Windows 2003 服务器安全设置
 
Windows 2003 服务器安全设置
发布时间: 2009-05-12

                                                     Windows 2003 服务器安全设置

 
一、关闭不需要的端口

例如只开80端口,把帐号修改、密码设置为十五六位。
办法:本地连接--属性--Internet协议(TCP/IP)--高级--选项--TCP/IP筛选--属性--把勾打上,然后添加你需要的端口即可。
注意:设置完端口需要重新启动!
可以更改远程连接端口方法:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp]
"PortNumber"=dword:00002683
保存为.REG文件双击即可,更改为9859;当然大家也可以换别的端口,直接打开以上注册表的地址,把值改为十进制的输入你想要的端口即可,重启生效。
 
二、关闭不需要的服务,打开相应的审核策略

1、关闭以下服务:
Computer Browser 维护网络上计算机的最新列表以及提供这个列表;
Task scheduler 允许程序在指定时间运行;
Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息;
Distributed File System: 局域网管理共享文件,不需要禁用;
Distributed linktracking client:用于局域网更新连接信息,不需要禁用;
Error reporting service:禁止发送错误报告;
Microsoft Serch:提供快速的单词搜索,不需要可禁用;
NTLMSecuritysupportprovide:telnet服务和Microsoft Serch用的,不需要禁用;
PrintSpooler:如果没有打印机可禁用;
Remote Registry:禁止远程修改注册表;
Remote Desktop Help Session Manager:禁止远程协助
Workstation关闭的话远程NET命令列不出用户组
把不必要的服务都禁止掉,减少隐患。
2、在“网络连接”里,把不需要的协议和服务都删掉
只安装基本的Internet协议(TCP/IP);在高级TCP/IP设置里──“NetBIOS”设置“禁用TCP/IP上的NetBIOS(S)”。在高级选项里,使用“Internet连接防火墙”(windows 2003 自带的防火墙)。
在“运行”中输入gpedit.msc、回车,打开组策略编辑器;选择计算机配置-Windows设置-安全设置-审核策略,在创建审核项目时,如果审核的项目太多,生成的事件也就越多,那么要想发现严重的事件也越难;当然如果审核的太少,也会影响发现严重的事件,需要根据情况在这二者之间做出选择。
推荐的要审核的项目是:
  登录事件
  账户登录事件
  系统事件
  策略更改
  对象访问
  目录服务访问
  特权使用
 
三、关闭默认共享的空连接
 
四、磁盘权限设置

1、C盘仅配置给administrators和system权限,其他的盘也可以这样设置。
Windows目录要加上给users的默认权限,否则ASP和ASPX等应用程序就无法运行。
另外,对c:/Documents and Settings/目录权限的配置很重要。如果仅仅只是设置了C盘给administrators权限,而在All Users/Application Data目录下会出现everyone用户有完全控制权限,就可能使入侵者跳转到这个目录,写入脚本或植入文件,再结合其他漏洞来提升权限;譬如利用serv-u的本地溢出提升权限、系统遗漏补丁、数据库的弱点等等N多方法。其他每个盘的目录都按照这样设置,每个盘都只给adinistrators权限。
2、设置只允许administrator访问如下文件
net.exe
cmd.exe
tftp.exe
netstat.exe
regedit.exe
at.exe
attrib.exe
cacls.exe
format.exe
 
五、防火墙、杀毒软件的安装

       可以使用卡巴(kaspersky),卖咖啡(McAfee)等,或是使用系统自带的防火墙。
 
六、SQL2000 SERV-U FTP安全设置

1、SQL安全
⑴、System Administrators 角色最好不要超过两个;
⑵、如果是在本机最好将身份验证配置为Win登陆;
⑶、不要使用Sa账户,为其配置一个超级复杂的密码,或修改sa用户名:
update sysxlogins set name='xxxx' where sid=0x01
update sysxlogins set sid=0xE765555BD44F054F89CD0076A06EA823 where name='xxxx'
⑷、删除以下的扩展存储过程格式为:
use master
sp_dropextendedproc  '扩展存储过程名'
xp_cmdshell:是进入操作系统的最佳捷径,删除访问注册表的存储过程,删除
Xp_regaddmultistringXp_regdeletekeyXp_regdeletevalueXp_regenumvalues
Xp_regread Xp_regwrite Xp_regremovemultistring
OLE自动存储过程,不需要,删除
Sp_OACreate Sp_OADestroySp_OAGetErrorInfoSp_OAGetProperty
Sp_OAMethodSp_OASetPropertySp_OAStop
⑸、隐藏 SQL Server、更改默认的1433端口。
右击实例选属性-常规-网络配置中选择TCP/IP协议的属性,选择隐藏 SQL Server 实例,并改原默认的1433端口。
⑹.为数据库建立一个新的角色,禁止改角色对系统表的的select等权限,防止sql注入时利用系统表。
2、serv-u的几点常规安全设置
选中“Block ”FTP_bounce“attack and FXP”;选中后就可以防止发生跨服务器攻击情况。
 
七、IIS安全设置

1、不使用默认的Web站点;如果使用,则将IIS目录与系统磁盘分开。
2、删除IIS默认创建的Inetpub目录(在安装系统的盘上)。
3、删除系统盘下的虚拟目录,如:_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。
4、删除不必要的IIS扩展名映射。
右键单击“默认Web站点→属性→主目录→配置”,打开应用程序窗口,去掉不必要的应用程序映射。主要为.shtml、.shtm、 .stm。
5、更改IIS日志的路径
右键单击“默认Web站点→属性-网站-在启用日志记录下点击属性。
6、如果使用的是2000可以使用iislockdown来保护IIS。
 
八、其它注意事项

1、系统升级、打操作系统补丁,尤其是IIS 6.0补丁、SQL SP3a补丁,甚至IE 6.0补丁也要打。同时及时跟踪最新漏洞补丁;
2、停掉Guest 帐号、并给guest 加一个异常复杂的密码,把Administrator改名或伪装!
3、隐藏重要文件/目录
可以修改注册表实现完全隐藏:
“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”,鼠标右击 “CheckedValue”,选择修改,把数值由1改为0。
4、启动系统自带的Internet连接防火墙,在设置服务选项中勾选Web服务器。
5、防止SYN洪水攻击。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名为SynAttackProtect,值为2
6. 禁止响应ICMP路由通告报文
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet\ Services\Tcpip\Parameters\Interfaces\interface
新建DWORD值,名为PerformRouterDiscovery 值为0。
7. 防止ICMP重定向报文的攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
将EnableICMPRedirects 值设为0
8. 不支持IGMP协议
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名为IGMPLevel 值为0。
9、禁用DCOM:
运行中输入Dcomcnfg.exe、回车,单击“控制台根节点”下的“组件服务”。打开“计算机”子文件夹。
 

 
版权所有 东南大学网络与信息中心 技术支持:南京苏迪科技有限公司