFE 或

　　NOD32

　　MACFFE的殺毒能力不強 但防御強 NOD32殺毒強

　　并設置好自動更新

　　然后我們在來看IIS和網站的權限

　　因為很多黑客喜歡用網站漏洞進入提權

　　那么IIS安全也很重要

　　首先 更改IIS來賓帳號的名字

　　其次 為他設置個復雜的密碼

　　第三 在放程序的磁盤里 把目錄建立兩層

　　這樣每個站的程序獨立分開的

　　那么剛才我們設置了卸載權限 他就無法提到ADMINISTRATR權限了

　　這樣即使一個站有漏洞 也不能影響到其他的站

　　然后我們安裝好SQL以后在用戶里面會出現個SQLDUBEG這個用戶 把他刪除

　　最后打開防火墻,注意開放自己所需要的端口 即可,如果你服務器不只放網站 那記得開放所需要的端口

　　ARP補丁和ARP檢測軟件 殺毒軟件 等一些服務器常用軟件可到站上下載

　　這是系統補丁:http://www.pc5i.com/soft/sort02/down-1.html