系统小窝欢迎您

电脑公司 深度技术
当前位置:系统小窝 > 系统教程 > Windows服务器教程 >

详解Win2003网络服务器安全攻略

时间:2021-04-11 来源:大神到 人气:

一、Windows Server2003的安装

1、安装系统最少两需要个分区,分区格式都采用NTFS格式

2、在断开网络的情况安装好2003系统

3、安装IIS,仅安装必要的 IIS 组件(禁用不需要的如FTP 和 SMTP 服务)。默认情况下,IIS服务没有安装,在添加/删除Win组件中选择;应用程序服务器;,然后点击;详细信息;,双击Internet信息服务(iis),勾选以下选项:

Internet 信息服务管理器;

公用文件;

后台智能传输服务 (BITS) 服务器扩展;

万维网服务。

如果你使用 FrontPage 扩展的 Web 站点再勾选:FrontPage 2002 Server Extensions

4、安装MSSQL及其它所需要的软件然后进行Update。

5、使用Microsoft 提供的 MBSA(Microsoft Baseline Security Analyzer) 工具分析计算机的安全配置,并标识缺少的修补程序和更新。下载地址:见页末的链接

二、设置和管理账户

1、系统管理员账户最好少建,更改默认的管理员帐户名(Administrator)和描述,密码最好采用数字加大小写字母加数字的上档键组合,长度最好不少于14位。

2、新建一个名为Administrator的陷阱帐号,为其设置最小的权限,然后随便输入组合的最好不低于20位的密码

3、将Guest账户禁用并更改名称和描述,然后输入一个复杂的密码,当然现在也有一个DelGuest的工具,也许你也可以利用它来删除Guest账户,但我没有试过。

4、在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略,将账户设为;三次登陆无效;,;锁定时渖栉?0分钟;,;复位锁定计数设为30分钟;。

5、在安全设置-本地策略-安全选项中将;不显示上次的用户名;设为启用

6、在安全设置-本地策略-用户权利分配中将;从网络访问此计算机;中只保留Internet来宾账户、启动IIS进程账户。如果你使用了Asp.net还要保留Aspnet账户。

7、创建一个User账户,运行系统,如果要运行特权命令使用Runas命令。

三、网络服务安全管理

1、禁止C$、D$、ADMIN$一类的缺省共享

打开注册表,HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters,在右边的窗口中新建Dword值,名称设为AutoShareServer值设为0

2、 解除NetBios与TCP/IP协议的绑定

右击网上邻居-属性-右击本地连接-属性-双击Internet协议-高级-Wins-禁用TCP/IP上的NETBIOS

3、关闭不需要的服务,以下为建议选项

Computer Browser:维护网络计算机更新,禁用

Distributed File System: 局域网管理共享文件,不需要禁用

Distributed linktracking client:用于局域网更新连接信息,不需要禁用

Error reporting service:禁止发送错误报告

Microsoft Serch:提供快速的单词搜索,不需要可禁用

NTLMSecuritysupportprovide:telnet服务和Microsoft Serch用的,不需要禁用

PrintSpooler:如果没有打印机可禁用

Remote Registry:禁止远程修改注册表

Remote Desktop Help Session Manager:禁止远程协助

四、打开相应的审核策略

在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-审核策略在创建审核项目时需要注意的是如果审核的项目太多,生成的事件也就越多,那么要想发现严重的事件也越难当然如果审核的太少也会影响你发现严重的事件,你需要根据情况在这二者之间做出选择。

推荐的要审核的项目是:

登录事件 成功 失败

账户登录事件 成功 失败

系统事件 成功 失败

策略更改 成功 失败

对象访问 失败

目录服务访问 失败

特权使用 失败

五、其它安全相关设置

1、隐藏重要文件/目录

可以修改注册表实现完全隐藏:;HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrent-VersionExplorerAdvancedFolderHi-ddenSHOWALL;,鼠标右击;CheckedValue;,选择修改,把数值由1改为0

2、启动系统自带的Internet连接防火墙,在设置服务选项中勾选Web服务器。

3、防止SYN洪水攻击

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters

新建DWORD值,名为SynAttackProtect,值为2

4. 禁止响应ICMP路由通告报文

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters Interfacesinterface

新建DWORD值,名为PerformRouterDiscovery 值为0

5. 防止ICMP重定向报文的攻击

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters

将EnableICMPRedirects 值设为0

6. 不支持IGMP协议

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters

新建DWORD值,名为IGMPLevel 值为0

7、禁用DCOM:

运行中输入 Dcomcnfg.exe。 回车, 单击;控制台根节点;下的;组件服务;。 打开;计算机;子文件夹。

对于本地计算机,请以右键单击;我的电脑;,然后选择;属性;。选择;默认属性;选项卡。

清除;在这台计算机上启用分布式 COM;复选框。

注:3-6项内容我采用的是Server2000设置,没有测试过对2003是否起作用。但有一点可以肯定我用了一段的时间没有发现其它副面的影响。

六、配置 IIS 服务:

1、不使用默认的Web站点,如果使用也要将 将IIS目录与系统磁盘分开。

2、删除IIS默认创建的Inetpub目录(在安装系统的盘上)。

3、删除系统盘下的虚拟目录,如:_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。

4、删除不必要的IIS扩展名映射。

右键单击;默认Web站点属性主目录配置;,打开应用程序窗口,去掉不必要的应用程序映射。主要为.shtml, .shtm, .stm

5、更改IIS日志的路径

右键单击;默认Web站点属性-网站-在启用日志记录下点击属性

6、如果使用的是2000可以使用iislockdown来保护IIS,在2003运行的ie6.0的版本不需要。

7、使用UrlScan

UrlScan是一个ISAPI筛选器,它对传入的HTTP数据包进行分析并可以拒绝任何可疑的通信量。目前最新的版本是2.5,如果是2000Server需要先安装1.0或2.0的版本。

如果没有特殊的要求采用UrlScan默认配置就可以了。

但如果你在服务器运行ASP.NET程序,并要进行调试你需打开要%WINDIR%System32InetsrvURLscan

文件夹中的URLScan.ini 文件,然后在UserAllowVerbs节添加debug谓词,注意此节是区分大小写的。

如果你的网页是.asp网页你需要在DenyExtensions删除.asp相关的内容。

如果你的网页使用了非ASCII代码,你需要在Option节中将AllowHighBitCharacters的值设为1

在对URLScan.ini 文件做了更改后,你需要重启IIS服务才能生效,快速方法运行中输入iisreset

如果你在配置后出现什么问题,你可以通过添加/删除程序删除UrlScan。

8、利用WIS (Web Injection Scanner)工具对整个网站进行SQL Injection 脆弱性扫描.

七、配置Sql服务器

1、System Administrators 角色最好不要超过两个

2、如果是在本机最好将身份验证配置为Win登陆

3、不要使用Sa账户,为其配置一个超级复杂的密码

4、删除以下的扩展存储过程格式为:

use master

sp_dropextendedproc #39;扩展存储过程名#39;

xp_cmdshell:是进入操作系统的最佳捷径,删除

访问注册表的存储过程,删除

Xp_regaddmultistring  Xp_regdeletekey  Xp_regdeletevalue  Xp_regenumvalues

Xp_regread      Xp_regwrite    Xp_regremovemultistring

OLE自动存储过程,不需要删除

Sp_OACreate   Sp_OADestroy    Sp_OAGetErrorInfo  Sp_OAGetProperty

Sp_OAMethod  Sp_OASetProperty  Sp_OAStop

5、隐藏 SQL Server、更改默认的1433端口

右击实例选属性-常规-网络配置中选择TCP/IP协议的属性,选择隐藏 SQL Server 实例,并改原默认的1433端口。

八、如果只做服务器,不进行其它操作,使用IPSec

1、管理工具mdash;本地安全策略mdash;右击IP安全策略mdash;管理IP筛选器表和筛选器操作mdash;在管理IP筛选器表选项下点击

添加mdash;名称设为Web筛选器mdash;点击添加mdash;在描述中输入Web服务器mdash;将源地址设为任何IP地址mdash;mdash;将目标地址设为我的IP地址mdash;mdash;协议类型设为Tcpmdash;mdash;IP协议端口第一项设为从任意端口,第二项到此端口80mdash;mdash;点击完成mdash;mdash;点击确定。

2、再在管理IP筛选器表选项下点击

添加mdash;名称设为所有入站筛选器mdash;点击添加mdash;在描述中输入所有入站筛选mdash;将源地址设为任何IP地址mdash;mdash;将目标地址设为我的IP地址mdash;mdash;协议类型设为任意mdash;mdash;点击下一步mdash;mdash;完成mdash;mdash;点击确定。

3、在管理筛选器操作选项下点击添加mdash;mdash;下一步mdash;mdash;名称中输入阻止mdash;mdash;下一步mdash;mdash;选择阻止mdash;mdash;下一步mdash;mdash;完成mdash;mdash;关闭管理IP筛选器表和筛选器操作窗口

4、右击IP安全策略mdash;mdash;创建IP安全策略mdash;mdash;下一步mdash;mdash;名称输入数据包筛选器mdash;mdash;下一步mdash;mdash;取消默认激活响应原则mdash;mdash;下一步mdash;mdash;完成

5、在打开的新IP安全策略属性窗口选择添加mdash;mdash;下一步mdash;mdash;不指定隧道mdash;mdash;下一步mdash;mdash;所有网络连接mdash;mdash;下一步mdash;mdash;在IP筛选器列表中选择新建的Web筛选器mdash;mdash;下一步mdash;mdash;在筛选器操作中选择许可mdash;mdash;下一步mdash;mdash;完成mdash;mdash;在IP筛选器列表中选择新建的阻止筛选器mdash;mdash;下一步mdash;mdash;在筛选器操作中选择阻止mdash;mdash;下一步mdash;mdash;完成mdash;mdash;确定

6、在IP安全策略的右边窗口中右击新建的数据包筛选器,点击指派,不需要重启,IPSec就可生效.

九、建议

如果你按本文去操作,建议每做一项更改就测试一下服务器,如果有问题可以马上撤消更改。而如果更改的项数多,才发现出问题,那就很难判断问题是出在哪一步上了。

十、运行服务器记录当前的程序和开放的端口

1、将当前服务器的进程抓图或记录下来,将其保存,方便以后对照查看是否有不明的程序。

2、将当前开放的端口抓图或记录下来,保存,方便以后对照查看是否开放了不明的端口。当然如果你能分辨每一个进程,和端口这一步可以省略。

相关文章

  • 识别外来设备,win2003有一招

    识别外来设备,win2003有一招

    Windows Server 2003是微软的服务器操作系统,用于构建和存放Web应用程序、网页和XMLWeb Services.在使用上,很多方面都是不错的,但有一点令使用者较为尴尬,那就...
    2012-10-31 11.10.43
  • win2003下如何更改分配给网络适配器的IP地址

    win2003下如何更改分配给网络适配器的IP地址

    网络适配器又称网卡或网络接口卡(NIC),英文名NetworkInterfaceCard。它是使计算机联网的设备。平常所说的网卡就是将PC机和LAN连接的网络适配器。 服务器专用...
    2012-11-01 10.11.13
  • win2003中NAT服务器的配置

    win2003中NAT服务器的配置

    Windows Server 2003路由和远程访问服务包括NAT路由协议。如果将NAT路由协议安装和配置在运行路 由和远程访问的服务器上,则使用专用Internet协议(IP)地址的内...
    2012-11-01 10.11.05
  • 高手将NT升级至2003有妙招

    高手将NT升级至2003有妙招

    Microsoft Windows Server 2003 操作系统产品家族提供了远远超出Microsoft Windows NT Server 4.0服务器产品家族的强大功能。Windows Server 2003产品家族在设计之时即着眼于...
    2012-11-02 09.11.34
  • win2003下轻轻松松添加自定义用户设置

    win2003下轻轻松松添加自定义用户设置

    所有的自定义用户界面功能都通过自定义用户界面对话框完成,在命令行输入CUI命令打开自定义用户界面对话框完成如下功能:自定义命令、添加或更改工...
    2012-11-02 10.11.49

发表评论

验证码: 看不清?点击更换

注:网友评论仅供其表达个人看法,并不代表本站立场。

Windows服务器教程排行榜

更多>>

Linux系统排行榜

更多>>

系统教程排行榜

更多>>