windows 2003 安全设置

zguw1234

WIN2003安全设置
请找到c盘的这些文件，把安全性设置只有特定的管理员有完全操作权限
　　下列这些文件只允许administrators访问
net.exe ；net1.exet ；cmd.exe ；tftp.exe ；netstat.exe ；regedit.exe ；at.exe ；attrib.exe ；cacls.exe ；format.com
第三招：禁用不必要的服务，提高安全性和系统效率
　　Computer Browser 维护网络上计算机的最新列表以及提供这个列表
　　　　Task scheduler 允许程序在指定时间运行
　　　　Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务
　　　　Removable storage 管理可移动媒体、驱动程序和库
　　　　Remote Registry Service 允许远程注册表操作
　　　　Print Spooler 将文件加载到内存中以便以后打印。要用打印机的朋友不能禁用这项
　　　　IPSEC Policy Agent 管理IP安全策略以及启动ISAKMP/OakleyIKE)和IP安全驱动程序 (红色证明对服务器没有改动。)
　　　　Distributed Link Tracking Client 当文件在网络域的NTFS卷中移动时发送通知
　　　　Com+ Event System 提供事件的自动发布到订阅COM组件
　　Alerter 通知选定的用户和计算机管理警报
　　Error Reporting Service 收集、存储和向 Microsoft 报告异常应用程序
　　　Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息
　　Telnet 允许远程用户登录到此计算机并运行程序
win2003安全设置说明
２、IIS6.0的安装
　　开始菜单—>控制面板—>添加或删除程序—>添加/删除Windows组件
　　应用程序 ———ASP.NET（可选）
　　　　　　　|——启用网络 COM+ 访问（必选）
　　　　　　　|——Internet 信息服务(IIS)———Internet 信息服务管理器（必选）　
　　　　　　　　　　　　　　　　　　　　　 |——公用文件（必选）
　　　　　　　　　　　　　　　　　　　　　 |——万维网服务———Active Server pages（必选）
　　　　　　　　　　　　　　　　　　　　　　 　　　　　　　|——Internet 数据连接器（可选）
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 |——WebDAV 发布（可选）
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 |——万维网服务（必选）
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 |——在服务器端的包含文件（可选）
　　然后点击确定—>下一步安装。
３、系统补丁的更新
４、备份系统
　　用GHOST备份系统。
５、安装常用的软件
　　例如：杀毒软件、解压缩软件等；安装之后用GHOST再次备份系统。
二、系统权限的设置
１、磁盘权限
　　系统盘及所有磁盘只给 Administrators 组和 SYSTEM 的完全控制权限
　　系统盘\Documents and Settings 目录只给 Administrators 组和 SYSTEM 的完全控制权限
　　系统盘\Documents and Settings\All Users 目录只给 Administrators 组和 SYSTEM 的完全控制权限
　　系统盘\Inetpub 目录及下面所有目录、文件只给 Administrators 组和 SYSTEM 的完全控制权限
　　系统盘\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe 文件只给 Administrators 组和 SYSTEM 的完全控制权限
C:\WINDOWS\Prefetch里的内容一样可以删除,也是临时文件
C:\WINDOWS\TEMP里的内容都是临时文件。可以删除。
运行”，键入“sysedit”，单击“确定”，启动“系统配置编辑程序”，进入“c:＼autoexec.bat”窗口，在文本末尾加入： deltree /y C:＼Windows＼Temp，保存并退出。此后，在你每次启动计算机后就会得到一个空白的Temp文件夹了。
２、本地安全策略设置
　　开始菜单—>管理工具—>本地安全策略
　　A、本地策略——>审核策略
　　审核策略更改　　　成功　失败　　
　　审核登录事件　　　成功　失败
　　审核对象访问　　　　　　失败
　　审核过程跟踪　　　无审核
　　审核目录服务访问　　　　失败
　　审核特权使用　　　　　　失败
　　审核系统事件　　　成功　失败
　　审核账户登录事件　成功　失败
　　审核账户管理　　　成功　失败
　　B、本地策略——>用户权限分配
　　关闭系统：只有Administrators组、其它全部删除。
　　通过终端服务拒绝登陆：加入Guests、User组
　　通过终端服务允许登陆：只加入Administrators组，其他全部删除
　　C、本地策略——>安全选项
　　交互式登陆：不显示上次的用户名　　　　　　　启用
　　网络访问：不允许SAM帐户和共享的匿名枚举　　 启用
　　网络访问：不允许为网络身份验证储存凭证　　　启用
　　网络访问：可匿名访问的共享　　　　　　　　　全部删除
　　网络访问：可匿名访问的命　　　　　　　　　　全部删除
　　网络访问：可远程访问的注册表路径　　　　　　全部删除
　　网络访问：可远程访问的注册表路径和子路径　　全部删除
　　帐户：重命名来宾帐户　　　　　　　　　　　　重命名一个帐户
　　帐户：重命名系统管理员帐户　　　　　　　　　重命名一个帐户
３、禁用不必要的服务
　　开始菜单—>管理工具—>服务
　　Print Spooler ;Remote Registry   ;TCP/IP NetBIOS Helper   ;Server
　　以上是在Windows Server 2003 系统上面默认启动的服务中禁用的，默认禁用的服务如没特别需要的话不要启动。
４、启用防火墙
　　桌面—>网上邻居—>（右键）属性—>本地连接—>（右键）属性—>高级—>（选中）Internet 连接防火墙—>设置
　　把服务器上面要用到的服务端口选中
　　例如：一台WEB服务器，要提供WEB（80）、FTP（21）服务及远程桌面管理（3389）
　　　　在“FTP 服务器”、“WEB服务器（HTTP）”、“远程桌面”前面打上对号
　　如果你要提供服务的端口不在里面，你也可以点击“添加”铵钮来添加，具体参数可以参照系统里面原有的参数。
　　然后点击确定。注意：如果是远程管理这台服务器，请先确定远程管理的端口是否选中或添加。
WIN2003和WIN2000服务器远程登陆端口系统默认值都是3389，很不安全哦，快来我们把它改掉，改成自己想要的端口号如7785
　　步骤：打开“开始→运行”，输入“regedit”，打开注册表，进入以下路径：
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]，看见PortNamber值了吗？其默认值是3389
，修改成所希望的端口即可，例如7758。(修改时注意选择十进制)
再[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]，将PortNumber的值（默认是3389）修改成端口7758。
修改完毕，重新启动电脑，以后远程登录的时候使用端口7758就可以了。(修改时注意选择十进制)
五、其它安全相关设置
　　1、隐藏重要文件/目录
　　可以修改注册表实 现完全隐藏：“HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/ Current-Version/Explorer/Advanced/Folder/Hi-dden/SHOWALL”，鼠标右击 “CheckedValue”，选择修改，把数值由1改为0
　　2、启动系统自带的Internet连接防火墙，在设置服务选项中勾选Web服务器。
　   3、防止SYN洪水攻击
　　HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters
　　新建DWORD值，名为SynAttackProtect，值为2
　　4. 禁止响应ICMP路由通告报文
　　HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters/Interfaces/interface
　　新建DWORD值，名为PerformRouterDiscovery 值为0
　　5. 防止ICMP重定向报文的攻击
　　HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters
　　将EnableICMPRedirects 值设为0
　　6. 不支持IGMP协议
　　HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters
　　新建DWORD值，名为IGMPLevel 值为0
　　7、禁用DCOM：
　　运行中输入 Dcomcnfg.exe。 回车， 单击“控制台根节点”下的“组件服务”。 打开“计算机”子文件夹。
　　对于本地计算机，请以右键单击“我的电脑”，然后选择“属性”。选择“默认属性”选项卡。
　　清除“在这台计算机上启用分布式 COM”复选框。
　　注：3-6项内容我采用的是Server2000设置，没有测试过对2003是否起作用。但有一点可以肯定我用了一段的时间没有发现其它副面的影响。
删除WIN2003默认共享，如c;d;ipc$
禁用IPC连接HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa中的restrictanonymous子键，将其值改为1即可禁用IPC连接。
禁止C$、D$等管理共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
Name：AutoShareServer
Type：DWORD
Value：0
禁止ADMIN$缺省共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
Name：AutoShareWks
Type：REG_DWORD
Value：0x0
　　六、配置 IIS 服务：
在缺省情况下，每建立一个新的共享，其everyone用户就能享有“完全控制”的共享权限，因此，在建立新共享后要立即修改everyone缺省权限。
　　3.为系统管理员账号更名 并属于USER组
　　4.废止TCP/IP上的NetBIOS
二、 设置IIS的安全机制
　　1.安装时应注意的安全问题
　　（1）避免安装在主域控制器上
　 　在安装IIS之后，将在安装的计算机上生成IUSR_Computername匿名账户，该账户被添加到域用户组中，从而把应用于域用户组的访问权限提 供给访问Web服务器的每个匿名用户，这不仅给IIS带来巨大的潜在危险，而且还可能牵连整个域资源的安全，要尽可能避免把IIS安装在域控制器上，尤其 是主域控制器。
　　（2）避免安装在系统分区上
　　把IIS安放在系统分区上，会使系统文件与IIS同样面临非法访问，容易使非法用户侵入系统分区。
　　2.用户控制的安全性
　　（1）匿名用户
　　安装IIS后产生的匿名用户IUSR_Computername（密码随机产生），其匿名访问给Web服务器带来潜在的安全性问题，应对其权限加以控制。如无匿名访问需要，可取消Web的匿名服务。具体方法：
　　①启动ISM（Internet Server Manager）；
　　②启动WWW服务属性页；
　　③取消其匿名访问服务。
　　（2）一般用户
　　通过使用数字与字母（包括大小写）结合的口令，提高修改密码的频率，封锁失败的登录尝试以及账户的生存期等对一般用户账户进行管理。
　　3.登录认证的安全性
　　IIS服务器提供对用户三种形式的身份认证。
　　匿名访问：不需要与用户之间进行交互，允许任何人匿名访问站点，在这三种身份认证中的安全性是最低的。
　　基本（Basic）验证：在此方式下用户输入的用户名和口令以明文方式在网络上传输，没有任何加密，非法用户可以通过网上监听来拦截数据包，并从中获取用户名及密码，安全性能一般。
　　Windows NT请求/响应方式：浏览器通过加密方式与IIS服务器进行交流，有效地防止了窃听者，是安全性比较高的认证形式。这种方式的缺点是只有IE3.0及以上版本才支持。
4.访问权限控制
　　（1）文件夹和文件的访问权限：安放在NTFS文件系统上的文件夹和文件，一方面要对其权限加以控制，对不同的 用户组和用户进行不同的权限设置；另外，还可利用NTFS的审核功能对某些特定用户组成员读文件的企图等方面进行审核，有效地通过监视如文件访问、用户对 象的使用等发现非法用户进行非法活动的前兆，及时加以预防制止。具体方法：
　　①启动“域用户管理器”；
　　②启动“规则”选单下的“审核”选项；
　　③设置“审核规则”。
　 　（2）WWW目录的访问权限：已经设置成Web目录的文件夹，可以通过操作Web站点属性页实现对WWW目录访问权限的控制，而该目录下的所有文件和子 文件夹都将继承这些安全性。WWW服务除了提供NTFS文件系统提供的权限外，还提供读取权限，允许用户读取或下载WWW目录中的文件；执行权限，允许用 户运行WWW目录下的程序和脚本。具体设置方法：
　　①启动ISM（Internet服务器管理器）；
　　②启动Web属性页并选择“目录”选项卡；
　　③选择WWW目录；
　　④选择“编辑属性”中的“目录属性”进行设置。
　　5.IP地址的控制
　　IIS可以设置允许或拒绝从特定IP发来的服务请求，有选择地允许特定节点的用户访问服务，你可以通过设置来阻止除指定IP地址外的整个网络用户来访问你的Web服务器。具体设置：
　　（1） 启动ISM（Internet服务器管理器）；
　　（2） 启动Web属性页中“高级”选项卡；
　　（3） 进行指定IP地址的控制设置。
　　6.端口安全性的实现
　 　对于IIS服务，无论是WWW站点、FTP站点，还是NNTP、SMTP服务等都有各自监听和接收浏览器请求的TCP端口号（Post），一般常用的端 口号为：WWW是80，FTP是21，SMTP是25，你可以通过修改端口号来提高IIS服务器的安全性。如果你修改了端口设置，只有知道端口号的用户才 可以访问，但用户在访问时需要指定新端口号。
　　7.IP转发的安全性
　　IIS服务可提供IP数据包转发功能，此时，充当路由器角色的IIS服务器将会把从Internet接口收到的IP数据包转发到内部网中，禁用这一功能不失为提高安全性的好办法。具体设置如下：
   　（1） 启动“网络属性”并选择“协议”选项卡；
　　（2） 在TCP/IP属性中去掉“路由选择”。
　　8.SSL安全机制
　　IIS的身份认证除了匿名访问、基本验证和Windows NT请求/响应方式外，还有一种安全性更高的认证：通过SSL（Security Socket Layer）安全机制使用数字证书。
　 　SSL（加密套接字协议层）位于HTTP层和TCP层之间，建立用户与服务器之间的加密通信，确保所传递信息的安全性。SSL是工作在公共密钥和私人密 钥基础上的，任何用户都可以获得公共密钥来加密数据，但解密数据必须要通过相应的私人密钥。使用SSL安全机制时，首先客户端与服务器建立连接，服务器把 它的数字证书与公共密钥一并发送给客户端，客户端随机生成会话密钥，用从服务器得到的公共密钥对会话密钥进行加密，并把会话密钥在网络上传递给服务器，而 会话密钥只有在服务器端用私人密钥才能解密，这样，客户端和服务器端就建立了一个惟一的安全通道。具体步骤如下：
   　（1） 启动ISM并打开Web站点的属性页；
　　（2） 选择“目录安全性”选项卡；
　　（3） 单击“密钥管理器”按钮；
　　（4） 通过密钥管理器生成密钥对文件和请求文件；
　　（5） 从身份认证权限中申请一个证书；
　　（6） 通过密钥管理器在服务器上安装证书；
　　（7） 激活Web站点的SSL安全性。
　　建立了SSL安全机制后，只有SSL允许的客户才能与SSL允许的Web站点进行通信，并且在使用URL资源定位器时，输入https:// ，而不是http:// 。
　　SSL安全机制的实现，将增大系统开销，增加了服务器CPU的额外负担，从而降低了系统性能，在规划时建议仅考虑为高敏感度的Web目录使用
　　1、不使用默认的Web站点，如果使用也要将 将IIS目录与系统磁盘分开。
　　2、删除IIS默认创建的Inetpub目录（在安装系统的盘上）。
　　3、删除系统盘下的虚拟目录，如：_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。
　　4、删除不必要的IIS扩展名映射。
　　右键单击“默认Web站点→属性→主目录→配置”，打开应用程序窗口，去掉不必要的应用程序映射。主要为.shtml, .shtm, .stm
　　5、更改IIS日志的路径
　　右键单击“默认Web站点→属性-网站-在启用日志记录下点击属性
　　6、如果使用的是2000可以使用iislockdown来保护IIS，在2003运行的IE6.0的版本不需要。
　　7、使用UrlScan
　　UrlScan是一个ISAPI筛选器，它对传入的HTTP数据包进行分析并可以拒绝任何可疑的通信量。目前最新的版本是2.5，如果是2000Server需要先安装1.0或2.0的版本。下载地址见页未的链接
　　如果没有特殊的要求采用UrlScan默认配置就可以了。
　　但如果你在服务器运行ASP.NET程序，并要进行调试你需打开要%WINDIR%/System32/Inetsrv/URLscan
   　文件夹中的URLScan.ini 文件，然后在UserAllowVerbs节添加debug谓词，注意此节是区分大小写的。
　　如果你的网页是.asp网页你需要在DenyExtensions删除.asp相关的内容。
　　如果你的网页使用了非ASCII代码，你需要在Option节中将AllowHighBitCharacters的值设为1
　　在对URLScan.ini 文件做了更改后，你需要重启IIS服务才能生效，快速方法运行中输入iisreset
　　如果你在配置后出现什么问题，你可以通过添加/删除程序删除UrlScan。
　　8、利用WIS (Web Injection Scanner)工具对整个网站进行SQL Injection 脆弱性扫描.
　　下载地址：[http://www.fanvb.net/websample/othersample.aspx]VB.NET爱好者[/url]
　　七、配置Sql服务器
　　1、System Administrators 角色最好不要超过两个
　　2、如果是在本机最好将身份验证配置为Win登陆
　　3、不要使用Sa账户，为其配置一个超级复杂的密码
　　4、删除以下的扩展存储过程格式为：
　　use master
　　sp_dropextendedproc '扩展存储过程名'
　　xp_cmdshell：是进入操作系统的最佳捷径，删除
　　访问注册表的存储过程，删除
　　Xp_regaddmultistring　　Xp_regdeletekey　　Xp_regdeletevalue　　Xp_regenumvalues   
　　Xp_regread　　　　　 Xp_regwrite　　　   Xp_regremovemultistring     
　　OLE自动存储过程，不需要删除
　　Sp_OACreate　 　Sp_OADestroy　　　　Sp_OAGetErrorInfo　　Sp_OAGetProperty
　　Sp_OAMethod　　Sp_OASetProperty　　Sp_OAStop
　　5、隐藏 SQL Server、更改默认的1433端口
　　右击实例选属性-常规-网络配置中选择TCP/IP协议的属性，选择隐藏 SQL Server 实例，并改原默认的1433端口。
　　八、如果只做服务器，不进行其它操作，使用IPSec
　　1、管理工具—本地安全策略—右击IP安全策略—管理IP筛选器表和筛选器操作—在管理IP筛选器表选项下点击
　　添加—名称设为Web筛选器—点击添加—在描述中输入Web服务器—将源地址设为任何IP地址——将目标地址设为我的IP地址——协议类型设为Tcp——IP协议端口第一项设为从任意端口，第二项到此端口80——点击完成——点击确定。
　　2、再在管理IP筛选器表选项下点击
　　添加—名称设为所有入站筛选器—点击添加—在描述中输入所有入站筛选—将源地址设为任何IP地址——将目标地址设为我的IP地址——协议类型设为任意——点击下一步——完成——点击确定。
　　3、在管理筛选器操作选项下点击添加——下一步——名称中输入阻止——下一步——选择阻止——下一步——完成——关闭管理IP筛选器表和筛选器操作窗口
　　4、右击IP安全策略——创建IP安全策略——下一步——名称输入数据包筛选器——下一步——取消默认激活响应原则——下一步——完成
　 　5、在打开的新IP安全策略属性窗口选择添加——下一步——不指定隧道——下一步——所有网络连接——下一步——在IP筛选器列表中选择新建的 Web筛选器——下一步——在筛选器操作中选择许可——下一步——完成——在IP筛选器列表中选择新建的阻止筛选器——下一步——在筛选器操作中选择阻止 ——下一步——完成——确定
　　6、在IP安全策略的右边窗口中右击新建的数据包筛选器，点击指派，不需要重启，IPSec就可生效.
　　九、建议
　　如果你按本文去操作，建议每做一项更改就测试一下服务器，如果有问题可以马上撤消更改。而如果更改的项数多，才发现出问题，那就很难判断问题是出在哪一步上了。
　　十、运行服务器记录当前的程序和开放的端口
　　1、将当前服务器的进程抓图或记录下来，将其保存，方便以后对照查看是否有不明的程序。
　　2、将当前开放的端口抓图或记录下来，保存，方便以后对照查看是否开放了不明的端口。当然如果你能分辨每一个进程，和端口这一步可以省略。
Win2003中安全的释放内存
Empty.exe的使用相当简单，命令格式如下：
Empty.exe pid（pid指进程的product id）
或者是Empty.exe task-name（task-name指进程的名称）
@Echo ====================内存开始释放====================
@Rem @主要是用来隐藏所执行的程序,不让它在命令窗口显示执行的程序内容
@Rem   释放.Net空闲内存
@Empty.exe Devenv.exe
@Rem   释放QQ空闲内存
@Empty.exe [url=mailtoQ.exe@Rem]QQ.exe@Rem[/url]   释放SQL管理的空闲内存   
@Empty.exe Sqlmangr.exe@Rem   释放SQl的空闲内存
@Empty.exe SqlServr.exe@Rem   释放查询分析器的空闲内存
@Empty.exe isqlw.exe@Rem   释放MyIE的空闲内存
@Empty.exe MYIE.exe@Rem   释放共享神盾的空闲内存
@Empty.exe ssgui.exe@Rem   释放酷狗的空闲内存
@Empty.exe KuGoo.exe@Rem   释放腾讯TT的空闲内存
@Empty.exe TTraveler.exe
@Rem   释放网络电视播放PPStream的空闲内存
@Empty.exe ppstream.exe
@Rem   释放系统常见的空闲内存
@Empty.exe ati2evxx.exe
@Empty.exe conime.exe
@Empty.exe csrss.exe
@Empty.exe dfssvc.exe
@Empty.exe explorer.exe
@Empty.exe inetinfo.exe
@Empty.exe lsass.exe
@Empty.exe mdm.exe
@Empty.exe mssearch.exe
@Empty.exe notepad.exe
@Empty.exe services.exe
@Empty.exe smss.exe
@Empty.exe spoolsv.exe
@Empty.exe svchost.exe
@Empty.exe taskmgr.exe
@Empty.exe winasse.exe
@Empty.exe winlogon.exe
@Empty.exe wmiprvse.exe
@Empty.exe rfwmain.exe
@Empty.exe rfwsrv.exe
@echo ====================内存释放结束====================
可以把上面的内存开始释放开始到内存释放结束这段代码复制下来，把它放在记事本中，然后把记事本的后缀改作批处理的后缀bat格式。(批处理名称任意，只要符合文件名称即可)或者可以根据自己系统中的进程列表的所有进程名都放在内存开始释放至内存释放结束中间。(有的人会说如QQ这个进程，我已经把它放在这个批处理中，但还没开QQ，会不会有什么问题呢？答案是不会的，它批处理执行的速度是很快的，它也只是提示找不到这个进程名，就像在命令窗口中乱输几个字，只是提示输错等之类的。批处理在执行的话，有提示错误信息也是闪一下就跳过，不会对系统产生影响。)即然这个批处理已经建好了，肯定不能让我们手动每隔一段时间去运行它。那样的话，就不够智能化了。这样就需要系统自带的任务计划:开始-->设置-->控制面板-->任务计划-->添加任务计划-->下一步-->浏览(选择刚才创建的批处理文件)-->先为任务名命名(如命名为内存清理)-->执行这个任务(选择每天)-->下一步-->下一步-->它会提示要输入用户名密码(把登陆密码输两次即可)-->下一步-->选中(在单击"完成"时,打开此任务的高级属性)-->完成-->选择计划这个选项卡-->开始时间可以设置为8:00-->高级-->选中(重复任复)-->可以设置每10分钟,直到选择持续时间10小时0分钟(一般公司都是早上8点上班，晚上六点下班正好10个小时，就是直接设置开始时间为8点，持续时间10个小时。间隔每十分钟执行选中的批处理,这样就不用人为的去运行)-->确定-->确定即可。