完整windows2003系统安全配置教程.docxVIP

- - PAGE # - 完整windows server 2003 系统安全配置教程 网上流传的很多关于 windows server 2003系统的安全配置，但是仔细分析下发现很多 都不全面，并且很多仍然配置的不够合理， 并且有很大的安全隐患， 今天我决定仔细做下极 端BT的2003服务器的安全配置，让更多的网管朋友高枕无忧。 我们配置的服务器需要提供支持的组件如下：（ ASP ASPX CGI、PHR FSO JMAIL、 MySql、SMTP POP3 FTP、3389终端服务、远程桌面 Web连接管理服务等），这里前提是 已经安装好了系统，IIS，包括FTP服务器，邮件服务器等，这些具体配置方法的就不再重 复了，现在我们着重主要阐述下关于安全方面的配置。 先说关于系统的 NTFS磁盘权限设置，大家可能看得都多了，但是 2003服务器有些 细节地方需要注意的，我看很多文章都没写完全。 C 盘只给administrators 和system权限，其他的权限不给，其他的盘也可以这样 设置，这里给的system权限也不一定需要给，只是由于某些第三方应用程序是以服务形式 启动的，需要加上这个用户，否则造成启动不了。 ■IWU0VS 展性 常规安全 W.b共享| 爼或用戶名称』^ Adninistratcrs ffYIEC-TlCELVEWCVAiniriistratQrs) CREATOR QVHER 強Fxer Users CTFII)C-71CELmC\Fo*er Users) SYSTEM f5Vsers CrmC-TlCELVEWCiUseri) Administrators 的权限 Administrators 的权限(￡) 允许 拒绝 □ 口□□口口 回PIPI □ 口□□口口 回PIPIPI0IZI 2d 修改 读取和运行 列出立件夹目录 读取 写入 特别权限或高簸设置，谙单击高级”? 高级边 确定ijj取消用应用Q Windows目录要加上给users的默认权限，删除 everyone即可。否则ASP和 ASPX等应用程 序就无法运行。 另外在c:/Documents and Settings/ 这里相当重要，后面的目录里的权限根本不 会继承从前的设置，如果仅仅只是设置了 C盘给 administrators 权限，而在 All Users/Application Data 目录下会 出现everyone用户有完全控制权限，这样入侵这可以 跳转到这个目录，写入脚本或只文件，再结合其他漏洞来提升权限；譬如利用 serv-u的本 地溢出提升权限，或系统遗漏有补丁，数据库的弱点，甚至社会工程学等等 N多方法，从前 不是有牛人发飑说：只要给我一个 webshell ，我就能拿到system，这也的确是有可能的。 在用做web/ftp服务器的系统里，建议是将这些目录都设置的锁死。 其他每个盘的目录都按 照这样设置，每个盘都只给 adi ni strators 权限。 ■ edi * Index 屋性 常规 安至囱共亭］自定交|廻或用户名称⑥：添加?… 常规 安至囱共亭］自定交| 廻或用户名称⑥： 添加?…］删除思）］ Adiinni strators的权限迅） 允许 拒绝 完全控制 修改 读取和运行 列岀文件夹目录 读取 写入 矗 | 取消 | 应用］ 把不必要的服务都禁止掉，尽管这些不定能被攻击者利用得上，但是按照安全规 把不必要的服务都禁止掉，尽管这些不 定能被攻击者利用得上，但是按照安全规 .禁用 .禁用 Remote Registry .禁用 task schedule 服务 .禁用server服务 [ .禁用Tel net服务 .禁用workstation 服务 则和标准上来说，多余的东西就没必要开启，减少一份隐患。 服务［说明：禁止远程连接注册表 ［说明：禁止自动运行程序］ 说明：禁止默认共享］ ［ 说明：禁止telnet远程登陆］ ［ 说明：防止一些漏洞和系统敏感信息获取 .TCP/IP NetBIOS Helper Service [ 服务器不需要开启共享 ] 在“网络连接”里，把不需要的协议和服务都删掉，这里只安装了基本的 In ternet 协议（TCP/IP），由于要控制带宽流量服务， 额外安装了 Qos数据包计划程序。在高级tcp/ip 设置里--“NetBIOS”设置“禁用tcp/IP 上的NetBIOS（S） ”。在高级选项里，使用“Internet 连接防火墙”，这是 windows 2003自带的防火墙，在 2000系统里没有的功能，虽然没什 么功能，但可以屏蔽端口，这样已经基本达到了一个 IPSec的功能。 高级TCF/IF设置 IP设置 IP设置| DNS WIHS WIK