当前位置: 首页 > 图文教程 > 服务器 > Windows服务器 > Windows服务器安全配置小结

Windows服务器
实例讲解Windows 2003分区增容功能
WIN2003服务器端安全配置的一点简单经验
Windows 2003中快速建立ADSL拨号
远程如何修改Windows 2003系统机器名
微软揭示Windows 2003 R2关键性技术
Windows Server 2003组策略排障六法
感受Windows 2003 SP1安全配置向导功能
微软测试Windows Server 2003集群版
Win 2003系统传真功能的配置及使用
巧用Win 2003构筑校园网服务器防火墙
抢先看!WinServer 2003 R2 RTM发布
九招Windows 2003系统设置小技巧
巧施妙计—突破Win 2003系统的种种限制
巧妙启用Windows 2003的远程桌面功能
部署Windows Server 2003终端服务
在Win2003配置DNS的Internet访问
Windows 2003下提高FSO的安全性
Windows Server 2003 SP1 今日发布
微软将在HEC上发布Windows 2003 64-bit
快下载!值得装Windows 2003 SP1三大原因

Windows服务器安全配置小结


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-04   浏览: 117 ::
收藏到网摘: n/a

比较精简的,大略的服务器安全设置类小知识 1. 系统分区
a) 所有分区使用ntfs, C: System系统分区 10G, D: Software软件安装10G E: Website网站所在目录 F: 工具及备份50G soft,backup,other
2. 安装操作系统:
Windows Server 2003 Enterprise Edition With Service Pack 1, 用WindowsUpdate 进行升级.
并打上sp2及所有补丁
Serv-U6.0(替换servadmin.exe和servudaemon.exe替换安装目录下的对应文件,并采用ODBC存储方式)
3. 禁止Guest用户
4. 安装组件(jmial,动易,upload,aspjepg,等)
5. 新建IISuser用户组,以及servu用户,不属于任何组,servu密码设复杂些: 如: servu_pass_IP地址. 即所有iis用户加入IISuser组 ServU启动选择使用服务启动. 然后在services.msc中设置ServUDaemond的启动用户为servu.
6. 删除 c:\Inetpub 目录
7. 禁用TCP/IP上的NetBIOS
网上邻居-属性-本地连接-属性-Internet协议(TCP/IP)属性-高级-WINS面板-NetBIOS设置-禁用TCP/IP上的NetBIOS。这样cracker就无法用nbtstat命令来读取你的NetBIOS信息和网卡MAC地址了。
8. 把Administrator 改名为 cytz_admin_ip尾数.
9. 修改3389端口
1. 运行 Regedt32 并转到此项:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

及: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp
注意:上面的注册表项是一个路径;它已换行以便于阅读。
2. 找到“PortNumber”子项,您会看到值 00000D3D,它是 3389 的十六进制表示形式。使用十六进制数值修改此端口号(F79D)即十进制的63389,并保存新值。
10. 运行gpedit.msc => 计算机管理 => Windows设置 => 安全设置 => 本地策略 => 审核策略 按如下设置:
账户管理 成功 失败
登录事件 成功 失败
对象访问 失败
策略更改 成功 失败
特权使用 失败
系统事件 成功 失败
目录服务访问 失败
账户登录事件 成功 失败
比较精简的,大略的服务器安全设置类小知识
11. 安装mcafree 或 卡巴斯基服务器版, vnc 安装 blackice防火墙. 打开 21,80, 443, 6900, 10000-10020, 63389. 并设置serv-u使用10000-10020端口进行pasv传送. 防火墙里第二页选择链接的网卡, 把里面FTP服务器的勾一定要去掉.
12. 运行权限设置脚本 priv.bat
13. 禁用以下服务
14. Computer Browser 维护网络上计算机的最新列表以及提供这个列表
   Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务
   Removable storage 管理可移动媒体、驱动程序和库
   Remote Registry Service 允许远程注册表操作
   Print Spooler 将文件加载到内存中以便以后打印。要用打印机的朋友不能禁用这项
   IPSEC Policy Agent 管理IP安全策略以及启动ISAKMP/OakleyIKE)和IP安全驱动程序
   Distributed Link Tracking Client 当文件在网络域的NTFS卷中移动时发送通知
   Com+ Event System 提供事件的自动发布到订阅COM组件
Alerter 通知选定的用户和计算机管理警报
Error Reporting Service 收集、存储和向 Microsoft 报告异常应用程序
Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息
Telnet 允许远程用户登录到此计算机并运行程序
15.   防止SYN洪水攻击
  Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"SynAttackProtect"=dword:00000002
"EnablePMTUDiscovery"=dword:00000000
"NoNameReleaseOnDemand"=dword:00000001
"EnableDeadGWDetect"=dword:00000000
"KeepAliveTime"=dword:00300000
"PerformRouterDiscovery"=dword:00000000
"TcpMaxConnectResponseRetransmissions"=dword:00000003
"TcpMaxHalfOpen"=dword:00000100
"TcpMaxHalfOpenRetried"=dword:00000080
"TcpMaxPortsExhausted"=dword:00000005
"EnableICMPRedirects"= dword:00000000
禁止IPC空连接:
cracker可以利用net use命令建立空连接,进而入侵,还有net view,nbtstat这些都是基于空连接的,禁止空连接就好了。打开注册表,找到Local_Machine/System/CurrentControlSet/Control/LSA RestrictAnonymous 把这个值改成”1”即可。
更改TTL
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameter
DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)改成一个莫名其妙的数字如258
删除默认共享
有人问过我一开机就共享所有盘,改回来以后,重启又变成了共享是怎么回事,这是2K为管理而设置的默认共享,必须通过修改注册表的方式取消它:HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/LanmanServer/Parameters
AutoShareServer类型是REG_DWORD把值改为0即可

重起后检查共享目录是否还存在. ipc$, c$, d$, e$,f$, admin$等
禁止建立空连接
默认情况下,任何用户通过通过空连接连上服务器,进而枚举出帐号,猜测密码。我们可以通过修改注册表来禁止建立空连接:
Local_Machine/System/CurrentControlSet/Control/LSA-RestrictAnonymous 的值改成”1”即可。