当前位置: 首页 > 图文教程 > 服务器 > Windows服务器 > Windows Server2003防木马权限设置

Windows服务器
实例讲解Windows 2003分区增容功能
WIN2003服务器端安全配置的一点简单经验
Windows 2003中快速建立ADSL拨号
远程如何修改Windows 2003系统机器名
微软揭示Windows 2003 R2关键性技术
Windows Server 2003组策略排障六法
感受Windows 2003 SP1安全配置向导功能
微软测试Windows Server 2003集群版
Win 2003系统传真功能的配置及使用
巧用Win 2003构筑校园网服务器防火墙
抢先看!WinServer 2003 R2 RTM发布
九招Windows 2003系统设置小技巧
巧施妙计—突破Win 2003系统的种种限制
巧妙启用Windows 2003的远程桌面功能
部署Windows Server 2003终端服务
在Win2003配置DNS的Internet访问
Windows 2003下提高FSO的安全性
Windows Server 2003 SP1 今日发布
微软将在HEC上发布Windows 2003 64-bit
快下载!值得装Windows 2003 SP1三大原因

Windows服务器 中的 Windows Server2003防木马权限设置


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-11-02   浏览: 168 ::
收藏到网摘: n/a

参考了网络上很多关于WIN2003的安全设置以及自己动手做了一些实践,综合了这些安全设置文章整理而成,希望对大家有所帮助,另外里面有不足之处还请大家多多指点,然后给补上,谢谢!



一、系统的安装  


1、按照Windows2003安装光盘的提示安装,默认情况下2003没有把IIS6.0安装在系统里面。


2、IIS6.0的安装


开始菜单—>控制面板—>添加或删除程序—>添加/删除Windows组件


应用程序 ———ASP.NET(可选)


|——启用网络 COM+ 访问(必选)


|——Internet 信息服务(IIS)———Internet 信息服务管理器(必选) 


|——公用文件(必选)


|——万维网服务———Active Server pages(必选)


|——Internet 数据连接器(可选)


|——WebDAV 发布(可选)


|——万维网服务(必选)


|——在服务器端的包含文件(可选)


然后点击确定—>下一步安装。(具体见本文附件1)



3、系统补丁的更新


点击开始菜单—>所有程序—>Windows Update


按照提示进行补丁的安装。


4、备份系统


  用GHOST备份系统。



5、安装常用的软件


  例如:杀毒软件、解压缩软件等;安装完毕后,配置杀毒软件,扫描系统漏洞,安装之后用GHOST再次备份系统。



6、先关闭不需要的端口 开启防火墙 导入IPSEC策略


在”网络连接”里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP),由于要控制带宽流量服务,额外安装了Qos数据包计划程序。在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS(S)"。在高级选项里,使用"Internet连接防火墙",这是windows 2003 自带的防火墙,在2000系统里没有的功能,虽然没什么功能,但可以屏蔽端口,这样已经基本达到了一个IPSec的功能。



修改3389远程连接端口


修改注册表.


开始--运行--regedit


依次展开 HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/


TERMINAL SERVER/WDS/RDPWD/TDS/TCP


右边键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 10000 )



HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/


WINSTATIONS/RDP-TCP/


右边键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 10000 )


注意:别忘了在WINDOWS2003自带的防火墙给+上10000端口


修改完毕.重新启动服务器.设置生效.
二、用户安全设置


1、禁用Guest账号


在计算机管理的用户里面把Guest账号禁用。为了保险起见,最好给Guest加一个复杂的密码。你可以打开记事本,在里面输入一串包含特殊字符、数字、字母的长字符串,然后把它作为Guest用户的密码拷进去。


2、限制不必要的用户


去掉所有的Duplicate User用户、测试用户、共享用户等等。用户组策略设置相应权限,并且经常检查系统的用户,删除已经不再使用的用户。这些用户很多时候都是黑客们入侵系统的突破口。 3、把系统Administrator账号改名


大家都知道,Windows 2003 的Administrator用户是不能被停用的,这意味着别人可以一遍又一遍地尝试这个用户的密码。尽量把它伪装成普通用户,比如改成Guesycludx。


4、创建一个陷阱用户


什么是陷阱用户?即创建一个名为“Administrator”的本地用户,把它的权限设置成最低,什么事也干不了的那种,并且加上一个超过10位的超级复杂密码。这样可以让那些 Hacker们忙上一段时间,借此发现它们的入侵企图。


5、把共享文件的权限从Everyone组改成授权用户


任何时候都不要把共享文件的用户设置成“Everyone”组,包括打印共享,默认的属性就是“Everyone”组的,一定不要忘了改。


6、开启用户策略


使用用户策略,分别设置复位用户锁定计数器时间为20分钟,用户锁定时间为20分钟,用户锁定阈值为3次。 (该项为可选)


7、不让系统显示上次登录的用户名


默认情况下,登录对话框中会显示上次登录的用户名。这使得别人可以很容易地得到系统的一些用户名,进而做密码猜测。修改注册表可以不让对话框里显示上次登录的用户名。方法为:打开注册表编辑器并找到注册表“HKLM\Software\Microsoft\Windows T\Curr