win2003服务器安全设置(整理).docx

win2003服务器安全设置一、先关闭不需要的端口?办法：本地连接--属性--Internet协议（TCP/IP）--高级--选项--TCP/IP筛选--属性--把勾打上 然后添加你需要的端口即可。设置完端口需要重新启动！二、换远程连接端口提示：打开“组策略编辑器”的方法为：依次点击“开始→运行”，在“运行”对话框中键入“gpedit.msc”命令并回车，即可打开“组策略编辑器”窗口1、允许/禁止“远程桌面”连接我们能通过组策略允许或禁止使用“远程桌面”连接功能。在“组策略编辑器”左侧窗口中，依次展开“计算机设置→管理模板→视窗系统组件→终端服务”目录。单击目录名“终端服务”，在右侧窗口中双击“允许用户使用终端服务远程连接”选项。然后在属性对话框的“设置”选项卡下点选“已启用”或“已禁用”单选框并单击“确定”按钮即可。打开注册表（运行：regedit） ，找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp，在右边的窗口里面将会看到名字为PortNumber的DWORD值，打开之后选中十进制，你就会看到默认的远程桌面端口3389，修改其值为你自己定义的一个端口，如3390。然后再找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp，在右侧的窗口中同样看到一个名字为PortNumber的DWORD值，同样修改为3390。?服务器重起后使用远程桌面客户端，输入：111.222.333.444:3390，远程登陆成功.如果服务器上有防火墙和安全策略，千万别忘了开放3390端口哦！三.关闭不需要的服务 打开相应的审核策略 ?Computer Browser 维护网络上计算机的最新列表以及提供这个列表 ?Smart ? Card ? 你没有智能卡阅读器 Task scheduler 允许程序在指定时间运行 Telnet 允许远程用户登录到此计算机并运行程序 TCP/IP ? NetBIOS ? Helper ? Service ? 你的计算机不准备让别人共享　　Message Queuing 传输客户端和服务器之间的 NET SEND 和 警报器服务消息 　Distributed File System: 局域网管理共享文件，不需要禁用 　Distributed linktracking client：用于局域网更新连接信息，不需要禁用 　Error reporting service：禁止发送错误报告 　Microsoft Serch：提供快速的单词搜索，不需要可禁用 　PrintSpooler：如果没有打印机可禁用 　Remote Registry：禁止远程修改注册表 　Remote Desktop Help Session Manager：禁止远程协助 　Routing and Remote Access在局域网以及广域网环境中为企业提供路由服务　Removable storage 管理可移动媒体、驱动程序和库? Workstation? ?关闭的话远程NET命令列不出用户组? Routing ? and ? Remote ? Access ? 你的计算机不做路由器四、在网络连接里，把不需要的协议和服务都删掉只安装了基本的Internet协议（TCP/IP）五、磁盘权限设置C盘只给administrators 和system权限，其他的权限不给，其他的盘也可以这样设置，这里给的system权限也不一定需要给，只是由于某些第三方应用程序是以服务形式启动的，需要加上这个用户，否则造成启动不了。　Windows目录要加上给users的默认权限，否则ASP和ASPX等应用程序就无法运行。以前有朋友单独设置Instsrv和temp等目录权限，其实没有这个必要的。　　另外在c:/Documents and Settings/这里相当重要，后面的目录里的权限根本不会继承从前的设置，如果仅仅只是设置了C盘给administrators权限，而在All Users/Application Data目录下会 出现everyone用户有完全控制权限，这样入侵这可以跳转到这个目录，写入脚本或只文件，再结合其他漏洞来提升权限；譬如利用serv-u的本地溢出提升权限，或系统遗漏有补丁，数据库的弱点，甚至社会工程学等等N多方法，从前不是有牛人发飑说：只要给我一个webshell，我就能拿到system，这也的确是有可能的。在用做web/ftp服务器的系统里，建议是将这些目录都设置的锁死。其他每个盘的目录都按照这样设