【推薦】Windows2003權(quán)限及安全設(shè)置

1、【推薦】windows2003權(quán)限及安全設(shè)置一、系統(tǒng)的安裝 、根據(jù)windows2003安裝光盤的提醒安裝，默認狀況下2003沒有把iis6.0安裝在系統(tǒng)里面 、iis6.0的安裝 開頭菜單 控制面板 添加或刪除程序 添加/刪除windows組件 應(yīng)用程序 asp.net（可選） 啟用網(wǎng)絡(luò) com+ 拜訪（必選） internet 信息服務(wù)(iis) internet 信息服務(wù)管理器（必選） 公用文件（必選） 萬維網(wǎng)服務(wù) active server pages（必選） internet 數(shù)據(jù)銜接器（可選） webdav 發(fā)布（可選） 萬維網(wǎng)服務(wù)（必選） 在服務(wù)器端的包含文件（可選） 然后點擊確

2、定 下一步安裝。詳細安裝與搭建看視頻教程 、系統(tǒng)補丁的更新 點擊開頭菜單 全部程序 windows up 根據(jù)提醒舉行補丁的安裝。 、備份系統(tǒng) 用ghost備份系統(tǒng)。 、安裝常用的軟件 例如：殺毒軟件、縮軟件等；安裝完畢后,配置殺毒軟件,掃描系統(tǒng)漏洞,安裝之后用ghost再次備份系統(tǒng)。 6、先關(guān)閉不需要的端口 開啟防火墻 導入ipsec策略 在 網(wǎng)絡(luò)銜接 里，把不需要的協(xié)議和服務(wù)都刪掉，這里只安裝了基本的internet協(xié)議（tcp/ip），因為要控制帶寬流量服務(wù)，額外安裝了qos數(shù)據(jù)包方案程序。在高級t/ip設(shè)置里- netbios 設(shè)置 禁用tcp/ip上的netbios（s） 。在高級選

3、項里，用法 internet銜接防火墻 ，這是windows 2003 自帶的防火墻，在2000系統(tǒng)里沒有的功能，雖然沒什么功能，但可以屏蔽端口，這樣已經(jīng)基本達到了一個ipsec的功能。 win2003服務(wù)器防止海洋木馬的平安設(shè)置 1. 刪除以下的注冊表主鍵: wscript.shell wscript.shell.1 shell.appliion shell.application.1 wscript.network wscript.network.1 regsvr32/u wshom.ocx回車、regsvr32/u wsht.dll回車 regsvr32/u c:winntsystem3

4、2wshom.ocx del c:winntsystem32wshom.ocx regsvr32/u c:winntsystem32shell32.dll del c:winntsystem32shell32.dll 再把以上2個文件權(quán)限設(shè)置為administrator組徹低權(quán)限全部 這里只提一下fso的防范，但并不需要在自動開通空間的虛擬商服務(wù)器上用法，只適合于手工開通的站點。可以針對需要fso和不需要fso的站點設(shè)置兩個組，對于需要fso的用戶組賦予c:winntsystem32scrrun.dll文件的執(zhí)行權(quán)限，不需要的不給權(quán)限。重新啟動服務(wù)器即可生效。 對于這樣的設(shè)置結(jié)合上面的權(quán)限設(shè)置

5、，你會發(fā)覺海陽木馬已經(jīng)在這里失去了作用！ 改名擔心全組件 需要注重的是組件的名稱和c都要改，并且要改徹底了。下面以shell.application為例來介紹辦法。 打開注冊表編輯器【開頭 運行 regit回車】，然后【編輯 查找 填寫shell.application 查找下一個】，用這個辦法能找到兩個注冊表項： 13709620-c279-11ce-a49e-444553540000 和 shell.application 。為了確保十拿九穩(wěn)，把這兩個注冊表項導出來，保存為 .reg 文件。 比如我們想做這樣的更改 13709620-c279-11ce-a49e-444553540000

6、改名為 13709620-c279-11ce-a49e-444553540001 shell.application 改名為 shell.application_ajiang 那么，就把剛才導出的.reg文件里的內(nèi)容按上面的對應(yīng)關(guān)系替換掉，然后把修改好的.reg文件導入到注冊表中（雙擊即可），導入了改名后的注冊表項之后，別遺忘了刪除原有的那兩個項目。這里需要注重一點，clsid中只能是十個數(shù)字和abcdef六個字母。 下面是我修改后的代碼（兩個文件我合到一起了）： windows regisy editor version 5.00 hkey_classes_rootclsid13709620

7、-c279-11ce-a49e-444553540001 = shell automation service hkey_classes_rootclsid13709620-c279-11ce-a49e-444553540001inprocserver32 = c:winntsystem32shell32.dll threadingmodel = apartment hkey_classes_rootclsid13709620-c279-11ce-a49e-444553540001progid = shell.application_ajiang.1 hkey_classes_rootclsi

8、d13709620-c279-11ce-a49e-444553540001typelib = 50a7e9b0-70ef-11d1-b75a-00a0c90564fe hkey_classes_rootclsid13709620-c279-11ce-a49e-444553540001version = 1.1 hkey_classes_rootclsid13709620-c279-11ce-a49e-444553540001versionindependentprogid = shell.application_ajiang hkey_classes_rootshell.application

9、_ajiang = shell automation service hkey_classes_rootshell.application_ajiangclsid = 13709620-c279-11ce-a49e-444553540001 hkey_classes_rootshell.application_ajiangcurver = shell.application_ajiang.1 你可以把這個保存為一個.reg文件運行試一下，但是可別就此了事，由于萬一黑客也看了我的這篇文章，他會實驗我改出來的這個名字的。 c:windows administrators 所有 system 所有

10、users 讀取和運行(此權(quán)限最后調(diào)節(jié)完成后可以取消) c:program files everyone 惟獨該文件夾 不是繼承的 列出文件夾/讀數(shù)據(jù) administrators 所有 iis_wpg 惟獨該文件夾 列出文件/讀數(shù)據(jù) 讀屬性 讀擴展屬性 讀取權(quán)限 c:windowstemp administrator 所有權(quán)限 system 所有權(quán)限 users 所有權(quán)限 c:program filescommon files administrators 所有 creator owner 不是繼承的 惟獨子文件夾及文件 徹低 power users 修改，讀取和運行，列出文件夾名目，讀取，

11、寫入 system 所有 terminal server users(假如有這個用戶) 修改，讀取和運行，列出文件夾名目，讀取，寫入 users 讀取和運行，列出文件夾名目，讀取 c:windows.ini administrators 所有 system 所有權(quán)限 service 所有 users 只讀和運行 cmd.exe net.exe attrib.exe at.exe net1.exe ftp.exe telnet.exe command.com cacls.exe -rom：啟用 q.惟獨本地用戶才干拜訪軟驅(qū)：啟用 4.網(wǎng)絡(luò)設(shè)置這里針對網(wǎng)卡參數(shù)舉行設(shè)置 pci網(wǎng)絡(luò)適配器。分離為 p

12、ublic,private 實際用法中會改為相關(guān)ip a.網(wǎng)卡挨次調(diào)節(jié)為外網(wǎng)卡優(yōu)先，挨次為： a) 公用網(wǎng)絡(luò) b) 專用網(wǎng)絡(luò) c) 遠程拜訪銜接 b.公網(wǎng)網(wǎng)卡設(shè)置： general 1.配置：link speed/duplex mode：auto mode 2.tcp/ip 高級 wins：禁用tcp/ip netbios 高級 選項 tcp/ip篩選：啟用tcp/ip篩選，只開放所需tcp端口 刪除文件和打印機分享協(xié)議file and printer sharing for microsoft networks advaed 1.啟用internet connection fire-ting

13、s-remote desktop 2.security logging,icmp協(xié)議的設(shè)置 5.本地平安性配置 本地平安設(shè)置.本地策略.平安選項 1.網(wǎng)絡(luò)拜訪.不允許sam帳戶的匿名枚舉 啟用 2.網(wǎng)絡(luò)拜訪.可匿名的分享 將后面的值刪除 3.網(wǎng)絡(luò)拜訪.可匿名的命名管道 將后面的值刪除 4.網(wǎng)絡(luò)拜訪.可遠程拜訪的注冊表路徑 將后面的值刪除 5.網(wǎng)絡(luò)拜訪.可遠程拜訪的注冊表的子路徑 將后面的值刪除 6.網(wǎng)絡(luò)拜訪.限制匿名拜訪命名管道和分享 7.帳戶.重命名賓客帳戶guest 8.帳戶.重命名系統(tǒng)管理員帳戶 6.teinal service configration a.rdp設(shè)置中刪除系統(tǒng)管理員組

14、(administrators group)的用戶登陸權(quán)限，只允許系統(tǒng)管理員單一賬戶登陸permissions b.權(quán)限-高級中配置平安審核，記錄登錄、注銷等全部大事 將有平安問題的sql過程刪除.比較全面.一切為了平安! 刪除了調(diào)用shell，注冊表，com組件的破壞權(quán)限 use master exec sp_dropextendedproc xp_cmdshell exec sp_dropextendedproc sp_oacreate exec sp_dropextendedproc sp_oadestroy exec sp_dropextendedproc sp_oageterrori

15、nfo exec sp_dropextendedproc sp_oagetproperty exec sp_dropextendedproc sp_oamethod exec sp_dropextendedproc sp_oasetproperty exec sp_dropextendedproc sp_oastop exec sp_dropextendedproc xp_regamultistring exec sp_dropextendedproc xp_regdeletekey exec sp_dropextendedproc xp_regdeletue exec sp_dropexte

16、ndedproc xp_regenualues exec sp_dropextendedproc xp_regread exec sp_dropextendedproc xp_regremovemultistring exec sp_dropextendedproc xp_reg drop procere sp_makewebtask 所有復制到 sql查詢分析器 點擊菜單上的- 查詢 - 執(zhí)行 ，就會將有平安問題的sql過程刪除 關(guān)鍵dll改名 平安 修改3389遠程銜接端口 修改注冊表. 開頭-運行-regedit 依次綻開 hkey_local_machine/system/curren

17、tcontrolset/control/ terminal server/wds/rdpwd/tds/tcp 右邊鍵值中 portnumber 改為你想用的端口號.注重用法十進制(例 10000 ) hkey_local_machine/system/currentcontrolset/control/terminal server/ winstations/rdp-tcp/ 右邊鍵值中 portnumber 改為你想用的端口號.注重用法十進制(例 10000 ) 注重：別忘了在windows2003自帶的防火墻給+上10000端口 修改完畢.重新啟動服務(wù)器.設(shè)置生效. 用戶平安設(shè)置 1、禁用

18、guest賬號 在計算機管理的用戶里面把guest賬號禁用。為了保險起見，最好給guest加一個復雜的密碼。你可以打開記事本，在里面輸入一串包含特別字符、數(shù)字、字母的長字符串，然后把它作為guest用戶的密碼拷進去。 2、限制不須要的用戶 去掉全部的duplicate user用戶、測試用戶、分享用戶等等。用戶組策略設(shè)置相應(yīng)權(quán)限，并且常常檢查系統(tǒng)的用戶，刪除已經(jīng)不再用法的用戶。這些用戶無數(shù)時候都是黑客們?nèi)肭窒到y(tǒng)的突破口。 3、把系統(tǒng)administrator賬號改名 大家都知道，windows 2003 的administrator用戶是不能被停用的，這意味著別人可以一遍又一遍地嘗試這個用戶的

19、密碼。盡量把它偽裝成一般用戶，比如改成guesycludx。 4、創(chuàng)建一個陷阱用戶 什么是陷阱用戶?即創(chuàng)建一個名為 administrator 的本地用戶，把它的權(quán)限設(shè)置成最低，什么事也干不了的那種，并且加上一個超過10位的超級復雜密碼。這樣可以讓那些 hacker們忙上一段時光，借此發(fā)覺它們的入侵企圖。 5、把分享文件的權(quán)限從everyone組改成授權(quán)用戶 任何時候都不要把分享文件的用戶設(shè)置成 everyone 組，包括打印分享，默認的屬性就是 everyone 組的，一定不要忘了改。 6、開啟用戶策略 用法用戶策略，分離設(shè)置復位用戶鎖定計數(shù)器時光為20分鐘，用戶鎖定時光為20分鐘，用戶鎖定

20、閾值為3次。 （該項為可選） 7、不讓系統(tǒng)顯示上次登錄的用戶名 默認狀況下，登錄對話框中會顯示上次登錄的用戶名。這使得別人可以很簡單地得到系統(tǒng)的一些用戶名，進而做密碼猜想。修改注冊表可以不讓對話框里顯示上次登錄的用戶名。辦法為：打開注冊表編輯器并找到注冊表 hklmsoftwaremicrosoftwindows tcurrentversionwinlogondont-displaylastusername ，把reg_sz的鍵值改成1。 密碼平安設(shè)置 1、用法平安密碼 一些公司的管理員創(chuàng)建賬號的時候往往用公司名、計算機名做用戶名，然后又把這些用戶的密碼設(shè)置得太容易，比如 welcome 等等

21、。因此，要注重密碼的復雜性，還要記住常常改密碼。 2、設(shè)置屏幕庇護密碼 這是一個很容易也很有須要的操作。設(shè)置屏幕庇護密碼也是防止內(nèi)部人員破壞服務(wù)器的一個屏障。 3、開啟密碼策略 注重應(yīng)用密碼策略，如啟用密碼復雜性要求，設(shè)置密碼長度最小值為6位 ，設(shè)置強制密碼歷史為5次，時光為42天。 4、考慮用法智能卡來代替密碼 對于密碼，總是使平安管理員進退維谷，密碼設(shè)置容易簡單受到黑客的襲擊，密碼設(shè)置復雜又簡單遺忘。假如條件允許，用智能卡來代替復雜的密碼是一個很好的解決辦法。 三、系統(tǒng)權(quán)限的設(shè)置 、磁盤權(quán)限 系統(tǒng)盤及全部磁盤只給 administrators 組和 system 的徹低控制權(quán)限 系統(tǒng)盤do

22、cuments and settings 名目只給 administrators 組和 system 的徹低控制權(quán)限 系統(tǒng)盤documents and settingsall users 名目只給 administrators 組和 system 的徹低控制權(quán)限 系統(tǒng)盤windowssystem32cacls.exe、cmd.exe、net.exe、net1.exe、.exe、.exe、pportprovide：telnet服務(wù)和microsoft serch用的，不需要可禁用 printspooler：假如沒有打印機可禁用 remote registry：禁止遠程修改注冊表 remote d

23、esktop help session manager：禁止遠程幫助 workstation 關(guān)閉的話遠程net列不出用戶組 以上是在windows server 2003 系統(tǒng)上面默認啟動的服務(wù)中禁用的，默認禁用的服務(wù)如沒特殊需要的話不要啟動。 、修改注冊表 修改注冊表，讓系統(tǒng)更強壯 1、躲藏重要文件/名目可以修改注冊表實現(xiàn)徹低躲藏 hkey_local_machinesoftwaremicrosoftwindows current-versionexploreradvancedfolderhi-ddenshowall ，鼠標右擊 checkedvalue ，挑選修改，把數(shù)值由1改為0 2、

24、防止syn洪水襲擊 hkey_local_machinesystemcurrentcontrolsetservicestcpipparameters 新建dword值，名為synattackprotect，值為2 新建enablepmtudiscovery reg_dword 0 新建nonamereleaseondemand reg_dword 1 新建enabledeadgwdetect reg_dword 0 新建keepalivetime reg_dword 300,000 新建performrouterdiscovery reg_dword 0 新建enableicmpredirec

25、ts reg_dword 0 3. 禁止響應(yīng)icmp路由通告報文 hkey_local_machinesystemcurrentcontrolsetservicestcpipparametersinterfacesinterface 新建dword值，名為performrouterdiscovery 值為0 4. 防止icmp重定向報文的襲擊 hkey_local_machinesystemcurrentcontrolsetservicestcpipparameters 將enableicmpredirects 值設(shè)為0 5. 不支持igmp協(xié)議 hkey_local_machinesyste

26、mcurrentcontrolsetservicestcpipparameters 新建dword值，名為igmplevel 值為0 6、禁止ipc空銜接： cracker可以利用net use指令建立空銜接，進而入侵，還有net view，nbtstat這些都是基于空銜接的，禁止空銜接就好了。 local_machinesystemcurrentcontrolsetcontrollsa-restrictanonymous 把這個值改成 1 即可。 7、更改ttl值 cracker可以按照回的ttl值來大致推斷你的操作系統(tǒng)，如： ttl=107(winnt); ttl=108(win2000); ttl=127或128(win9x); ttl=240或241(linux); ttl=252(solaris); ttl=240(irix); 事實上你可以自己改的：hkey_local_machinesystemcurrentcontrolsetserv