当前位置: 首页 > 图文教程 > 服务器 > Windows服务器 > Windows服务器安全配置小结

Windows服务器
自动实现Windows 2000系统补丁的快速安装
快速恢复Windows 2000/XP遗忘的管理员密码
Windows 2000/XP操作系统中超强命令syskey
环境变量应用:多系统共享程序
如何配置windows 2003的DNS服务器
Win 2003远程管理的实现
Win 2003轻松识别外来设备
Win 2003实现网络共享还原
体验Win 2003共享“还原”技术
用Windows 2003实现网络共享还原
激活windows 2003常用服务
windows 2003常见故障诊断
轻松提高windows 2003的运行速度
windows 2003中IE安全区域的设置技巧
改变windows 2003登录方式
windows 2003中给用户文件指派登录脚本
在windows 2003创建映像之前使用Sysprep
怎样在windows 2003下使用USB便携存储器
NT升级至windows 2003如何应用注册表和文件系统
windows 2003中配置PPTP VPN客户端筛选器

Windows服务器安全配置小结


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-04   浏览: 108 ::
收藏到网摘: n/a

比较精简的,大略的服务器安全设置类小知识 1. 系统分区
a) 所有分区使用ntfs, C: System系统分区 10G, D: Software软件安装10G E: Website网站所在目录 F: 工具及备份50G soft,backup,other
2. 安装操作系统:
Windows Server 2003 Enterprise Edition With Service Pack 1, 用WindowsUpdate 进行升级.
并打上sp2及所有补丁
Serv-U6.0(替换servadmin.exe和servudaemon.exe替换安装目录下的对应文件,并采用ODBC存储方式)
3. 禁止Guest用户
4. 安装组件(jmial,动易,upload,aspjepg,等)
5. 新建IISuser用户组,以及servu用户,不属于任何组,servu密码设复杂些: 如: servu_pass_IP地址. 即所有iis用户加入IISuser组 ServU启动选择使用服务启动. 然后在services.msc中设置ServUDaemond的启动用户为servu.
6. 删除 c:\Inetpub 目录
7. 禁用TCP/IP上的NetBIOS
网上邻居-属性-本地连接-属性-Internet协议(TCP/IP)属性-高级-WINS面板-NetBIOS设置-禁用TCP/IP上的NetBIOS。这样cracker就无法用nbtstat命令来读取你的NetBIOS信息和网卡MAC地址了。
8. 把Administrator 改名为 cytz_admin_ip尾数.
9. 修改3389端口
1. 运行 Regedt32 并转到此项:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

及: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp
注意:上面的注册表项是一个路径;它已换行以便于阅读。
2. 找到“PortNumber”子项,您会看到值 00000D3D,它是 3389 的十六进制表示形式。使用十六进制数值修改此端口号(F79D)即十进制的63389,并保存新值。
10. 运行gpedit.msc => 计算机管理 => Windows设置 => 安全设置 => 本地策略 => 审核策略 按如下设置:
账户管理 成功 失败
登录事件 成功 失败
对象访问 失败
策略更改 成功 失败
特权使用 失败
系统事件 成功 失败
目录服务访问 失败
账户登录事件 成功 失败
比较精简的,大略的服务器安全设置类小知识
11. 安装mcafree 或 卡巴斯基服务器版, vnc 安装 blackice防火墙. 打开 21,80, 443, 6900, 10000-10020, 63389. 并设置serv-u使用10000-10020端口进行pasv传送. 防火墙里第二页选择链接的网卡, 把里面FTP服务器的勾一定要去掉.
12. 运行权限设置脚本 priv.bat
13. 禁用以下服务
14. Computer Browser 维护网络上计算机的最新列表以及提供这个列表
   Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务
   Removable storage 管理可移动媒体、驱动程序和库
   Remote Registry Service 允许远程注册表操作
   Print Spooler 将文件加载到内存中以便以后打印。要用打印机的朋友不能禁用这项
   IPSEC Policy Agent 管理IP安全策略以及启动ISAKMP/OakleyIKE)和IP安全驱动程序
   Distributed Link Tracking Client 当文件在网络域的NTFS卷中移动时发送通知
   Com+ Event System 提供事件的自动发布到订阅COM组件
Alerter 通知选定的用户和计算机管理警报
Error Reporting Service 收集、存储和向 Microsoft 报告异常应用程序
Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息
Telnet 允许远程用户登录到此计算机并运行程序
15.   防止SYN洪水攻击
  Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"SynAttackProtect"=dword:00000002
"EnablePMTUDiscovery"=dword:00000000
"NoNameReleaseOnDemand"=dword:00000001
"EnableDeadGWDetect"=dword:00000000
"KeepAliveTime"=dword:00300000
"PerformRouterDiscovery"=dword:00000000
"TcpMaxConnectResponseRetransmissions"=dword:00000003
"TcpMaxHalfOpen"=dword:00000100
"TcpMaxHalfOpenRetried"=dword:00000080
"TcpMaxPortsExhausted"=dword:00000005
"EnableICMPRedirects"= dword:00000000
禁止IPC空连接:
cracker可以利用net use命令建立空连接,进而入侵,还有net view,nbtstat这些都是基于空连接的,禁止空连接就好了。打开注册表,找到Local_Machine/System/CurrentControlSet/Control/LSA RestrictAnonymous 把这个值改成”1”即可。
更改TTL
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameter
DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)改成一个莫名其妙的数字如258
删除默认共享
有人问过我一开机就共享所有盘,改回来以后,重启又变成了共享是怎么回事,这是2K为管理而设置的默认共享,必须通过修改注册表的方式取消它:HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/LanmanServer/Parameters
AutoShareServer类型是REG_DWORD把值改为0即可

重起后检查共享目录是否还存在. ipc$, c$, d$, e$,f$, admin$等
禁止建立空连接
默认情况下,任何用户通过通过空连接连上服务器,进而枚举出帐号,猜测密码。我们可以通过修改注册表来禁止建立空连接:
Local_Machine/System/CurrentControlSet/Control/LSA-RestrictAnonymous 的值改成”1”即可。