Windows2003 Server的安全配置.docVIP

硬盘目录权限设置和删除不需要的目录 1．C盘只给administrators 和system权限，其他的权限不给，其他的盘也可以这样设置，这里给的system权限也不一定需要给，只是由于某些第三方应用程序是以服务形式启动的，需要加上这个用户，否则造成启动不了 2．Windows目录要加上给users的默认权限，删除everyone即可。否则ASP和ASPX等应用程序就无法运行。 c:/Documents and Settings/All Users/Application Data目录不能出现everyone用户有完全控制权限，在用做web/ftp服务器的系统里，建议是将这些目录都设置的锁死。其他每个盘的目录都按照这样设置，每个盘都只给adinistrators权限。 3．删除C:\WINDOWS\Web\printers目录，此目录的存在会造成IIS里加入一个.printers的扩展名，可溢出攻击 4．打开C:\Windows 搜索net.exe;cmd.exe;tftp.exe;netstat.exe;regedit.exe;at.exe;attrib.exe;cacls.exe;;regsvr32.exe;xcopy.exe;wscrīpt.exe;cscrīpt.exe;ftp.exe;telnet.exe;arp.exe;edlin.exe;ping.exe;route.exe;finger.exe;posix.exe;rsh.exe;atsvc.exe;qbasic.exe;runonce.exe;syskey.exe修改权限，删除所有的用户只保存Administrators 和SYSTEM为所有权限 禁用不必要的服务 Remote Registry服务 [禁止远程连接注册表] 命令：sc config RemoteRegistry start= disabled task schedule服务? ? [禁止自动运行程序] 命令：sc config Schedule start= disabled server服务? ?? ?? ???[禁止默认共享] 命令：sc config lanmanserver start= disabled Telnet服务? ?? ?? ???[禁止telnet远程登陆] 命令：sc config TlntSvr start= disabled workstation服务? ???[防止一些漏洞和系统敏感信息获取] 命令：sc config lanmanworkstation start= disabled Error Reporting Service服务 [禁止收集、存储和向 Microsoft 报告异常应用程序] 命令：sc config ERSvc start= disabled Messenger服务 [禁止传输客户端和服务器之间的 NET SEND 和 警报器服务消息] 命令：sc config Messenger start= disabled Help and Support服务 [禁止在此计算机上运行帮助和支持中心] 命令：sc config helpsvc start= disabled Network Location Awareness (NLA)服务 [禁止收集并保存网络配置和位置信息] 命令：sc config Nla start= disabled SERV-U FTP 服务器的设置 1.选中“Block FTP_bounceattack and FXP”。 FXP，也称跨服务器攻击。 恶意用户可以通过FTP服务器作为中介，能够最终实现与目标服务器的连接。选中后就可以防止发生此种情况 2.选中”Block anti time-out schemes,其次，在“Advanced”选项卡中，检查“Enable security”是否被选中，如果没有，选择它们 IIS的安全与性能： 1.删掉c:/inetpub目录（还是不要删除），删除iis不必要的映射 首先是每一个web站点使用单独的IIS用户，譬如这里，新建立了一个名为，权限为guest的。 2. 在IIS里的站点属性里“目录安全性”---“身份验证和访问控制“里设置匿名访问使用下列Windows 用户帐户”的用户名密码都使用 这个用户的信息.在这个站点相对应的web目录文件，默认的只给IIS用户的读取和写入权限 3. 在应用程序配置里，设置调试为向客户端发送自定义的文本信息，这样能对于有ASP注入漏洞的站点，可以不反馈程序报错的信息，能够避免一定程度的攻击。 4.? 在自定义HTTP错误选项里，有必要定义下譬如404,500等错误，不过有有时候为了调试程序，好知道程序出错在什么地方，建