Window_Server_2003_安全设置攻略

WIN2003服务器安全和配置完整教程一、硬盘分区与操作系统的安装∙硬盘分区总的来讲在硬盘分区上面没什么值得深入剖析的地方，无非就是一个在分区前做好规划知道要去放些什么东西，如果实在不知道。

那就只一个硬盘只分一个区，分区要一次性完成，不要先分成FAT32再转成NTFS。

一次性分成NTFS格式，以我个人习惯，系统盘一般给12G。

建议使用光盘启动完成分区过程，不要加载硬盘软件。

∙系统安装以下内容均以2003为例安装过程也没什么多讲的，安装系统是一个以个人性格为参数的活动，我建议在安装路径上保持默认路径，好多文章上写什么安装路径要改成什么呀什么的，这是没必要的。

路径保存在注册表里，怎么改都没用。

在安装过程中就要选定你需要的服务，如一些DN S、DHCP没特别需要也就不要装了。

在安装过程中网卡属性中可以只保留TCP/IP 这一项，同时禁用NETBOIS。

安装完成后如果带宽条件允许可用系统自带在线升级。

二、系统权限与安全配置前面讲的都是屁话，润润笔而已。

（俺也文人一次）话锋一转就到了系统权限设置与安全配置的实际操作阶段系统设置网上有一句话是"最小的权限+最少的服务=最大的安全"。

此句基本上是个人都看过，但我好像没有看到过一篇讲的比较详细稍具全面的文章，下面就以我个人经验作一次教学尝试！2.1 最小的权限如何实现？NTFS系统权限设置在使用之前将每个硬盘根加上Administrators 用户为全部权限(可选加入SYSTEM用户) 删除其它用户，进入系统盘:权限如下∙C:\WINDOWS Administrators SYSTEM用户全部权限Users 用户默认权限不作修改∙其它目录删除Everyone用户，切记C:\Documents and Settings下All Users\Def ault User目录及其子目录如C:\Documents and Settings\All Users\Application Data 目录默认配置保留了Every one用户权限C:\WINDOWS 目录下面的权限也得注意,如C:\WINDOWS\PCHealth、C:\windows\Inst aller也是保留了Everyone权限.∙删除C:\WINDOWS\Web\printers目录，此目录的存在会造成IIS里加入一个.print ers的扩展名，可溢出攻击∙默认IIS错误页面已基本上没多少人使用了。

Windows Server 2003安全设置一、用户账户安全1.Administrator账户的安全性a)重命名adminstrator，并将其禁用b)创建一个用户账户并将其加入管理员组，日常管理工作使用这个账户完成2.启用账户锁定策略开始——程序——管理工具——本地安全策略——账户策略——账户锁定策略——设置“账户锁定阈值为3”3.创建一个日常登录账户通过Runas或者鼠标右键“运行方式”切换管理员权限4.修改本地策略限制用户权限开始——程序——管理工具——本地安全策略——本地策略——用户权限分配——设置“拒绝从网络访问这台计算机”，限制从网络访问该服务器的账户二、服务器性能优化，稳定性优化1.“我的电脑”右键属性——高级——性能——设置——设置为“性能最佳”2.“我的电脑”右键属性——高级——性能——设置——高级页面为如图设置3.停止暂时未用到的服务a)在开始运行中输入:services.mscb)停止并禁用以下服务puter Browser2.Distributed Link Tracking Client3.Print Spooler（如果没有打印需求可以停止该服务）4.Remote Registry5.Remote Registry（如果没有无线设备可以停止该服务）6.TCP/IP NetBIOS Helper三、系统安全及网络安全设置1.开启自动更新我的电脑右键属性——自动更新Windows Server 2003会自动下载更新，无须人为打补丁。

2.关闭端口，减少受攻击面（此处以仅提供HTTP协议为例）a)开始运行中输入cmd，运行命令提示符b)在命令提示符中输入netstat -an命令察看当前打开端口图片中开放了TCP 135,139,445,1026四个端口，可以通过禁用TCP/IP 上的NetBIOS和禁用SMB来关闭它们。

c)禁用TCP/IP 上的NetBIOS1.从“开始”菜单，右键单击“我的电脑”，然后单击“属性”。

Win2003网站服务器的安全配置全攻略安装篇2003默认安装不带IIS的，要安装，请点击开始->管理工具->配置您的服务器向导然后一步步的下一步。

到了列表选择项目的时候。

从列表中选择应用服务器（IIS,）然后确定，下一步frontpage server extension和如果要支持.Net，都打勾，前者vs用到。

然后一路下一步。

成功后最后mmc管理去。

设置篇：1：支持Asp：控制面板 -> 管理工具 ->IIS(Internet 服务器)- Web服务扩展 -> Active Server Pages -> 允许控制面板 -> 管理工具 ->IIS(Internet 服务器)- Web服务扩展 -> 在服务端的包含文件 -> 允许2：上传200K限制：先在服务里关闭iis admin service服务找到windows\system32\inesrv\下的metabase.xml,打开，找到ASPMaxRequestEntityAllowed 把他修改为需要的值，然后iisreset3：启用父路径：IIS-网站－主目录－配置－选项－启用父路关键词：Win2003 服务器配置网站安全阅读提示：息网络对于服务器的安全要求是十分重要的，为防止服务器发生意外或受到意外攻击，而导致大量重要的数据丢失，下面就介绍Win2003服务器安全热点技术。

本配置仅适合Win2003，部分内容也适合于Win2000。

很多人觉得3389不安全，其实只要设置好，密码够长，攻破3389也不是件容易的事情，我觉得别的远程软件都很慢，还是使用了3389连接。

经测试，本配置在Win2003 + IIS6.0 + Serv-U + SQL Server 的单服务器多网站中一切正常。

以下配置中打勾的为推荐进行配置，打叉的为可选配置。

一、系统权限的设置1、磁盘权限系统盘只给 Administrators 组和 SYSTEM 的完全控制权限其他磁盘只给 Administrators 组完全控制权限系统盘\Documents and Settings 目录只给 Administrators 组和 SYSTEM 的完全控制权限系统盘\Documents and Settings\All Users 目录只给 Administrators 组和 SYSTEM 的完全控制权限系统盘\windows\system32\config\ 禁止guests组系统盘\Documents and Settings\All Users\「开始」菜单\程序\ 禁止guests组系统盘\windowns\system32\inetsrv\data\ 禁止guests组系统盘\Windows\System32\ at.exe、attrib.exe、cacls.exe、net.exe、net1.exe、netstat.exe、regedit.exe 文件只给 Administrators 组和 SYSTEM 的完全控制权限系统盘\Windows\System32\ cmd.exe、 仅 Administrators 组完全控制权限把所有（Windows\system32和Windows\ServicePackFiles\i386） 更名为format_2、本地安全策略设置开始菜单->管理工具->本地安全策略A、本地策略-->审核策略审核策略更改 成功 失败审核登录事件 成功 失败审核对象访问失败审核过程跟踪 无审核审核目录服务访问失败审核特权使用失败审核系统事件 成功 失败审核账户登录事件 成功 失败审核账户管理 成功 失败B、本地策略-->用户权限分配关闭系统：只有Administrators组、其它全部删除。

Windows 2003服务器安全配置技巧引:下面我用的例子，将是一台标准的虚拟主机。

实践篇下面我用的例子，将是一台标准的虚拟主机。

系统：Windows2003服务：[IIS] [SERV-U] [IMAIL] [SQL SERVER 2000] [PHP] [MYSQL]描述：为了演示，绑定了最多的服务，大家可以根据实际情况做筛减1. WINDOWS本地安全策略端口限制A. 对于我们的例子来说，需要开通以下端口外->本地 80外->本地 20外->本地 21外->本地 PASV所用到的一些端口外->本地 25外->本地 110外->本地 3389然后按照具体情况，打开SQL SERVER和MYSQL的端口外->本地 1433外->本地 3306B. 接着是开放从内部往外需要开放的端口按照实际情况，如果无需邮件服务，则不要打开以下两条规则本地->外 53 TCP，UDP本地->外 25按照具体情况，如果无需在服务器上访问网页，尽量不要开以下端口本地->外 80C. 除了明确允许的一律阻止，这个是安全规则的关键外->本地所有协议阻止2. 用户帐号A. 将administrator改名，例子中改为rootB. 取消所有除管理员root外所有用户属性中的远程控制->启用远程控制以及终端服务配置文件->允许登陆到终端服务器C. 将guest改名为administrator并且修改密码D. 除了管理员root、IUSER以及IWAM以及ASPNET用户外，禁用其他一切用户，包括SQL DEBUG以及TERMINAL USER等等3. 目录权限将所有盘符的权限，全部改为只有administrators组全部权限ystem 全部权限将C盘的所有子目录和子文件继承C盘的administrator(组或用户)和SYSTEM 所有权限的两个权限然后做如下修改C:\Program Files\Common Files 开放Everyone默认的读取及运行列出文件目录读取三个权限C:\WINDOWS\ 开放Everyone默认的读取及运行列出文件目录读取三个权限C:\WINDOWS\Temp 开放Everyone 修改、读取及运行、列出文件目录、读取、写入权限现在WebShell就无法在系统目录内写入文件了。

Windows2003安全配置教程1：安装windows2003时，必须所有的磁盘分区都为NTFS2：安装后，建议不要插入U盘，不要打开其它盘（如D/E/F）这些磁盘3：立即安装杀毒软件（更新到最新病毒库）马上进行查杀（建议安装NOD32版不带防火墙的那个版本）4：使用WINDOWS 2003自动更新，马上到官网下载更新补丁5：安装所有补丁之后，全盘扫描病毒6：IIS那些杀完病毒和打完补丁再进行安装和配置7：没确定所有磁盘被扫描完之前，都不要打开其它的盘（如D/E/F）8：关闭磁盘所有的默认共享9：administrator 密码必须复杂10：建议先开启WINDOWS 自带的防火墙（开启之前，必须开放3389端口）11：修改3389的端口，建议改成数字“越大越好”以上12：马上关闭445端口■．关闭所有不需要的服务* Alerter (disable)* ClipBook Server (disable)* Computer Browser (disable)* DHCP Client (disable)* Directory Replicator (disable)* FTP publishing service (disable)* License Logging Service (disable)* Messenger (disable)* Netlogon (disable)* Network DDE (disable)* Network DDE DSDM (disable)* Network Monitor (disable)* Plug and Play (disable after all hardware configuration)* Remote Access Server (disable)* Remote Procedure Call (RPC) locater (disable)* Schedule (disable)* Server (disable)* Simple Services (disable)* Spooler (disable)* TCP/IP Netbios Helper (disable)* Telephone Service (disable)■. 帐号和密码策略1）保证禁止guest帐号2）将administrator改名为比较难猜的帐号3）密码唯一性：记录上次的6 个密码4）最短密码期限：25）密码最长期限：426）最短密码长度：87）密码复杂化(passfilt.dll)：启用8）用户必须登录方能更改密码：启用9）帐号失败登录锁定的门限：610）锁定后重新启用的时间间隔：720分钟■．保护文件和目录将C:\winnt, C:\winnt\config, C:\winnt\system32, C:\winnt\system等目录的访问权限做限制，限制everyone的写权限，限制users组的读写权限■．注册表一些条目的修改1）去除logon对话框中的shutdown按钮将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon\中ShutdownWithoutLogon REG_SZ 值设为02）去除logon信息的cashing功能将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon\中CachedLogonsCount REG_SZ 值设为04）限制LSA匿名访问将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA中RestricAnonymous REG_DWORD 值设为15）去除所有网络共享将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\中AutoShareServer REG_DWORD 值设为0IIS主要：假如你的电脑中还装了IIS ，你最好重新设置一下端口过滤。

硬盘目录权限设置和删除不需要的目录1．C盘只给administrators 和system权限，其他的权限不给，其他的盘也可以这样设置，这里给的system权限也不一定需要给，只是由于某些第三方应用程序是以服务形式启动的，需要加上这个用户，否则造成启动不了2．Windows目录要加上给users的默认权限，删除everyone即可。

否则ASP和ASPX 等应用程序就无法运行。

c:/Documents and Settings/All Users/Application Data目录不能出现everyone用户有完全控制权限，在用做web/ftp服务器的系统里，建议是将这些目录都设置的锁死。

其他每个盘的目录都按照这样设置，每个盘都只给adinistrators权限。

3．删除C:\WINDOWS\Web\printers目录，此目录的存在会造成IIS里加入一个.printers的扩展名，可溢出攻击4．打开C:\Windows 搜索net.exe;cmd.exe;tftp.exe;netstat.exe;regedit.exe;at.exe;attrib.exe;cacls.exe;; regsvr32.exe;xcopy.exe;wscrīpt.exe;cscrīpt.exe;ftp.exe;telnet.exe;arp.exe;edlin.exe; ping.exe;route.exe;finger.exe;posix.exe;rsh.exe;atsvc.exe;qbasic.exe;runonce.exe;syskey .exe修改权限，删除所有的用户只保存Administrators 和SYSTEM为所有权限禁用不必要的服务Remote Registry服务[禁止远程连接注册表]命令：sc config RemoteRegistry start= disabledtask schedule服务[禁止自动运行程序]命令：sc config Schedule start= disabledserver服务 [禁止默认共享]命令：sc config lanmanserver start= disabledTelnet服务 [禁止telnet远程登陆]命令：sc config TlntSvr start= disabledworkstation服务 [防止一些漏洞和系统敏感信息获取]命令：sc config lanmanworkstation start= disabledError Reporting Service服务[禁止收集、存储和向Microsoft 报告异常应用程序]命令：sc config ERSvc start= disabledMessenger服务[禁止传输客户端和服务器之间的NET SEND 和警报器服务消息]命令：sc config Messenger start= disabledHelp and Support服务[禁止在此计算机上运行帮助和支持中心]命令：sc config helpsvc start= disabledNetwork Location Awareness (NLA)服务[禁止收集并保存网络配置和位置信息]命令：sc config Nla start= disabledSERV-U FTP 服务器的设置1.选中“Block "FTP_bounce"attack and FXP”。

windows 2003权限及安全设置解决方案目录一、服务器安全设置1.IIS6.0的安装和设置2.WEB目录权限设置3.SQL权限设置二、系统常规安全设置4.系统补丁的更新5.备份系统6.安装常用的软件7.先关闭不需要的端口，开启防火墙导入IPSEC策略8.win2003服务器防止海洋木马的安全设置9.改名不安全组件10.系统安全策略11.网络设置[这里针对网卡参数进行设置]12.PHP安全13.修改3389远程连接端口14.本地策略--->用户权限分配15.在安全设置里本地策略-用户权利分配，通过终端服务拒绝登陆加入16.计算机管理的本地用户和组17.删除默认共享18.常用DOS命令安全设置19.卸载删除具有CMD命令功能的危险组件20．用户安全设置21.密码安全设置22.磁盘权限设置23.本地安全策略设置24.终端服务配置TerminalServiceConfigration25.禁用不必要的服务26.修改注册表27.系统DOS命令保护和转移三、各目录权限设置28.C盘的目录权限一、服务器安全设置1. IIS6.0的安装和设置1.1 开始菜单—>控制面板—>添加或删除程序—>添加/删除Windows组件应用程序———（可选）|——启用网络 COM+ 访问（必选）|——Internet 信息服务(IIS)———Internet 信息服务管理器（必选）|——公用文件（必选）|——万维网服务———Active Server pages（必选）|——Internet 数据连接器（可选）|——WebDAV 发布（可选）|——万维网服务（必选）|——在服务器端的包含文件（可选）在”网络连接”里，把不需要的协议和服务都删掉，这里只安装了基本的Internet协议（TCP/IP）和Microsoft网络客户端。

在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS（S）"。

Windows Server 2003服务器安全设置一、防火墙设置1、先关闭不需要的端口开启防火墙导入IPSEC策略在” 网络连接”里，把不需要的协议和服务都删掉，这里只安装了基本的Internet协议（TCP/IP），由于要控制带宽流量服务，额外安装了Qos数据包计划程序。

在高级tcp/ip 设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS（S）"。

在高级选项里，使用"Internet 连接防火墙"，这是windows 2003 自带的防火墙，在2000系统里没有的功能，虽然没什么功能，但可以屏蔽端口，这样已经基本达到了一个IPSec的功能。

二、系统权限的设置１、磁盘权限(如下设置，我们已经写一个CMD脚本，按要求复制运行即可以取代如下手工设定)系统盘及所有磁盘只给 Administrators 组和 SYSTEM 的完全控制权限系统盘\Documents and Settings 目录只给 Administrators 组和 SYSTEM 的完全控制权限系统盘\Documents and Settings\All Users 目录只给 Administrators 组和 SYSTEM 的完全控制权限系统盘\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe、ftp.exe、tftp.exe、telnet.exe 、netstat.exe、regedit.exe、at.exe、attrib.exe、、del文件只给 Administrators 组和SYSTEM 的完全控制权限另将\System32\cmd.exe、、ftp.exe转移到其他目录或更名Documents and Settings下所有些目录都设置只给adinistrators权限。

并且要一个一个目录查看，包括下面的所有子目录。