当前位置: 首页 > 图文教程 > 服务器 > Windows服务器 > Windows Server2003防木马权限设置

Windows服务器
Win2000活动目录之与安装配置
Win2000活动目录之基础篇
自动安装你的Win2000
Windows2000怪异故障两例
安全配置Windows2000服务器
加速 Windows 2000
Windows 2000的安全维护
Windows 2000集成SP2
Windows 2000分布式文件系统
Win2000虚拟化设置谈内存优化
优化Win2000的NTFS系统
Win2000 无盘终端安装指南
Windows 2000蓝屏死机
Windows 2000中蓝屏死机分析
windows2000中的“秘密武器”(二)
windows2000中的“秘密武器”(一)
Win2000之Dfs工具(二)
Win2000之Dfs工具(一)
Win2000诊断工具几个问题解释
Win2000之SNMP查询

Windows服务器 中的 Windows Server2003防木马权限设置


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-11-02   浏览: 180 ::
收藏到网摘: n/a

参考了网络上很多关于WIN2003的安全设置以及自己动手做了一些实践,综合了这些安全设置文章整理而成,希望对大家有所帮助,另外里面有不足之处还请大家多多指点,然后给补上,谢谢!



一、系统的安装  


1、按照Windows2003安装光盘的提示安装,默认情况下2003没有把IIS6.0安装在系统里面。


2、IIS6.0的安装


开始菜单—>控制面板—>添加或删除程序—>添加/删除Windows组件


应用程序 ———ASP.NET(可选)


|——启用网络 COM+ 访问(必选)


|——Internet 信息服务(IIS)———Internet 信息服务管理器(必选) 


|——公用文件(必选)


|——万维网服务———Active Server pages(必选)


|——Internet 数据连接器(可选)


|——WebDAV 发布(可选)


|——万维网服务(必选)


|——在服务器端的包含文件(可选)


然后点击确定—>下一步安装。(具体见本文附件1)



3、系统补丁的更新


点击开始菜单—>所有程序—>Windows Update


按照提示进行补丁的安装。


4、备份系统


  用GHOST备份系统。



5、安装常用的软件


  例如:杀毒软件、解压缩软件等;安装完毕后,配置杀毒软件,扫描系统漏洞,安装之后用GHOST再次备份系统。



6、先关闭不需要的端口 开启防火墙 导入IPSEC策略


在”网络连接”里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP),由于要控制带宽流量服务,额外安装了Qos数据包计划程序。在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS(S)"。在高级选项里,使用"Internet连接防火墙",这是windows 2003 自带的防火墙,在2000系统里没有的功能,虽然没什么功能,但可以屏蔽端口,这样已经基本达到了一个IPSec的功能。



修改3389远程连接端口


修改注册表.


开始--运行--regedit


依次展开 HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/


TERMINAL SERVER/WDS/RDPWD/TDS/TCP


右边键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 10000 )



HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/


WINSTATIONS/RDP-TCP/


右边键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 10000 )


注意:别忘了在WINDOWS2003自带的防火墙给+上10000端口


修改完毕.重新启动服务器.设置生效.
二、用户安全设置


1、禁用Guest账号


在计算机管理的用户里面把Guest账号禁用。为了保险起见,最好给Guest加一个复杂的密码。你可以打开记事本,在里面输入一串包含特殊字符、数字、字母的长字符串,然后把它作为Guest用户的密码拷进去。


2、限制不必要的用户


去掉所有的Duplicate User用户、测试用户、共享用户等等。用户组策略设置相应权限,并且经常检查系统的用户,删除已经不再使用的用户。这些用户很多时候都是黑客们入侵系统的突破口。 3、把系统Administrator账号改名


大家都知道,Windows 2003 的Administrator用户是不能被停用的,这意味着别人可以一遍又一遍地尝试这个用户的密码。尽量把它伪装成普通用户,比如改成Guesycludx。


4、创建一个陷阱用户


什么是陷阱用户?即创建一个名为“Administrator”的本地用户,把它的权限设置成最低,什么事也干不了的那种,并且加上一个超过10位的超级复杂密码。这样可以让那些 Hacker们忙上一段时间,借此发现它们的入侵企图。


5、把共享文件的权限从Everyone组改成授权用户


任何时候都不要把共享文件的用户设置成“Everyone”组,包括打印共享,默认的属性就是“Everyone”组的,一定不要忘了改。


6、开启用户策略


使用用户策略,分别设置复位用户锁定计数器时间为20分钟,用户锁定时间为20分钟,用户锁定阈值为3次。 (该项为可选)


7、不让系统显示上次登录的用户名


默认情况下,登录对话框中会显示上次登录的用户名。这使得别人可以很容易地得到系统的一些用户名,进而做密码猜测。修改注册表可以不让对话框里显示上次登录的用户名。方法为:打开注册表编辑器并找到注册表“HKLM\Software\Microsoft\Windows T\Curr