win2003服務器安全設置(整理).docxVIP

win2003服務器安全設置一、先關閉不需要的端口 辦法：本地連接-屬性-Internet協(xié)議（TCP/IP）-高級-選項-TCP/IP篩選-屬性-把勾打上 然后添加你需要的端口即可。設置完端口需要重新啟動！二、換遠程連接端口提示：打開“組策略編輯器”的方法為：依次點擊“開始運行”，在“運行”對話框中鍵入“gpedit.msc”命令并回車，即可打開“組策略編輯器”窗口1、允許/禁止“遠程桌面”連接我們能通過組策略允許或禁止使用“遠程桌面”連接功能。在“組策略編輯器”左側窗口中，依次展開“計算機設置管理模板視窗系統(tǒng)組件終端服務”目錄。單擊目錄名“終端服務”，在右側窗口中雙擊“允許用戶使用終端服務遠程連接”選項。然后在屬性對話框的“設置”選項卡下點選“已啟用”或“已禁用”單選框并單擊“確定”按鈕即可。打開注冊表（運行：regedit） ，找到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWdsrdpwdTdstcp，在右邊的窗口里面將會看到名字為PortNumber的DWORD值，打開之后選中十進制，你就會看到默認的遠程桌面端口3389，修改其值為你自己定義的一個端口，如3390。然后再找到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp，在右側的窗口中同樣看到一個名字為PortNumber的DWORD值，同樣修改為3390。服務器重起后使用遠程桌面客戶端，輸入：111.222.333.444:3390，遠程登陸成功.如果服務器上有防火墻和安全策略，千萬別忘了開放3390端口哦！三.關閉不需要的服務 打開相應的審核策略 Computer Browser 維護網(wǎng)絡上計算機的最新列表以及提供這個列表 Smart Card 你沒有智能卡閱讀器 Task scheduler 允許程序在指定時間運行 Telnet 允許遠程用戶登錄到此計算機并運行程序 TCP/IP NetBIOS Helper Service 你的計算機不準備讓別人共享Message Queuing 傳輸客戶端和服務器之間的 NET SEND 和 警報器服務消息 Distributed File System: 局域網(wǎng)管理共享文件，不需要禁用 Distributed linktracking client：用于局域網(wǎng)更新連接信息，不需要禁用 Error reporting service：禁止發(fā)送錯誤報告 Microsoft Serch：提供快速的單詞搜索，不需要可禁用 PrintSpooler：如果沒有打印機可禁用 Remote Registry：禁止遠程修改注冊表 Remote Desktop Help Session Manager：禁止遠程協(xié)助 Routing and Remote Access在局域網(wǎng)以及廣域網(wǎng)環(huán)境中為企業(yè)提供路由服務Removable storage 管理可移動媒體、驅動程序和庫 Workstation 關閉的話遠程NET命令列不出用戶組 Routing and Remote Access 你的計算機不做路由器四、在網(wǎng)絡連接里，把不需要的協(xié)議和服務都刪掉只安裝了基本的Internet協(xié)議（TCP/IP）五、磁盤權限設置C盤只給administrators 和system權限，其他的權限不給，其他的盤也可以這樣設置，這里給的system權限也不一定需要給，只是由于某些第三方應用程序是以服務形式啟動的，需要加上這個用戶，否則造成啟動不了。Windows目錄要加上給users的默認權限，否則ASP和ASPX等應用程序就無法運行。以前有朋友單獨設置Instsrv和temp等目錄權限，其實沒有這個必要的。另外在c:/Documents and Settings/這里相當重要，后面的目錄里的權限根本不會繼承從前的設置，如果僅僅只是設置了C盤給administrators權限，而在All Users/Application Data目錄下會 出現(xiàn)everyone用戶有完全控制權限，這樣入侵這可以跳轉到這個目錄，寫入腳本或只文件，再結合其他漏洞來提升權限；譬如利用serv-u的本地溢出提升權限，或系統(tǒng)遺漏有補丁，數(shù)據(jù)庫的弱點，甚至社會工程學等等N多方法，從前不是有牛人發(fā)颮說：只要給我一個webshell，我就能拿到system，這也的確是有可能的。在用做web/ftp服務器的系統(tǒng)里，建議是將這些目錄都設置的鎖死。其他每個盤的目錄都按照這樣設置，沒個盤都只給adinistrators權限。C:Program FilesCommon Files目錄給Internet來賓賬戶讀取權限。C:WINDOWSTemp目錄給Internet來賓賬戶讀取權限。 六、本地安全策略賬戶策略密碼長度最小值 10個字符帳戶鎖定閾值 5次賬戶鎖定時間 30分鐘復位賬戶鎖定計數(shù)器 30分鐘本地策略用戶權限分配安全選項交互式登陸：不顯示上次的用戶名啟用網(wǎng)絡訪問：不允許SAM帳戶和共享的匿名枚舉 啟用網(wǎng)絡訪問：不允許為網(wǎng)絡身份驗證儲存憑證啟用網(wǎng)絡訪