windows2003服務器安全設置.doc

一、 系統(tǒng)的安裝、按照Windows2003安裝光盤的提示安裝，默認情況下2003沒有把IIS6.0安裝在系統(tǒng)里面。、IIS6.0的安裝開始菜單控制面板添加或刪除程序添加/刪除Windows組件應用程序 ASP.NET（可選）|啟用網(wǎng)絡 COM+ 訪問（必選）|Internet 信息服務(IIS)Internet 信息服務管理器（必選）|公用文件（必選）|萬維網(wǎng)服務Active Server pages（必選）|Internet 數(shù)據(jù)連接器（可選）|WebDAV 發(fā)布（可選）|萬維網(wǎng)服務（必選）|在服務器端的包含文件（可選）然后點擊確定下一步安裝。（具體見本文附件1）、系統(tǒng)補丁的更新點擊開始菜單所有程序Windows Update按照提示進行補丁的安裝。、備份系統(tǒng)用GHOST備份系統(tǒng)。、安裝常用的軟件例如：殺毒軟件、解壓縮軟件等；安裝完畢后,配置殺毒軟件,掃描系統(tǒng)漏洞,安裝之后用GHOST再次備份系統(tǒng)。6、先關閉不需要的端口 開啟防火墻 導入IPSEC策略在” 網(wǎng)絡連接”里，把不需要的協(xié)議和服務都刪掉，這里只安裝了基本的Internet協(xié)議（TCP/IP），由于要控制帶寬流量服務，額外安裝了Qos數(shù)據(jù)包計劃程序。在高級tcp/ip設置里-NetBIOS設置禁用tcp/IP上的NetBIOS（S）。在高級選項里，使用Internet連接防火墻，這是windows 2003 自帶的防火墻，在2000系統(tǒng)里沒有的功能，雖然沒什么功能，但可以屏蔽端口，這樣已經(jīng)基本達到了一個IPSec的功能。修改3389遠程連接端口修改注冊表.開始-運行-regedit依次展開 HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/WDS/RDPWD/TDS/TCP右邊鍵值中 PortNumber 改為你想用的端口號.注意使用十進制(例 10000 )HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/WINSTATIONS/RDP-TCP/右邊鍵值中 PortNumber 改為你想用的端口號.注意使用十進制(例 10000 )注意：別忘了在WINDOWS2003自帶的防火墻給+上10000端口修改完畢.重新啟動服務器.設置生效.二、用戶安全設置 1、禁用Guest賬號 在計算機管理的用戶里面把Guest賬號禁用。為了保險起見，最好給Guest加一個復雜的密碼。你可以打開記事本，在里面輸入一串包含特殊字符、數(shù)字、字母的長字符串，然后把它作為Guest用戶的密碼拷進去。2、限制不必要的用戶 去掉所有的Duplicate User用戶、測試用戶、共享用戶等等。用戶組策略設置相應權限，并且經(jīng)常檢查系統(tǒng)的用戶，刪除已經(jīng)不再使用的用戶。這些用戶很多時候都是黑客們?nèi)肭窒到y(tǒng)的突破口。3、把系統(tǒng)Administrator賬號改名 大家都知道，Windows 2003 的Administrator用戶是不能被停用的，這意味著別人可以一遍又一遍地嘗試這個用戶的密碼。盡量把它偽裝成普通用戶，比如改成Guesycludx。4、創(chuàng)建一個陷阱用戶 什么是陷阱用戶?即創(chuàng)建一個名為“Administrator”的本地用戶，把它的權限設置成最低，什么事也干不了的那種，并且加上一個超過10位的超級復雜密碼。這樣可以讓那些 Hacker們忙上一段時間，借此發(fā)現(xiàn)它們的入侵企圖。 如下圖Administrator 已經(jīng)不是管理員，是陷阱用戶。5、把共享文件的權限從Everyone組改成授權用戶 任何時候都不要把共享文件的用戶設置成“Everyone”組，包括打印共享，默認的屬性就是“Everyone”組的，一定不要忘了改。6、開啟用戶策略 使用用戶策略，分別設置復位用戶鎖定計數(shù)器時間為20分鐘，用戶鎖定時間為20分鐘，用戶鎖定閾值為3次。 （該項為可選）7、不讓系統(tǒng)顯示上次登錄的用戶名 默認情況下，登錄對話框中會顯示上次登錄的用戶名。這使得別人可以很容易地得到系統(tǒng)的一些用戶名，進而做密碼猜測。修改注冊表可以不讓對話框里顯示上次登錄的用戶名。方法為：打開注冊表編輯器并找到注冊表“HKLMSoftwareMicrosoftWindows TCurrentVersionWinlogonDont-DisplayLastUserName”，把REG_SZ的鍵值改成1。密碼安全設置 1、使用安全密碼 一些公司的管理員創(chuàng)建賬號的時候往往用公司名、計算機名做用戶名，然后又把這些用戶的密碼設置得太簡單，比如“welcome”等等。因此，要注意密碼的復雜性，還要記住經(jīng)常改密碼。2、設置屏幕保護密碼 這是一個很簡單也很有必要的操作。設置屏幕保護密碼也是防止內(nèi)部人員破壞服務器的一個屏障。3、開啟密碼策略 注意應用密碼策略，如啟用密碼復雜性要求，設置密碼長度最小值為6位 ，設置強制密碼歷史為5次，時間為42天。4、考慮使用智能卡來代替密碼 對于密碼，總是使安全管理員進退兩難，密碼設置簡單容易受到黑客的攻擊，密碼設置復雜又容易忘記。如果條件允許，用智能卡來代替復雜的密碼是一個很好的解決方法。三、系統(tǒng)權限的設置、磁盤權限 (如下設置，我們已經(jīng)寫一個CMD腳本，按要求復制運行即可以取代如下手工設定)系統(tǒng)盤及所有磁盤只給 Administrators 組和 SYSTEM 的完全控制權限系統(tǒng)盤Documents and Settings 目錄只給 Administrators 組和 SYSTEM 的完全控制權限系統(tǒng)盤Documents and SettingsAll Users 目錄只給 Administrators 組和 SYSTEM 的完全控制權限系統(tǒng)盤WindowsSystem32cacls.exe、cmd.exe、net.exe、net1.exe、ftp.exe、tftp.exe、telnet.exe 、netstat.exe、regedit.exe、at.exe、attrib.exe、、del文件只給 Administrators 組和SYSTEM 的完全 控制權限另將System32cmd.exe、、ftp.exe轉(zhuǎn)移到其他目錄或更名Documents and Settings下所有些目錄都設置只給adinistrators權限。并且要一個一個目錄查看，包括下面的所有子目錄。刪除c:inetpub目錄、本地安全策略設置開始菜單管理工具本地安全策略A、本地策略審核策略審核策略更改成功失敗審核登錄事件成功失敗審核對象訪問失敗審核過程跟蹤無審核審核目錄服務訪問失敗審核特權使用失敗審核系統(tǒng)事件成功失敗審核賬戶登錄事件成功失敗審核賬戶管理成功失敗B、本地策略用戶權限分配關閉系統(tǒng)：只有Administrators組、其它全部刪除。通過終端服務允許登陸：只加入Administrators,Remote Desktop Users組，其他全部刪除C、本地策略安全選項交互式登陸：不顯示上次的用戶名啟用網(wǎng)絡訪問：不允許SAM帳戶和共享的匿名枚舉 啟用網(wǎng)絡訪問：不允許為網(wǎng)絡身份驗證儲存憑證啟用網(wǎng)絡訪問：可匿名訪問的共享全部刪除網(wǎng)絡訪問：可匿名訪問的命全部刪除網(wǎng)絡訪問：可遠程訪問的注冊表路徑全部刪除網(wǎng)絡訪問：可遠程訪問的注冊表路徑和子路徑全部刪除帳戶：重命名來賓帳戶重命名一個帳戶帳戶：重命名系統(tǒng)管理員帳戶重命名一個帳戶、禁用不必要的服務 開始-運行-services.msc (如下設置，我們已經(jīng)寫一個CMD腳本，按要求復制運行即可以取代如下手工設定,)TCP/IPNetBIOS Helper提供 TCP/IP 服務上的 NetBIOS 和網(wǎng)絡上客戶端的 NetBIOS 名稱解析的支持而使用戶能夠共享文件、打印和登錄到網(wǎng)絡Server支持此計算機通過網(wǎng)絡的文件、打印、和命名管道共享Computer Browser 維護網(wǎng)絡上計算機的最新列表以及提供這個列表Task scheduler 允許程序在指定時間運行Messenger 傳輸客戶端和服務器之間的 NET SEND 和 警報器服務消息Distributed File System: 局域網(wǎng)管理共享文件，不需要可禁用Distributed linktracking client：用于局域網(wǎng)更新連接信息，不需要可禁用Error reporting service：禁止發(fā)送錯誤報告Microsoft Serch：提供快速的單詞搜索，不需要可禁用NTLMSecuritysupportprovide：telnet服務和Microsoft Serch用的，不需要可禁用PrintSpooler：如果沒有打印機可禁用Remote Registry：禁止遠程修改注冊表Remote Desktop Help Session Manager：禁止遠程協(xié)助Workstation 關閉的話遠程NET命令列不出用戶組以上是在Windows Server 2003 系統(tǒng)上面默認啟動的服務中禁用的，默認禁用的服務如沒特別需要的話不要啟動。、修改注冊表 (如下設置，我們已經(jīng)寫一個CMD腳本，按要求復制運行即可以取代如下手工設定,)修改注冊表，讓系統(tǒng)更強壯4.1、隱藏重要文件/目錄可以修改注冊表實現(xiàn)完全隱藏 (如下設置，我們已經(jīng)寫一個CMD腳本，按要求復制運行即可以取代如下手工設定,)HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows Current-VersionExplorerAdvancedFolderHi-ddenSHOWALL”，鼠標右擊 “CheckedValue”，選擇修改，把數(shù)值由1改為04.2、防止SYN洪水攻擊 (如下設置，我們已經(jīng)寫一個CMD腳本，按要求復制運行即可以取代如下手工設定,)HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters新建DWORD值，名為SynAttackProtect，值為2新建EnablePMTUDiscovery REG_DWORD 0新建NoNameReleaseOnDemand REG_DWORD 1新建EnableDeadGWDetect REG_DWORD 0新建KeepAliveTime REG_DWORD 300,000新建PerformRouterDiscovery REG_DWORD 0新建EnableICMPRedirects REG_DWORD 04.3. 禁止響應ICMP路由通告報文 (如下設置，我們已經(jīng)寫一個CMD腳本，按要求復制運行即可以取代如下手工設定,)HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfacesinterface新建DWORD值，名為PerformRouterDiscovery 值為04.4. 防止ICMP重定向報文的攻擊 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters將EnableICMPRedirects 值設為04.5. 不支持IGMP協(xié)議 (如下設置，我們已經(jīng)寫一個CMD腳本，按要求復制運行即可以取代如下手工設定,)HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters新建DWORD值，名為IGMPLevel 值為04.6、禁止IPC空連接 (如下設置，我們已經(jīng)寫一個CMD腳本，按要求復制運行即可以取代如下手工設定,)cracker可以利用net use命令建立空連接，進而入侵，還有net view，nbtstat這些都是基于空連接的，禁止空連接就好了。Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous 把這個值改成”1”即可。4.7、更改TTL值cracker可以根據(jù)ping回的TTL值來大致判斷你的操作系統(tǒng)，如：TTL=107(WINNT);TTL=108(win2000);TTL=127或128(win9x);TTL=240或241(linux);TTL=252(solaris);TTL=240(Irix);實際上你可以自己改的：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpip Parameters：DefaultTTL REG_DWORD 0-0xff(0-255 十進制,默認值128)改成一個莫名其妙的數(shù)字如258，起碼讓那些小菜鳥暈上半天，就此放棄入侵你也不一定哦4.8. 刪除默認共享 (如下設置，我們已經(jīng)寫一個CMD腳本，按要求復制運行即可以取代如下手工設定,)有人問過我一開機就共享所有盤，改回來以后，重啟又變成了共享是怎么回事，這是2K為管理而設置的默認共享，HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters：AutoShareServer類型是REG_DWORD把值改為0即可4.9. 禁止建立空連接 (如下設置，我們已經(jīng)寫一個CMD腳本，按要求復制運行即可以取代如下手工設定,)默認情況下，任何用戶通過通過空連接連上服務器，進而枚舉出帳號，猜測密碼。我們可以通過修改注冊表來禁止建立空連接：Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous 的值改成”1”即可。4.10. 建立一個記事本，填上以下代碼。保存為*.bat并加到啟動項目中 net share c$ /delnet share d$ /delnet share e$ /delnet share f$ /delnet share ipc$ /delnet share admin$ /del5、IIS站點設置：5.1、將IIS目錄數(shù)據(jù)與系統(tǒng)磁盤分開，保存在專用磁盤空間內(nèi)。5.2、啟用父級路徑 5.3、在IIS管理器中刪除必須之外的任何沒有用到的映射（保留asp, aspx html htm 等必要映射即可）5.4、在IIS中將HTTP404 Object Not Found出錯頁面通過URL重定向到一個定制HTM文件5.5、Web站點權限設定（建議）讀 允許寫 不允許腳本源訪問 不允許目錄瀏覽 建議關閉日志訪問 建議關閉索引資源 建議關閉執(zhí)行 推薦選擇 “純腳本”5.6、建議使用W3C擴充日志文件格式，每天記錄客戶IP地址，用戶名，服務器端口，方法，URI字根，HTTP狀態(tài)，用戶代理，而且每天均要審查日志。（最好不要使用缺省的目錄，建議更換一個記日志的路徑，同時設置日志的訪問權限，只允許管理員和system為Full Control）。5.7、程序安全:1) 涉及用戶名與口令的程序最好封裝在服務器端，盡量少的在ASP文件里出現(xiàn)，涉及到與數(shù)據(jù)庫連接地用戶名與口令應給予最小的權限;2) 需