WindowsServer2003安全设置之防木马权限设置.docVIP

WindowsServer2003安全设置之防木马权限设置(1) 2006-9-25　 HYPERLINK http:// 　 ???? 小编网络上很多关于WIN2003的安全设置以及自己动手做了一些实践，综合了这些安全设置文章整理而成，希望对大家有所帮助，另外里面有不足之处还请大家多多指点，然后给补上，谢谢！ ???? ????一、系统的安装 ???? ????１、按照Windows2003安装光盘的提示安装，默认情况下2003没有把IIS6.0安装在系统里面。 ????２、IIS6.0的安装 ???? ????开始菜单—控制面板—添加或删除程序—添加/删除Windows组件 ???? ????应用程序 ———ASP.NET（可选） ???? ????——启用网络 COM+ 访问（必选） ????——Internet 信息服务(IIS)———Internet 信息服务管理器（必选）　 ???? ????——公用文件（必选） ???? ????——万维网服务———Active Server pages（必选） ???? ????——Internet 数据连接器（可选） ???? ????——WebDAV 发布（可选） ???? ????——万维网服务（必选） ???? ????——在服务器端的包含文件（可选） ???? ????然后点击确定—下一步安装。（具体见本文附件1） ???? ????３、系统补丁的更新 ???? ????点击开始菜单—所有程序—Windows Update ???? ????按照提示进行补丁的安装。 ???? ???? ????４、备份系统 ???? ????用GHOST备份系统。 ???? ????５、安装常用的软件 ???? ????例如：杀毒软件、解压缩软件等；安装完毕后,配置杀毒软件,扫描系统漏洞,安装之后用GHOST再次备份系统。 ???? ???? ????6、先关闭不需要的端口 开启防火墙 导入IPSEC策略 ???? ????在”网络连接”里，把不需要的协议和服务都删掉，这里只安装了基本的Internet协议（TCP/IP），由于要控制带宽流量服务，额外安装了Qos数据包计划程序。在高级tcp/ip设置里--NetBIOS设置禁用tcp/IP上的NetBIOS（S）。在高级选项里，使用Internet连接防火墙，这是windows 2003 自带的防火墙，在2000系统里没有的功能，虽然没什么功能，但可以屏蔽端口，这样已经基本达到了一个IPSec的功能。 ???? ????修改3389远程连接端口 ???? ????修改注册表. ???? ????开始--运行--regedit ???? ????依次展开 HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/ ???? ????TERMINAL SERVER/WDS/RDPWD/TDS/TCP ???? ????右边键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 10000 ) ???? ????HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/ ???? ????WINSTATIONS/RDP-TCP/ ???? ????右边键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 10000 ) ???? ????注意：别忘了在WINDOWS2003自带的防火墙给+上10000端口 ???? ????修改完毕.重新启动服务器.设置生效。 二、用户安全设置 ???? ????1、禁用Guest账号 ???? ????在计算机管理的用户里面把Guest账号禁用。为了保险起见，最好给Guest加一个复杂的密码。你可以打开记事本，在里面输入一串包含特殊字符、数字、字母的长字符串，然后把它作为Guest用户的密码拷进去。 ???? ????2、限制不必要的用户 ???? ????去掉所有的Duplicate User用户、测试用户、共享用户等等。用户组策略设置相应权限，并且经常检查系统的用户，删除已经不再使用的用户。这些用户很多时候都是黑客们入侵系统的突破口。 3、把系统Administrator账号改名 ???? ????大家都知道，Windows 2003 的Administrator用户是不能被停用的，这意味着别人可以一遍又一遍地尝试这个用户的密码。尽量把它伪装成普通用户，比如改成Guesycludx。