Windows Server 2003的网站安全设置.docVIP

Windows Server 2003的网站安全设置 一、禁用或将所有不必要的服务变为“手动”：  特别提示： FTP、Server服务非常容易被攻击，不用时，务必设为“禁用”。 二、设置本地安全策略 三、禁用不必要的帐户 四、使用瑞星防火墙 五、改变终端服务端口 远程桌面服务所使用的通信协议是Microsoft定义RDP(Reliable Data Protocol)协议，RDP协议的TCP通信端口号是3389。为了安全起见，我们常需要更改其端口。运行注册表编辑器，找到HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server \Wds\Repwd\Tds\Tcp以及HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer \WinStations 下PortNumber键的键值：0xd3d，是16进制，也就是10进制的3389，也就是RDP协议的端口，改成你欲设的端口。 客户端建立远程桌面连接端口修改：（ps：更简单的方法是直接在连接后面加端口号）打开记事本，添加段server port:i:3390 －－3390为端口号，你可改为你要设成的端口。保存为扩展名为rdp文件，RDP文件格式为:选项名:数据类型(i-integer/s-string):数据运行mstsc.exe（即远程桌面连接），打开该文件即可。? 六、实现最小系统权限 NTFS系统权限设置 在使用之前将每个硬盘根加上 Administrators 用户为全部权限(可选加入SYSTEM用户) 删除其它用户，进入系统盘:权限如下C:\WINDOWS Administrators SYSTEM用户全部权限 Users 用户默认权限不作修改 其它目录删除Everyone用户，切记C:\Documents and Settings下All Users\Default User目录及其子目录 如C:\Documents and Settings\All Users\Application Data 目录默认配置保留了Everyone用户权限 C:\WINDOWS 目录下面的权限也得注意,如 C:\WINDOWS\PCHealth、C:\windows\Installer也是保留了Everyone权限. 删除C:\WINDOWS\Web\printers目录，此目录的存在会造成IIS里加入一个.printers的扩展名，可溢出攻击 默认IIS错误页面已基本上没多少人使用了。建议删除C:\WINDOWS\Help\iisHelp目录 删除C:\WINDOWS\system32\inetsrv\iisadmpwd，此目录为管理IIS密码之用，如一些因密码不同步造成500 错误的时候使用 OWA 或 Iisadmpwd 修改同步密码，但在这里可以删掉，下面讲到的设置将会杜绝因系统设置造成的密码不同步问题。 打开C:\Windows 搜索net.exe;cmd.exe;tftp.exe;netstat.exe;regedit.exe;at.exe;attrib.exe;cacls.exe;; regsvr32.exe;xcopy.exe;wscript.exe;cscript.exe;ftp.exe;telnet.exe;arp.exe;edlin.exe; ping.exe;route.exe;finger.exe;posix.exe;rsh.exe;atsvc.exe;qbasic.exe;runonce.exe;syskey.exe修改权限，删除所有的用户只保存Administrators 和SYSTEM为所有权限关闭445端口HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\netBT\Parameters 新建 DWORD值值名为 SMBDeviceEnabled 数据为默认值0禁止建立空连接HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa 新建 DWORD值值名为 RestrictAnonymous 数据值为1 [2003默认为1]禁止系统自动启动服务器共享HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters 新建 DWORD值值名为 AutoShareServer 数据值为0禁止系统自动启动管理共享