当前位置: 首页 > 图文教程 > 服务器 > Windows服务器 > WIN2003服务器端安全配置的一点简单经验

Windows服务器
win2003 3389手工修改方法
windows2003 shtml支持设置方法
由于这台计算机没有终端服务器客户端访问许可证,远程会话被中断
Microsoft VBScript 运行时错误 错误 ''800a0046'' 没有权限
win2003 sp2 iis 上传文件不能超过200K的解决方案
win7 iis7.5 乱码 和 解析不了ASP的ADO连接数据库 的解决方法
让IIS支持Flv的详细设置方法
Win2003 服务器安全配置技巧
win2003 服务器安全设置教程(权限+防火墙)
win2003 服务器 安全设置 技术实例(比较安全的方法)
windows 服务器 目录 安全详细设置(PJblog 博客)
WinRAR 任务计划 免费定时备份
Windows7 apache启动失败的解决方法
Windows服务器SNMP服务的配置方法
Windows2008 AHCI功能开启方法(提升硬盘加速)
Windows2003 MSSQL 安全设置教程
IIS 服务器 防范攻击3条安全设置技巧
win2003 administrator 内置系统管理员账号名称修改方法
IP策略实现服务器禁止Ping
有史以来最好的windows 虚拟主机安全配置

Windows服务器 中的 WIN2003服务器端安全配置的一点简单经验


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-11-02   浏览: 65 ::
收藏到网摘: n/a

 

如下的一些配置主要是 针对 WIN2003和NTFS格式的,而且是提供网络服务的,不是客户端电脑(客户端电脑自己去安装一些防木马间谍病毒或防火墙或其他,注意跟踪目前的较新的反弹式木马技术,简单的木马的隐蔽无非就是注册表、Win.ini、System.ini、Autoexec.bat、Congfig.sys、Winstart.bat、Wininit.ini、启动组等地方,仔细点一般可找出)。

(1)       系统升级、打操作系统补丁,尤其是IIS 6.0补丁、SQL SP3a补丁,甚至IE 6.0补丁也要打。到教科网计算机安全网上下载,也可以自己到微软升级网站或用瑞星的最新版扫描或其他,工具很多。要早点下载下来。其实,服务器端,把不要的东西删除,如Telnet、Wins等一般禁用或删除。不要直接在服务器端运行和访问其他网站(至少可以防止jpeg、vbs病毒等,当然也要打上JPEG漏洞补丁)。基本这些问题就不大了。运行 netstat –an 一目了然。漏洞的通知速度,我倒建议除了微软外,到瑞星网站看看:http://it.rising.com.cn/newSite/Channels/Safety/LatestHole/index.htm

(2)       将FSO、WSH、Ado..Stream、Ditction..、shell.application等禁止(如:Regsvr32 /u scrrun.dll)或修改注册表中名称(推荐后者!)。方法在后面会说明。地球人都知道。

(3)       停掉Guest 帐号、并给guest 加一个异常复杂的密码(反正不用,乱敲一通)。

(4)       把Adm…改名或伪装(比如改为guest6,那么最好同时创建10来个如guest1――guest10等不同的帐号,但权限都极低,密码超级复杂,在帐号安全策略中,甚至都不允许他们进行本极登录,干扰视线),创建陷阱帐号(假的Administrator帐号,实际权限非常低),并在试图尝试的login scripts上做点手脚。当然,真正的帐号密码必须设置特殊字符和足够强度。

(5)       关闭不必要的端口,在\\system32\\drivers\\etc\\services中有列表。网上邻居>属性>本地连接>属性>internet 协议(tcp/ip)>属性>高级>选项>tcp/ip筛选>属性 打开tcp/ip筛选,添加需要的tcp,udp,协议即可。

(6)       如果懒惰的话,最简单的方法是启用WIN2003的自身带的网络防火墙,并进行端口的改变。功能还可以!Internet 连接防火墙可以有效地拦截对Windows 2003服务器的非法入侵,防止非法远程主机对服务器的扫描,提高Windows 2003服务器的安全性。同时,也可以有效拦截利用操作系统漏洞进行端口攻击的病毒,如冲击波等蠕虫病毒。如果在用Windows 2003构造的虚拟路由器上启用此防火墙功能,能够对整个内部网络起到很好的保护作用。

网络->本地链接状态->高级->通过限制或阻止….来保护我的计算机,选中,并进行设置。剩下的就简单了。开必要的端口,如80、25、110等,要注意做安全日志。上面也有设置。但最好手工修改注册表。比如,把3389注册表中修改为××××端口,然后再通过防火墙映射为外部端口××××,内部端口××××。这样基本可以了。注册表中至少要修改4个地方,不过主要与PortNumber这个参数值有关,也方便找。我等会做个reg文件,运行一下就好了。

远程桌面端口:3389->××××->××××(这个肯定是要改变的)

SQL SERVER:1434->××××  同时隐藏SQL 实例

FTP端口21->××××

(7)       打开审核策略!这个也非常重要,必须开启。当有人尝试入侵时,都会被安全审核记录下来。比如下表:

       策略 设置

审核系统登陆事件 成功,失败

审核帐户管理 成功,失败

审核登陆事件 成功,失败

审核对象访问 成功

审核策略更改 成功,失败

审核特权使用 成功,失败

审核系统事件 成功,失败


(8)禁止建立空连接。可视化修改是这样:在管理工具->本地安全策略->选择本地策略->选择安全选项->网络访问:不允许SAM帐号和共享的匿名枚举(改成已启用)!

     或者修改注册表来禁止建立空连接(等同上面):

Local_Machine\\System\\CurrentControlSet\\Control\\LSA-RestrictAnonymous 的值改成”1”即

可。

另外,本地安全策略一定要仔细看,有些功能要开启。反正,服务器端只运行必要的就可以了。

(9)关闭默认共享,编写一个deletenetshare.bat文件(如下表)

net share ipc$ /delete

net share admin$ /delete

net share C$ /delete

net share D$ /delete

net share E$ /delete

net share F$ /delete

net share print$ /delete

编写一个deletenetshare.reg 文件,把上面的bat写入启动项:

Windows Registry Editor Version