第一篇：WEB管理員必看Windows 2003服務(wù)器安全設(shè)置詳解

WEB管理員必看Windows 2003服務(wù)器安全設(shè)置詳解

你有自己的服務(wù)器嗎？服務(wù)器有給掛過馬嗎，有給入侵過嗎？如果有的話，表明的服務(wù)器安全設(shè)置還是不夠好，那么你應(yīng)該來看看本文的介紹，如何把windows 服務(wù)器的安全設(shè)置做得更好，一起看吧。

1)、系統(tǒng)安全基本設(shè)置

1.安裝說明：系統(tǒng)全部NTFS格式化，重新安裝系統(tǒng)（采用原版win2003）,安裝殺毒軟件(Mcafee)，并將殺毒軟件更新，安裝sp2補釘，安裝IIS（只安裝必須的組件）,安裝SQL2000，安裝.net2.0,開啟防火墻。并將服務(wù)器打上最新的補釘。

2)、關(guān)閉不需要的服務(wù)

Computer Browser:維護(hù)網(wǎng)絡(luò)計算機更新，禁用

Distributed File System: 局域網(wǎng)管理共享文件，不需要禁用

Distributed linktracking client：用于局域網(wǎng)更新連接信息，不需要禁用

Error reporting service：禁止發(fā)送錯誤報告

Microsoft Serch：提供快速的單詞搜索，不需要可禁用

NTLMSecuritysupportprovide：telnet服務(wù)和Microsoft Serch用的，不需要禁用

PrintSpooler：如果沒有打印機可禁用

Remote Registry：禁止遠(yuǎn)程修改注冊表

Remote Desktop Help Session Manager：禁止遠(yuǎn)程協(xié)助 其他服務(wù)有待核查

3)、設(shè)置和管理賬戶

1、將Guest賬戶禁用并更改名稱和描述，然后輸入一個復(fù)雜的密碼

2、系統(tǒng)管理員賬戶最好少建，更改默認(rèn)的管理員帳戶名(Administrator)和描述，密碼最好采用數(shù)字加大小寫字母加數(shù)字的上檔鍵組合，長度最好不少于10位

3、新建一個名為Administrator的陷阱帳號，為其設(shè)置最小的權(quán)限，然后隨便輸入組合的最好不低于20位的密碼

4、計算機配置-Windows設(shè)置-安全設(shè)置-賬戶策略-賬戶鎖定策略，將賬戶設(shè)為“三次登陸無效 時間為30分鐘

5、在安全設(shè)置-本地策略-安全選項中將“不顯示上次的用戶名”設(shè)為啟用

6、在安全設(shè)置-本地策略-用戶權(quán)利分配中將“從網(wǎng)絡(luò)訪問此計算機”中只保留Internet來賓賬戶、啟動IIS進(jìn)程賬戶,Aspnet賬戶

7、創(chuàng)建一個User賬戶，運行系統(tǒng)，如果要運行特權(quán)命令使用Runas命令。

4）、打開相應(yīng)的審核策略

審核策略更改:成功

審核登錄事件:成功,失敗

審核對象訪問:失敗

審核對象追蹤:成功,失敗

審核目錄服務(wù)訪問:失敗

審核特權(quán)使用:失敗

審核系統(tǒng)事件:成功,失敗

審核賬戶登錄事件:成功,失敗

審核賬戶管理:成功,失敗

5）、其它安全相關(guān)設(shè)置

1、禁止C$、D$、ADMIN$一類的缺省共享

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters，在右邊的 窗口中新建Dword值，名稱設(shè)為AutoShareServer值設(shè)為02、解除NetBios與TCP/IP協(xié)議的綁定

右擊網(wǎng)上鄰居-屬性-右擊本地連接-屬性-雙擊Internet協(xié)議-高級-Wins-禁用TCP/IP上的 NETBIOS3、隱藏重要文件/目錄

可以修改注冊表實現(xiàn)完全隱藏： “HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrent-VersionExplorerAdvancedFol derHi-ddenSHOWALL”，鼠標(biāo)右擊“CheckedValue”，選擇修改，把數(shù)值由1改為04、防止SYN洪水攻擊

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 新建DWORD 值，名為SynAttackProtect，值為

25、禁止響應(yīng)ICMP路由通告報文

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfacesinterface 新建DWORD值，名為PerformRouterDiscovery 值為0

6.防止ICMP重定向報文的攻擊

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 將EnableICMPRedirects 值設(shè)為07、不支持IGMP協(xié)議

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 新建DWORD 值，名為IGMPLevel 值為08、禁用DCOM：運行中輸入 Dcomcnfg.exe?；剀?，單擊“控制臺根節(jié)點”下的“組件服務(wù)”。打開“計算機”子 文件夾。

對于本地計算機，請以右鍵單擊“我的電腦”，然后選擇“屬 性”。選擇“默認(rèn)屬性”選項卡。清除“在這臺計算機上啟用分布式 COM”復(fù)選框。

9、終端服務(wù)的默認(rèn)端口為3389，可考慮修改為別的端口。

修改方法為： 服務(wù)器端：打開注冊表，在“HKLMSYSTEMCurrent ControlSetControlTerminal ServerWin Stations” 處找到類似RDP-TCP的子鍵，修改PortNumber值?？蛻舳耍喊凑２襟E建一個客戶端連接，選中這個連接，在“文件”菜單中選擇導(dǎo)出，在指定位置會 生成一個后綴為.cns的文件。打開該文件，修改“Server Port”值為與服務(wù)器端的PortNumber對應(yīng)的 值。然后再導(dǎo)入該文件（方法：菜單→文件→導(dǎo)入），這樣客戶端就修改了端口。

6）、配置 IIS 服務(wù)

1、不使用默認(rèn)的Web站點，如果使用也要將 將IIS目錄與系統(tǒng)磁盤分開。

2、刪除IIS默認(rèn)創(chuàng)建的Inetpub目錄（在安裝系統(tǒng)的盤上）。

3、刪除系統(tǒng)盤下的虛擬目錄，如：_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。

4、刪除不必要的IIS擴(kuò)展名映射。右鍵單擊“默認(rèn)Web站點→屬性→主目錄→配置”，打開應(yīng)用程序窗口，去掉不必要的應(yīng)用程序映 射。主要為.shtml,.shtm,.stm5、更改IIS日志的路徑 右鍵單擊“默認(rèn)Web站點→屬性-網(wǎng)站-在啟用日志記錄下點擊屬性

6、如果使用的是2000可以使用iislockdown來保護(hù)IIS，在2003運行的IE6.0的版本不需要。

7、使用UrlScan

UrlScan是一個ISAPI篩選器，它對傳入的HTTP數(shù)據(jù)包進(jìn)行分析并可以拒絕任何可疑的通信量。目前最新的版本是2.5，如果是2000Server需要先安裝1.0或2.0的版本。如果沒有特殊的要求采用UrlScan默認(rèn)配置就可以了。但如果你在服務(wù)器運行ASP.NET程序，并要進(jìn)行調(diào)試你需打開要 %WINDIR%System32InetsrvURLscan，文件夾中的URLScan.ini 文件，然后在UserAllowVerbs節(jié)添 加debug謂詞，注意此節(jié)是區(qū)分大小寫的。如果你的網(wǎng)頁是.asp網(wǎng)頁你需要在DenyExtensions刪除.asp相關(guān)的內(nèi)容。如果你的網(wǎng)頁使用了非ASCII代碼，你需要在Option節(jié)中將AllowHighBitCharacters的值設(shè)為1在對URLScan.ini 文件做了更改后，你需要重啟IIS服務(wù)才能生效，快速方法運行中輸入iisreset如果你在配置后出現(xiàn)什么問題，你可以通過添加/刪除程序刪除UrlScan。

8、利用WIS(Web Injection Scanner)工具對整個網(wǎng)站進(jìn)行SQL Injection 脆弱性掃描.7）、配置Sql服務(wù)器

1、System Administrators 角色最好不要超過兩個

3、不要使用Sa賬戶，為其配置一個超級復(fù)雜的密碼

4、刪除以下的擴(kuò)展存儲過程格式為：

use mastersp_dropextendedproc '擴(kuò)展存儲過程名'

xp_cmdshell：是進(jìn)入操作系統(tǒng)的最佳捷徑，刪除訪問注冊表的存儲過程，刪除

Xp_regaddmultistringXp_regdeletekeyXp_regdeletevalueXp_regenumvaluesXp_regreadXp_regwriteXp_regremovemultistring

OLE自動存儲過程，不需要刪除

Sp_OACreateSp_OADestroySp_OAGetErrorInfoSp_OAGetPropertySp_OAMethodSp_OASetPropertySp_OAStop5、隱藏 SQL Server、更改默認(rèn)的1433端口

右擊實例選屬性-常規(guī)-網(wǎng)絡(luò)配置中選擇TCP/IP協(xié)議的屬性，選擇隱藏 SQL Server 實例，并改原默 認(rèn)的1433端口。

8）、修改系統(tǒng)日志保存地址 默認(rèn)位置為 應(yīng)用程序日志、安全日志、系統(tǒng)日志、DNS日志默認(rèn)位置：%systemroot%system32config，默認(rèn) 文件大小512KB，管理員都會改變這個默認(rèn)大小。

安全日志文件：%systemroot%system32configSecEvent.EVT 系統(tǒng)日志文件：%systemroot%system32configSysEvent.EVT 應(yīng)用程序日志文件：%systemroot%system32configAppEvent.EVT Internet信息服務(wù)FTP日志默認(rèn)位置：%systemroot%system32logfilesmsftpsvc1，默認(rèn)每天一個日 志 Internet信息服務(wù)WWW日志默認(rèn)位置：%systemroot%system32logfilesw3svc1，默認(rèn)每天一個日 志 Scheduler(任務(wù)計劃)服務(wù)日志默認(rèn)位置：%systemroot%schedlgu.txt 應(yīng)用程序日志，安全日志，系統(tǒng)日志，DNS服務(wù)器日志，它們這些LOG文件在注冊表中的： HKEY_LOCAL_MACHINESystemCurrentControlSetServicesEventlog Schedluler(任務(wù)計劃)服務(wù)日志在注冊表中 HKEY_LOCAL_MACHINESOFTWAREMicrosoftSchedulingAgent SQL 刪掉或改名xplog70.dll [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters] “AutoShareServer”=dword:00000000 “AutoShareWks”=dword:00000000 // AutoShareWks 對pro版本 // AutoShareServer 對server版本 // 0

禁止管理共享admin$,c$,d$之類默認(rèn)共享 [HKEY_LOCAL_MACHINESystemCurrentControlSetControlLSA] “restrictanonymous”=dword:00000001 //0x1 匿名用戶無法列舉本機用戶列表 //0x2 匿名用戶無法連接本機IPC$共享(可能sql server不能夠啟動

9）、本地安全策略

1．只開放服務(wù)需要的端口與協(xié)議。具體方法為：按順序打開“網(wǎng)上鄰居→屬性→本地連接→屬性→Internet 協(xié)議→屬性→高級→選項→ TCP/IP篩選→屬性”，添加需要的TCP、UDP端口以及IP協(xié)議即可。根據(jù)服務(wù)開設(shè)口，常用的TCP 口有：80口用于Web服務(wù)；21用于FTP服務(wù)；25口用于SMTP；23口用于Telnet服務(wù)；110口 用于POP3。常用的UDP端口有：53口－DNS域名解析服務(wù)；161口－snmp簡單的網(wǎng)絡(luò)管理協(xié)議。8000、4000用于OICQ，服務(wù)器用8000來接收信息，客戶端用4000發(fā)送信息。封TCP端口: 21(FTP,換FTP端口)23(TELNET),53(DNS),135,136,137,138,139,443,445,1028,1433,3389 可封TCP端口:1080,3128,6588,8080(以上為代理端口).25(SMTP),161(SNMP),67(引導(dǎo))封UDP端口:1434(這個就不用說了吧)封所有ICMP,即封PING 以上是最常被掃的端口,有別的同樣也封,當(dāng)然因為80是做WEB用的2、禁止建立空連接 默認(rèn)情況下，任何用戶可通過空連接連上服務(wù)器，枚舉賬號并猜測密碼?？者B接用的端口是139，通過空連接，可以復(fù)制文件到遠(yuǎn)端服務(wù)器，計劃執(zhí)行一個任務(wù)，這就是一個漏洞。可以通過以下兩 種方法禁止建立空連接：

（1）修改注冊表中 Local_MachineSystem CurrentControlSetControlLSA-RestrictAnonymous 的值為1。

（2）修改Windows 2000的本地安全策略。設(shè)置“本地安全策略→本地策略→選項”中的 RestrictAnonymous（匿名連接的額外限制）為“不容許枚舉SAM賬號和共享”。首先，Windows 2000的默認(rèn)安裝允許任何用戶通過空連接得到系統(tǒng)所有賬號和共享列表，這本來 是為了方便局域網(wǎng)用戶共享資源和文件的，但是，同時任何一個遠(yuǎn)程用戶也可以通過同樣的方法得 到您的用戶列表，并可能使用暴力法破解用戶密碼給整個網(wǎng)絡(luò)帶來破壞。很多人都只知道更改注冊 表Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous = 1來禁止空用戶連接，實際上Windows 2000的本地安全策略里（如果是域服務(wù)器就是在域服務(wù)器安全和域安全策略里）就有RestrictAnonymous選項，其中有三個值：“0”這個值是系統(tǒng)默認(rèn)的，沒有任何限制，遠(yuǎn)程用戶 可以知道您機器上所有的賬號、組信息、共享目錄、網(wǎng)絡(luò)傳輸列表(NetServerTransportEnum)等；“1” 這個值是只允許非NULL用戶存取SAM賬號信息和共享信息；“2”這個值只有Windows 2000才支 持，需要注意的是，如果使用了這個值，就不能再共享資源了，所以還是推薦把數(shù)值設(shè)為“1”比較 好。

10)、防止asp木馬

1、基于FileSystemObject組件的asp木馬

cacls %systemroot%system32scrrun.dll /e /d guests //禁止guests使用 regsvr32 scrrun.dll /u /s //刪除

2．基于shell.application組件的asp木馬

cacls %systemroot%system32shell32.dll /e /d guests //禁止guests使用 regsvr32 shell32.dll /u /s //刪除

3．將圖片文件夾的權(quán)限設(shè)置為不允許運行。

4.如果網(wǎng)站中不存在有asp的話，禁用asp

11）、防止SQL注入

1．盡量使用參數(shù)化語句

2．無法使用參數(shù)化的SQL使用過濾。

3．網(wǎng)站設(shè)置為不顯示詳細(xì)錯誤信息，頁面出錯時一律跳轉(zhuǎn)到錯誤頁面。

4.不要使用sa用戶連接數(shù)據(jù)庫

5、新建一個public權(quán)限數(shù)據(jù)庫用戶，并用這個用戶訪問數(shù)據(jù)庫

6、[角色]去掉角色public對sysobjects與syscolumns對象的select訪問權(quán)限

文章來自學(xué)IT網(wǎng)：http:///win2003/show-5253-2.aspx

第二篇：服務(wù)器安全設(shè)置

服務(wù)器安全設(shè)置及項目部署

1.防火墻設(shè)置

1）常規(guī)中選中啟用（推薦）選項

2）例外中添加端口號eg：17999

3）高級中 點擊第一個設(shè)置，服務(wù)選項卡選中“FTP 服務(wù)器”和“遠(yuǎn)程桌面”，ICMP

選項卡選中“允許傳入響應(yīng)請求”

4）我的電腦?屬性?遠(yuǎn)程?遠(yuǎn)程桌面 勾選允許用戶遠(yuǎn)程連接此計算機

注：打開“開始→運行”，輸入“regedit”，打開注冊表，進(jìn)入以下路徑：

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWdsrdpwdTdstcp]，看見PortNamber值了嗎？其默認(rèn)值是：0xd3d，這個是16進(jìn)制，點擊右邊的十進(jìn)制，顯示的就是3389了，修改成所希望的端口即可，例如6111。

再打開

[HKEY_LOCAL_MACHINESYSTEMCurrentContro1SetControlTenninal

ServerWinStationsRDP-Tcp]，將PortNumber的值（也是3389）修改成端口6111。

更改后注意開放防火墻6111端口,否則重起后連不上

2.防火墻軟件安裝（eg：360安全衛(wèi)士）

1）打上補丁，修補漏洞

2）關(guān)閉自動更新

3．更改虛擬內(nèi)存

1）電腦?高級?第一個設(shè)置?高級?更改2000M到5000M

4.本地安全策略

1）管理工具?本地安全策略?新建

5.數(shù)據(jù)庫安裝

1）確保Tcp/Ip啟用

SQL server configuration manager? SQL server 2005 網(wǎng)絡(luò)配置? MSSQLSERVER的協(xié)議 TCP/IP啟動

3）新項目數(shù)據(jù)庫 代理必須啟動

6.JDK 安裝

環(huán)境變量配置：

Eg: java_home：D:Program FilesJavajdk1.6.0_10 classpath：.;%java_home%lib;%java_home%lib tools.jarpath設(shè)置%java_home%bin;%java_home%jre6bin;

7.tomcat 安裝

8.apache安裝

9.負(fù)載均衡

10.項目部署

1)數(shù)據(jù)庫還原，附加或數(shù)據(jù)庫新建sql

2）netfee,feecfg,push

注：域名指向

10.其他軟件安裝（edit記事本，搜狗拼音，

第三篇：windows 2003 server web配置和安全

輸入此網(wǎng)站的網(wǎng)頁文件所在目錄。設(shè)置網(wǎng)站訪問的權(quán)限，一般不需要“寫入”權(quán)限。點擊下一步，完成新網(wǎng)站的創(chuàng)建。

配置不同IP地址的站點方法

具體方法：

在“IIS服務(wù)管理器”中，右擊新建的網(wǎng)站（電影服務(wù)），選擇屬性，并在“網(wǎng)站選項卡”下更改IP地址。

配置不同端口的站點方法

具體方法：

在“IIS服務(wù)管理器”中，右擊新建的網(wǎng)站（電影服務(wù)），選擇屬性，并在“網(wǎng)站選項卡”下更改端口為不同的值，如81。

配置不同主機頭

具體方法：

在“IIS服務(wù)管理器”中，右擊新建的網(wǎng)站（電影服務(wù)），選擇屬性，在“網(wǎng)站選項卡”下點擊ip地址后的“高級”，并在彈出的“高級網(wǎng)絡(luò)標(biāo)識”窗口中點擊“編輯”按鈕。

接著在彈出的“添加/編輯網(wǎng)絡(luò)標(biāo)識”窗口中“主機頭值”。

設(shè)置完主機頭后還需要配置DNS服務(wù)器，添加主機頭值的主機記錄，是客戶端能夠解析出主機頭的IP地址，就可以使用“http://主機頭”訪問網(wǎng)站。

二、WEB站點的排錯

·客戶機訪問WEB站點的過程

1>當(dāng)客戶機訪問網(wǎng)站時，服務(wù)器先檢查客戶機IP地址是否授權(quán)

2>然后檢查用戶和密碼是否正確（匿名用戶不需要密碼）

3>接著檢查主目錄是否設(shè)置了“讀取權(quán)限”

4>最后檢查網(wǎng)站文件的NTFS權(quán)限

·常見錯誤

1、錯誤號403.6

分析：

由于客戶機的IP地址被WEB網(wǎng)站中設(shè)置為阻止。

解決方案：

打開站點屬性->“目錄安全性選項卡”->“IP地址和域名限制”->點擊“編輯”按鈕，并將拒絕的IP段刪除。

2、錯誤號401.1

分析：

由于用戶匿名訪問使用的賬號(默認(rèn)是IUSR_機器名)被禁用，或者沒有權(quán)限訪問計算機，將造成用戶無法訪問。

解決方案：

（1）查看IIS管理器中站點安全設(shè)置的匿名帳戶是否被禁用，如果是，請嘗試用以下辦法啟用：

控制面板->管理工具->計算機管理->本地用戶和組，將IUSR_機器名賬號啟用。如果還沒有解決，請繼續(xù)下一步。

（2）查看本地安全策略中，IIS管理器中站點的默認(rèn)匿名訪問帳號或者其所屬的組是否有通過網(wǎng)絡(luò)訪問服務(wù)器的權(quán)限，如果沒有嘗試用以下步驟賦予權(quán)限：

開始->程序->管理工具->本地安全策略->安全策略->本地策略->用戶權(quán)限分配，雙擊“從網(wǎng)絡(luò)訪問此計算機”，添加IIS默認(rèn)用戶或者其所屬的組。

注意：一般自定義 IIS默認(rèn)匿名訪問帳號都屬于組，為了安全，沒有特殊需要，請

遵循此規(guī)則。

3、錯誤號401.2

原因：關(guān)閉了匿名身份驗證

解決方案：

打開站點屬性->目錄安全性->身份驗證和訪問控制->選中“啟用匿名訪問”，輸入用戶名，或者點擊“瀏覽”選擇合法的用戶，并兩次輸入密碼后確定。

4、錯誤號：401.3

原因：

原因一 IIS匿名用戶一般屬于Guests組，而我們一般把存放網(wǎng)站的硬盤的權(quán)限只分配給administrators組，這時候按照繼承原則，網(wǎng)站文件夾也只有administrators組的成員才能訪問，導(dǎo)致IIS匿名用戶訪問該文件的NTFS權(quán)限不足，從而導(dǎo)致頁面無法訪問。

原因二 是在IIS 管理器中將網(wǎng)站的權(quán)限設(shè)置不可讀（IIS匿名用戶）。

解決方案：

給IIS匿名用戶訪問網(wǎng)站文件夾的權(quán)限.方法1：進(jìn)入該文件夾的安全選項，添加IIS匿名用戶，并賦予相應(yīng)權(quán)限，一般是只讀。

方法2： 右擊站點，選擇“權(quán)限”，打開權(quán)限設(shè)置窗口。并賦予IIS匿名用戶只讀權(quán)限。

敬告：“win2003 服務(wù)器設(shè)置 完全版” 一文如與您有版權(quán)沖突請聯(lián)系站長處理，我們是公益免費論文網(wǎng)，不周之處，萬請諒解！

--->返回到論文先生網(wǎng)首頁<---

-第一步：

一、先關(guān)閉不需要的端口

我比較小心，先關(guān)了端口。只開了3389 21 80 1433（MYSQL）有些人一直說什么默認(rèn)的3389不安全，對此我不否認(rèn)，但是利用的途徑也只能一個一個的窮舉爆破，你把帳號改

了密碼設(shè)置為十五六位，我估計他要破上好幾年，哈哈!辦法:本地連接--屬性--Internet協(xié)議(TCP/IP)--高級--選項--TCP/IP篩選--屬性--把勾打上 然后添加你需要的端口即可。PS一句:設(shè)置完端口需要重新啟動!

當(dāng)然大家也可以更改遠(yuǎn)程連接端口方法:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp]

“PortNumber”=dword:00002683

保存為.REG文件雙擊即可!更改為9859，當(dāng)然大家也可以換別的端口，直接打開以上注冊表的地址，把值改為十進(jìn)制的輸入你想要的端口即可!重啟生效!

還有一點，在2003系統(tǒng)里，用TCP/IP篩選里的端口過濾功能，使用FTP服務(wù)器的時候，只開放21端口，在進(jìn)行FTP傳輸?shù)臅r候，F(xiàn)TP 特有的Port模式和Passive模式，在

進(jìn)行數(shù)據(jù)傳輸?shù)臅r候，需要動態(tài)的打開高端口，所以在使用TCP/IP過濾的情況下，經(jīng)常會出現(xiàn)連接上后無法列出目錄和數(shù)據(jù)傳輸?shù)膯栴}。所以在2003系統(tǒng)上增加的windows連接防火墻能很好的解決這個問題，所以都不推薦使用網(wǎng)卡的TCP/IP過濾功能。所做FTP下載的用戶看仔細(xì)點，表怪俺說俺寫文章是垃圾...如果要關(guān)閉不必要的端口，在system32driversetcservices中有列表，記事本就可以打開的。如果懶惰的話，最簡單的方法是啟用WIN2003的自身帶的網(wǎng)絡(luò)防火墻，并進(jìn)行端口的改變。功能還可以!Internet 連接防火墻可以有效地攔截對Windows 2003服務(wù)器的非法入侵，防止非法遠(yuǎn)程主機對服務(wù)器的掃描，提高Windows 2003服務(wù)器的安全性。同時，也可以有效攔截利用操作系統(tǒng)漏洞進(jìn)行端口攻擊的病毒，如沖擊波等蠕蟲病毒。如果在用Windows 2003構(gòu)造的虛擬路由器上啟用此防火墻功能，能夠?qū)φ麄€內(nèi)部網(wǎng)絡(luò)起到很好的保護(hù)作用。

二、關(guān)閉不需要的服務(wù) 打開相應(yīng)的審核策略

我關(guān)閉了以下的服務(wù)

Computer Browser 維護(hù)網(wǎng)絡(luò)上計算機的最新列表以及提供這個列表 Task scheduler 允許程序在指定時間運行

Routing and Remote Access 在局域網(wǎng)以及廣域網(wǎng)環(huán)境中為企業(yè)提供路由服務(wù) Removable storage 管理可移動媒體、驅(qū)動程序和庫 Remote Registry Service 允許遠(yuǎn)程注冊表操作

Print Spooler 將文件加載到內(nèi)存中以便以后打印。要用打印機的朋友不能禁用這項 IPSEC Policy Agent 管理IP安全策略以及啟動ISAKMP/OakleyIKE）和IP安全驅(qū)動程序 Distributed Link Tracking Client 當(dāng)文件在網(wǎng)絡(luò)域的NTFS卷中移動時發(fā)送通知 Com+ Event System 提供事件的自動發(fā)布到訂閱COM組件 Alerter 通知選定的用戶和計算機管理警報

Error Reporting Service 收集、存儲和向 Microsoft 報告異常應(yīng)用程序 Messenger 傳輸客戶端和服務(wù)器之間的 NET SEND 和警報器服務(wù)消息 Telnet 允許遠(yuǎn)程用戶登錄到此計算機并運行程序

把不必要的服務(wù)都禁止掉，盡管這些不一定能被攻擊者利用得上，但是按照安全規(guī)則和標(biāo)準(zhǔn)上來說，多余的東西就沒必要開啟，減少一份隱患。

在“網(wǎng)絡(luò)連接”里，把不需要的協(xié)議和服務(wù)都刪掉，這里只安裝了基本的Internet協(xié)議(TCP/IP)，由于要控制帶寬流量服務(wù)，額外安裝了Qos數(shù)據(jù)包計劃程序。在高級tcp/ip設(shè)置里--“NetBIOS”設(shè)置“禁用tcp/IP上的NetBIOS(S)”。在高級選項里，使用“Internet連接防火墻”，這是windows 2003 自帶的防火墻，在2000系統(tǒng)里沒有的功能，雖然沒什么功能，但可以屏蔽端口，這樣已經(jīng)基本達(dá)到了一個IPSec的功能。

在運行中輸入gpedit.msc回車，打開組策略編輯器，選擇計算機配置-Windows設(shè)置-安全設(shè)置-審核策略在創(chuàng)建審核項目時需要注意的是如果審核的項目太多，生成的事件也就越多，那么要想發(fā)現(xiàn)嚴(yán)重的事件也越難當(dāng)然如果審核的太少也會影響你發(fā)現(xiàn)嚴(yán)重的事件，你需要根據(jù)情況在這二者之間做出選擇。

推薦的要審核的項目是:

登錄事件 成功 失敗

賬戶登錄事件 成功 失敗

系統(tǒng)事件 成功 失敗

策略更改 成功 失敗

對象訪問 失敗

目錄服務(wù)訪問 失敗

特權(quán)使用 失敗

三、磁盤權(quán)限設(shè)置 1.系統(tǒng)盤權(quán)限設(shè)置 C:分區(qū)部分： c: administrators 全部（該文件夾，子文件夾及文件）CREATOR OWNER 全部（只有子文件來及文件）system 全部（該文件夾，子文件夾及文件）IIS_WPG 創(chuàng)建文件/寫入數(shù)據(jù)（只有該文件夾）IIS_WPG（該文件夾，子文件夾及文件）遍歷文件夾/運行文件 列出文件夾/讀取數(shù)據(jù) 讀取屬性

創(chuàng)建文件夾/附加數(shù)據(jù) 讀取權(quán)限

c:Documents and Settings administrators 全部（該文件夾，子文件夾及文件）Power Users（該文件夾，子文件夾及文件）讀取和運行 列出文件夾目錄 讀取

SYSTEM全部（該文件夾，子文件夾及文件）C:Program Files administrators 全部（該文件夾，子文件夾及文件）CREATOR OWNER全部（只有子文件來及文件）IIS_WPG（該文件夾，子文件夾及文件）讀取和運行 列出文件夾目錄 讀取

Power Users（該文件夾，子文件夾及文件）修改權(quán)限

SYSTEM全部（該文件夾，子文件夾及文件）

TERMINAL SERVER USER（該文件夾，子文件夾及文件）修改權(quán)限

2.網(wǎng)站及虛擬機權(quán)限設(shè)置（比如網(wǎng)站在E盤）說明：我們假設(shè)網(wǎng)站全部在E盤004km.cnfg.exe?；剀嚕瑔螕簟翱刂婆_根節(jié)點”下的“組件服務(wù)”。打開“計算機”子文件夾。對于本地計算機，請以右鍵單擊“我的電腦”，然后選擇“屬性”。選擇“默認(rèn)屬性”選項卡。清除“在這臺計算機上啟用分布式 COM”復(fù)選框。

第二步：

盡管Windows 2003的功能在不斷增強，但是由于先天性的原因，它還存在不少安全隱患，要是不將這些隱患“堵住”，可能會給整個系統(tǒng)帶來不必要的麻煩；下面筆者就介紹Windows2003中不常見的安全隱患的防堵方法，希望能對各位帶來幫助！

堵住自動保存隱患

Windows 2003操作系統(tǒng)在調(diào)用應(yīng)用程序出錯時，系統(tǒng)中的Dr.Watson會自動將一些重要的調(diào)試信息保存起來，以便日后維護(hù)系統(tǒng)時查看，不過這些信息很有可能被黑客“瞄上”，一旦瞄上的話，各種重要的調(diào)試信息就會暴露無疑，為了堵住Dr.Watson自動保存調(diào)試信息的隱患，我們可以按如下步驟來實現(xiàn)：

1、打開開始菜單，選中“運行”命令，在隨后打開的運行對話框中，輸入注冊表編輯命令“ergedit”命令，打開一個注冊表編輯窗口；

2、在該窗口中，用鼠標(biāo)依次展開HKEY_local_machine＼software＼Microsoft＼WindowsdowsNT＼CurrentVersion＼AeDebug分支，在對應(yīng)AeDebug鍵值的右邊子窗口中，用鼠標(biāo)雙擊Auto值，在彈出的參數(shù)設(shè)置窗口中，將其數(shù)值重新設(shè)置為“0”，3、打開系統(tǒng)的Windows資源管理器窗口，并在其中依次展開Documents and Settings文件夾、All Users文件夾、Shared Documents文件夾、DrWatson文件夾，最后將對應(yīng)DrWatson中的User.dmp文件、Drwtsn32.log文件刪除掉。

完成上面的設(shè)置后，重新啟動一下系統(tǒng)，就可以堵住自動保存隱患了。

堵住資源共享隱患

為了給局域網(wǎng)用戶相互之間傳輸信息帶來方便，Windows Server 2003系統(tǒng)很是“善解人意”地為各位提供了文件和打印共享功能，不過我們在享受該功能帶來便利的同時，共享功能也會“引狼入室”，“大度”地向黑客們敞開了不少漏洞，給服務(wù)器系統(tǒng)造成了很大的不安全性；所以，在用完文件或打印共享功能時，大家千萬要隨時將功能關(guān)閉喲，以便堵住資源共享隱患，下面就是關(guān)閉共享功能的具體步驟：

1、執(zhí)行控制面板菜單項下面的“網(wǎng)絡(luò)連接”命令，在隨后出現(xiàn)的窗口中，用鼠標(biāo)右鍵單擊一下“本地連接”圖標(biāo)；

2、在打開的快捷菜單中，單擊“屬性”命令，這樣就能打開一個“Internet協(xié)議(TCP/IP)”屬性設(shè)置對話框；

3、在該界面中取消“Microsoft網(wǎng)絡(luò)的文件和打印機共享”這個選項；

4、如此一來，本地計算機就沒有辦法對外提供文件與打印共享服務(wù)了，這樣黑客自然也就少了攻擊系統(tǒng)的“通道”。

堵住遠(yuǎn)程訪問隱患

在Windows2003系統(tǒng)下，要進(jìn)行遠(yuǎn)程網(wǎng)絡(luò)訪問連接時，該系統(tǒng)下的遠(yuǎn)程桌面功能可以將進(jìn)行網(wǎng)絡(luò)連接時輸入的用戶名以及密碼，通過普通明文內(nèi)容方式傳輸給對應(yīng)連接端的客戶端程序；在明文帳號傳輸過程中，實現(xiàn)“安插”在網(wǎng)絡(luò)通道上的各種嗅探工具，會自動進(jìn)入“嗅探”狀態(tài)，這個明文帳號就很容易被“俘虜”了；明文帳號內(nèi)容一旦被黑客或其他攻擊者另謀他用的話，呵呵，小心自己的系統(tǒng)被“瘋狂”攻擊吧！為了杜絕這種安全隱患，我們可以按下面的方法來為系統(tǒng)“加固”：

1、點擊系統(tǒng)桌面上的“開始”按鈕，打開開始菜單；

2、從中執(zhí)行控制面板命令，從彈出的下拉菜單中，選中“系統(tǒng)”命令，打開一個系統(tǒng)屬性設(shè)置界面；

3、在該界面中，用鼠標(biāo)單擊“遠(yuǎn)程”標(biāo)簽；

4、在隨后出現(xiàn)的標(biāo)簽頁面中，將“允許用戶遠(yuǎn)程連接到這臺計算機”選項取消掉，這樣就可以將遠(yuǎn)程訪問連接功能屏蔽掉，從而堵住遠(yuǎn)程訪問隱患了。

堵住用戶切換隱患

Windows 2003系統(tǒng)為我們提供了快速用戶切換功能，利用該功能我們可以很輕松地登錄到系統(tǒng)中；不過在享受這種輕松時，系統(tǒng)也存在安裝隱患，例如我們要是執(zhí)行系統(tǒng)“開始”菜單中的“注銷”命令來，快速“切換用戶”時，再用傳統(tǒng)的方式來登錄系統(tǒng)的話，系統(tǒng)很有可能會本次登錄，錯誤地當(dāng)作是對計算機系統(tǒng)的一次暴力“襲擊”，這樣Windows2003系統(tǒng)就可能將當(dāng)前登錄的帳號當(dāng)作非法帳號，將它鎖定起來，這顯然不是我們所需要的；不過，我們可以按如下步驟來堵住用戶切換時，產(chǎn)生的安全隱患：

在Windows 2003系統(tǒng)桌面中，打開開始菜單下面的控制面板命令，找到下面的“管理工具”命令，再執(zhí)行下級菜單中的“計算機管理”命令，找到“用戶帳戶”圖標(biāo)，并在隨后出現(xiàn)的窗口中單擊“更改用戶登錄或注銷的方式”；在打開的設(shè)置窗口中，將“使用快速用戶切換”選項取消掉就可以了。

堵住頁面交換隱患

Windows 2003操作系統(tǒng)即使在正常工作的情況下，也有可能會向黑客或者其他訪問者泄漏重要的機密信息，特別是一些重要的帳號信息。也許我們永遠(yuǎn)不會想到要查看一下，那些可能會泄漏隱私信息的文件，不過黑客對它們倒是很關(guān)心的喲！Windows 2003操作系統(tǒng)中的頁面交換文件中，其實就隱藏了不少

重要隱私信息，這些信息都是在動態(tài)中產(chǎn)生的，要是不及時將它們清除，就很有可能成為黑客的入侵突破口；為此，我們必須按照下面的方法，來讓W(xué)indows 2003操作系統(tǒng)在關(guān)閉系統(tǒng)時，自動將系統(tǒng)工作時產(chǎn)生的頁面文件全部刪除掉：

1、在Windows 2003的“開始”菜單中，執(zhí)行“運行”命令，打開運行對話框，并在其中輸入“Regedit”命令，來打開注冊表窗口；

2、在該窗口的左邊區(qū)域中，用鼠標(biāo)依次單擊HKEY_local_machine＼system＼currentcontrolset＼control＼sessionmanager＼memory management鍵值，找到右邊區(qū)域中的ClearPageFileAtShutdown鍵值，并用鼠標(biāo)雙擊之，在隨后打開的數(shù)值設(shè)置窗口中，將該DWORD值重新修改為“1”；

3、完成設(shè)置后，退出注冊表編輯窗口，并重新啟動計算機系統(tǒng)，就能讓上面的設(shè)置生效了。

更多專題：服務(wù)器安全防黑系列知識、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、安全之 scw Windows Server 2003是大家最常用的服務(wù)器操作系統(tǒng)之一。雖然它提供了強大的網(wǎng)絡(luò)服務(wù)功能，并且簡單易用，但它的安全性一直困擾著眾多網(wǎng)管，如何在充分利用Windows Server 2003提供的各種服務(wù)的同時，保證服務(wù)器的安全穩(wěn)定運行，最大限度地抵御病毒和黑客的入侵。Windows Server 2003 SP1中文版補丁包的發(fā)布，恰好解決這個問題，它不但提供了對系統(tǒng)漏洞的修復(fù)，還新增了很多易用的安全功能，如安全配置向?qū)В⊿CW）功能。利用SCW功能的“安全策略”可以最大限度增強服務(wù)器的安全，并且配置過程非常簡單，下面就一起來看吧！

厲兵秣馬 先裝“SCW”

大家都很清楚，Windows Server 2003系統(tǒng)為增強其安全性，默認(rèn)情況下，很多服務(wù)組件是不被安裝的，要想使用，必須手工安裝?！癝CW”功能也是一樣，雖然你已經(jīng)成功安裝了補丁包SP1，但也需要手工安裝“安全配置向?qū)В⊿CW）”組件。

進(jìn)入“控制面板”后，運行“添加或刪除程序”，然后切換到“添加/刪除Windows組件”頁。下面在“Windows組件向?qū)А睂υ捒蛑羞x中“安全配置向?qū)А边x項，最后點擊“下一步”按鈕后，就能輕松完成“SCW”組件的安裝。

安裝過程就這么簡單，接下來就能根據(jù)自身需要，利用“SCW”配置安全策略，增強Windows Server 2003服務(wù)器安全。

配置“安全策略” 原來如此“簡單”

在Windows Server 2003服務(wù)器中，點擊“開始→運行”后，在運行對話框中執(zhí)行“SCW.exe”命令，就會彈出“安全配置向?qū)А睂υ捒?，開始你的安全策略配置過程。當(dāng)然你也可以進(jìn)入“控制面板→管理工具”窗口后，執(zhí)行“安全配置向?qū)А笨旖莘绞絹韱⒂谩癝CW”。

1．新建第一個“安全策略”

如果你是第一次使用“SCW”功能，首先要為Windows Server 2003服務(wù)器新建一個安全策略，安全策略信息是被保存在格式為XML 的文件中的，并且它的默認(rèn)存儲位置是“C:WINDOWSsecuritymsscwPolicies”。因此一個Windows Server 2003系統(tǒng)可以根據(jù)不同需要，創(chuàng)建多個“安全策略”文件，并且還可以對安全策略文件進(jìn)行修改，但一次只能應(yīng)用其中一個安全策略。

在“歡迎使用安全配置向?qū)А睂υ捒蛑悬c擊“下一步”按鈕，進(jìn)入到“配置操作”對話框，因為是第一次使用“SCW”，這里要選擇“創(chuàng)建新的安全策略”單選項，點擊“下一步”按鈕，就開始配置安全策略。

2．輕松配置“角色”

首先進(jìn)入“選擇服務(wù)器”對話框，在“服務(wù)器”欄中輸入要進(jìn)行安全配置的Windows Server 2003服務(wù)器的機器名或IP地址，點擊“下一步”按鈕后，“安全配置向?qū)А睍幚戆踩渲脭?shù)據(jù)庫。

接著就進(jìn)入到“基于角色的服務(wù)配置”對話框。在基于角色的服務(wù)配置中，可以對Windows Server 2003服務(wù)器角色、客戶端角色、系統(tǒng)服務(wù)、應(yīng)用程序，以及管理選項等內(nèi)容進(jìn)行配置。

所謂服務(wù)器“角色”，其實就是提供各種服務(wù)的Windows Server 2003服務(wù)器，如文件服務(wù)器、打印服務(wù)器、DNS服務(wù)器和DHCP服務(wù)器等，一個Windows Server 2003服務(wù)器可以只提供一種服務(wù)器“角色”，也可以扮演多種服務(wù)器角色。點擊“下一步”按鈕后，就進(jìn)入到“選擇服務(wù)器角色”配置對話框，這時需要在“服務(wù)器角色列表框”中勾選你的Windows Server 2003服務(wù)器所扮演的角色。

注意：為了保證服務(wù)器的安全，只勾選你所需要的服務(wù)器角色即可，選擇多余的服務(wù)器角色選項，會增加Windows Server 2003系統(tǒng)的安全隱患。如筆者的Windows Server 2003服務(wù)器只是作為文件服務(wù)器使用，這時只要選擇“文件服務(wù)器”選項即可。

進(jìn)入“選擇客戶端功能”標(biāo)簽頁，來配置Windows Server 2003服務(wù)器支持的“客戶端功能”，其實Windows Server 2003服務(wù)器的客戶端功能也很好理解，服務(wù)器在提供各種網(wǎng)絡(luò)服務(wù)的同時，也需要一些客戶端功能的支持才行，如Microsoft網(wǎng)絡(luò)客戶端、DHCP客戶端和FTP客戶端等。根據(jù)需要，在列表框中勾選你所需的客戶端功能即可，同樣，對于不需要的客戶端功能選項，建議你一定要取消對它的選擇。

接下來進(jìn)入到“選擇管理和其它選項”對話框，在這里選擇你需要的一些Windows Server 2003系統(tǒng)提供的管理和服務(wù)功能，操作方法是一樣的，只要在列表框中勾選你需要 的管理選項即可。點擊“下一步”后，還要配置一些Windows Server 2003系統(tǒng)的額外服務(wù)，這些額外服務(wù)一般都是第三方軟件提供的服務(wù)。

然后進(jìn)入到“處理未指定的服務(wù)”對話框，這里“未指定服務(wù)”是指，如果此安全策略文件被應(yīng)用到其它Windows Server 2003服務(wù)器中，而這個服務(wù)器中提供的一些服務(wù)沒有在安全配置數(shù)據(jù)庫中列出，那么這些沒被列出的服務(wù)該在什么狀態(tài)下運行呢？在這里就可以指定它們的運行狀態(tài)，建議大家選中“不更改此服務(wù)的啟用模式”單選項。最后進(jìn)入到“確認(rèn)服務(wù)更改”對話框，對你的配置進(jìn)行最終確認(rèn)后，就完成了基于角色的服務(wù)配置。

3．配置網(wǎng)絡(luò)安全

以上完成了基于角色的服務(wù)配置。但Windows Server 2003服務(wù)器包含的各種服務(wù)，都是通過某個或某些端口來提供服務(wù)內(nèi)容的，為了保證服務(wù)器的安全，Windows防火墻默認(rèn)是不會開放這些服務(wù)端口的。下面就可以通過“網(wǎng)絡(luò)安全”配置向?qū)ч_放各項服務(wù)所需的端口，這種向?qū)Щ渲眠^程與手工配置Windows防火墻相比，更加簡單、方便和安全。

在“網(wǎng)絡(luò)安全”對話框中，要開放選中的服務(wù)器角色，Windows Server 2003系統(tǒng)提供的管理功能以及第三方軟件提供的服務(wù)所使用的端口。點擊“下一步”按鈕后，在“打開端口并允許應(yīng)用程序”對話框中開放所需的端口，如FTP服務(wù)器所需的“20和21”端口，IIS服務(wù)所需的“80”端口等，這里要切記“最小化”原則，只要在列表框中選擇要必須開放的端口選項即可，最后確認(rèn)端口配置，這里要注意：其它不需要使用的端口，建議大家不要開放，以免給Windows Server 2003服務(wù)器造成安全隱患。

4．注冊表設(shè)置

Windows Server 2003服務(wù)器在網(wǎng)絡(luò)中為用戶提供各種服務(wù)，但用戶與服務(wù)器的通信中很有可能包含“不懷好意”的訪問，如黑客和病毒攻擊。如何保證服務(wù)器的安全，最大限度地限制非法用戶訪問，通過“注冊表設(shè)置”向?qū)Ь湍茌p松實現(xiàn)。

利用注冊表設(shè)置向?qū)?，修改Windows Server 2003服務(wù)器注冊表中某些特殊的鍵值，來嚴(yán)格限制用戶的訪問權(quán)限。用戶只要根據(jù)設(shè)置向?qū)崾?，以及服?wù)器的服務(wù)需要，分別對“要求SMB安全簽名”、“出站身份驗證方法”、“入站身份驗證方法”進(jìn)行嚴(yán)格設(shè)置，就能最大限度保證Windows Server 2003服務(wù)器的安全運行，并且免去手工修改注冊表的麻煩。

5．啟用“審核策略”

聰明的網(wǎng)管會利用日志功能來分析服務(wù)器的運行狀況，因此適當(dāng)?shù)膯⒂脤徍瞬呗允欠浅Ｖ匾?。SCW功能也充分的考慮到這些，利用向?qū)Щ牟僮骶湍茌p松啟用審核策略。

在“系統(tǒng)審核策略”配置對話框中要合理選擇審核目標(biāo)，畢竟日志記錄過多的事件會影響服務(wù)器的性能，因此建議用戶選擇“審核成功的操作”選項。當(dāng)然如果有特殊需要，也可以選擇其它選項。如“不審核”或“審核成功或不成功的操作”選項。

6．增強IIS安全

IIS服務(wù)器是網(wǎng)絡(luò)中最為廣泛應(yīng)用的一種服務(wù)，也是Windows系統(tǒng)中最易受攻擊的服務(wù)。如何來保證IIS服務(wù)器的安全運行，最大限度免受黑客和病毒的攻擊，這也是SCW功能要解決的一個問題。利用“安全配置向?qū)А笨梢暂p松的增強IIS服務(wù)器的安全，保證其穩(wěn)定、安全運行。

在“Internet信息服務(wù)”配置對話框中，通過配置向?qū)?，來選擇你要啟用的Web服務(wù)擴(kuò)展、要保持的虛擬目錄，以及設(shè)置匿名用戶對內(nèi)容文件的寫權(quán)限。這樣IIS服務(wù)器的安全性就大大增強。

小提示：如果你的Windows Server 2003服務(wù)器沒有安裝、運行IIS服務(wù)，則在SCW配置過程中不會出現(xiàn)IIS安全配置部分。

完成以上幾步配置后，進(jìn)入到保存安全策略對話框，首先在“安全策略文件名”對話框中為你配置的安全策略起個名字，最后在“應(yīng)用安全策略”對話框中選擇“現(xiàn)在應(yīng)用”選項，使配置的安全策略立即生效。

利用SCW增強Windows Server 2003服務(wù)器的安全性能就這么簡單，所有的參數(shù)配置都是通過向?qū)Щ瘜υ捒蛲瓿傻?，免去了手工繁瑣的配置過程，SCW功能的確是安全性和易用性有效的結(jié)合點。如果你的Windows Server 2003系統(tǒng)已經(jīng)安裝了SP1補丁包，不妨試試SCW吧！

總結(jié)六大條 Windows Server 2003 Web 服務(wù)器安全策略

上個工作是做網(wǎng)站服務(wù)器維護(hù)，在網(wǎng)上搜索了好多教程，感覺亂的很。干脆自己總結(jié)了一套Windows Server 2003服務(wù)器安全策略。絕非是網(wǎng)上轉(zhuǎn)載的。都是經(jīng)過測試的。自己感覺還行吧!歡迎大家測試，也希望與我一起交流服務(wù)器的安全問題。希望對大家有幫助！q+ k& W _“ X& V

策略一：關(guān)閉windows2003不必要的服務(wù) 0 N+ ?2 W3 T(u% A

·Computer Browser 維護(hù)網(wǎng)絡(luò)上計算機的最新列表以及提供這個列表 * `9 h' q2 `' [& _6 T!Q, t

·Task scheduler 允許程序在指定時間運行* L-i: p3 J2 T9 X& k6 O” b* L4 {

·Routing and Remote Access 在局域網(wǎng)以及廣域網(wǎng)環(huán)境中為企業(yè)提供路由服務(wù) / b% d2 e* “ r!Y _

·Removable storage 管理可移動媒體、驅(qū)動程序和庫6 t& b;n)|)]8 K' l0 e8 r 0 K2 @/ x” y: b)}

·Remote Registry Service 允許遠(yuǎn)程注冊表操作

·Print Spooler 將文件加載到內(nèi)存中以便以后打印。

·IPSEC Policy Agent 管理IP安全策略及啟動ISAKMP/OakleyIKE)和IP安全驅(qū)動程序2 s2 @+ r' q2 ^5 b

·Distributed Link Tracking Client 當(dāng)文件在網(wǎng)絡(luò)域的NTFS卷中移動時發(fā)送通知$ x2 * y5 s)T(g

·Com+ Event System 提供事件的自動發(fā)布到訂閱COM組件* ~7 m!Q/ r& K: E* U p)u3 e' W;{9 r# G: Y5 m% O, a

·Alerter 通知選定的用戶和計算機管理警報

·Error Reporting Service 收集、存儲和向 Microsoft 報告異常應(yīng)用程序 % k;j“ q% j;l)e$ ~4 L5 _# S

·Messenger 傳輸客戶端和服務(wù)器之間的 NET SEND 和 警報器服務(wù)消息

·Telnet 允許遠(yuǎn)程用戶登錄到此計算機并運行程序

策略二：磁盤權(quán)限設(shè)置6 g4 ?: u(d6 G% L!@(r 6 F% z' t2 m, V, ~

C盤只給administrators和system權(quán)限，其他的權(quán)限不給，其他的盤也可以這樣設(shè)置，這里給的system權(quán)限也不一定需要給，只是由于某些第三方應(yīng)用程序是以服務(wù)形式啟動的，需要加上這個用戶，否則造成啟動不了。1 V(K)r$ F+ k# E0 g1 S0 ^

Windows目錄要加上給users的默認(rèn)權(quán)限，否則ASP和ASPX等應(yīng)用程序就無法運行。

# b, k+ O4 o!{.W5 n, ~

策略三：禁止 Windows 系統(tǒng)進(jìn)行空連接7 S7 V% M” R.S x, n1 F7 q1 V: Y5 n

在注冊表中找到相應(yīng)的鍵HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/LSA，將DWORDRestrictAnonymous的鍵值改為1 “ ^: E* ~, R0 N, N& W4 [)?

策略四：關(guān)閉不需要的端口

本地連接--屬性--Internet協(xié)議(TCP/IP)--高級--選項--TCP/IP篩選--屬性--把勾打上，然后添加你需要的端口即可。(如:3389、21、1433、3306、80)([3 ^& {& c.{+ Q$ Z

更改遠(yuǎn)程連接端口方法+ L* Z4 k% j0 E9 @!P* T6 h

開始-->運行-->輸入regedit' G+.T;N9 m: q0 a8 q `

查找3389：0 B, _8 L0 {5 R% d4 f

請按以下步驟查找:7 v' {5 {7 a& N 6 j: E(p!_& l

1、HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal

值

值

ServerWdsrdpwdTdstcp下的PortNumber=3389改為自寶義的端口號

;w1 v8 j2 J4 H+ Y!N

2、HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp下的PortNumber=3389改為自寶義的端口號# t3 s% E.x, T5 C

修改3389為你想要的數(shù)字(在十進(jìn)制下)----再點16進(jìn)制(系統(tǒng)會自動轉(zhuǎn)換)----最后確定!這樣就ok了。

M1 W0 M# @* R0 M” n, `

這樣3389端口已經(jīng)修改了，但還要重新啟動主機，這樣3389端口才算修改成功!如果不重新啟動3389還是修改不了的!重起后下次就可以用新端口進(jìn)入了!% S3 G(a4 ].E3 i7 P2 q3 w0 M: Y

禁用TCP/IP上的NETBIOS4 H;q: T5 2 e1 n

本地連接--屬性--Internet協(xié)議(TCP/IP)--高級—WINS--禁用TCP/IP上的NETBIOS!}2 J!{ k-a4 i8 y

策略五：關(guān)閉默認(rèn)共享的空連接$ C, P$ W.A3 ^;c* S

首先編寫如下內(nèi)容的批處理文件：

@echo off

net share C$ /delete% }9 ^$ l/ E/ N-z;Y

net share D$ /delete

net share E$ /delete “ N# ^!R, k, p0 @' }

net share F$ /delete+ y-M)W {){

net share admin$ /delete6 ]-k3 ]5 X8 s)Z1 m4 B & }% j/ B* d& J4 A5 i J

以上文件的內(nèi)容用戶可以根據(jù)自己需要進(jìn)行修改。保存為delshare.bat，存放到系統(tǒng)所在文件夾下的system32GroupPolicyUserScriptsLogon目錄下。然后在開始菜單→運行中輸入gpedit.msc，回車即可打開組策略編輯器。點擊用戶配置→Windows設(shè)置→腳本(登錄/注銷)→登錄..w6 X6 a6 X& W

在出現(xiàn)的“登錄 屬性”窗口中單擊“添加”，會出現(xiàn)“添加腳本”對話框，在該窗口的“腳本名”欄中輸入delshare.bat，然后單擊“確定”按鈕即可。

重新啟動計算機系統(tǒng)，就可以自動將系統(tǒng)所有的隱藏共享文件夾全部取消了，這樣就能將系統(tǒng)安全隱患降低到最低限度。3 |1 Y/ ]3 j# X3 J

策略五：IIS安全設(shè)置(y' D* T2 I(y: h)d

1、不使用默認(rèn)的Web站點，如果使用也要將IIS目錄與系統(tǒng)磁盤分開。# D* Q1 X([4 P4 L-Q# : m7 B: o' R

2、刪除IIS默認(rèn)創(chuàng)建的Inetpub目錄(在安裝系統(tǒng)的盤上)。, v/ n8 _+ x' W/ P% n/ a

3、刪除系統(tǒng)盤下的虛擬目錄，如：_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。B” B8 G% I4 c.@0 y“ f” |

4、刪除不必要的IIS擴(kuò)展名映射。6 w9 k% T# M“ s/ j

右鍵單擊“默認(rèn)Web站點→屬性→主目錄→配置”，打開應(yīng)用程序窗口，去掉不必要的應(yīng)用程序映射。主要為.shtml、shtm、stm。7 t!$ X!x0 p!R# [0 m4 b & x.`8 N” r-f5 z* W* b6 K$ @.X

5、更改IIS日志的路徑

右鍵單擊“默認(rèn)Web站點→屬性-網(wǎng)站-在啟用日志記錄下點擊屬性

策略六：注冊表相關(guān)安全設(shè)置 & R$ _6 A* P“ }6 J(^* f

1、隱藏重要文件/目錄

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrent-VersionExplorerAdvancedFolderHiddenSHOWALL” {!a: G# g;a4 K b” A-z

鼠標(biāo)右擊 “CheckedValue”，選擇修改，把數(shù)值由1改為0。$ ^, V/ o0 n1 `, s(H$ R8 l$ v X+ Q3 l

2、防止SYN洪水攻擊' o9 |)q4 i# e& O!X

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters

新建DWORD值，名為SynAttackProtect，值為21 W0 |: K1 ?9 v0 S(x* k;i8 w

3、禁止響應(yīng)ICMP路由通告報文8 q6 T$ p2 # N e1 f0 P1 k

O* i6 p: R-P i5 Q-w

HKEY_LOCAL_MACHINESYSTEM ServicesTcpipParametersInterfacesinterface % G# k/ v* Q)n(I2 e4 m!n e

新建DWORD值，名為PerformRouterDiscovery 值為0。

4、防止ICMP重定向報文的攻擊 3 S0 S1 t' e/ V& g& a

CurrentControlSet

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters

將EnableICMPRedirects 值設(shè)為0 # 3 & k: ](j

5、不支持IGMP協(xié)議4 i4 {* Z& u' ^

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters ' e: _0 C-?$ C# Y

新建DWORD值，名為IGMPLevel 值為0。

策略七：組件安全設(shè)置篇

A、卸載WScript.Shell 和 Shell.application 組件，將下面的代碼保存為一個.BAT文件執(zhí)行(分2000和2003系統(tǒng))!G5 c!~)C;V: `$ V/ [

windows2000.bat7 y)Z, [4 o-g4 F* r4 R

regsvr32/u C:WINNTSystem32wshom.ocx0 N1 M1 ?7 p)U: y)_/ `& J

del C:WINNTSystem32wshom.ocx/ C(R-s!|(N 7 E0 e& q+ M+ h5 Q# `

regsvr32/u C:WINNTsystem32shell32.dll

del C:WINNTsystem32shell32.dll5 a6 x7 @% T, l.r r

windows2003.bat' g9 X;?.Y: |;Z : i.], y(i7 c8 R B1 Z2 E

regsvr32/u C:WINDOWSSystem32wshom.ocx2 x9 A8 o+ U+ n# D1 t!@9 Y4 S+ v O8 I* D

del C:WINDOWSSystem32wshom.ocx : r1 _& ~;t1 R9 E$ ]8 G

regsvr32/u C:WINDOWSsystem32shell32.dll / [9 L!m# T+ F

del C:WINDOWSsystem32shell32.dll

B、改名不安全組件，需要注意的是組件的名稱和Clsid都要改，并且要改徹底了，不要照抄，要自己改

【開始→運行→regedit→回車】打開注冊表編輯器

然后【編輯→查找→填寫Shell.application→查找下一個】 $ b* _+ ~;O!e$ V“ r$ q;q

用這個方法能找到兩個注冊表項：)g4 r+ _3 C5 a# I

{13709620-C279-11CE-A49E-444553540000} 和 Shell.application。% M, Y7 V$ P4 `2 C6 y

第一步：為了確保萬無一失，把這兩個注冊表項導(dǎo)出來，保存為xxxx.reg 文件。

第二步：比如我們想做這樣的更改

13709620-C279-11CE-A49E-444553540000 13709620-C279-11CE-A49E-444553540001$ t!w/ w6 g/ N* @

改名為

Shell.application 改名為 Shell.application_nohack)J(E!E8 P, t8 i(F$ _

第三步：那么，就把剛才導(dǎo)出的.reg文件里的內(nèi)容按上面的對應(yīng)關(guān)系替換掉，然后把修改好的.reg文件導(dǎo)入到注冊表中(雙擊即可)，導(dǎo)入了改名后的注冊表項之后，別忘記了刪除原有的那兩個項目。這里需要注意一點，Clsid中只能是十個數(shù)字和ABCDEF六個字母。

” c6 e3 A-G u6 B6 G& E+ r

其實，只要把對應(yīng)注冊表項導(dǎo)出來備份，然后直接改鍵名就可以了，, h8 K4 F% K.m# n$ ?% d

改好的例子

% X“ m;y' K+ h(W9 d7 T” t

建議自己改(p7 e' Y“ F5 j E# i;k 8 z9 C }6 X.p7 ~

應(yīng)該可一次成功2 I3 ` x: H$ b+ n1 r& B!X+ V, q

Windows Registry Editor Version 5.004 G3 l/ c5 f0 K!m3 a& Z E” g 4 X“ r* Y6 ]' U;D2 P-Y

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}]!L” I!T4 K& O-u-k.a% R# m

@=“Shell Automation Service”

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}InProcServer32]' c9 R2 B' n: w9 e& c9 t4 ~5 k0 h

@=“C:WINNTsystem32shell32.dll” “.T1 l* N& |7 O3 k

”ThreadingModel“=”Apartment“9 m.~/ p* H8