Win2003 安全配置技巧_Windows教程

windows server2003是目前最為成熟的網絡服務器平臺，安全性相對于windows 2000有大大的提高,但是2003默認的安全配置不一定適合我們的需要，所以，我們要根據實際情況來對win2003進行全面安全配置。說實話，安全配置是一項比較有難度的網絡技術，權限配置的太嚴格，好多程序又運行不起，權限配置的太松，又很容易被黑客入侵，做為網絡管理員，真的很頭痛，因此，我結合這幾年的網絡安全管理經驗，總結出以下一些方法來提高我們服務器的安全性。

　　第一招：正確劃分文件系統格式，選擇穩定的操作系統安裝盤

　　為了提高安全性，服務器的文件系統格式一定要劃分成NTFS（新技術文件系統）格式，它比FAT16、FAT32的安全性、空間利用率都大大的提高，我們可以通過它來配置文件的安全性，磁盤配額、EPS文件加密等。如果你已經分成FAT32的格式了，可以用CONVERT 盤符 /FS：NTFS　 /V 來把FAT32轉換成NTFS格式。正確安裝windows 2003 server,在網安聯盟http://cqhk.14023.com/Soft/yyrj/bigsoft/200504/502.asp>有 windows 2003的企業可升級版，這個一個完全破解了的版本，可以直接網上升級,我們安裝時盡量只安裝我們必須要用的組件，安裝完后打上最新的補丁，到網上升級到最新版本！保證操作系統本身無漏洞。

　　第二招：正確設置磁盤的安全性,具體如下(虛擬機的安全設置，我們以asp程序為例子)重點：

　　1、系統盤權限設置

　　C:分區部分：

　　c:\

　　administrators 全部(該文件夾，子文件夾及文件)

　　CREATOR OWNER　全部(只有子文件來及文件)

　　system 全部(該文件夾，子文件夾及文件)

　　IIS_WPG 創建文件/寫入數據(只有該文件夾)

　　IIS_WPG(該文件夾，子文件夾及文件)

　　遍歷文件夾/運行文件

　　列出文件夾/讀取數據

　　讀取屬性

　　創建文件夾/附加數據

　　讀取權限

　　

　　c:\Documents and Settings

　　administrators 全部(該文件夾，子文件夾及文件)

　　Power Users (該文件夾，子文件夾及文件)

　　讀取和運行

　　列出文件夾目錄

　　讀取

　　SYSTEM全部(該文件夾，子文件夾及文件)

　　

　　C:\Program Files

　　administrators 全部(該文件夾，子文件夾及文件)

　　CREATOR OWNER全部(只有子文件來及文件)

　　IIS_WPG (該文件夾，子文件夾及文件)

　　讀取和運行

　　列出文件夾目錄

　　讀取

　　Power Users(該文件夾，子文件夾及文件)

　　修改權限

　　SYSTEM全部(該文件夾，子文件夾及文件)

　　TERMINAL SERVER USER (該文件夾，子文件夾及文件)

　　修改權限

2、網站及虛擬機權限設置(比如網站在E盤)

　　說明：我們假設網站全部在E盤wwwsite目錄下，并且為每一個虛擬機創建了一個guest用戶，用戶名為vhost1...vhostn并且創建了一個webuser組，把所有的vhost用戶全部加入這個webuser組里面方便管理

　　E:\

　　Administrators全部(該文件夾，子文件夾及文件)

　　E:\wwwsite

　　

　　Administrators全部(該文件夾，子文件夾及文件)

　　system全部(該文件夾，子文件夾及文件)

　　service全部(該文件夾，子文件夾及文件)

　　

　　E:\wwwsite\vhost1

　　Administrators全部(該文件夾，子文件夾及文件)

　　system全部(該文件夾，子文件夾及文件)

　　vhost1全部(該文件夾，子文件夾及文件)

　　

　　3、數據備份盤

　　數據備份盤最好只指定一個特定的用戶對它有完全操作的權限

　　比如F盤為數據備份盤，我們只指定一個管理員對它有完全操作的權限

　　

　　4、其它地方的權限設置

　　請找到c盤的這些文件，把安全性設置只有特定的管理員有完全操作權限

　　下列這些文件只允許administrators訪問

　　net.exe

　　net1.exet

　　cmd.exe

　　tftp.exe

　　netstat.exe

　　regedit.exe

　　at.exe

　　attrib.exe

　　cacls.exe

　　format.com

　　5.刪除c:\inetpub目錄，刪除iis不必要的映射，建立陷阱帳號，更改描述

　　第三招：禁用不必要的服務，提高安全性和系統效率

　　Computer Browser 維護網絡上計算機的最新列表以及提供這個列表

　　　　Task scheduler 允許程序在指定時間運行

　　　　Routing and Remote Access 在局域網以及廣域網環境中為企業提供路由服務

　　　　Removable storage 管理可移動媒體、驅動程序和庫

　　　　Remote Registry Service 允許遠程注冊表操作

　　　　Print Spooler 將文件加載到內存中以便以后打印。要用打印機的朋友不能禁用這項

　　　　IPSEC Policy Agent 管理IP安全策略以及啟動ISAKMP/OakleyIKE)和IP安全驅動程序

　　　　Distributed Link Tracking Client 當文件在網絡域的NTFS卷中移動時發送通知

　　　　Com+ Event System 提供事件的自動發布到訂閱COM組件

　　Alerter 通知選定的用戶和計算機管理警報

　　Error Reporting Service 收集、存儲和向 Microsoft 報告異常應用程序

　　　Messenger 傳輸客戶端和服務器之間的 NET SEND 和 警報器服務消息

　　Telnet 允許遠程用戶登錄到此計算機并運行程序

第四招:修改注冊表，讓系統更強壯

　　1、隱藏重要文件/目錄可以修改注冊表實現完全隱藏：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”，鼠標右擊 “CheckedValue”，選擇修改，把數值由1改為0

　　　　2、啟動系統自帶的Internet連接_blank">防火墻，在設置服務選項中勾選Web服務器。

　　　　3、防止SYN洪水攻擊

　　　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

　　新建DWORD值，名為SynAttackProtect，值為2

　　EnablePMTUDiscovery REG_DWORD 0

　　NoNameReleaseOnDemand REG_DWORD 1

　　EnableDeadGWDetect REG_DWORD 0

　　KeepAliveTime REG_DWORD 300,000

　　PerformRouterDiscovery REG_DWORD 0

　　EnableICMPRedirects REG_DWORD 0

　　　　4. 禁止響應ICMP路由通告報文

　　　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface

　　　　新建DWORD值，名為PerformRouterDiscovery 值為0

　　　　5. 防止ICMP重定向報文的攻擊

　　　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

　　　　將EnableICMPRedirects 值設為0

　　　　6. 不支持IGMP協議

　　　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

　　新建DWORD值，名為IGMPLevel 值為0

　　7.修改終端服務端口

　　運行regedit，找到[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ Wds \ rdpwd \ Tds \ tcp]，看到右邊的PortNumber了嗎？在十進制狀態下改成你想要的端口號吧，比如7126之類的，只要不與其它沖突即可。

　　　　2、第二處HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp，方法同上，記得改的端口號和上面改的一樣就行了。

　　8、禁止IPC空連接：

　　　cracker可以利用net use命令建立空連接，進而入侵，還有net view，nBTstat這些都是基于空連接的，禁止空連接就好了。打開注冊表，找到Local_Machine\System\ CurrentControlSet\Control\LSA-RestrictAnonymous 把這個值改成”1”即可。

　　9、更改TTL值

　　　 cracker可以根據ping回的TTL值來大致判斷你的操作系統，如：

　　TTL=107(WINNT);

　　TTL=108(win2000);

　　TTL=127或128(win9x);

　　TTL=240或241(linux);

　　TTL=252(solaris);

　　TTL=240(Irix);

　　實際上你可以自己更改的：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ Tcpip\Parameters：DefaultTTL REG_DWORD 0-0xff(0-255 十進制,默認值128)改成一個莫名其妙的數字如258，起碼讓那些小菜鳥暈上半天，就此放棄入侵你也不一定哦

　　10. 刪除默認共享

　　　有人問過我一開機就共享所有盤，改回來以后，重啟又變成了共享是怎么回事，這是2K為管理而設置的默認共享，必須通過修改注冊表的方式取消它： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters： AutoShareServer類型是REG_DWORD把值改為0即可

　　11. 禁止建立空連接

　　默認情況下，任何用戶通過通過空連接連上服務器，進而枚舉出帳號，猜測密碼。我們可以通過修改注冊表來禁止建立空連接：

　　Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成”1”即可。

第四招:修改注冊表，讓系統更強壯

1、隱藏重要文件/目錄可以修改注冊表實現完全隱藏：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”，鼠標右擊 “CheckedValue”，選擇修改，把數值由1改為0

2、啟動系統自帶的Internet連接_blank">防火墻，在設置服務選項中勾選Web服務器。

3、防止SYN洪水攻擊

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

新建DWORD值，名為SynAttackProtect，值為2

EnablePMTUDiscovery REG_DWORD 0

NoNameReleaseOnDemand REG_DWORD 1

EnableDeadGWDetect REG_DWORD 0

KeepAliveTime REG_DWORD 300,000

PerformRouterDiscovery REG_DWORD 0

EnableICMPRedirects REG_DWORD 0

4. 禁止響應ICMP路由通告報文

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface

新建DWORD值，名為PerformRouterDiscovery 值為0

5. 防止ICMP重定向報文的攻擊

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

將EnableICMPRedirects 值設為0

6. 不支持IGMP協議

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

新建DWORD值，名為IGMPLevel 值為0

7.修改終端服務端口

運行regedit，找到[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ Wds \ rdpwd \ Tds \ tcp]，看到右邊的PortNumber了嗎？在十進制狀態下改成你想要的端口號吧，比如7126之類的，只要不與其它沖突即可。

2、第二處HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp，方法同上，記得改的端口號和上面改的一樣就行了。

8、禁止IPC空連接：

　cracker可以利用net use命令建立空連接，進而入侵，還有net view，nBTstat這些都是基于空連接的，禁止空連接就好了。打開注冊表，找到Local_Machine\System\ CurrentControlSet\Control\LSA-RestrictAnonymous 把這個值改成”1”即可。

9、更改TTL值

　 cracker可以根據ping回的TTL值來大致判斷你的操作系統，如：

TTL=107(WINNT);

TTL=108(win2000);

TTL=127或128(win9x);

TTL=240或241(linux);

TTL=252(solaris);

TTL=240(Irix);

實際上你可以自己更改的：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ Tcpip\Parameters：DefaultTTL REG_DWORD 0-0xff(0-255 十進制,默認值128)改成一個莫名其妙的數字如258，起碼讓那些小菜鳥暈上半天，就此放棄入侵你也不一定哦

10. 刪除默認共享

　有人問過我一開機就共享所有盤，改回來以后，重啟又變成了共享是怎么回事，這是2K為管理而設置的默認共享，必須通過修改注冊表的方式取消它： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters： AutoShareServer類型是REG_DWORD把值改為0即可

11. 禁止建立空連接

默認情況下，任何用戶通過通過空連接連上服務器，進而枚舉出帳號，猜測密碼。我們可以通過修改注冊表來禁止建立空連接：

Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成”1”即可。