Windows2003服务器安全讲座记录（转）

　　第一.在安装系统的时候首先需要把磁盘分区全部统一用NTFS格式

　　系统安装好以后,首先更新系统所有补丁,其次是打好ARP补丁,因为ARP漏洞在微软站上不能下载,黑客可通过此漏洞进行大批量的挂马

　　第二,修改硬盘权限.

　　NTFS系统权限设置 在使用之前将每个硬盘根加上 Administrators 用户为全部权限(可选加入SYSTEM用户)删除其它用户，

　　进入系统盘:权限如下

　　C:\WINDOWS Administrators SYSTEM用户全部权限 Users 用户默认权限不作修改

　　其它目录删除Everyone用户，切记C:\Documents and Settings下All Users\Default User目录及其子目录

　　如C:\Documents and Settings\All Users\Application Data 目录默认配置保留了Everyone用户权限

　　C:\WINDOWS 目录下面的权限也得注意,如 C:\WINDOWS\PCHealth、C:\windows\Installer也是保留了Everyone权限.

　　删除C:\WINDOWS\Web\printers目录，此目录的存在会造成IIS里加入一个.printers的扩展名，可溢出攻击

　　默认IIS错误页面已基本上没多少人使用了。建议删除C:\WINDOWS\Help\iisHelp目录

　　删除C:\WINDOWS\system32\inetsrv\iisadmpwd，此目录为管理IIS密码之用，如一些因密码不同步造成500

　　错误的时候使用 OWA 或 Iisadmpwd 修改同步密码，但在这里可以删掉，下面讲到的设置将会杜绝因系统

　　设置造成的密码不同步问题。

　　打开C:\Windows 搜索

　　net.exe;cmd.exe;tftp.exe;netstat.exe;regedit.exe;at.exe;attrib.exe;cacls.exe;format.com;

　　regsvr32.exe;xcopy.exe;wscript.exe;cscript.exe;ftp.exe;telnet.exe;arp.exe;edlin.exe;

　　ping.exe;route.exe;finger.exe;posix.exe;rsh.exe;atsvc.exe;qbasic.exe;runonce.exe;syskey.exe

　　修改权限，删除所有的用户只保存Administrators 和SYSTEM为所有权限

　　这些大家只要知道步骤 具体的操作我在结束后给大家相应的文档和路径去按照步骤来设置

　　这些权限设置好以后 然后打开本地安全策略

　　设置审核权限 更改GUSET帐户名字 并设置个很复杂的密码

　　本地安全策略配置

　　开始 > 程序 > 管理工具 > 本地安全策略

　　账户策略 > 密码策略 > 密码最短使用期限 改成0天[即密码不过期，上面我讲到不会造成IIS密码不同步]

　　账户策略 > 账户锁定策略 > 账户锁定阈值 5 次 账户锁定时间 10分钟 [个人推荐配置]

　　本地策略 > 审核策略 >

　　账户管理 成功 失败

　　登录事件 成功 失败

　　对象访问 失败

　　策略更改 成功 失败

　　特权使用 失败

　　系统事件 成功 失败

　　目录服务访问 失败

　　账户登录事件 成功 失败

　　地策略 > 安全选项 > 清除虚拟内存页面文件 更改为"已启用"

　　> 不显示上次的用户名 更改为"已启用"

　　> 不需要按CTRL+ALT+DEL 更改为"已启用"

　　> 不允许 SAM 账户的匿名枚举 更改为"已启用"

　　> 不允许 SAM 账户和共享的匿名枚举 更改为"已启用"

　　> 重命名来宾账户 更改成一个复杂的账户名

　　> 重命名系统管理员账号 更改一个自己用的账号

　　这些都是在本地安全里设置的

　　第三 ,关闭不需要的服务

　　IPSEC Services

　　Print Spooler

　　TCP/IP NetBIOS Helper

　　这3个需要停止其服务

　　第四打开注册表 修改远程端口 关闭默认共享等

　　关闭445端口

　　HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\netBT\Parameters

　　新建 “DWORD值”值名为 “SMBDeviceEnabled” 数据为默认值“0”

　　禁止建立空连接

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

　　新建 “DWORD值”值名为 “RestrictAnonymous” 数据值为“1” [2003默认为1]

　　禁止系统自动启动服务器共享

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

　　新建 “DWORD值”值名为 “AutoShareServer” 数据值为“0”

　　禁止系统自动启动管理共享

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

　　新建 “DWORD值”值名为 “AutoShareWks” 数据值为“0”

　　通过修改注册表防止小规模DDOS攻击

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

　　新建 “DWORD值”值名为 “SynAttackProtect” 数据值为“1”

　　修改端口没列举出来 这个可以去搜索一下

　　然后卸载不安全的组件

　　主要是黑客用于提权的组件

　　这个只需要保存一个BAT文件放在启动里面即可

　　内容为 :

　　regsvr32/u C:\WINDOWS\System32\wshom.ocx

　　del C:\WINDOWS\System32\wshom.ocx

　　regsvr32/u C:\WINDOWS\system32\shell32.dll

　　del C:\WINDOWS\system32\shell32.dll

　　然后在网卡那里只开放自己所需要的端口

　　这样服务器基本安全已经设置好

　　然后安装好杀毒软件

　　推荐用MACFFE 或

　　NOD32

　　MACFFE的杀毒能力不强 但防御强 NOD32杀毒强

　　并设置好自动更新

　　然后我们在来看IIS和网站的权限

　　因为很多黑客喜欢用网站漏洞进入提权

　　那么IIS安全也很重要

　　首先 更改IIS来宾帐号的名字

　　其次 为他设置个复杂的密码

　　第三 在放程序的磁盘里 把目录建立两层

　　这样每个站的程序独立分开的

　　那么刚才我们设置了卸载权限 他就无法提到ADMINISTRATR权限了

　　这样即使一个站有漏洞 也不能影响到其他的站

　　然后我们安装好SQL以后在用户里面会出现个SQLDUBEG这个用户 把他删除

　　最后打开防火墙,注意开放自己所需要的端口 即可,如果你服务器不只放网站 那记得开放所需要的端口

　　ARP补丁和ARP检测软件 杀毒软件 等一些服务器常用软件可到站上下载

　　这是系统补丁:http://www.pc5i.com/soft/sort02/down-1.html