Windows 2003安全設(shè)置大全

[重要通告]如您遇疑難雜癥,本站支持知識(shí)付費(fèi)業(yè)務(wù),掃右邊二維碼加博主微信,可節(jié)省您寶貴時(shí)間哦!

至今為止找到的比較全的2003安全設(shè)置文章，今天花了一個(gè)小時(shí)精心整理了一下格式。

一、硬盤分區(qū)與操作系統(tǒng)的安裝

1. 硬盤分區(qū)
   總的來(lái)講在硬盤分區(qū)上面沒什么值得深入剖析的地方，無(wú)非就是一個(gè)在分區(qū)前做好規(guī)劃知道要去放些什么東西， 如果實(shí)在不知道。那就只一個(gè)硬盤只分一個(gè)區(qū)，分區(qū)要一次性完成，不要先分成FAT32再轉(zhuǎn)成NTFS。一次性分成 NTFS格式，以我個(gè)人習(xí)慣，系統(tǒng)盤一般給12G。建議使用光盤啟動(dòng)完成分區(qū)過(guò)程，不要加載硬盤軟件。

2. 系統(tǒng)安裝
   以下內(nèi)容均以2003為例
   安裝過(guò)程也沒什么多講的，安裝系統(tǒng)是一個(gè)以個(gè)人性格為參數(shù)的活動(dòng)，我建議在安裝路徑上保持默認(rèn)路徑，好多文章上寫什么安裝路徑要改成什么呀什么的，這是沒必要的。路徑保存在注冊(cè)表里，怎么改都沒用。在安裝過(guò)程中就要選定你需要的服務(wù)，如一些DNS、DHCP沒特別需要也就不要裝了。在安裝過(guò)程中網(wǎng)卡屬性中可以只保留TCP/IP 這一項(xiàng)，同時(shí)禁用NETBOIS。安裝完成后如果帶寬條件允許可用系統(tǒng)自帶在線升級(jí)。

二、系統(tǒng)權(quán)限與安全配置

前面講的都是屁話，潤(rùn)潤(rùn)筆而已。（俺也文人一次）
話鋒一轉(zhuǎn)就到了系統(tǒng)權(quán)限設(shè)置與安全配置的實(shí)際操作階段
系統(tǒng)設(shè)置網(wǎng)上有一句話是"最小的權(quán)限+最少的服務(wù)=最大的安全"。此句基本上是個(gè)人都看過(guò)，但我好像沒有看到過(guò)一篇講的比較詳細(xì)稍具全面的文章，下面就以我個(gè)人經(jīng)驗(yàn)作一次教學(xué)嘗試！

2.1 最小的權(quán)限如何實(shí)現(xiàn)？

NTFS系統(tǒng)權(quán)限設(shè)置
在使用之前將每個(gè)硬盤根加上 Administrators 用戶為全部權(quán)限(可選加入SYSTEM用戶)
刪除其它用戶，進(jìn)入系統(tǒng)盤:權(quán)限如下

• C:\WINDOWS Administrators SYSTEM用戶全部權(quán)限 Users 用戶默認(rèn)權(quán)限不作修改
• 其它目錄刪除Everyone用戶，切記C:\Documents and Settings下All Users\Default User目錄及其子目錄
  如C:\Documents and Settings\All Users\Application Data 目錄默認(rèn)配置保留了Everyone用戶權(quán)限
  C:\WINDOWS 目錄下面的權(quán)限也得注意,如 C:\WINDOWS\PCHealth、C:\windows\Installer也是保留了Everyone權(quán)限.
• 刪除C:\WINDOWS\Web\printers目錄，此目錄的存在會(huì)造成IIS里加入一個(gè).printers的擴(kuò)展名，可溢出攻擊
• 默認(rèn)IIS錯(cuò)誤頁(yè)面已基本上沒多少人使用了。建議刪除C:\WINDOWS\Help\iisHelp目錄
• 刪除C:\WINDOWS\system32\inetsrv\iisadmpwd，此目錄為管理IIS密碼之用，如一些因密碼不同步造成500 錯(cuò)誤的時(shí)候使用 OWA 或 Iisadmpwd 修改同步密碼，但在這里可以刪掉，下面講到的設(shè)置將會(huì)杜絕因系統(tǒng)設(shè)置造成的密碼不同步問題。
• 打開C:\Windows 搜索
  

  net.exe;cmd.exe;tftp.exe;netstat.exe;regedit.exe;at.exe;attrib.exe;cacls.exe;format.com;
  regsvr32.exe;xcopy.exe;wscript.exe;cscript.exe;ftp.exe;telnet.exe;arp.exe;edlin.exe;
  ping.exe;route.exe;finger.exe;posix.exe;rsh.exe;atsvc.exe;qbasic.exe;runonce.exe;syskey.exe

  修改權(quán)限，刪除所有的用戶只保存Administrators 和SYSTEM為所有權(quán)限

關(guān)閉445端口

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\netBT\Parameters
新建 "DWORD值"值名為 "SMBDeviceEnabled" 數(shù)據(jù)為默認(rèn)值"0"

禁止建立空連接

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
新建 "DWORD值"值名為 "RestrictAnonymous" 數(shù)據(jù)值為"1" [2003默認(rèn)為1]

禁止系統(tǒng)自動(dòng)啟動(dòng)服務(wù)器共享

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
新建 "DWORD值"值名為 "AutoShareServer" 數(shù)據(jù)值為"0"

禁止系統(tǒng)自動(dòng)啟動(dòng)管理共享

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
新建 "DWORD值"值名為 "AutoShareWks" 數(shù)據(jù)值為"0"

通過(guò)修改注冊(cè)表防止小規(guī)模DDOS攻擊

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建 "DWORD值"值名為 "SynAttackProtect" 數(shù)據(jù)值為"1"

禁止dump file的產(chǎn)生
dump文件在系統(tǒng)崩潰和藍(lán)屏的時(shí)候是一份很有用的查找問題的資料。然而，它也能夠給黑客提供一些敏感信息比如一些應(yīng)用程序的密碼等?？刂泼姘?gt;系統(tǒng)屬性>高級(jí)>啟動(dòng)和故障恢復(fù)把 寫入調(diào)試信息 改成無(wú)。

關(guān)閉華醫(yī)生Dr.Watson
在開始-運(yùn)行中輸入"drwtsn32"，或者開始-程序-附件-系統(tǒng)工具-系統(tǒng)信息-工具-Dr Watson，調(diào)出系統(tǒng)里的華醫(yī)生Dr.Watson ，只保留"轉(zhuǎn)儲(chǔ)全部線程上下文"選項(xiàng)，否則一旦程序出錯(cuò)，硬盤會(huì)讀很久，并占用大量空間。如果以前有此情況，請(qǐng)查找user.dmp文件，刪除后可節(jié)省幾十MB空間。

本地安全策略配置
開始 > 程序 > 管理工具 > 本地安全策略

• 賬戶策略 > 密碼策略 > 密碼最短使用期限 改成0天[即密碼不過(guò)期，上面我講到不會(huì)造成IIS密碼不同步]
• 賬戶策略 > 賬戶鎖定策略 >賬戶鎖定閾值 5 次 賬戶鎖定時(shí)間 10分鐘 [個(gè)人推薦配置]
• 本地策略 > 審核策略 >
• 賬戶管理 成功 失敗
• 登錄事件 成功 失敗
• 對(duì)象訪問 失敗
• 策略更改 成功 失敗
• 特權(quán)使用 失敗
• 系統(tǒng)事件 成功 失敗
• 目錄服務(wù)訪問 失敗
• 賬戶登錄事件 成功 失敗
• 本地策略 > 安全選項(xiàng) > 清除虛擬內(nèi)存頁(yè)面文件 更改為"已啟用"
• • > 不顯示上次的用戶名 更改為"已啟用"
  • > 不需要按CTRL+ALT+DEL 更改為"已啟用"
  • > 不允許 SAM 賬戶的匿名枚舉 更改為"已啟用"
  • > 不允許 SAM 賬戶和共享的匿名枚舉 更改為"已啟用"
  • > 重命名來(lái)賓賬戶 更改成一個(gè)復(fù)雜的賬戶名
  • > 重命名系統(tǒng)管理員賬號(hào) 更改一個(gè)自己用的賬號(hào) [同時(shí)可建立一個(gè)無(wú)用戶組的Administrat賬戶]

組策略編輯器
運(yùn)行 gpedit.msc 計(jì)算機(jī)配置 > 管理模板 > 系統(tǒng) 顯示"關(guān)閉事件跟蹤程序" 更改為已禁用

刪除不安全組件
WScript.Shell 、Shell.application 這兩個(gè)組件一般一些ASP木馬或一些惡意程序都會(huì)使用到。

1. 方案一：
   

   regsvr32 /u wshom.ocx 卸載WScript.Shell 組件
   regsvr32 /u shell32.dll 卸載Shell.application 組件

   如果按照上面講到的設(shè)置，可不必刪除這兩個(gè)文件

2. 方案二：
   

   刪除注冊(cè)表 HKEY_CLASSES_ROOT\CLSID\{72C24DD5-D70A-438B-8A42-98424B88AFB8} 對(duì)應(yīng) WScript.Shell
   刪除注冊(cè)表 HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540000} 對(duì)應(yīng) Shell.application

用戶管理
建立另一個(gè)備用管理員賬號(hào)，防止特殊情況發(fā)生。
安裝有終端服務(wù)與SQL服務(wù)的服務(wù)器停用TsInternetUser, SQLDebugger這兩個(gè)賬號(hào)

用戶組說(shuō)明
在將來(lái)要使用到的IIS中，IIS用戶一般使用Guests組，也可以再重新建立一個(gè)獨(dú)立的專供IIS使用的組，但要將這個(gè)組賦予C:\Windows 目錄為讀取權(quán)限[單一讀取] 個(gè)人不建議使用單獨(dú)目錄，太小家子氣。

二、系統(tǒng)權(quán)限與安全配置

2.2最少的服務(wù)如果實(shí)現(xiàn)

黑色為自動(dòng) 綠色為手動(dòng) 紅色為禁用

• Alerter
• Application Experience Lookup Service
• Application Layer Gateway Service
• Application Management
• Automatic Updates [Windows自動(dòng)更新,可選項(xiàng)]
• Background Intelligent Transfer Service
• ClipBook
• COM+ Event System
• COM+ System Application
• Computer Browser
• Cryptographic Services
• DCOM Server Process Launcher
• DHCP Client
• Distributed File System
• Distributed Link Tracking Client
• Distributed Link Tracking Server
• Distributed Transaction Coordinator
• DNS Client
• Error Reporting Service
• Event Log
• File Replication
• Help and Support
• HTTP SSL
• Human Interface Device Access
• IIS Admin Service
• IMAPI CD-Burning COM Service
• Indexing Service
• Intersite Messaging
• IPSEC Services [如果使用了IP安全策略則自動(dòng)，如無(wú)則禁用，可選操作]
• Kerberos Key Distribution Center
• License Logging
• Logical Disk Manager [可選，多硬盤建議自動(dòng)]
• Logical Disk Manager Administrative Service
• Messenger  /li>
• Microsoft Search
• Microsoft Software Shadow Copy Provider
• MSSQLSERVER
• MSSQLServerADHelper
• Net Logon
• NetMeeting Remote Desktop Sharing
• Network Connections
• Network DDE
• Network DDE DSDM
• Network Location Awareness (NLA)
• Network Provisioning Service
• NT LM Security Support Provider
• Performance Logs and Alerts
• Plug and Play
• Portable Media Serial Number Service [微軟反盜版工具，目前只針對(duì)多媒體類]
• Print Spooler
• Protected Storage
• Remote Access Auto Connection Manager
• Remote Access Connection Manager
• Remote Desktop Help Session Manager
• Remote Procedure Call (RPC)
• Remote Procedure Call (RPC) Locator
• Remote Registry
• Removable Storage
• Resultant Set of Policy Provider
• Routing and Remote Access
• Secondary Logon
• Security Accounts Manager
• Server
• Shell Hardware Detection
• Smart Card
• Special Administration Console Helper
• SQLSERVERAGENT
• System Event Notification
• Task Scheduler
• TCP/IP NetBIOS Helper
• Telephony
• Telnet
• Terminal Services
• Terminal Services Session Directory
• Themes
• Uninterruptible Power Supply
• Upload Manager
• Virtual Disk Service
• Volume Shadow Copy
• WebClient
• Windows Audio [服務(wù)器沒必要使用聲音]
• Windows Firewall/Internet Connection Sharing (ICS)
• Windows Image Acquisition (WIA)
• Windows Installer
• Windows Management Instrumentation
• Windows Management Instrumentation Driver Extensions
• Windows Time
• Windows User Mode Driver Framework
• WinHTTP Web Proxy Auto-Discovery Service
• Wireless Configuration
• WMI Performance Adapter
• Workstation
• World Wide Web Publishing Service

以上操作完成以后是否就"最小的權(quán)限+最少的服務(wù)=最大的安全"呢？其實(shí)不然，任何事物都是相對(duì)的
依我個(gè)人而見，以上設(shè)置也只是最基本的一些東西而已，如有遺漏，稍后補(bǔ)上！

三、IIS、終端服務(wù)、FTP、SQL的配置

3.1 IIS配置

IIS6與IIS5有著很多不同之處，不一一列舉，也不是我一個(gè)腦袋可以裝下的東西。都在資料上！IIS6有一個(gè)非常不方便的東西，就是他限制了在線上傳不得大于200K，如何修改，請(qǐng)看：

首先停用IIS服務(wù)，> 服務(wù) > iis admin service > 停用

C:\windows\system32\inetsrv\ metabase.xml 文件 用記事本打開它

找到 ASPMaxRequestEntityAllowed 處。默認(rèn)為 204800 即 204800字節(jié)(200K)

修改為想要的數(shù)字如： 2048000 [2M] 保存，重啟IIS服務(wù)即可！

設(shè)置基本參數(shù)

打開IIS管理器 > 網(wǎng)站 > 屬性 >

網(wǎng)站 > 啟動(dòng)日志記錄 > 關(guān)閉

主目錄 > 配置 > 應(yīng)用程序擴(kuò)展 > 只保留 asp,asa

主目錄 > 配置 > 選項(xiàng) > 啟用父目錄

主目錄 > 配置 > 調(diào)試 > 向客戶端發(fā)送文本錯(cuò)誤消息

網(wǎng)站 > 自定義錯(cuò)誤 > 全部改成默認(rèn)值 [上一章已經(jīng)刪除IIS使用的錯(cuò)誤信息頁(yè)面]

IIS管理器 > WEB服務(wù)擴(kuò)展 > 啟用 Active Server Pages

注：停用IIS默認(rèn)站點(diǎn)，切勿刪除，有可能會(huì)造成IIS的不穩(wěn)定。

站點(diǎn)的建立將在第四節(jié)中詳細(xì)介紹。

IIS支持PHP的配置

http://www.php.net/downloads.php 以 PHP 5.1.1 為例

下載php-5.1.1-Win32.zip 解壓到 D:\php 或任意目錄 賦予該目錄IIS用戶組讀取權(quán)限

將ext目錄中的所有文件復(fù)制到 C:\Windows\System32目錄下面

以記事本打開php.ini-dist文件

查找 extension_dir = "./" 更改為 extension_dir = "D:\php\ext"

查找 ; Windows Extensions 更改下面的參數(shù)

如要開通GD庫(kù)支持 則將;extension=php_gd2.dll 前面的冒號(hào)刪除

依此類推，更多設(shè)置參考PHP.INI中文版。完成設(shè)置好另存在C:\Windows\php.ini

爾后在IIS設(shè)置中 IIS管理器 > 網(wǎng)站 > 屬性 > 主目錄 > 配置 > 映射

添加 D:\php\php5isapi.dll 擴(kuò)展名.php

其次在WEB服務(wù)擴(kuò)展中 添加一個(gè)新的擴(kuò)展名 PHP 執(zhí)行位置 D:\php\php5isapi.dll 設(shè)為允許即可

由于WIN平臺(tái)對(duì)MYSQL與PHP的組合無(wú)法體現(xiàn)性能優(yōu)勢(shì)。個(gè)人建議WIN平臺(tái)PHP程序要使用數(shù)據(jù)庫(kù)建議遠(yuǎn)程

或搭配文本數(shù)據(jù)庫(kù)。

終端服務(wù)配置

開始 > 程序 > 管理工具 > 終端服務(wù)配置 > 連接

選擇右側(cè)列出的連接 屬性 > 權(quán)限 刪除所有用戶組 添加單一的允許使用的管理員賬戶,這樣即使服務(wù)器

被創(chuàng)建了其它的管理員.也無(wú)法使用終端服務(wù)。

另外在會(huì)話設(shè)置中可以進(jìn)一步設(shè)置斷1 D、注銷等一些參數(shù)。

FTP的配置

目前大多數(shù)服務(wù)器使用Serv-U Server 為FTP SYSTEM。這里同時(shí)建議使用此軟件

以 Serv-U FTP Server 6.1.0.5 final [最新版]為例，這里建議使用漢化版本.www.hanzify.org

安裝原版至D:\Serv-U_3434999fdaf [復(fù)雜無(wú)規(guī)則的目錄名可有效防止黑客的猜解]

爾后退出Serv-U,安裝漢化包。

運(yùn)行SERV-U管理器 IP地址可為空、安裝為系統(tǒng)服務(wù) 設(shè)置密碼防止溢出

PASV設(shè)置

Serv-U管理器 > <<本地服務(wù)器>> > 設(shè)置 > 高級(jí)

PASV端口范圍 這里SERV-U只允許 50個(gè)端口范圍 端口的設(shè)置范圍 如 1025 - 1075 [1024以前的端口為系統(tǒng)使用]

更多個(gè)人化設(shè)置參考以下文檔

Jmail 組件的安裝

建議使用 w3 JMail Personal V4.3 這里為免費(fèi)版 http://www.skycn.net/soft/5555.html

默認(rèn)安裝至 D:\w3JMail4_35434fnald [同樣，復(fù)雜的目錄名]

安裝完成后只需單一設(shè)置 jmail.dll 權(quán)限，加入IIS用戶組默認(rèn)權(quán)限即可！

SQL Server 2000 的安裝與配置

目前SQL Server 2000 + SP4 在我看來(lái)已算比較安全，已沒有SP3等版本會(huì)因?yàn)?sqlstp.log, sqlsp.log而泄露

安裝信息的問題。當(dāng)然也建議在安全后 檢查 <systemdrive>:\Program Files\Microsoft SQL Server\MSSQL\Install

目錄中是否存在有 sqlstp.log, sqlsp.log, setup.iss文件，如果有，則備份至其它位置。

數(shù)據(jù)庫(kù)的建立這里就不多講了。更多設(shè)置可以參考SQL SERVER 2000幫助文檔！

四、站點(diǎn)的建立

站點(diǎn)的建立有一定的操作標(biāo)準(zhǔn)，當(dāng)然這都是些屁話，能運(yùn)行就行了。

上面講到的設(shè)置已經(jīng)為下面的建立站點(diǎn)創(chuàng)造了一個(gè)良好的條件，只需要嚴(yán)格按照控制每個(gè)站點(diǎn)的權(quán)限

就足夠了，不要因?yàn)闀r(shí)間緊而不設(shè)置站點(diǎn)FSO或?qū)⒛夸洐?quán)限開到最大。操作上的疏忽偶爾會(huì)帶來(lái)一點(diǎn)小

麻煩。

建立站點(diǎn)前 首先在用戶管理中建立一個(gè)站點(diǎn)所需要使用的用戶名。

比如我們要建立一個(gè)名為 HostNew的站點(diǎn) 綁定域名hostnew.com

建立一用戶Iusr_hostnew.com [對(duì)IIS用戶增加統(tǒng)一的前綴方便將來(lái)的管理] 設(shè)置一個(gè)復(fù)雜的密碼

修改該用戶所屬用戶組為Guests 或 你準(zhǔn)備好的IIS用戶組。刪除默認(rèn)的Users用戶組.

爾后給站點(diǎn)需要使用的目錄加上這個(gè)用戶為讀取、寫入權(quán)限。不要是默認(rèn)權(quán)限，默認(rèn)權(quán)限擁有運(yùn)行權(quán)限

那么站點(diǎn)就可以通過(guò)FSO來(lái)執(zhí)行或利用其它方式來(lái)執(zhí)行一些惡意程序破壞服務(wù)器配置。

爾后打開IIS管理器 > 網(wǎng)站 > 新建站點(diǎn) 設(shè)置好后

打開新站點(diǎn)屬性 > 目錄安全性 > 身份驗(yàn)證和訪問控制 > 編輯 > 選擇剛才建立的用戶[Iusr_hostnew.com]

輸入該用戶的密碼.確認(rèn).應(yīng)用.即可,此時(shí)該站點(diǎn)的權(quán)限已控制在該站點(diǎn)目錄!

其實(shí)這一切都是相對(duì)比較簡(jiǎn)單的.也沒有什么可值得稱道的地方.

如果該站點(diǎn)不使用ASP\PHP\CGI等腳本 在該站點(diǎn)屬性 > 主目錄里面 > 執(zhí)行權(quán)限 里面選擇 無(wú)

如果要執(zhí)行ASP等腳本 則 選擇純腳本.如果PHP\CGI等腳本使用的是EXE文件執(zhí)行方式.則選擇腳本和可執(zhí)行文件

問題未解決？付費(fèi)解決問題加Q或微信 2589053300 (即Q號(hào)又微信號(hào))右上方掃一掃可加博主微信

所寫所說(shuō)，是心之所感，思之所悟，行之所得；文當(dāng)無(wú)敷衍，落筆求簡(jiǎn)潔。 以所舍，求所獲；有所依，方所成！