Window Server 2003 安全设置攻略.pdf

Windows2003 网络服务器绝版攻略 Windows Server 可以被配置为多种角色，Windows Server 2003 可以被配置为域控制器、 成员服务器、基础设施服务器、文件服务器、打印服务器、IIS 服务器、IAS 服务器、终端 服务器等等。而且服务器可以被配置为几种角色的综合。 铁通数据中心机房存在多台不同角色的服务器，例如：备份服务器，终端服务器，Web 服务器等，大部分是集各种角色于一身的服务器，所以有必要制作一份完整的安全方案文档 以供参考，综合了部分虚拟主机公司的方案以及网络整理的资料和个人的一些经验，制作此 方案。 总的来说，做为一个集各种角色为一身的服务器，主要是从以下几个方面进行安全加固 设置：组件安全、端口安全、Windows 常见自带程序的安全设置、远程终端安全、第三方软 件的安全设置、木马病毒的防范设置、系统服务设置、帐号安全问题、日志安全设置、MSSQL 安全设置、常见危险协议的删除、日常服务器安全检测、目录权限设置、DDOS 攻击的设置、 MYSQL 安全设置、 php 安全设置。 注意：下面的策略是本着安全最大化的目的来执行的，实际操作中，要本着服务器正常 应用与安全尽量化两者同时兼并的标准来进行。 组件安全： 一、禁止使用FileSystemObject 组件 FileSystemObject 可以对文件进行常规操作以及进行各种存在安全隐患的操作,可以通过修改 注册表，将此组件改名，来防止利用FSO 组件的ASP 木马的危害。 步骤 1 ：HKEY_CLASSES_ROOT\Scripting.FileSystemObject\ 名为其它的名字，如：改为 FileSystemObject_ChangeName ，如果ASP 程序必须使用这个组件，那么在代码中改相应的 名称 步骤 2 ：将 clsid 值也改一下，HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\ 项目的值，也可以将其删除，来防止此类木马的危害。 步骤3 ：将此组件注销：RegSVR32 /u C:\WINDOWS\SYSTEM32\scrrun.dll 步骤 4 ：禁止 Guest 用户使用 FSO 组件文件 ：scrrun.dll ，命令 ：cacls C:\WINDOWS\system32\scrrun.dll /e /d guests 注意：部分流行网站程序中的功能可能会用到FSO 组件，在一般情况下，请修改ASP 程序 文件中对应的FSO 名和clsid 值为修改过后的服务器中的值。 (注：此组件的注销可能会影响到很多 asp 网站程序中部分功能的使用，例如上传等，如果 必要，那么利用命令RegSVR32 C:\WINDOWS\SYSTEM32\scrrun.dll 重新注册。) 二、禁止使用WScript.Shell 组件 WScript.Shell 可以调用系统内核运行DOS 基本命令，可以通过修改注册表，将此组件改名， 来防止此类木马的危害。 步骤 1 ：HKEY_CLASSES_ROOT\WScript.Shell\及HKEY_CLASSES_ROOT\WScript.Shell.1\ 改名为其它的名字，如：改为WScript.Shell_ChangeName 或 WScript.Shell.1_ChangeName ， 自己以后调用的时候使用这个就可以正常调用此组件了 步骤 2 ：将 clsid 值也改一下 HKEY_CLASSES_ROOT\WScript.Shell\CLSID\ 项目的值和 HKEY_CLASSES_ROOT \WScript.Shell.1\CLSID\项目的值也可以将其删除，来防止此类木 马的危害。 注意：一般情况下，这个组件很少被网站程序应用到，但是如果要用，请修改 ASP 程序文 件中对应的WSH 名和clsid 值为修改过后的服务器中的值。 三、禁止使用Shell.Application 组件 Shell.Application 可以调用系统内核运行DOS 基本命令，可以通过修改注册表，将此组件改 名，来防止此类木马的危害。 步骤1：HKEY_CLASSES_ROOT\Shell.Application\及 HKEY_CLASSES_ROOT\Shell.Application.1\ 改名为其它的名字，如：改为 Shell.Applic