Windows Server 2003网络服务器安全攻略
Windows_Server_2003_安全设置手册
Windows Server 2003安全设置一、用户账户安全1.Administrator账户的安全性a)重命名adminstrator,并将其禁用b)创建一个用户账户并将其加入管理员组,日常管理工作使用这个账户完成2.启用账户锁定策略开始——程序——管理工具——本地安全策略——账户策略——账户锁定策略——设置“账户锁定阈值为3”3.创建一个日常登录账户通过Runas或者鼠标右键“运行方式”切换管理员权限4.修改本地策略限制用户权限开始——程序——管理工具——本地安全策略——本地策略——用户权限分配——设置“拒绝从网络访问这台计算机”,限制从网络访问该服务器的账户二、服务器性能优化,稳定性优化1.“我的电脑”右键属性——高级——性能——设置——设置为“性能最佳”2.“我的电脑”右键属性——高级——性能——设置——高级页面为如图设置3.停止暂时未用到的服务a)在开始运行中输入:services.mscb)停止并禁用以下服务puter Browser2.Distributed Link Tracking Client3.Print Spooler(如果没有打印需求可以停止该服务)4.Remote Registry5.Remote Registry(如果没有无线设备可以停止该服务)6.TCP/IP NetBIOS Helper三、系统安全及网络安全设置1.开启自动更新我的电脑右键属性——自动更新Windows Server 2003会自动下载更新,无须人为打补丁。
2.关闭端口,减少受攻击面(此处以仅提供HTTP协议为例)a)开始运行中输入cmd,运行命令提示符b)在命令提示符中输入netstat -an命令察看当前打开端口图片中开放了TCP 135,139,445,1026四个端口,可以通过禁用TCP/IP 上的NetBIOS和禁用SMB来关闭它们。
c)禁用TCP/IP 上的NetBIOS1.从“开始”菜单,右键单击“我的电脑”,然后单击“属性”。
Win2003网站服务器的安全配置全攻略
Win2003网站服务器的安全配置全攻略安装篇2003默认安装不带IIS的,要安装,请点击开始->管理工具->配置您的服务器向导然后一步步的下一步。
到了列表选择项目的时候。
从列表中选择应用服务器(IIS,)然后确定,下一步frontpage server extension和如果要支持.Net,都打勾,前者vs用到。
然后一路下一步。
成功后最后mmc管理去。
设置篇:1:支持Asp:控制面板 -> 管理工具 ->IIS(Internet 服务器)- Web服务扩展 -> Active Server Pages -> 允许控制面板 -> 管理工具 ->IIS(Internet 服务器)- Web服务扩展 -> 在服务端的包含文件 -> 允许2:上传200K限制:先在服务里关闭iis admin service服务找到windows\system32\inesrv\下的metabase.xml,打开,找到ASPMaxRequestEntityAllowed 把他修改为需要的值,然后iisreset3:启用父路径:IIS-网站-主目录-配置-选项-启用父路关键词:Win2003 服务器配置网站安全阅读提示:息网络对于服务器的安全要求是十分重要的,为防止服务器发生意外或受到意外攻击,而导致大量重要的数据丢失,下面就介绍Win2003服务器安全热点技术。
本配置仅适合Win2003,部分内容也适合于Win2000。
很多人觉得3389不安全,其实只要设置好,密码够长,攻破3389也不是件容易的事情,我觉得别的远程软件都很慢,还是使用了3389连接。
经测试,本配置在Win2003 + IIS6.0 + Serv-U + SQL Server 的单服务器多网站中一切正常。
以下配置中打勾的为推荐进行配置,打叉的为可选配置。
一、系统权限的设置1、磁盘权限系统盘只给 Administrators 组和 SYSTEM 的完全控制权限其他磁盘只给 Administrators 组完全控制权限系统盘\Documents and Settings 目录只给 Administrators 组和 SYSTEM 的完全控制权限系统盘\Documents and Settings\All Users 目录只给 Administrators 组和 SYSTEM 的完全控制权限系统盘\windows\system32\config\ 禁止guests组系统盘\Documents and Settings\All Users\「开始」菜单\程序\ 禁止guests组系统盘\windowns\system32\inetsrv\data\ 禁止guests组系统盘\Windows\System32\ at.exe、attrib.exe、cacls.exe、net.exe、net1.exe、netstat.exe、regedit.exe 文件只给 Administrators 组和 SYSTEM 的完全控制权限系统盘\Windows\System32\ cmd.exe、 仅 Administrators 组完全控制权限把所有(Windows\system32和Windows\ServicePackFiles\i386) 更名为format_2、本地安全策略设置开始菜单->管理工具->本地安全策略A、本地策略-->审核策略审核策略更改 成功 失败审核登录事件 成功 失败审核对象访问失败审核过程跟踪 无审核审核目录服务访问失败审核特权使用失败审核系统事件 成功 失败审核账户登录事件 成功 失败审核账户管理 成功 失败B、本地策略-->用户权限分配关闭系统:只有Administrators组、其它全部删除。
Windows 2003服务器安全配置技巧
Windows 2003服务器安全配置技巧引:下面我用的例子,将是一台标准的虚拟主机。
实践篇下面我用的例子,将是一台标准的虚拟主机。
系统:Windows2003服务:[IIS] [SERV-U] [IMAIL] [SQL SERVER 2000] [PHP] [MYSQL]描述:为了演示,绑定了最多的服务,大家可以根据实际情况做筛减1. WINDOWS本地安全策略端口限制A. 对于我们的例子来说,需要开通以下端口外->本地 80外->本地 20外->本地 21外->本地 PASV所用到的一些端口外->本地 25外->本地 110外->本地 3389然后按照具体情况,打开SQL SERVER和MYSQL的端口外->本地 1433外->本地 3306B. 接着是开放从内部往外需要开放的端口按照实际情况,如果无需邮件服务,则不要打开以下两条规则本地->外 53 TCP,UDP本地->外 25按照具体情况,如果无需在服务器上访问网页,尽量不要开以下端口本地->外 80C. 除了明确允许的一律阻止,这个是安全规则的关键外->本地所有协议阻止2. 用户帐号A. 将administrator改名,例子中改为rootB. 取消所有除管理员root外所有用户属性中的远程控制->启用远程控制以及终端服务配置文件->允许登陆到终端服务器C. 将guest改名为administrator并且修改密码D. 除了管理员root、IUSER以及IWAM以及ASPNET用户外,禁用其他一切用户,包括SQL DEBUG以及TERMINAL USER等等3. 目录权限将所有盘符的权限,全部改为只有administrators组全部权限ystem 全部权限将C盘的所有子目录和子文件继承C盘的administrator(组或用户)和SYSTEM 所有权限的两个权限然后做如下修改C:\Program Files\Common Files 开放Everyone默认的读取及运行列出文件目录读取三个权限C:\WINDOWS\ 开放Everyone默认的读取及运行列出文件目录读取三个权限C:\WINDOWS\Temp 开放Everyone 修改、读取及运行、列出文件目录、读取、写入权限现在WebShell就无法在系统目录内写入文件了。
windows_2003服务器安全配置教程
Windows2003安全配置教程1:安装windows2003时,必须所有的磁盘分区都为NTFS2:安装后,建议不要插入U盘,不要打开其它盘(如D/E/F)这些磁盘3:立即安装杀毒软件(更新到最新病毒库)马上进行查杀(建议安装NOD32版不带防火墙的那个版本)4:使用WINDOWS 2003自动更新,马上到官网下载更新补丁5:安装所有补丁之后,全盘扫描病毒6:IIS那些杀完病毒和打完补丁再进行安装和配置7:没确定所有磁盘被扫描完之前,都不要打开其它的盘(如D/E/F)8:关闭磁盘所有的默认共享9:administrator 密码必须复杂10:建议先开启WINDOWS 自带的防火墙(开启之前,必须开放3389端口)11:修改3389的端口,建议改成数字“越大越好”以上12:马上关闭445端口■.关闭所有不需要的服务* Alerter (disable)* ClipBook Server (disable)* Computer Browser (disable)* DHCP Client (disable)* Directory Replicator (disable)* FTP publishing service (disable)* License Logging Service (disable)* Messenger (disable)* Netlogon (disable)* Network DDE (disable)* Network DDE DSDM (disable)* Network Monitor (disable)* Plug and Play (disable after all hardware configuration)* Remote Access Server (disable)* Remote Procedure Call (RPC) locater (disable)* Schedule (disable)* Server (disable)* Simple Services (disable)* Spooler (disable)* TCP/IP Netbios Helper (disable)* Telephone Service (disable)■. 帐号和密码策略1)保证禁止guest帐号2)将administrator改名为比较难猜的帐号3)密码唯一性:记录上次的6 个密码4)最短密码期限:25)密码最长期限:426)最短密码长度:87)密码复杂化(passfilt.dll):启用8)用户必须登录方能更改密码:启用9)帐号失败登录锁定的门限:610)锁定后重新启用的时间间隔:720分钟■.保护文件和目录将C:\winnt, C:\winnt\config, C:\winnt\system32, C:\winnt\system等目录的访问权限做限制,限制everyone的写权限,限制users组的读写权限■.注册表一些条目的修改1)去除logon对话框中的shutdown按钮将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon\中ShutdownWithoutLogon REG_SZ 值设为02)去除logon信息的cashing功能将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon\中CachedLogonsCount REG_SZ 值设为04)限制LSA匿名访问将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA中RestricAnonymous REG_DWORD 值设为15)去除所有网络共享将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\中AutoShareServer REG_DWORD 值设为0IIS主要:假如你的电脑中还装了IIS ,你最好重新设置一下端口过滤。
Windows 2003下WEB服务器安全设置攻略
一、安装补丁安装好Windows 2003操作系统之后,在托管之前一定要完成补丁的安装,配置好网络后,最好安装上SP1,然后点击开始选择Windows Update,安装所有的关键更新。
二、安装杀毒软件目前的杀毒软件种类很多,其中瑞星、诺顿、卡巴斯基等都是很不错的选择。
不过,也不要指望杀毒软件能够杀掉所有的木马,因为ASP木马的特征是可以通过一定手段来避开杀毒软件的查杀。
三、设置端口保护和防火墙Windows 2003的端口屏蔽可以通过自身防火墙来解决,这样比较好,比筛选更有灵活性,桌面—>网上邻居—>属性—>本地连接—>属性—>高级—>Internet连接防火墙—>设置,把服务器上面要用到的服务端口选中,例如:一台WEB服务器,要提供WEB(80)、FTP(21)服务及远程桌面管理(3389),在“FTP 服务器”、“WEB服务器(HTTP)”、“远程桌面”前面打上对号,如果你要提供服务的端口不在里面,你也可以点击“添加”铵钮来添加,具体参数可以参照系统里面原有的参数。
然后点击确定。
注意:如果是远程管理这台服务器,请先确定远程管理的端口是否选中或添加。
1、权限设置的原理1)WINDOWS用户,在WINNT系统中大多数时候把权限按用户(組)来划分。
在开始→程序→管理工具→计算机管理→本地用户和组,管理系统用户和用户组。
2)NTFS权限设置,请记住分区的时候把所有的硬盘都分为NTFS分区,然后我们可以确定每个分区对每个用户开放的权限。
文件(夹)上右键→属性→安全,在这里管理NTFS文件(夹)权限。
3)IIS匿名用户,每个IIS站点或者虚拟目录,都可以设置一个匿名访问用户(现在暂且把它叫“IIS匿名用户”),当用户访问你的网站的.ASP文件的时候,这个.ASP文件所具有的权限,就是这个“IIS匿名用户”所具有的权限。
2、权限设置——磁盘权限系统盘及所有磁盘只给Administrators组和SYSTEM的完全控制权限系统盘\Documents and Settings目录只给Administrators组和SYSTEM的完全控制权限系统盘\Documents and Settings\All Users目录只给Administrators组和SYSTEM的完全控制权限系统盘\Inetpub目录及下面所有目录、文件只给Administrators组和SYSTEM的完全控制权限系统盘\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe文件只给Administrators组和SYSTEM的完全控制权限四、禁用不必要的服务开始菜单—>管理工具—>服务Print SpoolerRemote RegistryTCP/IP NetBIOS HelperServer以上是在Windows Server 2003系统上面默认启动的服务中禁用的,默认禁用的服务如没特别需要的话不要启动。
Windows 2003 Server安全配置完整篇
登录事件
账户登录事件
系统事件
策略更改
对象访问
目录服务访问
特权使用
三、关闭默认共享的空连接
地球人都知道,我就不多说了!
四、磁盘权限设置 C 盘只给 administrators 和 system 权限,其他的权限不给,其他的盘也可以这样设置,这里给的 system
权限也不一定需要给,只是由于某些第三方应用程序是以服务形式启动的,需要加上这个用户,否则造成启动 不了。
保存为.REG 文件双击即可!更改为 9859,当然大家也可以换别的端口,直接打开以上注册表的地址,把 值改为十进制的输入你想要的端口即可!重启生效!
还有一点,在 2003 系统里,用 TCP/IP 筛选里的端口过滤功能,使用 FTP 服务器的时候,只开放 21 端 口,在进行 FTP 传输的时候,FTP 特有的 Port 模式和 Passive 模式,在进行数据传输的时候,需要动态的打 开高端口,所以在使用 TCP/IP 过滤的情况下,经常会出现连接上后无法列出目录和数据传输的问题。所以在 2003 系统上增加的 Windows 连接防火墙能很好的解决这个问题,不推荐使用网卡的 TCP/IP 过滤功能。
4
在运行中输入 gpedit.msc 回车,打开组策略编辑器,选择计算机配置-Windows 设置-安全设置-审核策略 在创建审核项目时需要注意的是如果审核的项目太多,生成的事件也就越多,那么要想发现严重的事件也越难 当然如果审核的太少也会影响你发现严重的事件,你需要根据情况在这二者之间做出选择。
3
Microsoft Serch:提供快速的单词搜索,不需要可禁用 NTLMSecuritysupportprovide:telnet 服务和 Microsoft Serch 用的,不需要禁用 PrintSpooler:如果没有打印机可禁用 Remote Registry:禁止远程修改注册表 Remote Desktop Help Session Manager:禁止远程协助 Workstation 关闭的话远程 NET 命令列不出用户组 把不必要的服务都禁止掉,尽管这些不一定能被攻击者利用得上,但是按照安全规则和标准上来说,多余 的东西就没必要开启,减少一份隐患。
Windows 2003服务器安全配置终极技巧
Windows 2003服务器安全配置终极技巧1、安装系统补丁。
扫描漏洞全面杀毒2、3、NTFS系统权限设置在使用之前将每个硬盘根加上 Administrators 用户为全部权限(可选加入SYSTEM用户)删除其它用户,进入系统盘:权限如下∙C:\WINDOWS Administrators SYSTEM用户全部权限, Users 用户默认权限不作修改,否则ASP和ASPX 等应用程序就无法运行。
∙其它目录删除Everyone用户,切记C:\Documents and Settings下All Users\Default User目录及其子目录如C:\Documents and Settings\All Users\Application Data 目录默认配置保留了Everyone用户权限C:\WINDOWS 目录下面的权限也得注意,如 C:\WINDOWS\PCHealth、C:\windows\Installer也是保留了Everyone权限.∙删除C:\WINDOWS\Web\printers目录,此目录的存在会造成IIS里加入一个.printers的扩展名,可溢出攻击∙默认IIS错误页面已基本上没多少人使用了。
建议删除C:\WINDOWS\Help\iisHelp目录∙删除C:\WINDOWS\system32\inetsrv\iisadmpwd,此目录为管理IIS密码之用,如一些因密码不同步造成500 错误的时候使用 OWA 或 Iisadmpwd 修改同步密码,但在这里可以删掉,下面讲到的设置将会杜绝因系统设置造成的密码不同步问题。
打开C:\Windows 搜索net.exe;cmd.exe;tftp.exe;netstat.exe;regedit.exe;at.exe;attrib.exe;cacls.exe;;re gsvr32.exe;xcopy.exe;wscript.exe;cscript.exe;ftp.exe;telnet.exe;arp.exe;edlin.exe;ping.exe ;route.exe;finger.exe;posix.exe;rsh.exe;atsvc.exe;qbasic.exe;runonce.exe;syskey.exe修改权限,删除所有的用户只保存Administrators 和SYSTEM为所有权限其它盘,有安装程序运行的(我的sql server 2000 在D盘)给Administrators 和SYSTEM 权限,无只给Administrators 权限。
WIN2003服务器安全配置终极技巧图全篇
关于常规的如安全的安装系统,设置和管理帐户,关闭多余的服务,审核策略,修改终端管理端口, 以及配置MS-SL,删除危险的存储过程,用最低权限的public帐户连接等等,都不说了
先说关于系统的NTFS磁盘权限设置,大家可能看得都多了,但是2003服务器有些细节地方需要注意的,我看很多文章都没写完全。
? ftp服务器
? 邮件服务器
? mysl
? 存储过程
网上流传的很多关于windows server 2003系统的安全配置,但是仔细分析下发现很多都不全面,并且很多仍然配置的不够合理,并且有很大的安全隐患,今天我决定仔细做下极端BT的2003服务器的安全配置,让更多的网管朋友高枕无忧。
我们配置的服务器需要提供支持的组件如下:(ASP、ASPX、CGI、PHP、FSO、JMAIL、MySl、SMTP、POP3、FTP、3389终端服务、远程桌面Web连接管理服务等),这里前提是已经安装好了系统,IIS,包括FTP服务器,邮件服务器等,这些具体配置方法的就不再重复了,现在我们着重主要阐述下关于安全方面的配置。
Windows 2003 Server安全配置技术技巧
Windows 2003 Server安全配置技术技巧(1)一、先关闭不需要的端口我比较小心,先关了端口。
只开了3389、21、80、1433,有些人一直说什么默认的3389不安全,对此我不否认,但是利用的途径也只能一个一个的穷举爆破,你把帐号改了密码设置为十五六位,我估计他要破上好几年,哈哈!办法:本地连接--属性--Internet协议(TCP/IP)--高级--选项--TCP/IP筛选--属性--把勾打上,然后添加你需要的端口即可。
PS一句:设置完端口需要重新启动!当然大家也可以更改远程连接端口方法:WindowsRegistryEditorVersion5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Co ntrol\TerminalServer\WinStations\RDP-Tcp]"PortNumber"=dword:00002683保存为.REG文件双击即可!更改为9859,当然大家也可以换别的端口,直接打开以上注册表的地址,把值改为十进制的输入你想要的端口即可!重启生效!还有一点,在2003系统里,用TCP/IP筛选里的端口过滤功能,使用FTP服务器的时候,只开放21端口,在进行FTP传输的时候,FTP特有的Port模式和Passive模式,在进行数据传输的时候,需要动态的打开高端口,所以在使用TCP/IP过滤的情况下,经常会出现连接上后无法列出目录和数据传输的问题。
所以在2003系统上增加的Windows连接防火墙能很好的解决这个问题,不推荐使用网卡的TCP/IP过滤功能。
做FTP下载的用户看仔细,如果要关闭不必要的端口,在\system32\drivers\etc\services中有列表,记事本就可以打开的。
如果懒的话,最简单的方法是启用WIN2003的自身带的网络防火墙,并进行端口的改变。
功能还可以!Internet连接防火墙可以有效地拦截对Windows2003服务器的非法入侵,防止非法远程主机对服务器的扫描,提高Windows2003服务器的安全性。
win2003 服务器安全配置全套详解
基本的服务器安全设置安装补丁安装好操作系统之后,最好能在托管之前就完成补丁的安装,配置好网络后,如果是2000则确定安装上了SP4,如果是2003,则最好安装上SP1,然后点击开始→Windows Update,安装所有的关键更新。
安装杀毒软件虽然杀毒软件有时候不能解决问题,但是杀毒软件避免了很多问题。
我一直在用诺顿2004,据说2005可以杀木马,不过我没试过。
还有人用瑞星,瑞星是确定可以杀木马的。
更多的人说卡巴司机好,不过我没用过。
不要指望杀毒软件杀掉所有的木马,因为ASP木马的特征是可以通过一定手段来避开杀毒软件的查杀。
设置端口保护和防火墙、删除默认共享都是服务器防黑的措施,即使你的服务器上没有IIS,这些安全措施都最好做上。
这是阿江的盲区,大概知道屏蔽端口用本地安全策略,不过这方面的东西网上攻略很多,大家可以擞出来看看,晚些时候我或者会复制一些到我的网站上。
权限设置阿江感觉这是防止ASP漏洞攻击的关键所在,优秀的权限设置可以将危害减少在一个IIS站点甚至一个虚拟目录里。
我这里讲一下原理和设置思路,聪明的朋友应该看完这个就能解决问题了。
权限设置的原理WINDOWS用户,在WINNT系统中大多数时候把权限按用户(組)来划分。
在【开始→程序→管理工具→计算机管理→本地用户和组】管理系统用户和用户组。
NTFS权限设置,请记住分区的时候把所有的硬盘都分为NTFS分区,然后我们可以确定每个分区对每个用户开放的权限。
【文件(夹)上右键→属性→安全】在这里管理NTFS文件(夹)权限。
IIS匿名用户,每个IIS站点或者虚拟目录,都可以设置一个匿名访问用户(现在暂且把它叫“IIS匿名用户”),当用户访问你的网站的.ASP文件的时候,这个.ASP文件所具有的权限,就是这个“IIS匿名用户”所具有的权限。
权限设置的思路要为每个独立的要保护的个体(比如一个网站或者一个虚拟目录)创建一个系统用户,让这个站点在系统中具有惟一的可以设置权限的身份。
Windows_Server_2003系统安全技巧集
Windows Server 2003系统安全技巧集操作系统的安全性无疑受大家关注最多,虽然Windows 2003稳定的性能受到越来越多用户的青睐,但面对层出不穷的新病毒,加强安全性依旧是当务之急。
通常,我们只需要某些细微的改动就能使系统安全提升一个台阶,大家看看下面几点您做到了么?● 用户口令设置为管理员帐户设置一个密码,在很大程度上可以避免口令攻击。
密码设置的字符长度应当在8位以上,最好是字母、数字、特殊字符的组合,如“psp53,@pq”、“skdfksadf10@”等,可以有效地防止暴力破解。
最好不要用自己的生日、手机号码、电话号码等做口令。
● 删除默认共享删除Windows 2003系统默认的隐藏共享同样可以有效提升系统的安全系数,单击“开始→运行”,输入“gpedit.msc”后回车,打开组策略编辑器。
依次展开“用户配置→Windows 设置→脚本(登录/注销)”,双击登录项,然后添加“delshare.bat”(参数不需要添加),从而删除Windows Server 2003默认的共享。
接下来再禁用IPC连接:打开注册表编辑器,依次展开[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa ]分支,在右侧窗口中找到“restrictanonymous”子键,将其值改为“1”即可。
● 关闭自动播放功能图一自动播放功能不仅对光驱起作用,而且对其它驱动器也起作用,这样很容易被黑客利用来执行黑客程序。
打开组策略编辑器,依次展开“计算机配置→管理模板→系统”,在右侧窗口中找到“关闭自动播放”选项并双击,在打开的对话框中选择“已启用”,然后在“关闭自动播放”后面的下拉菜单中选择“所有驱动器”,按“确定”即可生效。
操作系统的安全性无疑受大家关注最多,虽然Windows 2003稳定的性能受到越来越多用户的青睐,但面对层出不穷的新病毒,加强安全性依旧是当务之急。
Win 2003 Server 服务器安全设置 防御PHP木马攻击的技巧
Win 2003 Server 服务器安全设置防御PHP木马攻击的技巧Win 2003 Server服务器是一种常用的服务器操作系统,然而,安全性始终是我们在使用服务器时需要重点关注的问题之一。
本文将向您介绍一些Win 2003 Server服务器安全设置中,防御PHP木马攻击的一些技巧。
一、安装最新版本的Win 2003 Server操作系统首先,为了确保服务器的安全性,我们需要安装最新版本的Win 2003 Server操作系统。
最新版本通常会修复许多安全漏洞,并提供更好的安全性保障。
同时,我们还需要确保操作系统的自动更新功能已开启,以获取最新的补丁和安全更新。
二、使用强密码保护服务器的登录账户其次,为了防止恶意用户猜测登录账户的密码,我们应该使用强密码保护服务器的登录账户。
一个强密码应该包含至少8个字符,并且包括字母、数字和特殊字符。
此外,为了增加密码的安全性,我们还应定期更换密码,以防止攻击者获取密码信息。
三、禁用不必要的服务和端口Win 2003 Server默认启动了许多不必要的服务和端口,这些服务和端口可能成为黑客攻击的目标。
为了增强服务器的安全性,我们应该禁用那些不必要的服务和端口,只保留必需的服务和端口,以减少攻击者的攻击面。
四、安装可信的安全软件安装可信的安全软件是防御PHP木马攻击的重要措施之一。
这些安全软件可以及时检测出服务器上的恶意代码,并进行相应的处理。
我们应选择那些具有实时监测和防御功能的安全软件,并定期更新其病毒库,以保持最新的恶意代码识别能力。
五、加强服务器的访问控制为了防止未经授权的访问,我们需要加强服务器的访问控制。
首先,我们应该限制服务器仅接受来自信任IP地址范围的连接。
其次,我们可以使用防火墙来过滤入站和出站的流量,只允许必要的网络服务通信。
此外,我们还可以设置访问控制列表(ACL)来限制特定用户或用户组的访问权限。
六、定期备份服务器数据定期备份服务器的数据对于防御PHP木马攻击至关重要。
windows 2003服务器安全策略 windows server2003是目前最为成熟
服务器安全策略是目前最为成熟地网络服务器平台,安全性相对于有大大地提高,但是默认地安全配置不一定适合我们地需要,所以,我们要根据实际情况来对进行全面安全配置.说实话,安全配置是一项比较有难度地网络技术,权限配置地太严格,好多程序又运行不起,权限配置地太松,又很容易被黑客入侵,做为网络管理员,真地很头痛,因此,我结合这几年地网络安全管理经验,总结出以下一些方法来提高我们服务器地安全性.第一招:正确划分文件系统格式,选择稳定地操作系统安装盘为了提高安全性,服务器地文件系统格式一定要划分成(新技术文件系统)格式,它比、地安全性、空间利用率都大大地提高,我们可以通过它来配置文件地安全性,磁盘配额、文件加密等.如果你已经分成地格式了,可以用盘符:来把转换成格式.正确安装,最好装地企业可升级版,可以直接网上升级,我们安装时尽量只安装我们必须要用地组件,安装完后打上最新地补丁,到网上升级到最新版本!保证操作系统本身无漏洞.切忌一定要设置自动更新,微软发布地每个漏洞补丁都要打上去.这是最重要也是最基本地.第二招:正确设置磁盘地安全性,具体如下(虚拟机地安全设置,我们以程序为例子) 重点:【安全顾问电话:】、系统盘权限设置:分区部分::\全部(该文件夹,子文件夹及文件)【汕头机房:】全部(只有子文件来及文件)全部(该文件夹,子文件夹及文件)创建文件写入数据(只有该文件夹)【长宽机房电话:】(该文件夹,子文件夹及文件)遍历文件夹运行文件列出文件夹读取数据读取属性创建文件夹附加数据读取权限:\全部(该文件夹,子文件夹及文件)【广州服务器租用电话:】(该文件夹,子文件夹及文件)读取和运行列出文件夹目录读取全部(该文件夹,子文件夹及文件):\全部(该文件夹,子文件夹及文件)【服务器托管】全部(只有子文件来及文件)(该文件夹,子文件夹及文件)读取和运行【服务器电话:】列出文件夹目录读取【维用机房:】(该文件夹,子文件夹及文件)修改权限全部(该文件夹,子文件夹及文件)(该文件夹,子文件夹及文件)修改权限、网站及虚拟机权限设置(比如网站在盘)说明:我们假设网站全部在盘目录下,并且为每一个虚拟机创建了一个用户,用户名为并且创建了一个组,把所有地用户全部加入这个组里面方便管理:\全部(该文件夹,子文件夹及文件):\全部(该文件夹,子文件夹及文件)全部(该文件夹,子文件夹及文件)全部(该文件夹,子文件夹及文件):\\【维用机房电话:】全部(该文件夹,子文件夹及文件)【田心机房首选动力互联】全部(该文件夹,子文件夹及文件)全部(该文件夹,子文件夹及文件)【主机托管:】、数据备份盘【鸿波机房:】数据备份盘最好只指定一个特定地用户对它有完全操作地权限【网通机房:】比如盘为数据备份盘,我们只指定一个管理员对它有完全操作地权限、其它地方地权限设置【湛江机房:】请找到盘地这些文件,把安全性设置只有特定地管理员有完全操作权限下列这些文件只允许访问【润迅机房:】【长宽机房:】【龙岗机房:】.删除:\目录,删除不必要地映射,建立陷阱帐号,更改描述第三招:禁用不必要地服务,提高安全性和系统效率维护网络上计算机地最新列表以及提供这个列表【湛江机房电话:】允许程序在指定时间运行【主机租用首选动力互联】在局域网以及广域网环境中为企业提供路由服务管理可移动媒体、驱动程序和库【福永机房电话:】允许远程注册表操作【湛江机房首选动力互联】将文件加载到内存中以便以后打印.要用打印机地朋友不能禁用这项管理安全策略以及启动)和安全驱动程序【深圳机房:】当文件在网络域地卷中移动时发送通知提供事件地自动发布到订阅组件【动力互联电话:】通知选定地用户和计算机管理警报收集、存储和向报告异常应用程序传输客户端和服务器之间地和警报器服务消息允许远程用户登录到此计算机并运行程序【安全顾问:】第四招:修改注册表,让系统更强壮【湛江机房电话:】、隐藏重要文件目录可以修改注册表实现完全隐藏:\\\\ \\\\\”,鼠标右击“”,选择修改,把数值由改为、启动系统自带地连接”>防火墙,在设置服务选项中勾选服务器.、防止洪水攻击\\\\\新建值,名为,值为. 禁止响应路由通告报文\\\\\\\【服务器】新建值,名为值为. 防止重定向报文地攻击\\\\\【维用机房:】将值设为. 不支持协议\\\\\【网通机房电话:】新建值,名为值为【服务器托管:】.修改终端服务端口运行,找到[ \ \ \ \ \ \ \ \ ],看到右边地了吗?在十进制状态下改成你想要地端口号吧,比如之类地,只要不与其它冲突即可.、第二处\ \ \ \ \ \ ,方法同上,记得改地端口号和上面改地一样就行了. 、禁止空连接:【长宽机房:】可以利用命令建立空连接,进而入侵,还有,这些都是基于空连接地,禁止空连接就好了.打开注册表,找到\\\\ 把这个值改成””即可.、更改值可以根据回地值来大致判断你地操作系统,如:();();或();或();();();实际上你可以自己更改地:\\\\\:( 十进制,默认值)改成一个莫名其妙地数字如,起码让那些小菜鸟晕上半天,就此放弃入侵你也不一定哦. 删除默认共享【主机租用电话:】有人问过我一开机就共享所有盘,改回来以后,重启又变成了共享是怎么回事,这是为管理而设置地默认共享,必须通过修改注册表地方式取消它:\\\\\:类型是把值改为即可. 禁止建立空连接默认情况下,任何用户通过通过空连接连上服务器,进而枚举出帐号,猜测密码.我们可以通过修改注册表来禁止建立空连接:【电信机房电话:】\\\\ 地值改成””即可.第五招:其它安全手段.禁用上地网上邻居属性本地连接属性协议()属性高级面板设置禁用上地.这样就无法用命令来读取你地信息和网卡地址了.. 账户安全【龙岗机房:】首先禁止一切账户,除了你自己,呵呵.然后把改名.我呢就顺手又建了个账户,不过是什么权限都没有地那种,然后打开记事本,一阵乱敲,复制,粘贴到”密码”里去,呵呵,来破密码吧!破完了才发现是个低级账户,看你崩溃不?【深圳机房首选动力互联】创建个管理员用帐号虽然这点看上去和上面这点有些矛盾,但事实上是服从上面地规则地. 创建一个一般权限帐号用来收信以及处理一些*常事物,另一个拥有权限地帐户只在需要地时候使用.可以让管理员使用“”命令来执行一些需要特权才能作地一些工作,以方便管理【网通机房电话:】.更改:\\\\\内容改为< >这样,出错了自动转到首页. 安全日志我遇到过这样地情况,一台主机被别人入侵了,系统管理员请我去追查凶手,我登录进去一看:安全日志是空地,倒,请记住:地默认安装是不开任何安全审核地!那么请你到本地安全策略>审核策略中打开相应地审核,推荐地审核是:账户管理成功失败登录事件成功失败对象访问失败策略更改成功失败特权使用失败系统事件成功失败目录服务访问失败账户登录事件成功失败审核项目少地缺点是万一你想看发现没有记录那就一点都没辙;审核项目太多不仅会占用系统资源而且会导致你根本没空去看,这样就失去了审核地意义. 运行防毒软件我见过地服务器从来没有见到有安装了防毒软件地,其实这一点非常重要.一些好地杀毒软件不仅能杀掉一些著名地病毒,还能查杀大量木马和后门程序.这样地话,”黑客”们使用地那些有名地木马就毫无用武之地了.不要忘了经常升级病毒库,我们推荐杀毒软件”>防火墙数据库服务器安全和服务器安全配置,更改默认端口,和管理密码.设置筛选、用禁止木马常用端口【服务器托管首选动力互联】一般禁用以下端口.本地安全策略和组策略地设置,如果你在设置本地安全策略时设置错了,可以这样恢复成它地默认值.打开\文件夹,创建一个“”子目录,将\下所有地文件移到这个新建地子文件夹中.【深圳服务器租用】在\\\下找到””安全数据库并将其改名,如改为””.启动”安全配置和分析”管理单元:”开始”>“运行”>“”,启动管理控制台,”添加删除管理单元”,将”安全配置和分析”管理单元添加上.【长宽机房首选动力互联】右击“安全配置和分析”>“打开数据库”,浏览“:\\\”文件夹,输入文件名“”,单击“打开”.当系统提示输入一个模板时,选择“”,单击“打开”.如果系统提示“拒绝访问数据库”,不管他.【东莞机房首选动力互联】你会发现在“:\\\”子文件夹中重新生成了新地安全数据库,在“:\\”子文件夹下重新生成了文件.安全数据库重建成功.【汕头机房电话:。
Windows2003Server安全配置指南
暴露于Internet中的服务器安全配置步骤目录1.配置Windows 2000 Server (3)2.配置防火墙 (3)2.1天网防火墙个人版(自定义IP 规则) ...... 错误!未定义书签。
3.修改本地用户 (3)4.设置本地安全策略 (4)4.1账户锁定策略 (4)4.2审核策略 (5)4.3用户权利指派 (6)4.4安全选项 (7)5.配置路由和远程访问 (7)6.配置VPN (12)7.日常例行检查 (13)请在任何时候都记住:再好的安全措施、防火墙,也无法抵御来自内部的攻击,特别是具有管理员权限内部人员的恶意攻击。
1.配置Windows 2000 Server必须安装直到目前的所有补丁:sp1、sp2、sp3。
经常使用“开始”---“Windows Updata”功能进行安全更新。
2.配置应用程序如果系统中的应用程序有补丁,必须全部打上补丁,特别是SQL SERVER2000,必须依次打到SP3以上。
3.IIS的处理在一般情况下,请去掉IIS服务。
请将C:\INTEPUB这个文件夹改名。
4.配置防火墙我们一般建议使用诺顿网络特警2003(请见《诺顿网络特警2003操作手册》)5.修改本地用户打开“开始-程序-管理工具-计算机管理”,展开“计算机管理(本地)-系统工具-本地用户和组”。
●设置所有属于“administrator”组的用户密码必须在18位以上。
●双击“组”,建立组VPN。
●双击“用户”⏹新建“sql”帐号,专用于SQL SERVER2000服务启动使用。
并加入administrator 组。
密码至少18 位长并且必须包含字母和数字,并修改其拨入属性为“拒绝访问”。
“终端服务配置文件”—“允许登录到终端服务”的选项必须去掉。
⏹设置administrator 密码至少18 位长并且必须包含字母和数字,并修改其拨入属性为“拒绝访问”。
⏹禁用guest 账户。
并修改其拨入属性为“拒绝访问”。
Win2003服务器组网、安全管理全攻略
Win2003服务器组网、安全管理全攻略Windows2003已经出现很久了,现在对于该服务器操作系统Windows2003的组网技术、安全配置技术还有很多的网友都还不是很熟悉,在这里,我将会给大家介绍一下Windows Server 2003 Enterprise Edition 企业服务器版本的组网技术、安全配置技术及一些在Win2K系统升级为Win2003系统后的一些新增功能等。
Win2003系统已经比Win2K系统增加了很多的安全性,所以现在选择Win2003系统作为服务器系统,将会是网络管理员的最佳选择。
本文假设你是一个服务器管理员,现在你的服务器使用Win2003服务器系统,你的服务器需要提供支持的组件如下:(ASP、ASPX、CGI、PHP、FSO、JMAIL、MySql、SMTP、POP3、终端服务、远程桌面Web连接管理服务等)。
一、系统安装注意事项:首先,你得先把你的Win2003系统安装好,在安装系统时请选择使用NTFS 文件系统分区,因为该分区可以对你的服务器资源进行加密、权限设置等,如果你的文件系统分区是使用FAT32的话,而你这台服务器作为一台虚拟主机,给客户提供空间,如果客户在空间里传了一个WebShell,如ASP木马等,而你使用的FAT32文件系统却不能为你的文件设置访问权限的话,那么黑客就能通过这个ASP木马取得你的服务器管理权了,那将是没有任何的安全性可言了。
为了系统的安全着想,系统安装好后,你还要给你的系统设置一个强壮的管理员口令,千万不要使用简单的口令,如123456等这样的简单登陆口令。
因为网络上大部份被黑客入侵的肉鸡都是因为系统使用空口令或使用简单的口令而被黑的。
一个强壮的口令应该包括数字、英文字母、符号组成,如密码k3d8a^!ka76,设置好一个强壮的系统登陆口令后,我们就可以安装各种上面所述的组件服务支持了。
还是那句老话,最少的服务等于最大的安全,对于一切不须要的服务都不要安装,这样才能保证你服务器的安全性。
WindowsServer2003Web服务器安全设置
WindowsServer2003Web服务器安全设置Windows Server 2003是微软公司推出的一款非常受欢迎的Web服务器操作系统。
在使用Windows Server 2003 Web服务器时,正确的安全设置是至关重要的。
本文将介绍一些Windows Server 2003 Web服务器的安全设置,以帮助您更好地保护您的服务器和网站。
1. 使用安全的管理员密码作为服务器管理员,您应该始终为管理员账户设置一个强密码。
强密码应包含大小写字母、数字和特殊字符,并且长度至少为8个字符。
您还可以定期更改密码,以增加服务器的安全性。
2. 更新操作系统和应用程序及时更新操作系统和安装的应用程序可以修复已知的漏洞,从而提高服务器的安全性。
请确保定期检查和下载最新的安全补丁,并对服务器进行更新。
3. 禁用不必要的服务Windows Server 2003默认启用了许多不必要的服务,这些服务可能存在安全隐患。
您应该审查并禁用不需要的服务,只保留必要的服务运行。
这样可以减少攻击面,提高服务器的安全性。
4. 配置防火墙防火墙是保护服务器安全的重要工具。
您可以配置Windows Server 2003自带的防火墙,并根据需要设置规则和策略。
通过限制对服务器的访问,防火墙可以有效防止未经授权的访问和恶意攻击。
5. 安装和配置安全软件除了操作系统自带的防火墙外,您还可以考虑安装额外的安全软件来提供更高级的保护。
例如,您可以安装杀毒软件、恶意软件检测工具和入侵检测系统等。
确保这些软件得到及时更新,并运行扫描以确保服务器没有恶意软件。
6. 限制远程访问远程访问是实现服务器管理和维护的便捷方式,但也是潜在的安全风险。
为了保护服务器的安全,您可以限制远程访问的IP地址范围,并使用安全的远程协议,如SSH。
另外,您也可以考虑实现双因素身份验证来增加远程访问的安全性。
7. 日志监控和审计监控服务器的日志并进行审计是发现潜在威胁和异常活动的重要手段。
Windows-Server-2003安全设置
Windows-Server-2003安全(ānquán)设置Windows-Server-2003安全(ānquán)设置2003总体感觉上安全做的还不错,交互式登录、网络身份验证、基于对象的访问控制、比较完整的安全策略、数据加密保护……笔者这里要谈的是如何通过安全的配置,使Windows Server 2003安全性大大加强。
一、安装过程中的安全问题1.NTFS系统。
老生长谈的话题了。
NTFS系统为一种高级的文件系统,提供了性能、安全、可靠性以及未在任何FAT格式版本中提供的高级功能,通过它可以实现任意文件及文件夹的加密和权限设置(这是最直观的安全设置了),磁盘配额和压缩等高级功能。
通过它,你还可以更好的利用磁盘空间,提高系统运行速度……自WindowsNT系统以来,使用NTFS系统已经逐渐成了一种共识。
为了体验NTFS系统带来的这些免费的优惠,笔者特意把硬盘所有分区都转成了NTFS 系统。
如果你在安装时不选用NTFS系统,那么后面的很多安全配置如用户权限设置等你将都不能实现。
2.安装过程中有关安全的提示。
在安装过程中需要输入Administrator密码,新的Windows Server 2003提供了一个比较成熟的密码规则,当你输入的密码不符合规则时,就会以图片形式出现如下提示(由于安装未完成,不能抓图,请谅解。
内容已经抄下来了):您已经指定的管理员帐户的密码不符合密码的条件,建议使用的密码应符合下列条件之中的前二个及至少三个:- 至少6个字符- 不包含"Administrator"或"Admin"- 包含大写字母(A、B、C等等)- 包含小写字母(a、b、c等等)- 包含数字(0、1、2等等)- 包含非字母数字字符(#、&、~等等)您确定要继续使用当前密码吗?之所以说是“比较成熟”的密码规则,因为就算你的密码设置不符合此规则也能照样顺利进行下一步安装,这就为以后的系统安全埋下了隐患。
windows2003服务器安全配置的建议
通过终端服务允许登陆:只加入Administrators组,其他全部删除
C、本地策略——>安全选项
交互式登陆:不显示上次的用户名 启用
网络访问:可匿名访问的共享 全部删除
网络访问:可匿名访问的命名管道 全部删除
**网络访问:可远程访问的注册表路径 全部删除
**网络访问:可远程访问的注册表路径和子路径 全部删除
帐户:重命名来宾帐户 重命名一个帐户
(下面一项更改可能导致sqlserver不能使用)
帐户:重命名系统管理员帐户 重命名一个帐户
二、iis配置(包括网站所在目录)
1.新建自己的网站(*注意:在应用程序设置中执行权限设为无,在需要的目录里再更改),目录不在系统盘
4.防止ICMP重定向报文的攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
将EnableICMPRedirects 值设为0
5.不支持IGMP协议
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
注:在2003系统里,不推荐用TCP/IP筛选里的端口过滤功能,譬如在使用FTP服务器的时候,如果仅仅只开放21端口,由于FTP协议的特殊性,在进行FTP传输的时候,由于FTP 特有的Port模式和Passive模式,在进行数据传输的时候,需要动态的打开高端口,所以在使用TCP/IP过滤的情况下,经常会出现连接上后无法列出目录和数据传输的问题。所以在2003系统上增加的windows连接防火墙能很好的解决这个问题,所以都不推荐使用网卡的TCP/IP过滤功能。
最全的Windows server 2003服务器安全配置详解
最全的Windows server2003服务器安全配置详解配置WindowsServer2003 + IIS6.0 + ASP + NET + PHP + PERL + MSSQL + MYSQL 最新服务器安全设置技术实例最全的Windows服务器安全配置详解一详解一:::Web服务器安全配置的内容1终端服务默认端口号:3389。
更改原因:不想让非法用户连接到服务器进行登录实验。
当这台服务器托管在外时更不希望发生这种情况,呵呵,还没忘记2000的输入法漏洞吧?更改方法:(1)、第一处[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ Wds \ rdpwd \ Tds \ tcp],看到右边的PortNumber了吗?在十进制状态下改成你想要的端口号吧,比如7126之类的,只要不与其它冲突即可。
(2)、第二处[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp,方法同上,记得改的端口号和上面改的一样就行了。
2系统盘\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe、telnet.exe、ftp.exe 文件只给Administrators 组和SYSTEM 的完全控制权限注册表删除WScript.Shell、WScript.Shell.1、work、work.1、Shell.application注册表改名adodb.stream、Scripting.Dictionary、Scripting.FileSystemObject3启用防火墙和tcp/ip过滤,再serv-u开启一组端口映射80 \ 20 \ 21 \ 2121 \ * 以及serv-u端口组4关闭默认共享在Windows 2000中,有一个“默认共享”,这是在安装服务器的时候,把系统安装分区自动进行共享,虽然对其访问还需要超级用户的密码,但这是潜在的安全隐患,从服务器的安全考虑,最好关闭这个“默认共享”,以保证系统安全。
Windows Server 2003安全设置
实验二Windows Server 2003安全设置【实验背景】Windows Server 2003作为Microsoft 最新推出的服务器操作系统,不仅继承了Windows 2000/XP的易用性和稳定性,而且还提供了更高的硬件支持和更加强大的安全功能,无疑是中小型网络应用服务器的首选。
虽然缺省的Windows 2003安装比缺省的Windows NT或Windows 2000安装安全许多,但是它还是存在着一些不足,许多安全机制依然需要用户来实现它们。
【实验目的】掌握Windows Server 2003常用的安全设置。
【实验条件】安装了Windows Server 2003的计算机。
【实验任务】就Windows Server 2003在网络应用中帐户、共享、远程访问、服务等方面的安全性作相关设置。
【实验步骤】1. 修改管理员帐号和创建陷阱帐号Windows操作系统默认安装用Administrator作为管理员帐号,黑客也往往会先试图破译Administrator帐号密码,从而开始进攻系统,所以系统安装成功后,应重命名Administrator帐号。
方法如下:(1) 打开【本地安全设置】对话框,选择“本地策略”→“安全选项”,如图1所示。
图1 重命名系统帐户(2) 双击“帐户:重命名系统管理员帐户”策略,给Administrator重新设置一个平常的用户名,如user1,然后新建一个权限最低的、密码极复杂的Administrator的陷阱帐号来迷惑黑客,并且可以借此发现它们的入侵企图。
2. 清除默认共享隐患Windows Server 2003系统在默认安装时,都会产生默认的共享文件夹,如图2所示。
如果攻击者破译了系统的管理员密码,就有可能通过“\\工作站名\共享名称”的方法,打开系统的指定文件夹,因此应从系统中清除默认的共享隐患。
图2 共享资源管理1) 删除默认共享以删除图2中的默认磁盘及系统共享资源为例,首先打开“记事本”,根据需要编写如下内容的批处理文件:@echo offnet share C$ /delnet share D$ /delnet share E$ /delnet share admin$ /del文件保存为delshare.bat,存放到系统所在文件夹下的system32\GroupPolicy\User \Scripts\Logon目录下。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Windows Server 2003网络服务器安全攻略Win2003 Server的安全性较之Win2K确实有了很大的提高,但是用Win2003 Server作为服务器是否就真的安全了?如何才能打造一个安全的个人Web服务器?下面我们简单介绍一下……一、Windows Server2003的安装1、安装系统最少两需要个分区,分区格式都采用NTFS格式2、在断开网络的情况安装好2003系统3、安装IIS,仅安装必要的IIS 组件(禁用不需要的如FTP 和SMTP 服务)。
默认情况下,IIS服务没有安装,在添加/删除Win组件中选择“应用程序服务器”,然后点击“详细信息”,双击Internet信息服务(iis),勾选以下选项:Internet 信息服务管理器;公用文件;后台智能传输服务(BITS) 服务器扩展;万维网服务。
如果你使用FrontPage 扩展的Web 站点再勾选:FrontPage 2002 Server Extensions4、安装MSSQL及其它所需要的软件然后进行Update。
5、使用Microsoft 提供的MBSA(Microsoft Baseline Security Analyzer)工具分析计算机的安全配置,并标识缺少的修补程序和更新。
下载地址:见页末的链接二、设置和管理账户1、系统管理员账户最好少建,更改默认的管理员帐户名(Administrator)和描述,密码最好采用数字加大小写字母加数字的上档键组合,长度最好不少于14位。
2、新建一个名为Administrator的陷阱帐号,为其设置最小的权限,然后随便输入组合的最好不低于20位的密码3、将Guest账户禁用并更改名称和描述,然后输入一个复杂的密码,当然现在也有一个DelGuest的工具,也许你也可以利用它来删除Guest账户,但我没有试过。
4、在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略,将账户设为“三次登陆无效”,“锁定时间为30分钟”,“复位锁定计数设为30分钟”。
5、在安全设置-本地策略-安全选项中将“不显示上次的用户名”设为启用6、在安全设置-本地策略-用户权利分配中将“从网络访问此计算机”中只保留Internet来宾账户、启动IIS进程账户。
如果你使用了还要保留Aspnet账户。
7、创建一个User账户,运行系统,如果要运行特权命令使用Runas命令。
三、网络服务安全管理1、禁止C$、D$、ADMIN$一类的缺省共享打开注册表,HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters,在右边的窗口中新建Dword值,名称设为AutoShareServer值设为02、解除NetBios与TCP/IP协议的绑定右击网上邻居-属性-右击本地连接-属性-双击Internet协议-高级-Wins-禁用TCP/IP上的NETBIOS3、关闭不需要的服务,以下为建议选项Computer Browser:维护网络计算机更新,禁用Distributed File System: 局域网管理共享文件,不需要禁用Distributed linktracking client:用于局域网更新连接信息,不需要禁用Error reporting service:禁止发送错误报告Microsoft Serch:提供快速的单词搜索,不需要可禁用NTLMSecuritysupportprovide:telnet服务和Microsoft Serch用的,不需要禁用PrintSpooler:如果没有打印机可禁用Remote Registry:禁止远程修改注册表Remote Desktop Help Session Manager:禁止远程协助四、打开相应的审核策略在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-审核策略在创建审核项目时需要注意的是如果审核的项目太多,生成的事件也就越多,那么要想发现严重的事件也越难当然如果审核的太少也会影响你发现严重的事件,你需要根据情况在这二者之间做出选择。
推荐的要审核的项目是:登录事件成功失败账户登录事件成功失败系统事件成功失败策略更改成功失败对象访问失败目录服务访问失败特权使用失败五、其它安全相关设置1、隐藏重要文件/目录可以修改注册表实现完全隐藏:“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”,鼠标右击“CheckedValue”,选择修改,把数值由1改为02、启动系统自带的Internet连接防火墙,在设置服务选项中勾选Web服务器。
3、防止SYN洪水攻击HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters新建DWORD值,名为SynAttackProtect,值为24. 禁止响应ICMP路由通告报文HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface新建DWORD值,名为PerformRouterDiscovery 值为05. 防止ICMP重定向报文的攻击HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters将EnableICMPRedirects 值设为06. 不支持IGMP协议HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters新建DWORD值,名为IGMPLevel 值为07、禁用DCOM:运行中输入Dcomcnfg.exe。
回车,单击“控制台根节点”下的“组件服务”。
打开“计算机”子文件夹。
对于本地计算机,请以右键单击“我的电脑”,然后选择“属性”。
选择“默认属性”选项卡。
清除“在这台计算机上启用分布式COM”复选框。
注:3-6项内容我采用的是Server2000设置,没有测试过对2003是否起作用。
但有一点可以肯定我用了一段的时间没有发现其它副面的影响。
六、配置IIS 服务:1、不使用默认的Web站点,如果使用也要将将IIS目录与系统磁盘分开。
2、删除IIS默认创建的Inetpub目录(在安装系统的盘上)。
3、删除系统盘下的虚拟目录,如:_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。
4、删除不必要的IIS扩展名映射。
右键单击“默认Web站点→属性→主目录→配置”,打开应用程序窗口,去掉不必要的应用程序映射。
主要为.shtml, .shtm, .stm5、更改IIS日志的路径右键单击“默认Web站点→属性-网站-在启用日志记录下点击属性6、如果使用的是2000可以使用iislockdown来保护IIS,在2003运行的IE6.0的版本不需要。
7、使用UrlScanUrlScan是一个ISAPI筛选器,它对传入的HTTP数据包进行分析并可以拒绝任何可疑的通信量。
目前最新的版本是2.5,如果是2000Server需要先安装1.0或2.0的版本。
下载地址见页未的链接如果没有特殊的要求采用UrlScan默认配置就可以了。
但如果你在服务器运行程序,并要进行调试你需打开要%WINDIR%\System32\Inetsrv\URLscan文件夹中的URLScan.ini 文件,然后在UserAllowVerbs节添加debug谓词,注意此节是区分大小写的。
如果你的网页是.asp网页你需要在DenyExtensions删除.asp相关的内容。
如果你的网页使用了非ASCII代码,你需要在Option节中将AllowHighBitCharacters的值设为1在对URLScan.ini 文件做了更改后,你需要重启IIS服务才能生效,快速方法运行中输入iisreset如果你在配置后出现什么问题,你可以通过添加/删除程序删除UrlScan。
8、利用WIS (Web Injection Scanner)工具对整个网站进行SQL Injection 脆弱性扫描.下载地址:[/websample/othersample.aspx]爱好者[/url]七、配置Sql服务器1、System Administrators 角色最好不要超过两个2、如果是在本机最好将身份验证配置为Win登陆3、不要使用Sa账户,为其配置一个超级复杂的密码4、删除以下的扩展存储过程格式为:use mastersp_dropextendedproc '扩展存储过程名'xp_cmdshell:是进入操作系统的最佳捷径,删除访问注册表的存储过程,删除Xp_regaddmultistringXp_regdeletekeyXp_regdeletevalueXp_regenumvaluesXp_regread Xp_regwrite Xp_regremovemultistringOLE自动存储过程,不需要删除Sp_OACreate Sp_OADestroySp_OAGetErrorInfoSp_OAGetPropertySp_OAMethodSp_OASetPropertySp_OAStop5、隐藏SQL Server、更改默认的1433端口右击实例选属性-常规-网络配置中选择TCP/IP协议的属性,选择隐藏SQL Server 实例,并改原默认的1433端口。
八、如果只做服务器,不进行其它操作,使用IPSec1、管理工具—本地安全策略—右击IP安全策略—管理IP筛选器表和筛选器操作—在管理IP筛选器表选项下点击添加—名称设为Web筛选器—点击添加—在描述中输入Web服务器—将源地址设为任何IP 地址——将目标地址设为我的IP地址——协议类型设为Tcp——IP协议端口第一项设为从任意端口,第二项到此端口80——点击完成——点击确定。
2、再在管理IP筛选器表选项下点击添加—名称设为所有入站筛选器—点击添加—在描述中输入所有入站筛选—将源地址设为任何IP地址——将目标地址设为我的IP地址——协议类型设为任意——点击下一步——完成——点击确定。
3、在管理筛选器操作选项下点击添加——下一步——名称中输入阻止——下一步——选择阻止——下一步——完成——关闭管理IP筛选器表和筛选器操作窗口4、右击IP安全策略——创建IP安全策略——下一步——名称输入数据包筛选器——下一步——取消默认激活响应原则——下一步——完成5、在打开的新IP安全策略属性窗口选择添加——下一步——不指定隧道——下一步——所有网络连接——下一步——在IP筛选器列表中选择新建的Web筛选器——下一步——在筛选器操作中选择许可——下一步——完成——在IP筛选器列表中选择新建的阻止筛选器——下一步——在筛选器操作中选择阻止——下一步——完成——确定6、在IP安全策略的右边窗口中右击新建的数据包筛选器,点击指派,不需要重启,IPSec 就可生效.九、建议如果你按本文去操作,建议每做一项更改就测试一下服务器,如果有问题可以马上撤消更改。