win2003权限设置与安全
win2003设置访问共享文件夹
Win2003设置访问共享文件夹设置一个文件夹在局域网里让别人共享,除了防火墙,系统里设置相应的用户和密码之外,别人登录的时候可能会提示“登录失败,用户账户限制”等,解决的方法:管理工具-本地安全策略-用户权限分配-“拒绝从网络访问这台计算机”,双击或者右键属性,把里面的用户删掉,就可以访问。
如果禁用Guest帐户:管理工具-本地安全策略-安全选项-“网络访问:本地帐户的共享和安全模式”。
默认情况下,访问方式是“仅来宾”的方式,改为使用自己的帐号。
Windows2003服务器文件夹共享权限和访问权限设置、区别与联系一、Windows2003服务器文件夹共享权限和访问权限设置为了保证Windows系统的安全稳定,很多用户都是使用NTFS文件系统,因此共享文件夹的访问权限不但受到“共享权限”限制,还受到NTFS文件系统的ACL(访问控制列表)包含的访问权限的制约。
下面笔者就以“CCE”共享文件夹为例,介绍如何合理设置“Ceuser”用户对“CCE”共享文件夹的访问权限,以此来增强共享文件夹的安全。
1.共享权限设置在资源管理器中,右键点击“CCE”共享文件夹,选择“属性”,切换到“共享”标签页,点击“权限”按钮,弹出“CCE的权限”设置对话框,点击“添加”按钮,将“Cceuser”账号添加到“组或用户名称”列表框内,这里“Cceuser”账号对“CCE”共享文件夹要有读取和写入权限,因此笔者要给该账号赋予“完全控制”权限,最后点击“确定”按钮,完成共享权限设置。
2.NTFS访问权限设置以上只是设置了“CCE”共享文件夹的共享访问权限,毕竟“CCE”共享文件夹是受“共享访问权限”和“NTFS访问权限”双重制约的,如果NTFS文件系统不允许“Cceuser”用户访问共享,也是不行的,并且还要给该账号设置合理的NTFS访问权限。
在“CCE”共享文件属性对话框中切换到“安全”标签页后,首先将“Cceuser”账号添加到“组或用户名称”列表框中,接下来还要为该账号设置访问权限。
Win2003 系统服务器防火墙设置教程.doc
Win2003 系统服务器防火墙设置教程Internet连接防火墙的设置在Windows 2003服务器上,对直接连接到Internet 的计算机启用防火墙功能,支持网络适配器、DSL 适配器或者拨号调制解调器连接到Internet。
1. 启动/停止防火墙(1)打开网络连接,右击要保护的连接,单击属性,出现本地连接属性对话框。
(2)单击高级选项卡,出现如图1所示启动/停止防火墙界面。
如果要启用Internet 连接防火墙,请选中通过限制或阻止来自Internet 的对此计算机的访问来保护我的计算机和网络复选框;如果要禁用Internet 连接防火墙,请清除以上选择。
2. 防火墙服务设置Windows 2003 Internet连接防火墙能够管理服务端口,例如HTTP的80端口、FTP的21端口等,只要系统提供了这些服务,Internet连接防火墙就可以监视并管理这些端口。
(1)标准服务的设置我们以Windows 2003服务器提供的标准Web服务为例(默认端口80),操作步骤如下:在图1所示界面中单击[设置]按钮,出现如图2所示服务设置对话框;在服务设置对话框中,选中Web服务器(HTTP)复选项,单击[确定]按钮。
设置好后,网络用户将无法访问除Web服务外本服务器所提供的的其他网络服务注:您可以根据Windows 2003服务器所提供的服务进行选择,可以多选。
常用标准服务系统已经预置在系统中,你只需选中相应选项就可以了。
如果服务器还提供非标准服务,那就需要管理员手动添加了。
2)非标准服务的设置我们以通过8000端口开放一非标准的Web服务为例。
在图2服务设置对话框中,单击[添加]按钮,出现服务添加对话框,在此对话框中,填入服务描述、IP地址、服务所使用的端口号,并选择所使用的协议(Web服务使用TCP协议,DNS查询使用UDP协议),最后单击[确定]。
设置完成后,网络用户可以通过8000端口访问相应的服务,而对没有经过授权的TCP、UDP端口的访问均被隔离。
操作系统安全基线配置
Win2003 & 2008操作系统平安配置要求2.1. 口令平安分配:应为不同用户分配不同的,不允许不同用户间共享同一。
锁定:应删除或锁定过期、无用。
用户访问权限指派:应只允许指定授权对主机进展远程访问。
权限最小化:应根据实际需要为各个分配最小权限。
默认管理:应对Administrator重命名,并禁用Guest〔来宾〕。
口令长度及复杂度:应要求操作系统口令长度至少为8位,且应为数字、字母和特殊符号中至少2类的组合。
口令最长使用期限:应设置口令的最长使用期限小于90天。
口令历史有效次数:应配置操作系统用户不能重复使用最近 5 次〔含 5 次〕已使用过的口令。
口令锁定策略:应配置当用户连续认证失败次数为 5次,锁定该30分钟。
2.2. 效劳及授权平安效劳开启最小化:应关闭不必要的效劳。
SNMP效劳承受团体名称设置:应设置SNMP承受团体名称不为public或弱字符串。
系统时间同步:应确保系统时间与NTP效劳器同步。
DNS效劳指向:应配置系统DNS指向企业部DNS效劳器。
2.3. 补丁平安系统版本:应确保操作系统版本更新至最新。
补丁更新:应在确保业务不受影响的情况下及时更新操作系统补丁。
2.4. 日志审计日志审核策略设置:应合理配置系统日志审核策略。
日志存储规则设置:应设置日志存储规则,保证足够的日志存储空间。
日志存储路径:应更改日志默认存放路径。
日志定期备份:应定期对系统日志进展备份。
2.5. 系统防火墙:应启用系统自带防火墙,并根据业务需要限定允许通讯的应用程序或端口。
2.6. 防病毒软件:应安装由总部统一部署的防病毒软件,并及时更新。
2.7. 关闭自动播放功能:应关闭 Windows 自动播放功能。
2.8. 共享文件夹删除本地默认共享:应关闭 Windows本地默认共享。
共享文件权限限制:应设置共享文件夹的访问权限,仅允许授权的共享此文件夹。
2.9. 登录通信平安制止远程访问注册表:应制止远程访问注册表路径和子路径。
Win2003Server域控制器安装设置及问题处理
Win2003配置域服务器服务器升级成域控制器后,还需要为企业的计算机使用者建立相应的域用户帐号,共享目录,权限等等。
笔者在这里以建立一个域控制帐号为“andy.wang”,并设置隐藏共享、对于公共目录根据用户组统一设置好网络访问权限安全。
对于网络用户私有文件夹,把它设为隐藏共享,避免服务器出现太多的共享文件夹。
在安全方面:把该文件设为该用户完全控制权限。
域用户建立步骤:通过单击“开始”按钮,指向“所有程序”,指向“管理工具”,然后单击“Active Directory用户和计算机”。
在出现的窗口就可以为每个使用者建立一个域用户帐号。
详细的操作步骤如下:1、右键单击窗口左栏“Users”,指向“新建”,然后单击“用户”。
2、键入“andy”作为“名”;键入“wang”作为“姓”。
(注意,在“姓名”框中将自动显示全名。
)3、键入“andy.wang”作为“用户登录名”。
窗口应与图7相似。
然后单击“下一步”。
4、在“密码”和“确认密码”中,键入“pass#word1”,然后单击“下一步”继续。
注意:默认情况下,Windows Server2003要求所有新创建的用户使用复杂密码。
可通过组策略禁用密码复杂性要求。
5、单击“完成”。
此时,andy.wang的域帐号用户就建立完成了。
设置共享目录与安全:在系统的数据盘建立共享目录。
在这里,笔者在d:User_Data目录下为所有的域用户建立相应的共享目录。
如下图所示,建立d:User_Dataandy.wang共享目录,并右键单击该文件夹,指向“共享与安全”单击打开文件共享设置。
第一步:在文件属性对话窗口选择“共享该文件夹”单选框,在下面共享名文本框输入对应域用户帐号+“$”,将共享名设为“andy.wang$”的隐藏共享。
第二步:点击“权限”按钮,进入共享目录权限设置对话框。
删除原有的everyone组,添加该域用户帐号权限,并勾选“完全控制”、“更改”、“读取”三个选项卡,设置完成后如下图所示:点击“确定”按钮回到文件属性窗口,再次点击“确定”按钮完成文件共享与网络访问权限设置。
windows_2003权限及安全设置解决方案
windows 2003权限及安全设置解决方案目录一、服务器安全设置1.IIS6.0的安装和设置2.WEB目录权限设置3.SQL权限设置二、系统常规安全设置4.系统补丁的更新5.备份系统6.安装常用的软件7.先关闭不需要的端口,开启防火墙导入IPSEC策略8.win2003服务器防止海洋木马的安全设置9.改名不安全组件10.系统安全策略11.网络设置[这里针对网卡参数进行设置]12.PHP安全13.修改3389远程连接端口14.本地策略--->用户权限分配15.在安全设置里本地策略-用户权利分配,通过终端服务拒绝登陆加入16.计算机管理的本地用户和组17.删除默认共享18.常用DOS命令安全设置19.卸载删除具有CMD命令功能的危险组件20.用户安全设置21.密码安全设置22.磁盘权限设置23.本地安全策略设置24.终端服务配置TerminalServiceConfigration25.禁用不必要的服务26.修改注册表27.系统DOS命令保护和转移三、各目录权限设置28.C盘的目录权限一、服务器安全设置1. IIS6.0的安装和设置1.1 开始菜单—>控制面板—>添加或删除程序—>添加/删除Windows组件应用程序———(可选)|——启用网络 COM+ 访问(必选)|——Internet 信息服务(IIS)———Internet 信息服务管理器(必选)|——公用文件(必选)|——万维网服务———Active Server pages(必选)|——Internet 数据连接器(可选)|——WebDAV 发布(可选)|——万维网服务(必选)|——在服务器端的包含文件(可选)在”网络连接”里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP)和Microsoft网络客户端。
在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS(S)"。
win server 2003无合适权限
新发现一位网友的情况:(已解决)
添加Administrator的权限不凑效,以上办法都不管用
解决办法就是关掉瑞星实时监控,就一切都OK了!
估计某些系统文件感染了病毒,被瑞星阻止执行了,导致大多数exe不能正常运行
双击右侧的名称“默认”,将数值数据改为方括号中的内容["%1" %*]。关闭即可。
4、打开杀毒软件彻底查杀所有分区。
5、杀完毒之后将第一步中的改回regedit.exe
6、收工!
电脑软硬件应用网站长编ternet Explore)选属性,然后选择第四项“内容”。进入“发行者”。然后选择为受信任的发行者,把里面的选项全部删除掉OK
(如果看不到扩展名就打开“我的电脑”→“工具”→“文件夹选项”→“查看”→下拉滚动条空选“隐藏已知文件类型的扩展名”。解决问题之后记得再把这个选项勾上,不然你以后会遇到你不知道的问题)
2、双击运行
3、找到这个注册表分支[HKEY_CLASSES_ROOT exefile shell open command]
其它方法2:文件和目录访问权限问题.如原操作系统对NTFS磁盘下的目录或文件设置严格的安全权限后,重装了操作系统前目录和文件权限没有恢复到默认,而且目录和文件和新的系统都保留时经常遇到这个问题,如果没有设置加密,一般还可以恢复,但如果设置加密基本恢复不了.方法:安全选项---高级----权限--添加现有用户---...继承....就可以
开始、运行cmd输入
assoc .exe=exefile〔assoc 跟.exe 之间要有空格〕
重新建立关联
如果是中毒请杀完先
或者这个办法
①进入系统盘windows文件夹,进入注册表所在的根目录。
win2003 iis设置完全篇
win2003iis设置完全篇一、启用Asp支持Windows Server2003默认安装,是不安装IIS6的,需要另外安装。
安装完IIS6,还需要单独开启对于ASP的支持。
第一步,启用Asp,进入:控制面板->管理工具->IIS(Internet服务器)-Web服务扩展->Active Server Pages->允许控制面板->管理工具->IIS(Internet服务器)-Web服务扩展->在服务端的包含文件->允许第二步,启用父路径支持。
IIS-网站-主目录-配置-选项-启用父路径第三步,权限分配IIS-网站-(具体站点)-(右键)权限-Users完全控制二、解决windows2003最大只能上载200K的限制。
先在服务里关闭iis admin service服务找到windows\system32\inesrv\下的metabase.xml,打开,找到ASPMaxRequestEntityAllowed把他修改为需要的值,然后重启iis admin service服务1、在web服务扩展允许active server pages和在服务器端的包含文件2、修改各站点的属性主目录-配置-选项-启用父路径3、使之可以上传大于200k的文件(修改成您要的大小就可以了,如在后面补两个0,就允许20m了)c:\WINDOWS\system32\inetsrv\MetaBase.xml(企业版的windows2003在第592行,默认为AspMaxRequestEntityAllowed="204800"即200K阿胶将其加两个0,即改为,现在最大就可以上载20M了。
AspMaxRequestEntityAllowed="20480000"本分步指南介绍了如何在Windows Server2003环境中设置一个用于匿名访问的WWW服务器。
Win Server 2003文件服务器权限与审核研究
重新设 置 。但 要注 意的是这仅 是对静 态 的文件 权 限
来讲 ,对于文件 或文件 夹 的移 动或复 制 ,其权 限的
继承性 依照如 下原则进 行 :
文 件夹 在 安 全 权 限 中 还有 一 个 隐含 的拒 绝权 限 ,这 个 权 限是 不需 要 赋 予 的 。例 如 : “ 门 1 部 ”
设 置没有意义 。
22 安全权 限 .
文件 夹 的访 问权 限就 为 U el和 U e2的访 问权 限 sr sr
之 和 ,实 际 上 是 取 其 最 大 的那 个 ,即 “ 读 ” + 只
“ 写入 ”= “ 写入 ” 。
② 用 户权 限 由所属 组权 限 的累加 决定
如 一 个 用 户 U el同 属 组 G o p sr ru l和 G op , ru 2 而 G op 对 某 一 文件 或文 件夹 的访 问权 限为 “ ru 1 只
门 1 的权 限 。 ”
NF T S文件 或文 件 夹权 限 的累加 性表 现 在 以下
几个方 面 :
21 共享权 限 .
① 工作组权 限 由组 中各用 户权 限累加决定
如一 个组 G o p ru 1中有两 个用 户 U el sr , sr 、U e2
利 用 wn o s evr 0 3R id w re 0 2来 实 现 文 件 服 务 s 2 器 ,共 享权 限是 必不 可少 的。共享权 限是 以控制文 件夹 及 其子 文 件夹 和 文件 来 进 行共 享 的。ft63 a1/2
② 在不同 N F T S分 区间复制或移 动时 ,继承新
Windows 2003 Server 服务器安全配置(完全版)
Windows 2003 Server服务器安全配置一、先关闭不需要的端口我比较小心,先关了端口。
只开了3389、21、80、1433,有些人一直说什么默认的3389不安全,对此我不否认,但是利用的途径也只能一个一个的穷举爆破,你把帐号改了密码设置为十五六位,我估计他要破上好几年,哈哈!办法:本地连接--属性--Internet协议(TCP/IP)--高级--选项--TCP/IP筛选--属性--把勾打上,然后添加你需要的端口即可。
PS一句:设置完端口需要重新启动!当然大家也可以更改远程连接端口方法:Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE \ SYSTEM\ Current ControlSet \ Control \ TerminalServer\WinStations\RDP-Tcp]"PortNumber"=dword:00002683保存为.REG文件双击即可!更改为9859,当然大家也可以换别的端口,直接打开以上注册表的地址,把值改为十进制的输入你想要的端口即可!重启生效!还有一点,在2003系统里,用TCP/IP筛选里的端口过滤功能,使用FTP服务器的时候,只开放21端口,在进行FTP传输的时候,FTP 特有的Port模式和Passive模式,在进行数据传输的时候,需要动态的打开高端口,所以在使用TCP/IP过滤的情况下,经常会出现连接上后无法列出目录和数据传输的问题。
所以在2003系统上增加的Windows连接防火墙能很好的解决这个问题,不推荐使用网卡的TCP/IP过滤功能。
做FTP下载的用户看仔细,如果要关闭不必要的端口,在\system32\drivers\etc\services 中有列表,记事本就可以打开的。
如果懒的话,最简单的方法是启用WIN2003的自身带的网络防火墙,并进行端口的改变。
win2003局域网共享设置教程
win2003局域网共享设置教程windows 2003局域网共享设置教程win2003局域网共享设置教程1.检查guest账户是否开启2003默认情况下不开启guest账户,因此些为了其他人能浏览你的计算机,请启用guest账户。
同时,为了安全请为guest设置密码或相应的权限。
当然,也可以为每一台机器设置一个用户名和密码以便计算机之间的互相访问。
2.检查是否拒绝Guest用户从网络访问本机当你开启了guest账户却还是根本不能访问时,请检查设置是否为拒绝guest从网络访问计算机,因为XP默认是不允许guest从网络登录的,所以即使开了guest也一样不能访问。
在开启了系统Guest用户的情况下解除对Guest账号的限制,点击“开始→运行”,在“运行”对话框中输入“GPEDIT.MSC”,打开组策略编辑器,依次选择“计算机配置→Windows设置→安全设置→本地策略→用户权利指派”,双击“拒绝从网络访问这台计算机”策略,删除里面的“GUEST”账号。
这样其他用户就能够用Guest账号通过网络访问使用Windows 2003系统的计算机了。
3.改网络访问模式2003默认是把从网络登录的所有用户都按来宾账户处理的,因此即使管理员从网络登录也只具有来宾的权限,若遇到不能访问的情况,请尝试更改网络的访问模式。
打开组策略编辑器,依次选择“计算机配置→Windows设置→安全设置→本地策略→安全选项”,双击“网络访问:本地账号的共享和安全模式”策略,将默认设置“经典:本地用户以自己的身份验证”,更改为“仅来宾—本地用户以来宾身份验证”。
这样即使不开启guest,你也可以通过输入本地的账户和密码来登录你要访问的计算机,本地的账户和密码为你要访问的计算机内已经的账户和密码。
若访问网络时需要账户和密码,可以通过输入你要访问的计算机内已经的账户和密码来登录。
若不对访问模式进行更改,也许你连输入用户名和密码都办不到,//computername/guest为灰色不可用。
temp权限设置
1 、对该目录的权限是生成编译运行的临时文件需要, 不是Discuz!NT需要. ASP 不需要这个目录是因为ASP的脚本代码是解释执行.
2、Win2003默认的设置是可以正常运行的, 造成问题是因为一些主机商删除了默认的权限设置造成的, 网上很多所谓的Windows服务器安全设置文章都比较陈旧, 并没有考虑的环境.
目录的用户权限设置:
假设win2003系统安装到了c:\windows, 以下为系统默认的对C:\windows\temp目录的权限设置, 有两个用户的权限设置需要特别注意:
如果目录权限不对, 请看上面两个截图, 一目了然
补充:
如果设置了还没有用, 那也许是曾经修改过系统的环境变量设置, 系统的默认临时目录是
设置为c:\windows\temp目录, 但如果修改到了别的路径或者删除了, 那就会变成别的路径. 下图是系统默认的设置:。
终级Win2003服务器安全配置篇
终级Win2003服务器安全配置篇今天演示一下服务器权限的设置,实现目标是系统盘任何一个目录asp网马不可以浏览,事件查看器完全无错,所有程序正常运行.这个不同于之前做的两个演示,此演示基本上保留系统默认的那些权限组不变,保留原味,以免取消不当造成莫名其妙的错误.看过这个演示,之前的超详细web服务器权限设置,精确到每个文件夹和超详细web服务器权限设置,事件查看器完全无报错就不用再看了.这个比原来做的有所改进.操作系统用的是雨林木风的ghost镜像,补丁是打上截止11.2号最新的Power Users组是否取消无所谓具体操作看演示windows下根目录的权限设置:C:\WINDOWS\Application Compatibility Scripts 不用做任何修改,包括其下所有子目录C:\WINDOWS\AppPatch AcWebSvc.dll已经有users组权限,其它文件加上users组权限C:\WINDOWS\Connection Wizard 取消users组权限C:\WINDOWS\Debug users组的默认不改C:\WINDOWS\Debug\UserMode默认不修改有写入文件的权限,取消users组权限,给特别的权限,看演示C:\WINDOWS\Debug\WPD不取消Authenticated Users组权限可以写入文件,创建目录.C:\WINDOWS\Driver Cache取消users组权限,给i386文件夹下所有文件加上users组权限C:\WINDOWS\Help取消users组权限C:\WINDOWS\Help\iisHelp\common取消users组权限C:\WINDOWS\IIS Temporary Compressed Files默认不修改C:\WINDOWS\ime不用做任何修改,包括其下所有子目录C:\WINDOWS\inf不用做任何修改,包括其下所有子目录C:\WINDOWS\Installer 删除everyone组权限,给目录下的文件加上everyone组读取和运行的权限C:\WINDOWS\java 取消users组权限,给子目录下的所有文件加上users组权限C:\WINDOWS\MAGICSET 默认不变C:\WINDOWS\Media 默认不变C:\WINDOWS\不用做任何修改,包括其下所有子目录C:\WINDOWS\msagent 取消users组权限,给子目录下的所有文件加上users组权限C:\WINDOWS\msapps 不用做任何修改,包括其下所有子目录C:\WINDOWS\mui取消users组权限C:\WINDOWS\PCHEALTH 默认不改C:\WINDOWS\PCHEALTH\ERRORREP\QHEADLES 取消everyone组的权限C:\WINDOWS\PCHEALTH\ERRORREP\QSIGNOFF 取消everyone组的权限C:\WINDOWS\PCHealth\UploadLB 删除everyone组的权限,其它下级目录不用管,没有user组和everyone组权限C:\WINDOWS\PCHealth\HelpCtr 删除everyone组的权限,其它下级目录不用管,没有user组和everyone组权限(这个不用按照演示中的搜索那些文件了,不须添加users组权限就行)C:\WINDOWS\PIF 默认不改C:\WINDOWS\PolicyBackup默认不改,给子目录下的所有文件加上users组权限C:\WINDOWS\Prefetch 默认不改C:\WINDOWS\provisioning 默认不改,给子目录下的所有文件加上users组权限C:\WINDOWS\pss默认不改,给子目录下的所有文件加上users组权限C:\WINDOWS\RegisteredPackages默认不改,给子目录下的所有文件加上users组权限C:\WINDOWS\Registration\CRMLog默认不改会有写入的权限,取消users组的权限C:\WINDOWS\Registration取消everyone组权限.加NETWORK SERVICE 给子目录下的文件加everyone可读取的权限,C:\WINDOWS\repair取消users组权限C:\WINDOWS\Resources取消users组权限C:\WINDOWS\security users组的默认不改,其下Database和logs目录默认不改.取消templates目录users 组权限,给文件加上users组C:\WINDOWS\ServicePackFiles 不用做任何修改,包括其下所有子目录C:\WINDOWS\SoftwareDistribution不用做任何修改,包括其下所有子目录C:\WINDOWS\srchasst 不用做任何修改,包括其下所有子目录C:\WINDOWS\system 保持默认C:\WINDOWS\TAPI取消users组权限,其下那个tsec.ini 权限不要改C:\WINDOWS\twain_32取消users组权限,给目录下的文件加users组权限C:\WINDOWS\vnDrvBas 不用做任何修改,包括其下所有子目录C:\WINDOWS\Web取消users组权限给其下的所有文件加上users组权限C:\WINDOWS\WinSxS 取消users组权限,搜索*.tlb,*.policy,*.cat,*.manifest,*.dll,给这些文件加上everyone组和users权限给目录加NETWORK SERVICE完全控制的权限C:\WINDOWS\system32\wbem 这个目录有重要作用。
6:Win2003 Server本地策略配置
第2步:在控制台树中要设置组策略的域或组织 单位上(本例以域为例)单击右键,然后 选择“属性”选项,在打开的对话框中选择“组策 略”选项卡,对话框如图所示。
1、对于本地计算机 对于本地计算机的用户帐户,其密码策略设置 是在“本地安全设置”管理工个中进行的。下面是 具体的配置方法。
第一步:执行〖开始〗→〖管理工具〗→〖本 地安全策略〗菜单操作,打开如图所示的“本地安 全设置”界面。对于本地计算机中用户“帐户和本 地策略”都查在此管理工具中进行配置的。
2、 帐户锁定阈值
该安全设置确定造成用户帐户被锁定的登录失败尝 试的次数。无法使用锁定的帐户,除非管理员进行了重 新设置或该帐户的锁定时间已过期。登录尝试失败的范 围可设置为0至999之间。如果将此值设为0,则将无法 锁定帐户。 对于使用Ctrl+Alt+Delete组合键或带有密码保护的 屏幕保护程序锁定的工作站或成员服务器计算机上,失 败的密码尝试计入失败的登录尝试次数中。
【注意】要维持密码历史记录的有效性,则在通过 启用密码最短使用期限安全策略设置更改密码之后,不 允许立即更改密码。
密码最长使用期限 该安全设置确定系统要求用户更改密码之前可以使用 该密码的时间(单位为天)。可将密码的过期天数设置 在1至999天之间;如果将天数设置为0,则指定密码永不 过期。如果密码最长使用期限在1至999天之间,那么 “密码最短使用期限”(下面将介绍)必须小于密码最 长使用期限。如果密码最长使用期限设置为0,则密码最 短使用期限可以是1至998天之间的任何值。 默认值:42。 【技巧】使密码每隔30至90天过期一次是一种安全最 佳操作,取决于您的环境。通过这种方式,攻击者只能 够在有限的时间内破解用户密码并访问您的网络资源。
windows2003务器安全系统设置注册表修改删除不安全系统组件禁用无关服务
现在说第二篇:注册表修改删除不安全组件禁用无关服务.(1)服务器安全设置篇(3-1) - 入侵方法介绍端口限制磁盘权限设置(2)服务器安全设置篇(3-2) - 注册表修改删除不安全组件禁用无关服务(3)服务器安全设置篇(3-3) - 网站WEB目录权限 SQL SERVER2000设置(4)服务器安全设置篇(3-4) - 备份杀毒审计1注册表是啥东西?注册表包含Windows 在运行期间不断引用的信息,例如,每个用户的配置文件、计算机上安装的应用程序以及每个应用程序可以创建的文档类型、文件夹和应用程序图标的属性表设置、系统上存在哪些硬件以及正在使用哪些端口等等等,,在这里,也只是随便说说,改注册表,,限一些东西而已点击"开始" -- "运行" -- "regedit" -- "确定"就可以打开注册表了..(1).关闭445端口HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\netBT\Parameters新建“DWORD值”值名为“SMBDeviceEnabled”数据为默认值“0”(0在十六进制,十进制都是一样)如图:(以下就不做图例了,差不多的.看看也懂.)(2).禁止建立空连接HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa新建“DWORD值”值名为“RestrictAnonymous”数据值为“1”[2003默认为1] (3).禁止系统自动启动服务器共享HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters 新建“DWORD值”值名为“AutoShareServer”数据值为“0”(4).禁止系统自动启动管理共享HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters 新建“DWORD值”值名为“AutoShareWks”数据值为“0”(5).通过修改注册表防止小规模DDOS攻击HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters新建“DWORD值”值名为“SynAttackProtect”数据值为“1”2.禁止dump file我的电脑>点击右键"属性">高级>启动和故障恢复把写入调试信息改成无。
增强win 2003系统安全的工具与配置
<strong> 安全模板可用于定义以下内容:</strong></p>
<p>
·帐户策略</p>
<p>
·密码策略</p>
<p>
·帐户锁定策略</p>
<p>
·Kerberos 策略</p>
<p>
·本地策略</p>
<p>
·审核策略</p>
<p>
·用户权限分配</p>
<p>
·安全选项</p>
<p>
·事件日志:应用程序、系统和安全的事件日志设置</p>
<p>
·受限制的组:安全敏感组的成员资格</p>
<p>
·系统服务:系统服务的启动和权限</p>
增强win 2003系统安全的工具与配置
文章来源于系统之家
<p>
Windows Server 2003是微软的服务器操作系统,也被称为较为安全的操作系统,但是还是存在一定的不安全因素,而作为一名系统管理员,最关心的事情莫过于Windows 2003系统的安全了,那么他们会采取哪些措施,让win 2003系统的安全有一定的提升呢?当然啦,首先要对那些不安全因素有一定的了解与掌握。</p>
最新WIN2003服务器安全加固方案
WIN2003服务器安全加固方案关键词:安全加固方案服务器 WIN2003因为IIS(即Internet Information Server)的方便性和易用性,使它成为最受欢迎的Web服务器软件之一。
但是,IIS的安全性却一直令人担忧。
如何利用IIS建立一个安全的Web服务器,是很多人关心的话题。
要创建一个安全可靠的Web服务器,必须要实现Windows 2003和IIS的双重安全,因为IIS的用户同时也是Windows 2003的用户,并且IIS目录的权限依赖Windows的NTFS文件系统的权限控制,所以保护IIS 安全的第一步就是确保Windows 2000操作系统的安全,所以要对服务器进行安全加固,以免遭到黑客的攻击,造成严重的后果。
二.我们通过一下几个方面对您的系统进行安全加固:1.系统的安全加固:我们通过配置目录权限,系统安全策略,协议栈加强,系统服务和访问控制加固您的系统,整体提高服务器的安全性。
2. IIS手工加固:手工加固iis可以有效的提高iweb站点的安全性,合理分配用户权限,配置相应的安全策略,有效的防止iis用户溢出提权。
3.系统应用程序加固,提供应用程序的安全性,例如sql的安全配置以及服务器应用软件的安全加固。
三.系统的安全加固:1.目录权限的配置:1.1 除系统所在分区之外的所有分区都赋予Administrators和SYSTEM有完全控制权,之后再对其下的子目录作单独的目录权限,如果WEB站点目录,你要为其目录权限分配一个与之对应的匿名访问帐号并赋予它有修改权限,如果想使网站更加坚固,可以分配只读权限并对特殊的目录作可写权限。
1.2 系统所在分区下的根目录都要设置为不继承父权限,之后为该分区只赋予Administrators和SYSTEM 有完全控制权。
1.3 因为服务器只有管理员有本地登录权限,所在要配置Documents and Settings这个目录权限只保留Administrators和SYSTEM有完全控制权,其下的子目录同样。
18Windows 2003配置方案
1.上网查找并制定有关Linux的安全配置策略。
2.根据具体情况独立制定15条自己上网计算机的安全配置策略,写在作业本上。
Workstation
……
10.开启系统审核功能
控制面板→管理工具→本地安全策略→本地策略→审核策略→双击以下策略→选择成功/失败
审核策略更改成功,失败
审核登陆事件成功,失败
审核对象访问失败
审核过程追踪成功,失败
审核目录服务访问失败
审核特权使用失败
审核系统事件成功,失败
审核系统登陆事件成功,失败
审核帐户管理成功,失败
15.禁止响应ICMP路由通告报文
找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Tcpip\Parameters\Interfaces
新建PerformRouterDiscovery,DWORD值为0。
16.防止ICMP重定向报文的攻击
2.安装好操作系统之后,在托管之前打好必须的补丁。如果是2000则确定安装上了SP4,如果是2003,则最好安装上SP1,然后点击开始→Windows update,安装所有的关键更新。
3.删除c:\inetpub目录,删除iis不必要的映射。
4.用IPSec过滤器阻断端口。
以域管理员身份登录到域控制器→启动IP安全策略管理MMC管理单元并将其集中在域上→在右窗口右击“”→属性→IP安全规则→规则名称→编辑→筛选器操作→新筛选器操作→按下表进行设置→确定。
课题名称:网络防御技术——Windows 2003配置方案
课的类型:授新课
教学目标:学习Windows 2003的安全配置技术
教学重点:Windows 2003的安全配置技术
Windows-安全配置规范标准[详]
![Windows-安全配置规范标准[详]](https://img.taocdn.com/s3/m/25eb70d3a45177232e60a27f.png)
. Windows 安全配置规
2010年11月
第1章概述
1.1适用围
本规明确了Windows操作系统在安全配置方面的基本要求,可作为编制设备入网测试、安全验收、安全检查规等文档的参考。
适用于中国电信所有运行的Windows操作系统,包括Windows 2000、Windows XP、Windows2003, Windows7 , Windows 2008以及各版本中的Sever、Professional版本。
第2章安全配置要求
2.1账号
编号:1
编号:2
编号:3
2.2口令编号:1
编号:3
2.3授权编号:1
编号:2
编号:3
2.4补丁编号:1
2.5防护软件编号:1(可选)
2.6防病毒软件编号:1
2.8日志安全要求编号:1
编号:2
编号:3
2.7Windows服务编号:1
编号: 2
编号: 3
2.8启动项
2.9关闭自动播放功能编号:1
2.10共享文件夹
编号:1
编号:2
2.11使用NTFS文件系统
2.12会话超时设置(可选)编号:1
2.13注册表:(可选)
附表:端口及服务
.
WORD版本。
2003服务器系统安全配置-中级安全配置
2003服务器系统安全配置-中级安全配置!做好此教程的设置可防御一般入侵,需要高级服务器安全维护,请联系我。
我们一起交流一下!做为一个网管,应该在处理WEB服务器或者其他服务器的时候配合程序本身或者代码本身去防止其他入侵,例如跨站等等!前提,系统包括软件服务等的密码一定要强壮!服务器安全设置1.系统盘和站点放置盘必须设置为NTFS格式,方便设置权限.2.系统盘和站点放置盘除administrators 和system的用户权限全部去除.3.启用windows自带防火墙,只保留有用的端口,比如远程和Web,Ftp(3389,80,21)等等,有邮件服务器的还要打开25和130端口.4.安装好SQL后进入目录搜索 xplog70 然后将找到的三个文件改名或者删除.5.更改sa密码为你都不知道的超长密码,在任何情况下都不要用sa这个帐户.6.改名系统默认帐户名并新建一个Administrator帐户作为陷阱帐户,设置超长密码,并去掉所有用户组.(就是在用户组那里设置为空即可.让这个帐号不属于任何用户组)同样改名禁用掉Guest用户.7.配置帐户锁定策略(在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略,将账户设为“三次登陆无效”,“锁定时间30分钟”,“复位锁定计数设为30分钟”。
)8.在安全设置里本地策略-安全选项将网络访问:可匿名访问的共享 ;网络访问:可匿名访问的命名管道 ;网络访问:可远程访问的注册表路径 ;网络访问:可远程访问的注册表路径和子路径 ;以上四项清空.9.在安全设置里本地策略-安全选项通过终端服务拒绝登陆加入ASPNETGuestIUSR_*****IWAM_*****NETWORK SERVICESQLDebugger(****表示你的机器名,具体查找可以点击添加用户或组选高级选立即查找在底下列出的用户列表里选择. 注意不要添加进user组和administrators 组添加进去以后就没有办法远程登陆了.)10.去掉默认共享,将以下文件存为reg后缀,然后执行导入即可.Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\param eters]"AutoShareServer"=dword:00000000"AutoSharewks"=dword:0000000011. 禁用不需要的和危险的服务,以下列出服务都需要禁用.Alerter 发送管理警报和通知Computer Browser:维护网络计算机更新Distributed File System: 局域网管理共享文件Distributed linktracking client 用于局域网更新连接信息Error reporting service 发送错误报告Remote Procedure Call (RPC) Locator RpcNs*远程过程调用 (RPC) Remote Registry 远程修改注册表Removable storage 管理可移动媒体、驱动程序和库Remote Desktop Help Session Manager 远程协助Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务Messenger 消息文件传输服务Net Logon 域控制器通道管理NTLMSecuritysupportprovide telnet服务和Microsoft Serch用的PrintSpooler 打印服务telnet telnet服务Workstation 泄漏系统用户名列表12.更改本地安全策略的审核策略账户管理成功失败登录事件成功失败对象访问失败策略更改成功失败特权使用失败系统事件成功失败目录服务访问失败账户登录事件成功失败13.更改有可能会被提权利用的文件运行权限,找到以下文件,将其安全设置里除administrators用户组全部删除,重要的是连system也不要留.net.exenet1.execmd.exetftp.exenetstat.exeregedit.exeat.exeattrib.execacls.exec.exe 特殊文件有可能在你的计算机上找不到此文件.在搜索框里输入"net.exe","net1.exe","cmd.exe","tftp.exe","netstat.exe","regedit.exe","a t.exe","attrib.exe","cacls.exe","","c.exe" 点击搜索然后全选右键属性安全以上这点是最最重要的一点了,也是最最方便减少被提权和被破坏的可能的防御方法了.14.后备工作,将当前服务器的进程抓图或记录下来,将其保存,方便以后对照查看是否有不明的程序。
win2003系统安全加固
Windows 2003系统安全配置一、2003系统配置三、IIS配置四、其它设置(可选用)1、任何用户密码都要复杂,不需要的用户---删。
2、防ping处理防ping处理建意大家用防火墙一类的软件,这样可以大大降低服务器被攻击的可能性,为什么这样说呢?主要是现在大部份的入侵者都是利用软件扫一个网段存活的主机,一般判断主机是否存活就是看ping的通与不通了!3、防止SYN洪水攻击HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters新建DWORD值,名为SynAttackProtect,值为24、禁止响应ICMP路由通告报文HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface 新建DWORD值,名为PerformRouterDiscovery 值为05、防止ICMP重定向报文的攻击HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters将EnableICMPRedirects 值设为06、不支持IGMP协议HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters新建DWORD值,名为IGMPLevel 值为07、禁用DCOM:运行中输入Dcomcnfg.exe。
回车,单击“控制台根节点”下的“组件服务”。
打开“计算机”子文件夹。
对于本地计算机,请以右键单击“我的电脑”,然后选择“属性”。
选择“默认属性”选项卡。
清除“在这台计算机上启用分布式COM”复选框。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
WINDOWS2003服务器目录权限设置推荐以下是详细的相应目录权限设置清单: Administrators 完全控制 System 完全控制 D:\盘权限 Administrators 完全控制 System 完全控制 E:\盘权限 Administrators 完全控制 System 完全控制如果你还有其他盘符如F、G..盘,权限和上面一样设置。
C:\Documents and Settings 目录权限Administrators 完全控制System 完全控制C:\Program Files 目录权限Administrators 完全控制System 完全控制User 读取和运行+列出文件夹目录+读取C:\windows 目录权限Administrators 完全控制System 完全控制User 读取和运行+列出文件夹目录+读取C:\windows\system 目录权限Administrators 完全控制System 完全控制User 读取和运行+列出文件夹目录+读取C:\windows\system32 目录权限Administrators 完全控制System 完全控制User 读取和运行+列出文件夹目录+读取C:\windows\temp 目录权限Administrators 完全控制System 完全控制Everyone 完全控制WWWROOT(网站根目录)目录权限Administrators 完全控制System 完全控制Internet来宾账户读取和运行+列出文件夹目录+读取PHP目录权限:Administrators 完全控制System 完全控制Everyone 读取和运行+列出文件夹目录+读取Zend目录权限:Administrators 完全控制System 完全控制Everyone 完全控制Mysql目录权限: 3Administrators 完全控制System 完全控制User 读取和运行+列出文件夹目录+读取1.删除以下的注册表主键:WScript.ShellWScript.Shell.1Shell.applicationShell.application.1WORKWORK.1regsvr32/u wshom.ocx回车、regsvr32/u wshext.dll回车Windows 2003 硬盘安全设置c:\administrators 全部system 全部iis_wpg 只有该文件夹列出文件夹/读数据读属性读扩展属性读取权限c:\inetpub\mailrootadministrators 全部system 全部service 全部c:\inetpub\ftprooteveryone 只读和运行c:\windowsadministrators 全部Creator owner不是继承的只有子文件夹及文件完全Power Users修改,读取和运行,列出文件夹目录,读取,写入system 全部IIS_WPG 读取和运行,列出文件夹目录,读取Users 读取和运行(此权限最后调整完成后可以取消)C:\WINDOWS\administrators 全部Creator owner不是继承的只有子文件夹及文件完全Power Users修改,读取和运行,列出文件夹目录,读取,写入system 全部Users 读取和运行,列出文件夹目录,读取C:\WINDOWS\administrators 全部Creator owner不是继承的只有子文件夹及文件完全Power Users修改,读取和运行,列出文件夹目录,读取,写入system 全部Users 读取和运行,列出文件夹目录,读取C:\WINDOWS\\temporary Files administrators 全部Creator owner不是继承的只有子文件夹及文件完全Power Users修改,读取和运行,列出文件夹目录,读取,写入system 全部Users 全部c:\Program FilesEveryone 只有该文件夹不是继承的列出文件夹/读数据administrators 全部iis_wpg 只有该文件夹列出文件/读数据读属性读扩展属性读取权限c:\windows\tempAdministrator 全部权限System全部权限users 全部权限c:\Program Files\Common Filesadministrators 全部Creator owner不是继承的只有子文件夹及文件完全Power Users修改,读取和运行,列出文件夹目录,读取,写入system 全部TERMINAL SERVER Users(如果有这个用户)修改,读取和运行,列出文件夹目录,读取,写入Users 读取和运行,列出文件夹目录,读取c:\Program Files\Dimac(如果有这个目录) Everyone 读取和运行,列出文件夹目录,读取administrators 全部c:\Program Files\ComPlus Applications (如果有) administrators 全部c:\Program Files\GflSDK (如果有) administrators 全部Creator owner不是继承的只有子文件夹及文件完全Power Users修改,读取和运行,列出文件夹目录,读取,写入system 全部TERMINAL SERVER Users修改,读取和运行,列出文件夹目录,读取,写入Users 读取和运行,列出文件夹目录,读取Everyone 读取和运行,列出文件夹目录,读取c:\Program Files\InstallShield Installation Information (如果有)c:\Program Files\Internet Explorer (如果有)c:\Program Files\NetMeeting (如果有)administrators 全部c:\Program Files\WindowsUpdateCreator owner不是继承的只有子文件夹及文件完全administrators 全部Power Users修改,读取和运行,列出文件夹目录,读取,写入system 全部c:\Program Files\Microsoft SQL(如果SQL安装在这个目录) administrators 全部Service 全部system 全部d:\ (如果用户网站内容放置在这个分区中)administrators 全部权限d:\FreeHost (如果此目录用来放置用户网站内容)administrators 全部权限SERVICE 读取与运行从安全角度,我们建议WebEasyMail(WinWebMail)安装在独立的盘中,例如E: E:\(如果webeasymail安装在这个盘中)administrators 全部权限system 全部权限IUSR_*,默认的Internet来宾帐户(或专用的运行用户)读取与运行E:\WebEasyMail (如果webeasymail安装在这个目录中)administrators 全部system 全部权限SERVICE全部IUSR_*,默认的Internet来宾帐户 (或专用的运行用户)全部权限C:\php\uploadtempC:\php\sessiondataeveryone全部C:\php\administrators 全部system 全部权限SERVICE全部Users 只读和运行c:\windows\php.iniadministrators 全部system 全部权限SERVICE全部Users 只读和运行防止海洋木马列出WIN服务器的用户和进程禁用服务里面倒数第二个 workstation 服务,可以防止列出用户和服务设网站文件目录与数据库权限拒绝黑客入侵 2009年09月02日08:54 天极网极富创意灵感的Flash网站设计欣赏建资讯网站应该选择什么样的CMS产品“格式塔”原理在网页设计中的应用点击查看更多设计软件资讯>>在网站运营的过程中,最令站长头痛的可能就是网站被入侵了,实际上,如果提前设置好网站的目录权限,就可以保证网站能够经受大部分的漏洞攻击。
本文介绍了设置文件目录和数据库权限的方法,设置权限的方法也并不难,只要根据本文一步步进行操作,就可以大大提高网站的安全性。
网站目录权限的设置方法大多数网站都是采用程序搭建,对于系统管理的目录,可以将其设置为可读也可执行脚本,但不可写入的权限;但是对于放置网页静态文件的目录,以及放置图片文件、模板文件的目录,就可以将其设置为可读写但不可执行的系统权限。
在权限分配明确之后,即使系统被入侵,也只能浏览而无法对文件进行直接的操作。
对于能够执行脚本的文件,最好设置只能读而不能写的权限(如图),而需要写入的文件则将其设置为不能执行脚本,目录权限这样配置下来,网站系统的安全性会大大提高。
数据库权限也要仔细设置对于网站来说,数据库可以说是站点的核心,所有网站的内容都存储在数据库中。
所以说数据库安全也是需要注意的地方。
对于MySQL数据库来说,最好不要对网站直接使用roo t管理用户的权限,而要专门为每个站点开通一个数据库账号,而且将账户的权限设置仅限于操作当前数据库目录,并且对这些单独的MYSQL账号去掉file和EXECUTE的执行权限,这样一来,即使数据库被SQL注入,也只能到数据库一级,而无法拿到整个数据库服务器的权限。
这样一来,只要经常对网站的数据库进行备份,就很少会出现数据库被入侵的情况。
另外需要注意的是,由于很多建站系统并没有使用数据库的存储过程,因此最好禁用F ILE、EXECUTE 等执行存储过程或文件操作的权限。
小提示:对于Access的数据库来说,可以将数据库的存放位置进行修改,最好是较为隐蔽的目录,这样会避免数据库文件被恶意探测下载。
另外,一些程序也支持修改后缀,比如可以将。
mdb的数据库文件修改为。
asa等后缀名,同样可以有效地保护数据库安全。
删除不需要的文件很多内容管理系统中,都会在空间中存在很多以后并不需要的文件,最普遍的可能就属于系统安装文件了,这类文件通常被命名为install.php或者install.asp,如果你的空间中存在类似的文件,现在就赶快删除吧。
另外,一些CMS也会存在很多功能,如问答系统等等,但是往往这些功能在网站中都不会用到,这时候就建议将这些功能的目录删除,或者仅保留Html静态页面,然后将目录设置为可读写但不可执行的权限。
(转载秋风)。