Windows_Server_2003_安全设置手册
关于Windows Server 2003安全配置再设置的探讨
【 关键词 】 n o s e r 0 3 特 点; Wid w  ̄e 0 ; S 2 安全配置的再设 置
Th s u so fW i o e ve 0 3 S f s sto sI t l Ag e Dic s i n o nd wsS r r 2 0 a e Dipo ii n nsa l mn SHICh n u
一
、
三 年 以 后 , 一 个 时 代 英 雄 也 已 闪 亮 登 场— — 它 就 是 W idw e e 无 漏 洞 。 其次 , 确 设 置 磁 盘 的 安 全性 。 另 no sSr r v 正 具 体 如下 ( 虚拟 机 的安 全 设 置 , 我们 以 ap程 序 为例 子 ) 点 : s 重 20 。 果 你认 为 它 只足 Widw 00的 一个 简 单 升 级 版 本 , 就 错 03 如 n o s2 0 那 了 。微 软 在 Widw 0 0推 出 后 就对 这个 产 品 进行 过 多 次 彻 底 的修 n o s20 订 。 现 在 人们 对 Widw e e 0 3的 最 大 印 象 应 该 是 它 固若 金 汤 n o sS r r 0 v 2 的 安 全性 。 一 次 , 软在 安 全 性 能 上 大 作 文 章 , 却 丝 毫 没 有 影 响 到 这 微 但 系 统 的 可操 作 性 。 可 以 这 么 说 , n o s e e 0 3的 可 操 作 性 比 其 Wid w r r20 Sv 前 辈 的都 高 。l 1 I 微 软 在 Widw e e 0 3中 添加 了许 多 全 新 的 特 性 。 比如 , n o sSr r 0 v 2 类 似 于 Noel 的 “ av g i ” 的 “ 影 复 制 服 务 ” V l m h d w vl中 S a eB n l 卷 ( o eSa o u Cp e ie oySr c )就 是 其 中之 一 。管 理 人 员 一 旦 在 驱 动 器 中启 用 该 项 服 v 务, 服务 器 就 会 定 期对 驱 动器 进 行 快 照 记 录 。终 端 用 户 可 以利 用 这一
Win 2003 Server 服务器安全设置(六)本地安全策略
Win 2003 Server 服务器安全设置(七)服务器安全设置之--本地安全策略设置
安全策略自动更新命令:GPUpdate /force (应用组策略自动生效不需重新启动) 开始菜单—>管理工具—>本地安全策略
A、本地策略——>审核策略
审核策略更改成功失败
审核登录事件成功失败
审核对象访问失败
审核过程跟踪无审核
审核目录服务访问失败
审核特权使用失败
审核系统事件成功失败
审核账户登录事件成功失败
审核账户管理成功失败
B、本地策略——>用户权限分配
关闭系统:只有Administrators组、其它全部删除。
通过终端服务拒绝登陆:加入Guests、User组
通过终端服务允许登陆:只加入Administrators组,其他全部删除
C、本地策略——>安全选项
交互式登陆:不显示上次的用户名启用
网络访问:不允许SAM帐户和共享的匿名枚举启用
网络访问:不允许为网络身份验证储存凭证启用
网络访问:可匿名访问的共享全部删除
网络访问:可匿名访问的命全部删除
网络访问:可远程访问的注册表路径全部删除
网络访问:可远程访问的注册表路径和子路径全部删除
帐户:重命名来宾帐户重命名一个帐户
帐户:重命名系统管理员帐户重命名一个帐户。
windows 2003 server 配置大全
1.开始—运行—键入“gpedit.msc”,然后点击“确实”打开“组策略”窗口。在“组策略”窗口的左框内依次序展开∶计算机配置-->Windows设置-->安全设置-->本地策略-->安全;点击“安全”选项后,在窗口的右框中找到“帐户∶重命名系统管理员帐户”,然后双击它,在出现的对话框中输入你用来取代Administrator的帐户名称,如∶Abc
1、在开始菜单中,依次执行“程序”-->“附件”-->“命令提示符”命令,将界面切换到DOS命令行状态下;
2、在DOS命令行状态下直接输入“CHKNTFS/T:0”命令,单击回车键后,系统就能自动将检查磁盘的等待时间修改为0了。下次遇到异常情况,重新启动计算机后,系统再调用磁盘扫描程序时,就不需要等待了。
2、用鼠标右键单击桌面空白处,从快捷菜单中执行“属性”命令,再打开“外观”标签页面,在其中的“窗口和按钮”处,选中WindowsXP样式。
3.右键点击“我的电脑”-->“属性”-->高级-->性能-->视觉效果-->调整为最佳外观。至此,系统中的工具栏菜单、窗口等样式就会按照指定的风格来显示了。
十一、解决运行大型软件时系统反应缓慢
右键点击“我的电脑”-->属性-->高级-->性能-->设置-->高级,把“处理器计划”和内存使用分配给“程序”使用。然后点击“确定”
十二、禁用错误报告
右键点击“我的电脑”-->属性-->高级-->点击“错误报告”按钮,在出现的窗口中把“禁用错误报告”选上并复选“但在发生严重错误时通知我”
第6章 Windows Server 2003操作系统安全
RFC2408:密钥管理功能规范
12
6.2 Windows Server 2003的安全机制
IP安全体系结构
(3)安全联系
IP的认证机制和机密性机制中都包含一个关键的概念,即安全联盟 (Security Association,SA),安全联系是一个发送者和接收者之间的单向的 连接关系,该连接为其上传输的数据提供了安全服务。如果需要维护一 个对等关系,为了保证双向的安全交换,就需要建立两个安全联系。
8
6.2 Windows Server 2003的安全机制
Kerberos Kerberos V4
Kerberos 的V4版本中使用DES算法,在协议中提供了认证服务,通过安全认证来确 保Windows Server 2003的安全,具体协议内容如书中表6-1所示。
Kerberos域和多重Kerberos
– – – – Kerberos; IPSec; PKI; NT局域网管理器(NT LAN Manager,NTLM)。这是一个遗留协 议,Microsoft在Windows Server 2003中保留它是为了支持过去 的Windows客户端和服务器。
6
6.2 Windows Server 2003的安全机制
9
6.2 Windows Server 2003的安全机制
IPSec
IP安全概述
在现有的网络攻击方式中,最严重的攻击类型包括IP欺骗和各种形式 的报文窃听攻击。 (1)IPSec的应用 IPSec提供了跨保障局域网、跨私有/公共广域网以及跨Internet的安全通 信的能力,有很广泛的应用范围,如通过Internet 进行的企业部门之间 的安全连接、通过Internet进行安全的远程访问、合作伙伴之间外网和 内网的连接以及安全的电子商务等。 IPSec之所以能够应用于许多不同的应用领域,主要是因为IPSec可以 加密和/或认证IP层的所有数据流。因此,所有的分布式应用,包括远 程登录、客户/服务器系统、电子邮件、文件传输、Web访问等,都可 以通过应用IPSec机制来增强安全性。
Windows server 2003安装和设置过程
Windows server 2003安装和设置过程
开始安装了,可能直接进去或提示press any key key to boot from CD
第一种情况开始安装,第2种按任意键即可
如果没有进去,请重新设定BIOS
这是引导之后的情况,如果是正版提示欢迎画面后按ENTER,我用的是雨林木风
按C建立分区,按D删除分区
格式化(如果是已经建立并且空间足够的就可以不格式化)复制文件
重启之后进入Windows 2003继续安装,如果是正版按照提示输入用户名,密码,时间日期等等,我的雨林木风只需要等
重启之后进入系统,提示“管理您的服务器”,点下面的“登陆时不要显示此页”再关闭即可
进入“开始,程序,管理工具,服务”,打开“themes”属性,选择“自动”,应用,再点“启动”就可以换主题了
然后进行本地安全设置,取消密码复杂性设置
进入“开始,程序,管理工具,本地安全策略”,在“帐户策略,密码策略”里面
接下来取消CTRL+ALT+DEL登陆
在本地安全选项窗口里面,选择“本地策略,安全选项”,启动”不需要按CTRL+ALT+DEL“登陆
接下来,右击桌面,属性,设置,高级,疑难解答,把”硬件加速"拖到“完全”
接下来,如果你因为“本地安全策略”设置了密码,现在就可以删除了
按CTRL+ALT+DEL选“更改密码”,就可以更改了
接下来就可以像XP一样进行软件和驱动安装了,驱动程序可以用XP的。
WindowsServer2023安全配置
WindowsServer2023安全配置1. 启用防火墙:Windows Server 2023内置了防火墙功能,用户可以通过配置防火墙规则来限制网络流量,防止恶意攻击和未经授权的访问。
2. 更新系统补丁:定期更新Windows Server 2023的系统补丁和安全更新,以修复已知的漏洞和安全问题。
3. 安装安全软件:安装杀毒软件、防火墙和其他安全工具,确保系统的安全状态。
4. 配置用户权限:合理配置用户权限,限制用户对系统和应用程序的访问权限,降低被恶意软件攻击和非法访问的风险。
5. 使用加密通信:启用SSL/TLS协议,使用HTTPS协议访问网页,使用加密协议进行远程访问等,以保障通信内容的机密性和完整性。
6. 启用安全审计:通过启用Windows Server 2023的安全审计功能,记录关键事件和活动,帮助追踪和排查安全问题。
7. 加强远程访问控制:对远程访问进行认证和授权管理,使用VPN等安全通道进行远程访问,提高远程访问的安全性。
8. 设定密码策略:设置密码复杂度要求、密码过期策略、账户锁定策略等,加强账户和密码安全管理。
综上所述,通过合理的安全配置,用户可以提高Windows Server 2023系统的安全性,降低面临的安全风险。
同时,用户也需要定期对系统进行安全评估和漏洞扫描,及时更新安全策略,以应对不断变化的安全威胁。
9. 数据备份与恢复:配置定期数据备份和灾难恢复策略,确保在系统遭受攻击或数据丢失时能够及时恢复数据。
备份数据应存储在安全可靠的地方,并进行加密保护,以免被恶意攻击者获取。
10. 关闭不必要的服务:在Windows Server 2023上,往往会默认安装一些不必要的服务和功能,这些服务可能会成为潜在的安全隐患。
建议管理员进行分类评估,关闭那些不必要的服务和功能,以减少系统的攻击面。
11. 加强身份验证:采用多因素身份验证(MFA)作为访问系统的标准,确保只有经过授权的用户才能够成功访问系统。
Windows 2003下WEB服务器安全设置攻略
一、安装补丁安装好Windows 2003操作系统之后,在托管之前一定要完成补丁的安装,配置好网络后,最好安装上SP1,然后点击开始选择Windows Update,安装所有的关键更新。
二、安装杀毒软件目前的杀毒软件种类很多,其中瑞星、诺顿、卡巴斯基等都是很不错的选择。
不过,也不要指望杀毒软件能够杀掉所有的木马,因为ASP木马的特征是可以通过一定手段来避开杀毒软件的查杀。
三、设置端口保护和防火墙Windows 2003的端口屏蔽可以通过自身防火墙来解决,这样比较好,比筛选更有灵活性,桌面—>网上邻居—>属性—>本地连接—>属性—>高级—>Internet连接防火墙—>设置,把服务器上面要用到的服务端口选中,例如:一台WEB服务器,要提供WEB(80)、FTP(21)服务及远程桌面管理(3389),在“FTP 服务器”、“WEB服务器(HTTP)”、“远程桌面”前面打上对号,如果你要提供服务的端口不在里面,你也可以点击“添加”铵钮来添加,具体参数可以参照系统里面原有的参数。
然后点击确定。
注意:如果是远程管理这台服务器,请先确定远程管理的端口是否选中或添加。
1、权限设置的原理1)WINDOWS用户,在WINNT系统中大多数时候把权限按用户(組)来划分。
在开始→程序→管理工具→计算机管理→本地用户和组,管理系统用户和用户组。
2)NTFS权限设置,请记住分区的时候把所有的硬盘都分为NTFS分区,然后我们可以确定每个分区对每个用户开放的权限。
文件(夹)上右键→属性→安全,在这里管理NTFS文件(夹)权限。
3)IIS匿名用户,每个IIS站点或者虚拟目录,都可以设置一个匿名访问用户(现在暂且把它叫“IIS匿名用户”),当用户访问你的网站的.ASP文件的时候,这个.ASP文件所具有的权限,就是这个“IIS匿名用户”所具有的权限。
2、权限设置——磁盘权限系统盘及所有磁盘只给Administrators组和SYSTEM的完全控制权限系统盘\Documents and Settings目录只给Administrators组和SYSTEM的完全控制权限系统盘\Documents and Settings\All Users目录只给Administrators组和SYSTEM的完全控制权限系统盘\Inetpub目录及下面所有目录、文件只给Administrators组和SYSTEM的完全控制权限系统盘\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe文件只给Administrators组和SYSTEM的完全控制权限四、禁用不必要的服务开始菜单—>管理工具—>服务Print SpoolerRemote RegistryTCP/IP NetBIOS HelperServer以上是在Windows Server 2003系统上面默认启动的服务中禁用的,默认禁用的服务如没特别需要的话不要启动。
Windows 2003 网站目录安全权限设置指南
Windows 2003 网站安全权限设置指南随着互联网的普及和IT信息技术的快速发展,各高校所运维的网站数量和规模与日俱增。
与此同时,Windows 2003已成为比较流行的WEB服务器操作系统,安全和性能也得到了广泛的认可,基于IIS WEB服务器软件的网站数量也越来越多。
通常情况,高校的大多数服务器,会由技术力量相对雄厚的网络中心等IT资源部门运维管理。
而网站程序的制作则一般由各单位、各部门自主负责:少数用户单位将会自主开发,或者请专业的IT公司代为开发。
而更多的用户单位则会将网站的制作当作一种福利,交由勤工俭学的学生开发。
因此各网站程序的安全性参差不齐。
在这种情况下,如果不对服务器的默认安全权限进行调整,便将这些网站运行于同一台服务器上,必将引发不少令人头痛的安全问题。
最常遇到的情况是:一台Windows 2003服务器上运行着多个网站,其中某个网站存在着安全漏洞(例如没有采用参数化的SQL查询或没有对用户提交的SQL语句进行过滤),黑客便可通过攻击该网站,取得权限,上传网页木马,得到了一个WEB SHELL执行权限,或者直接利用网页木马,篡改该服务器上所有WEB站点的源文件,往源文件里加入js和iframe恶意代码。
此时那些没有安装反病毒软件的访客,浏览这些页面时便将感染上病毒,结果引来用户的严重不满和投诉,同时也严重损害了学校的形象。
为了避免类似事件的发生,我们有必要将网站和数据库分开部署,通常的作法是将网站存放于一台分配了公网IP的Windows 2003服务器,而数据库则运行于一台与互联网相隔离的私网IP数据库服务器上。
但是,仅启用以上的安全措施还是远远不够的,我们还必须调整这一台Windows2003 WEB服务器的安全权限,对权限做严格的控制,实现各网站之间权限的隔离,做法如下:在WEB服务器上,1.创建若干个系统用户,分别用作IIS6的应用程序池安全性用户和网站匿名访问帐户。
Windows Server 2003本地用户和组的管理
3、密码永不过期:在系统默认的情况下windows server2003用户帐户可使用密码最长为42天,选择该项的用户密码可以突破该项继续使用。
4、用户不能更改密码:密码是系统内定用户不可随意更改
.5、删除用户帐户myuser3:开始-控制面板-计算机管理-本地用户和组-右击myuser3
4、将mygroup2重命名为mygroup3:右击mygroup2选择重命名
5、将myuser1从中移除:双击mygroup3-点击myuser1-点击删除
6、删除组帐户mygroup3:右击mygroup3 -删除
2、密码必须符合复杂性要求:密码要包含至少6个字符,要含有英文大小写和10个基本数字和非字母字符
3、密码长度最小值:可以设置1到14中的某个值,若将字符设置为0可设置不需要密码
4、密码使用期限:可设置0到998的某个值,设为0表示要立即修改密码,密码默认的最长有效天数是42天,最短为0天
5、强制密码历史:该用户所使用的新密码不可以使用与该账户所使用的最近多少旧密码一样账户锁定安全设置:
1、账户锁定阈值:用户输入密码的期限设置,如超过所设定的值系统会锁定,可设范围为
0到999
2、账户锁定时间:如用户账户被锁定过多长时间可再次登陆
《操作系统》实训报告。
Windows 2003 Server安全配置技术技巧
Windows 2003 Server安全配置技术技巧(1)一、先关闭不需要的端口我比较小心,先关了端口。
只开了3389、21、80、1433,有些人一直说什么默认的3389不安全,对此我不否认,但是利用的途径也只能一个一个的穷举爆破,你把帐号改了密码设置为十五六位,我估计他要破上好几年,哈哈!办法:本地连接--属性--Internet协议(TCP/IP)--高级--选项--TCP/IP筛选--属性--把勾打上,然后添加你需要的端口即可。
PS一句:设置完端口需要重新启动!当然大家也可以更改远程连接端口方法:WindowsRegistryEditorVersion5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Co ntrol\TerminalServer\WinStations\RDP-Tcp]"PortNumber"=dword:00002683保存为.REG文件双击即可!更改为9859,当然大家也可以换别的端口,直接打开以上注册表的地址,把值改为十进制的输入你想要的端口即可!重启生效!还有一点,在2003系统里,用TCP/IP筛选里的端口过滤功能,使用FTP服务器的时候,只开放21端口,在进行FTP传输的时候,FTP特有的Port模式和Passive模式,在进行数据传输的时候,需要动态的打开高端口,所以在使用TCP/IP过滤的情况下,经常会出现连接上后无法列出目录和数据传输的问题。
所以在2003系统上增加的Windows连接防火墙能很好的解决这个问题,不推荐使用网卡的TCP/IP过滤功能。
做FTP下载的用户看仔细,如果要关闭不必要的端口,在\system32\drivers\etc\services中有列表,记事本就可以打开的。
如果懒的话,最简单的方法是启用WIN2003的自身带的网络防火墙,并进行端口的改变。
功能还可以!Internet连接防火墙可以有效地拦截对Windows2003服务器的非法入侵,防止非法远程主机对服务器的扫描,提高Windows2003服务器的安全性。
windows 2003系统目前最完善最完美的安全权限方案
在“服务”里关闭 iis admin service 服务。 找到 windows\system32\inetsrv\ 下的 metabase.xml 文件。 找到 ASPMaxRequestEntityAllowed 把它修改为需要的值(可修改为 20M 即:20480000) 存盘,然后重启 iis admin service 服务。 >> 解决 SERVER 2003 无法下载超过 4M 的附件问题 在“服务”里关闭 iis admin service 服务。 找到 windows\system32\inetsrv\ 下的 metabase.xml 文件。 找到 AspBufferingLimit 把它修改为需要的值(可修改为 20M 即:20480000) 存盘,然后重启 iis admin service 服务。 >> 超时问题 解决大附件上传容易超时失败的问题 在 IIS 中调大一些脚本超时时间,操作方法是: 在 IIS 的“站点或虚拟目录”的“主目录”下点击 “配置”按钮, 设置脚本超时时间为:300 秒 (注意:不是 Session 超时时间) 解决通过 WebMail 写信时间较长后,按下发信按钮就会回到系统登录界面的问题 适当增加会话时间(Session)为 60 分钟。在 IIS 站点或虚拟目录属性的“主目录”下点击“配置--> 选项”, 就可以进行设置了(Windows 2003 默认为 20 分钟) >> 修改 3389 远程连接端口 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] "PortNumber"=dword:0000 端口号 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] "PortNumber"=dword:0000 端口号 设置这两个注册表的权限, 添加“IUSR”的完全拒绝 禁止显示端口号 >> 本地策略--->用户权限分配 关闭系统:只有 Administrators 组、其它全部删除。 通过终端服务允许登陆:只加入 Administrators,Remote Desktop Users 组,其他全部删除 >> 在安全设置里 本地策略-用户权利分配,通过终端服务拒绝登陆 加入 ASPNET IUSR_ IWAM_ NETWORK SERVICE (注意不要添加进 user 组和 administrators 组 添加进去以后就没有办法远程登陆了) >> 在安全设置里 本地策略-安全选项 网络访问:可匿名访问的共享; 网络访问:可匿名访问的命名管道; 网络访问:可远程访问的注册表路径; 网络访问:可远程访问的注册表路径和子路径; 将以上四项全部删除
Windows 2003 Server 服务器安全配置(完全版)
Windows 2003 Server服务器安全配置一、先关闭不需要的端口我比较小心,先关了端口。
只开了3389、21、80、1433,有些人一直说什么默认的3389不安全,对此我不否认,但是利用的途径也只能一个一个的穷举爆破,你把帐号改了密码设置为十五六位,我估计他要破上好几年,哈哈!办法:本地连接--属性--Internet协议(TCP/IP)--高级--选项--TCP/IP筛选--属性--把勾打上,然后添加你需要的端口即可。
PS一句:设置完端口需要重新启动!当然大家也可以更改远程连接端口方法:Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE \ SYSTEM\ Current ControlSet \ Control \ TerminalServer\WinStations\RDP-Tcp]"PortNumber"=dword:00002683保存为.REG文件双击即可!更改为9859,当然大家也可以换别的端口,直接打开以上注册表的地址,把值改为十进制的输入你想要的端口即可!重启生效!还有一点,在2003系统里,用TCP/IP筛选里的端口过滤功能,使用FTP服务器的时候,只开放21端口,在进行FTP传输的时候,FTP 特有的Port模式和Passive模式,在进行数据传输的时候,需要动态的打开高端口,所以在使用TCP/IP过滤的情况下,经常会出现连接上后无法列出目录和数据传输的问题。
所以在2003系统上增加的Windows连接防火墙能很好的解决这个问题,不推荐使用网卡的TCP/IP过滤功能。
做FTP下载的用户看仔细,如果要关闭不必要的端口,在\system32\drivers\etc\services 中有列表,记事本就可以打开的。
如果懒的话,最简单的方法是启用WIN2003的自身带的网络防火墙,并进行端口的改变。
Windows Server 2003内置防火墙(ICF)配置方法
Windows Server 2003内置防火墙(ICF)配置方法ICF(Internet Connection Firewall,Internet连接防火墙)Windows Server 2003系统自带的防火墙工具一、启用ICF默认情况下,ICF并没有开启,我们需要手动启用它。
例如我们要启用“本地连接”的ICF,操作步骤如下:步骤一:右键点击“网上邻居”图标,执行“属性”命令,双击“本地连接”,接着点击“属性”,进入“本地连接属性”对话框。
步骤二:点击“高级”按钮切换至“高级”选项卡,勾选“通过限制或阻止来自Internet的对此计算机的访问来保护我的计算机和网络”选项,点击“确定”,这样即可开启ICF。
二、对ICF进行安全设置启用ICF后如果不进行任何设置,那么该服务器的所有端口将被禁用,相应的服务也将被停止。
因此,我们需要对ICF进行必要的设置以符合我们的实际需要。
1.设置常规服务这里所说的常规服务是指我们常常用到的WWW、FTP等服务。
ICF在默认情况下提供了几种常用服务供我们设置。
点击“高级”选项卡中的“设置”按钮,进入“高级设置”对话框。
在“服务”选项卡中,提供了常用服务的列表,如果我们的服务器需要提供FTP服务,则只须勾选“FTP服务器”选项(图1),在打开的“服务设置”对话框中保持默认的计算机名即可(请勿在例外中进行设置,一定要在本地设置)图 12.设置非常规服务为了防止用户的不良访问,我们常常需要将一些常规服务的默认端口屏蔽掉,而采用一些非默认端口提供常规服务。
例如,我们可以使用6000端口提供WWW服务。
点击图1中的“添加”按钮,打开“服务设置”对话框。
在该对话框中添加相应信息,注意一定要在外部和内部端口号中添加“6000”(图 2),然后点击“确定”按钮。
这时即可在服务列表中看到刚刚添加的服务。
图 23.ICMP设置ICMP即Internet控制信息协议,我们最常用的Ping命令就是基于ICMP的。
终级Win2003服务器安全配置篇
终级Win2003服务器安全配置篇今天演示一下服务器权限的设置,实现目标是系统盘任何一个目录asp网马不可以浏览,事件查看器完全无错,所有程序正常运行.这个不同于之前做的两个演示,此演示基本上保留系统默认的那些权限组不变,保留原味,以免取消不当造成莫名其妙的错误.看过这个演示,之前的超详细web服务器权限设置,精确到每个文件夹和超详细web服务器权限设置,事件查看器完全无报错就不用再看了.这个比原来做的有所改进.操作系统用的是雨林木风的ghost镜像,补丁是打上截止11.2号最新的Power Users组是否取消无所谓具体操作看演示windows下根目录的权限设置:C:\WINDOWS\Application Compatibility Scripts 不用做任何修改,包括其下所有子目录C:\WINDOWS\AppPatch AcWebSvc.dll已经有users组权限,其它文件加上users组权限C:\WINDOWS\Connection Wizard 取消users组权限C:\WINDOWS\Debug users组的默认不改C:\WINDOWS\Debug\UserMode默认不修改有写入文件的权限,取消users组权限,给特别的权限,看演示C:\WINDOWS\Debug\WPD不取消Authenticated Users组权限可以写入文件,创建目录.C:\WINDOWS\Driver Cache取消users组权限,给i386文件夹下所有文件加上users组权限C:\WINDOWS\Help取消users组权限C:\WINDOWS\Help\iisHelp\common取消users组权限C:\WINDOWS\IIS Temporary Compressed Files默认不修改C:\WINDOWS\ime不用做任何修改,包括其下所有子目录C:\WINDOWS\inf不用做任何修改,包括其下所有子目录C:\WINDOWS\Installer 删除everyone组权限,给目录下的文件加上everyone组读取和运行的权限C:\WINDOWS\java 取消users组权限,给子目录下的所有文件加上users组权限C:\WINDOWS\MAGICSET 默认不变C:\WINDOWS\Media 默认不变C:\WINDOWS\不用做任何修改,包括其下所有子目录C:\WINDOWS\msagent 取消users组权限,给子目录下的所有文件加上users组权限C:\WINDOWS\msapps 不用做任何修改,包括其下所有子目录C:\WINDOWS\mui取消users组权限C:\WINDOWS\PCHEALTH 默认不改C:\WINDOWS\PCHEALTH\ERRORREP\QHEADLES 取消everyone组的权限C:\WINDOWS\PCHEALTH\ERRORREP\QSIGNOFF 取消everyone组的权限C:\WINDOWS\PCHealth\UploadLB 删除everyone组的权限,其它下级目录不用管,没有user组和everyone组权限C:\WINDOWS\PCHealth\HelpCtr 删除everyone组的权限,其它下级目录不用管,没有user组和everyone组权限(这个不用按照演示中的搜索那些文件了,不须添加users组权限就行)C:\WINDOWS\PIF 默认不改C:\WINDOWS\PolicyBackup默认不改,给子目录下的所有文件加上users组权限C:\WINDOWS\Prefetch 默认不改C:\WINDOWS\provisioning 默认不改,给子目录下的所有文件加上users组权限C:\WINDOWS\pss默认不改,给子目录下的所有文件加上users组权限C:\WINDOWS\RegisteredPackages默认不改,给子目录下的所有文件加上users组权限C:\WINDOWS\Registration\CRMLog默认不改会有写入的权限,取消users组的权限C:\WINDOWS\Registration取消everyone组权限.加NETWORK SERVICE 给子目录下的文件加everyone可读取的权限,C:\WINDOWS\repair取消users组权限C:\WINDOWS\Resources取消users组权限C:\WINDOWS\security users组的默认不改,其下Database和logs目录默认不改.取消templates目录users 组权限,给文件加上users组C:\WINDOWS\ServicePackFiles 不用做任何修改,包括其下所有子目录C:\WINDOWS\SoftwareDistribution不用做任何修改,包括其下所有子目录C:\WINDOWS\srchasst 不用做任何修改,包括其下所有子目录C:\WINDOWS\system 保持默认C:\WINDOWS\TAPI取消users组权限,其下那个tsec.ini 权限不要改C:\WINDOWS\twain_32取消users组权限,给目录下的文件加users组权限C:\WINDOWS\vnDrvBas 不用做任何修改,包括其下所有子目录C:\WINDOWS\Web取消users组权限给其下的所有文件加上users组权限C:\WINDOWS\WinSxS 取消users组权限,搜索*.tlb,*.policy,*.cat,*.manifest,*.dll,给这些文件加上everyone组和users权限给目录加NETWORK SERVICE完全控制的权限C:\WINDOWS\system32\wbem 这个目录有重要作用。
6:Win2003 Server本地策略配置
第2步:在控制台树中要设置组策略的域或组织 单位上(本例以域为例)单击右键,然后 选择“属性”选项,在打开的对话框中选择“组策 略”选项卡,对话框如图所示。
1、对于本地计算机 对于本地计算机的用户帐户,其密码策略设置 是在“本地安全设置”管理工个中进行的。下面是 具体的配置方法。
第一步:执行〖开始〗→〖管理工具〗→〖本 地安全策略〗菜单操作,打开如图所示的“本地安 全设置”界面。对于本地计算机中用户“帐户和本 地策略”都查在此管理工具中进行配置的。
2、 帐户锁定阈值
该安全设置确定造成用户帐户被锁定的登录失败尝 试的次数。无法使用锁定的帐户,除非管理员进行了重 新设置或该帐户的锁定时间已过期。登录尝试失败的范 围可设置为0至999之间。如果将此值设为0,则将无法 锁定帐户。 对于使用Ctrl+Alt+Delete组合键或带有密码保护的 屏幕保护程序锁定的工作站或成员服务器计算机上,失 败的密码尝试计入失败的登录尝试次数中。
【注意】要维持密码历史记录的有效性,则在通过 启用密码最短使用期限安全策略设置更改密码之后,不 允许立即更改密码。
密码最长使用期限 该安全设置确定系统要求用户更改密码之前可以使用 该密码的时间(单位为天)。可将密码的过期天数设置 在1至999天之间;如果将天数设置为0,则指定密码永不 过期。如果密码最长使用期限在1至999天之间,那么 “密码最短使用期限”(下面将介绍)必须小于密码最 长使用期限。如果密码最长使用期限设置为0,则密码最 短使用期限可以是1至998天之间的任何值。 默认值:42。 【技巧】使密码每隔30至90天过期一次是一种安全最 佳操作,取决于您的环境。通过这种方式,攻击者只能 够在有限的时间内破解用户密码并访问您的网络资源。
windows2003服务器详解设置大全
Windows 2003 服务器详解设置大全Windows Server 2003 是微软推出的一款服务器操作系统,它基于 Windows NT 的架构,具有非常好的稳定性、可靠性和安全性,适用于企业实施各种应用解决方案。
本文将详细介绍 Windows Server 2003 的设置方法和相关技巧。
安装 Windows 2003 服务器安装 Windows Server 2003 服务器需要以下步骤:1.选择安装语言和安装选项,例如安装 Windows Server 2003 标准版或企业版等。
2.选择安装位置,可以选择已有分区上进行安装,也可以新建分区。
3.设置管理员密码,以保证服务器的管理安全。
4.完成安装后,系统会自动重启,启动时将进入 Windows Server 2003配置向导。
配置 Windows 2003 服务器这里讲解 Windows Server 2003 服务器配置的方式和相关技术:配置网络1.左键单击“开始” ->“控制面板” -> “网络连接” -> “本地连接” -> 右键单击“属性”。
2.双击“Internet 协议(TCP/IP)”选项卡,进入“属性”对话框。
3.选择“自动获取 IP 地址”或“手动配置 IP 地址”进行网络配置。
配置域名和 DNS1.在“控制面板”中选择“管理工具”,然后单击“DNS”。
2.可以在“后缀”下输入本地 DNS 服务器的完全限定域名,也可以直接在“区域”下输入域名。
3.单击“新建区域”,输入相应的域名和 IP 地址。
可以在“区域域名”下找到设置的域名。
配置 FTP 高级服务1.在计算机上运行 Microsoft IIS (Internet 信息服务),并选择“FTP站点”。
2.选择“FTP 站点”,点击“属性”按钮。
3.在“FTP 站点属性”对话框中,单击“高级”选项卡,随后将 FTP 主目录配置为指定目录。
配置防火墙1.在“控制面板”中找到“安全中心”,单击“Windows 防火墙”进行防火墙的配置。
windows2003安全设置之改注注册表
windows2003安全设置之改注注册表注册表包含 Windows 在运行期间不断引用的信息,例如,每个用户的配置文件、计算机上安装的应用程序以及每个应用程序可以创建的文档类型、文件夹和应用程序图标的属性表设置、系统上存在哪些硬件以及正在使用哪些端口等等等,,在这里,只是改注册表,限一些东西而已.点击【开始】-"运行"-"regedit"- "确定"就可以打开注册表了.(1).设置关闭445端口HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/netBT/Parameters新建“DWORD值”值名为“SMBDeviceEnabled” 数据为默认值“0”(0在十六进制,十进制都是一样)如图:(2).设置禁止建立空连接HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Lsa新建“DWORD值”值名为“RestrictAnonymous” 数据值为“1” [2003默认为1](3).设置禁止系统自动启动服务器共享HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/LanmanServer/Parame ters新建“DWORD值”值名为“AutoShareServer” 数据值为“0”(4).禁止系统自动启动管理共享HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/LanmanServer/Parame ters新建“DWORD值”值名为“AutoShareWks” 数据值为“0”(5).通过修改注册表防止小规模DDOS攻击HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters 新建“DWORD值”值名为“SynAttackProtect” 数据值为“1”。
Windows Server 2003安全概述
1.1.用户验证
• Windows Server 2003安全模型包括用户验证的概念, 它授予用户能够登录到网络并访问网络资源的能力。在 用户验证模型中,安全系统提供了交互式登录和网络验 证两类验证。
1.交互式登录
• 交互式登录在本地计算机或Active Directory账户中验证 用户的身份。
访问控制列表举例
2.访问控制模型
• Windows中的访问控制模型是Windows安全性的基础构件。 访问控制模型有访问令牌和安全描述符两个主要的组成部 分,它们分别为访问者和被访问者所拥有。通过访问令牌 和安全描述符的内容,Windows可以确定持有令牌的访问 者能否访问持有安全描述符的对象。
网络安全与管理
网络安全与管理
Windows Server 2003安全概述
Windows Server 2003的安全特性主要体现在 用户验证(user authentication,UA)和访问 控制(access control,AC)两方面。为保证 系统管理员能够方便有效地管理这些特性, Windows Server 2003利用了Active Directory (活动目录)的功能。
• 访问令牌是与特定的Windows账户关联的。 • 安全描述符是与被访问对象关联的,它含有这个对象所有
者的SID,以及一个访问控制列表,访问控制列表又包括 了自主访问控制列表(discretionary access control list, DACL)和系统访问控制列表(system access control list, SACL)。
• 安全描述符中ACE的具体内容包括:
• 特定账户或者账户组的SID。 • 一个访问掩码,该掩码指定了具体的访问权限,也就是可以
2003服务器系统安全配置-中级安全配置
2003服务器系统安全配置-中级安全配置!做好此教程的设置可防御一般入侵,需要高级服务器安全维护,请联系我。
我们一起交流一下!做为一个网管,应该在处理WEB服务器或者其他服务器的时候配合程序本身或者代码本身去防止其他入侵,例如跨站等等!前提,系统包括软件服务等的密码一定要强壮!服务器安全设置1.系统盘和站点放置盘必须设置为NTFS格式,方便设置权限.2.系统盘和站点放置盘除administrators 和system的用户权限全部去除.3.启用windows自带防火墙,只保留有用的端口,比如远程和Web,Ftp(3389,80,21)等等,有邮件服务器的还要打开25和130端口.4.安装好SQL后进入目录搜索 xplog70 然后将找到的三个文件改名或者删除.5.更改sa密码为你都不知道的超长密码,在任何情况下都不要用sa这个帐户.6.改名系统默认帐户名并新建一个Administrator帐户作为陷阱帐户,设置超长密码,并去掉所有用户组.(就是在用户组那里设置为空即可.让这个帐号不属于任何用户组)同样改名禁用掉Guest用户.7.配置帐户锁定策略(在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略,将账户设为“三次登陆无效”,“锁定时间30分钟”,“复位锁定计数设为30分钟”。
)8.在安全设置里本地策略-安全选项将网络访问:可匿名访问的共享 ;网络访问:可匿名访问的命名管道 ;网络访问:可远程访问的注册表路径 ;网络访问:可远程访问的注册表路径和子路径 ;以上四项清空.9.在安全设置里本地策略-安全选项通过终端服务拒绝登陆加入ASPNETGuestIUSR_*****IWAM_*****NETWORK SERVICESQLDebugger(****表示你的机器名,具体查找可以点击添加用户或组选高级选立即查找在底下列出的用户列表里选择. 注意不要添加进user组和administrators 组添加进去以后就没有办法远程登陆了.)10.去掉默认共享,将以下文件存为reg后缀,然后执行导入即可.Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\param eters]"AutoShareServer"=dword:00000000"AutoSharewks"=dword:0000000011. 禁用不需要的和危险的服务,以下列出服务都需要禁用.Alerter 发送管理警报和通知Computer Browser:维护网络计算机更新Distributed File System: 局域网管理共享文件Distributed linktracking client 用于局域网更新连接信息Error reporting service 发送错误报告Remote Procedure Call (RPC) Locator RpcNs*远程过程调用 (RPC) Remote Registry 远程修改注册表Removable storage 管理可移动媒体、驱动程序和库Remote Desktop Help Session Manager 远程协助Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务Messenger 消息文件传输服务Net Logon 域控制器通道管理NTLMSecuritysupportprovide telnet服务和Microsoft Serch用的PrintSpooler 打印服务telnet telnet服务Workstation 泄漏系统用户名列表12.更改本地安全策略的审核策略账户管理成功失败登录事件成功失败对象访问失败策略更改成功失败特权使用失败系统事件成功失败目录服务访问失败账户登录事件成功失败13.更改有可能会被提权利用的文件运行权限,找到以下文件,将其安全设置里除administrators用户组全部删除,重要的是连system也不要留.net.exenet1.execmd.exetftp.exenetstat.exeregedit.exeat.exeattrib.execacls.exec.exe 特殊文件有可能在你的计算机上找不到此文件.在搜索框里输入"net.exe","net1.exe","cmd.exe","tftp.exe","netstat.exe","regedit.exe","a t.exe","attrib.exe","cacls.exe","","c.exe" 点击搜索然后全选右键属性安全以上这点是最最重要的一点了,也是最最方便减少被提权和被破坏的可能的防御方法了.14.后备工作,将当前服务器的进程抓图或记录下来,将其保存,方便以后对照查看是否有不明的程序。
Server2003的安装 最详细的教程内部VIP资料
一、Windows Server2003 的安装1、安装系统最少两需要个分区,分区格式都采用 NTFS 格式2、在断开网络的情况安装好2003 系统3、安装 IIS,仅安装必要的 IIS 组件(禁用不需要的如 FTP 和 SMTP 服务)。
默认情况 下,IIS 服务没有安装,在添加/删除 Win 组件中选择“应用程序服务器” ,然后点击“详细 ,双击 Internet 信息服务(iis),勾选以下选项:信息”Internet 信息服务管理器;公用文件;后台智能传输服务 (BITS) 服务器扩展;万维网服务。
如果你使用 FrontPage 扩展的 Web 站点再勾选:FrontPage 2002 Server Extensions4、安装MSSQL 及其它所需要的软件然后进行 Update。
5、使用Microsoft 提供的 MBSA(Microsoft Baseline Security Analyzer) 工具分析计算 机的安全配置,并标识缺少的修补程序和更新。
下载地址:见页末的链接二、设置和管理账户1、系统管理员账户最好少建,更改默认的管理员帐户名(Administrator)和描述,密 码最好采用数字加大小写字母加数字的上档键组合,长度最好不少于 14 位。
2、新建一个名为 Administrator 的陷阱帐号,为其设置最小的权限,然后随便输入组合 的最好不低于 20 位的密码3、将 Guest 账户禁用并更改名称和描述,然后输入一个复杂的密码,当然现在也有一 个 DelGuest 的工具,也许你也可以利用它来删除 Guest 账户,但我没有试过。
4、在运行中输入gpedit.msc 回车,打开组策略编辑器,选择计算机配置‐Windows 设置 ‐安全设置‐账户策略‐账户锁定策略,将账户设为“三次登陆无效” , “锁定时间为 30 分钟” ,。
“复位锁定计数设为 30 分钟”5、在安全设置‐本地策略‐安全选项中将“不显示上次的用户名”设为启用6、在安全设置‐本地策略‐用户权利分配中将“从网络访问此计算机”中只保留 Internet 来宾账户、启动 IIS 进程账户。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Windows Server 2003安全设置
一、用户账户安全
1.Administrator账户的安全性
a)重命名adminstrator,并将其禁用
b)创建一个用户账户并将其加入管理员组,日常管理工作使
用这个账户完成
2.启用账户锁定策略
开始——程序——管理工具——本地安全策略——账户
策略——账户锁定策略——设置“账户锁定阈值为3”
3.创建一个日常登录账户
通过Runas或者鼠标右键“运行方式”切换管理员权限
4.修改本地策略限制用户权限
开始——程序——管理工具——本地安全策略——本地策略
——用户权限分配——设置“拒绝从网络访问这台计算机”,
限制从网络访问该服务器的账户
二、服务器性能优化,稳定性优化
1.“我的电脑”右键属性——高级——性能——设置——设置
为“性能最佳”
2.“我的电脑”右键属性——高级——性能——设置——高级
页面为如图设置
3.停止暂时未用到的服务
a)在开始运行中输入:services.msc
b)停止并禁用以下服务
puter Browser
2.Distributed Link Tracking Client
3.Print Spooler(如果没有打印需求可以停止该服务)
4.Remote Registry
5.Remote Registry(如果没有无线设备可以停止该服
务)
6.TCP/IP NetBIOS Helper
三、系统安全及网络安全设置
1.开启自动更新
我的电脑右键属性——自动更新
Windows Server 2003会自动下载更新,无须人为打补丁。
2.关闭端口,减少受攻击面(此处以仅提供HTTP协议为例)
a)开始运行中输入cmd,运行命令提示符
b)在命令提示符中输入netstat -an命令察看当前打开端
口
图片中开放了TCP 135,139,445,1026四个端口,可以通过禁用TCP/IP 上的NetBIOS和禁用SMB来关闭它们。
c)禁用TCP/IP 上的NetBIOS
1.从“开始”菜单,右键单击“我的电脑”,然后
单击“属性”。
2.点选“硬件”选项卡后,单击“设备管理器”按
钮。
3.右键单击“设备管理器”,指向“查看”,再选择
“显示隐藏设备”。
4.展开“非即插即用驱动程序”。
5.右键单击“TCP/IP 上的NetBios”,然后单击
“禁用”。
d)禁用SMB
1.“网上邻居”右键单击“属性”。
2.“本地连接”右键单击“属性”。
3.选中“Microsoft Networks 客户端”复选框,
然后单击“卸载”。
4.选择“Microsoft Networks 文件和打印机共
享”,然后单击“卸载”。
e)再次在命令提示符中输入netstat -an命令察看当前打
开端口
发现只有TCP 135、1026处于开放状态。
对于这个两个端口,这时我们可以通过WINDOWS自带防火墙,或者是IPSEC来阻塞这两个端口。
下面会把两种方法都作介绍。
f)方法一:启用Windows自带防火墙(配置简单,推荐使
用)
1.“网上邻居”右键单击“属性”。
2.“本地连接”右键单击“属性”。
3.点选“高级选项卡”,单击“设置”按钮
4.在“常规”选项卡下,点选“启用”
5.在“高级”选项卡下,单击“设置”按钮
6.勾选“WEB服务”(以HTTP协议为例,仅开放TCP80
端口)后点确定
这里也可以通过“添加”按钮,开放指定的端口。
g)方法二:使用IPSEC阻塞端口(比较复杂,不推荐使用)
1.在开始运行中输入“MMC”,调出微软管理控制台
2.在“MMC”的“文件”菜单中选择“添加/删除管理单
元”
3.添加管理单元“IP安全策略管理”
4.添加“本地计算机”的IP安全策略
5.创建新的IP安全策略,名称随意
取消下图红圈处的勾
6.添加第一个新IP安全规则,允许TCP 80端口的数据
通过。
取消红圈1处的勾,点击红圈2处的添加
7.添加新的筛选规则(本例仅允许TCP 80的流量)
取消下图红圈1的勾,在红圈2处填写新规则的名称后,单击红圈3处“添加”
在“地址”选项卡中,选择如下图所示:
在“协议”选项卡中,选择如下图所示后,点击确定
所做的操作点应用
8.添加第二条“安全规则”,拒绝其他流量。
(步骤和7
大同小异)
先点添加:
再选择筛选列表:
最后选择筛选动作(此处添加一个新动作):取消“使用添加向导”勾后点添加:
选择阻止后点确定:
选择筛选器操作为刚刚添加的操作(内容为阻止)后应用确定:
9.选择刚才添加的2条新规则后,应用确定:
10.指派刚才创建的新安全策略
相关设置结束。