win2003服務(wù)器安全設(shè)置(整理).docxVIP

win2003服務(wù)器安全設(shè)置一、先關(guān)閉不需要的端口 辦法：本地連接-屬性-Internet協(xié)議（TCP/IP）-高級-選項-TCP/IP篩選-屬性-把勾打上 然后添加你需要的端口即可。設(shè)置完端口需要重新啟動！二、換遠(yuǎn)程連接端口提示：打開“組策略編輯器”的方法為：依次點(diǎn)擊“開始運(yùn)行”，在“運(yùn)行”對話框中鍵入“gpedit.msc”命令并回車，即可打開“組策略編輯器”窗口1、允許/禁止“遠(yuǎn)程桌面”連接我們能通過組策略允許或禁止使用“遠(yuǎn)程桌面”連接功能。在“組策略編輯器”左側(cè)窗口中，依次展開“計算機(jī)設(shè)置管理模板視窗系統(tǒng)組件終端服務(wù)”目錄。單擊目錄名“終端服務(wù)”，在右側(cè)窗口中雙擊“允許用戶使用終端服務(wù)遠(yuǎn)程連接”選項。然后在屬性對話框的“設(shè)置”選項卡下點(diǎn)選“已啟用”或“已禁用”單選框并單擊“確定”按鈕即可。打開注冊表（運(yùn)行：regedit） ，找到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWdsrdpwdTdstcp，在右邊的窗口里面將會看到名字為PortNumber的DWORD值，打開之后選中十進(jìn)制，你就會看到默認(rèn)的遠(yuǎn)程桌面端口3389，修改其值為你自己定義的一個端口，如3390。然后再找到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp，在右側(cè)的窗口中同樣看到一個名字為PortNumber的DWORD值，同樣修改為3390。服務(wù)器重起后使用遠(yuǎn)程桌面客戶端，輸入：111.222.333.444:3390，遠(yuǎn)程登陸成功.如果服務(wù)器上有防火墻和安全策略，千萬別忘了開放3390端口哦！三.關(guān)閉不需要的服務(wù) 打開相應(yīng)的審核策略 Computer Browser 維護(hù)網(wǎng)絡(luò)上計算機(jī)的最新列表以及提供這個列表 Smart Card 你沒有智能卡閱讀器 Task scheduler 允許程序在指定時間運(yùn)行 Telnet 允許遠(yuǎn)程用戶登錄到此計算機(jī)并運(yùn)行程序 TCP/IP NetBIOS Helper Service 你的計算機(jī)不準(zhǔn)備讓別人共享Message Queuing 傳輸客戶端和服務(wù)器之間的 NET SEND 和 警報器服務(wù)消息 Distributed File System: 局域網(wǎng)管理共享文件，不需要禁用 Distributed linktracking client：用于局域網(wǎng)更新連接信息，不需要禁用 Error reporting service：禁止發(fā)送錯誤報告 Microsoft Serch：提供快速的單詞搜索，不需要可禁用 PrintSpooler：如果沒有打印機(jī)可禁用 Remote Registry：禁止遠(yuǎn)程修改注冊表 Remote Desktop Help Session Manager：禁止遠(yuǎn)程協(xié)助 Routing and Remote Access在局域網(wǎng)以及廣域網(wǎng)環(huán)境中為企業(yè)提供路由服務(wù)Removable storage 管理可移動媒體、驅(qū)動程序和庫 Workstation 關(guān)閉的話遠(yuǎn)程N(yùn)ET命令列不出用戶組 Routing and Remote Access 你的計算機(jī)不做路由器四、在網(wǎng)絡(luò)連接里，把不需要的協(xié)議和服務(wù)都刪掉只安裝了基本的Internet協(xié)議（TCP/IP）五、磁盤權(quán)限設(shè)置C盤只給administrators 和system權(quán)限，其他的權(quán)限不給，其他的盤也可以這樣設(shè)置，這里給的system權(quán)限也不一定需要給，只是由于某些第三方應(yīng)用程序是以服務(wù)形式啟動的，需要加上這個用戶，否則造成啟動不了。Windows目錄要加上給users的默認(rèn)權(quán)限，否則ASP和ASPX等應(yīng)用程序就無法運(yùn)行。以前有朋友單獨(dú)設(shè)置Instsrv和temp等目錄權(quán)限，其實沒有這個必要的。另外在c:/Documents and Settings/這里相當(dāng)重要，后面的目錄里的權(quán)限根本不會繼承從前的設(shè)置，如果僅僅只是設(shè)置了C盤給administrators權(quán)限，而在All Users/Application Data目錄下會 出現(xiàn)everyone用戶有完全控制權(quán)限，這樣入侵這可以跳轉(zhuǎn)到這個目錄，寫入腳本或只文件，再結(jié)合其他漏洞來提升權(quán)限；譬如利用serv-u的本地溢出提升權(quán)限，或系統(tǒng)遺漏有補(bǔ)丁，數(shù)據(jù)庫的弱點(diǎn)，甚至社會工程學(xué)等等N多方法，從前不是有牛人發(fā)颮說：只要給我一個webshell，我就能拿到system，這也的確是有可能的。在用做web/ftp服務(wù)器的系統(tǒng)里，建議是將這些目錄都設(shè)置的鎖死。其他每個盤的目錄都按照這樣設(shè)置，沒個盤都只給adinistrators權(quán)限。C:Program FilesCommon Files目錄給Internet來賓賬戶讀取權(quán)限。C:WINDOWSTemp目錄給Internet來賓賬戶讀取權(quán)限。 六、本地安全策略賬戶策略密碼長度最小值 10個字符帳戶鎖定閾值 5次賬戶鎖定時間 30分鐘復(fù)位賬戶鎖定計數(shù)器 30分鐘本地策略用戶權(quán)限分配安全選項交互式登陸：不顯示上次的用戶名啟用網(wǎng)絡(luò)訪問：不允許SAM帳戶和共享的匿名枚舉 啟用網(wǎng)絡(luò)訪問：不允許為網(wǎng)絡(luò)身份驗證儲存憑證啟用網(wǎng)絡(luò)訪