windows server 2003安全管理实战的文档

湖南科技职业学院Windows Server 2003系统安全项目文档班级：网络3061指导老师：邓卫军组长：丁传华组员：刘宏谱曹伟李子霖严萌2008年12月目录一、配置域的基础结构 (2)1.1 创建一个用于管理的OU (2)1.2 组策略管理和安全模板的导入 (3)1.3 设置密码策略 (5)1.4 设置安全选项 (5)二、成员服务器基线 (7)2.1考察审核策略 (7)2.2考察用户权限 (9)2.3考察其他安全选项 (10)2.4统服务设置 (11)三、强化域控制器 (13)3.1重新部署数据― Active Directory 数据库和日志文件 (13)3.2配置使用Syskey保护帐户数据 (14)3.3禁用错误报告 (15)3.4用IPSec过滤器阻断端口 (15)四、强化IIS服务器 (19)4.1 Internet信息服务（IIS）6.0 (19)4.2 创建站点及访问设置 (19)4.3 配置DNS服务实现域名解析访问 (21)4.4 创建FTP站点及访问设置 (22)附一第九组项目任务分配 (25)一、配置域的基础结构1.1 创建一个用于管理的OU1)分别启动三台虚拟机Server、DC、RRAS。

依次在这三台虚拟机上安装DHCP服务、AD（）、WINS服务。

2)将三台服务器的ip改成同一网段（192.168.100.0/24）；将DHCP、WINS服务器的主机名改为DHCP、WINS，DNS指定为DC服务器的ip地址；将DHCP和WINS加入到域。

3)在DC上在打开Active Directory用户和计算机，创建两个组织单元和一个全局安全组分别定义为：基础结构、成员服务器、基础结构管理员。

4)点击域中的Computers，将DHCP、WINS移动到刚创建的组织单元“基础结构”。

如图1-1所示：图1-15)新建三个用户，名称分别为adminA、adminB、adminC；密码为list123/.,然后就这三用户添加到已建立的全局安全组—基础结构管理员。

最小的权限,请根据需要设置A.NTFS系统权限设置在使用之前将每个硬盘根加上Administrators 用户为全部权限(可选加入SYSTEM用户)删除其它用户.B.进入系统盘:权限如下C:\WINDOWS Administrators SYSTEM用户全部权限Users 用户默认权限不作修改.其它目录删除Everyone用户，注意以下文件夹保留Everyone用户,C:\Documents and Settings 下All Users\Default User目录及其子目录如C:\Documents and Settings\All Users\Application Data 目录默认配置保留了Everyone用户权限,C:\WINDOWS\PCHealth、C:\windows\Installer 也是保留了Everyone权限.删除C:\WINDOWS\Web\printers目录，此目录的存在会造成IIS里加入一个.printers的扩展名，可溢出攻击.默认IIS错误页面已基本上没多少人使用了。

建议删除C:\WINDOWS\Help\iisHelp目录.删除C:\WINDOWS\system32\inetsrv\iisadmpwd，此目录为管理IIS密码之用，如一些因密码不同步造成500,这里可以删掉,下面设置将会杜绝因系统问题.C,打开C:\Windows 搜索(可以不做)net.execmd.exetftp.exenetstat.exeregedit.exeat.exeattrib.execacls.exeregsvr32.exexcopy.exewscript.execscript.exeftp.exetelnet.exearp.exeedlin.exeping.exeroute.exefinger.exeposix.exersh.exeatsvc.exeqbasic.exerunonce.exesyskey.exe修改权限，删除所有的用户只保存Administrators 和SYSTEM为所有权限D.关闭445端口HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\netBT\Parameters新建“DWORD值”值名为“SMBDeviceEnabled”数据为默认值“0”禁止建立空连接HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa新建“DWORD值”值名为“RestrictAnonymous”数据值为“1”[2003默认为1]禁止系统自动启动服务器共享HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters新建“DWORD值”值名为“AutoShareServer”数据值为“0”禁止系统自动启动管理共享HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters新建“DWORD值”值名为“AutoShareWks”数据值为“0”禁止dump file的产生dump文件在系统崩溃和蓝屏的时候是一份很有用的查找问题的资料。

《Windows Server 2003管理》实训大纲
一、实训目的
本课程实践性强，为了加强工程实践，配合教学，安排课程设计，培养学生实际操作的能力，要求独立操作，熟练使用Windows server 2003网络操作系统的基本管理方法。

二、实训要求
通过一周的Windows Server 2003管理课程设计，学生应能针对小型网络进行管理，达到以下目标：
1、学会Windows Server 2003的安装，掌握不同版本的安装方法。

2、掌握本地用户帐户和域用户帐户的创建和管理
3、掌握域控制器的管理
4、掌握域安全策略的设置
5、掌握磁盘配额和脱机文件
6、掌握基本磁盘和动态磁盘之间的相互转换，理解各种卷的特点
7、掌握打印机的添加和管理
三、考核办法
每人独立完成所有实训项目，将个人所做的各项设置在学生机上保存，并完成各个实验的课程设计报告。

学生的保存设置和课程设计报告各占50%，并在期末考试中记入总成绩。

制订人：梁秀清
1。

Windows2003Server安全配置完整篇（3）服务器教程-电脑资料四、磁盘权限设置C盘只给administrators和system权限，其他的权限不给，其他的盘也可以这样设置，这里给的system权限也不一定需要给，只是由于某些第三方应用程序是以服务形式启动的，需要加上这个用户，否则造成启动不了，。

Windows目录要加上给users的默认权限，否则ASP和ASPX等应用程序就无法运行。

以前有朋友单独设置Instsrv和temp等目录权限，其实没有这个必要的。

另外在c:/Documents and Settings/这里相当重要，后面的目录里的权限根本不会继承从前的设置，如果仅仅只是设置了C盘给administrators权限，而在All Users/Application Data目录下会出现everyone用户有完全控制权限，这样入侵这可以跳转到这个目录，写入脚本或只文件，再结合其他漏洞来提升权限；譬如利用serv-u的本地溢出提升权限，或系统遗漏有补丁，数据库的弱点，甚至社会工程学等等N多方法，从前不是有牛人发飑说："只要给我一个webshell，我就能拿到system"，这也的确是有可能的。

在用做web/ftp服务器的系统里，建议是将这些目录都设置的锁死。

其他每个盘的目录都按照这样设置，每个盘都只给adinistrators权限。

另外，还将：net.exe NET命令cmd.exetftp.exenetstat.exeregedit.exeat.exeattrib.execacls.exe ACL用户组权限设置，此命令可以在NTFS下设置任何文件夹的任何权限！format.exe大家都知道ASP木马吧，有个CMD运行这个的，这些如果都可以在CMD下运行..55，，估计别的没啥，format下估计就哭料~~~（：这些文件都设置只允许administrator访问。