您的位置:360文档中心› Windows_Server_2003_安全加固设置

Windows_Server_2003_安全加固设置

合集下载

Windows 2003服务器安全加固方案(最新)

Windows 2003服务器安全加固方案(最新)

Windows 2003服务器安全加固方案sql服务器安全加固安装最新的mdac()5.1 密码策略由于sql server不能更改sa用户名称,也不能删除这个超级用户,所以,我们必须对这个帐号进行最强的保护,当然,包括使用一个非常强壮的密码,最好不要在数据库应用中使用sa帐号。

新建立一个拥有与sa一样权限的超级用户来管理数据库。

同时养成定期修改密码的好习惯。

数据库管理员应该定期查看是否有不符合密码要求的帐号。

比如使用下面的sql语句:use masterselect name,password from syslogins where password is null5.2 数据库日志的记录核数据库登录事件的"失败和成功",在实例属性中选择"安全性",将其中的审核级别选定为全部,这样在数据库系统和操作系统日志里面,就详细记录了所有帐号的登录事件。

5.3 管理扩展存储过程xp_cmdshell是进入操作系统的最佳捷径,是数据库留给操作系统的一个大后门。

请把它去掉。

使用这个sql语句:use mastersp_d ropextendedproc ’xp_cmdshell’注:如果你需要这个存储过程,请用这个语句也可以恢复过来。

sp_addextendedproc ’xp_cmdshell’, ’xpsql70.dll’ole自动存储过程(会造成管理器中的某些特征不能使用),这些过程包括如下(不需要可以全部去掉:sp_oacreate sp_oadestroy sp_oageterrorinfo sp_oagetpropertysp_oamethod sp_oasetproperty sp_oastop去掉不需要的注册表访问的存储过程,注册表存储过程甚至能够读出操作系统管理员的密码来,如下:xp_regaddmultistring xp_regkey xp_regvalue xp_regenumvaluesxp_regread xp_regremovemultistring xp_regwrite5.4 防tcp/ip端口探测在实例属性中选择tcp/ip协议的`属性。

windows server 2003 的安全设置

windows server 2003 的安全设置

清除“在这台计算机上启用分布式 COM”复选框。
注:3-6项内容我采用的是Server2000设置,没有测试过对2003是否起作用。但有一点可以肯定我用了一段的时间没有发现其它副面的影响。
配置 IIS 服务:
1、不使用默认的Web站点,如果使用也要将 将IIS目录
可以修改注册表实现完全隐藏:“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”,鼠标右击 “CheckedValue”,选择修改,把数值由1改为0
如果没有特殊的要求采用UrlScan默认配置就可以了。
但如果你在服务器运行程序,并要进行调试你需打开要%WINDIR%\System32\Inetsrv\URLscan
文件夹中的URLScan.ini 文件,然后在UserAllowVerbs节添加debug谓词,注意此节是区分大小写的。
访问注册表的存储过程,删除
Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvalues
Xp_regread Xp_regwrite Xp_regremovemultistring
设置和管理账户
1、系统管理员账户最好少建,更改默认的管理员帐户名(Administrator)和描述,密码最好采用数字加大小写字母加数字的上档键组合,长度最好不少于14位。
2、新建一个名为Administrator的陷阱帐号,为其设置最小的权限,然后随便输入组合的最好不低于20位的密码
右击实例选属性-常规-网络配置中选择TCP/IP协议的属性,选择隐藏 SQL Server 实例,并改原默认的1433端口。

Windows2003 Server的安全配置

Windows2003 Server的安全配置

硬盘目录权限设置和删除不需要的目录1.C盘只给administrators 和system权限,其他的权限不给,其他的盘也可以这样设置,这里给的system权限也不一定需要给,只是由于某些第三方应用程序是以服务形式启动的,需要加上这个用户,否则造成启动不了2.Windows目录要加上给users的默认权限,删除everyone即可。

否则ASP和ASPX 等应用程序就无法运行。

c:/Documents and Settings/All Users/Application Data目录不能出现everyone用户有完全控制权限,在用做web/ftp服务器的系统里,建议是将这些目录都设置的锁死。

其他每个盘的目录都按照这样设置,每个盘都只给adinistrators权限。

3.删除C:\WINDOWS\Web\printers目录,此目录的存在会造成IIS里加入一个.printers的扩展名,可溢出攻击4.打开C:\Windows 搜索net.exe;cmd.exe;tftp.exe;netstat.exe;regedit.exe;at.exe;attrib.exe;cacls.exe;; regsvr32.exe;xcopy.exe;wscrīpt.exe;cscrīpt.exe;ftp.exe;telnet.exe;arp.exe;edlin.exe; ping.exe;route.exe;finger.exe;posix.exe;rsh.exe;atsvc.exe;qbasic.exe;runonce.exe;syskey .exe修改权限,删除所有的用户只保存Administrators 和SYSTEM为所有权限禁用不必要的服务Remote Registry服务[禁止远程连接注册表]命令:sc config RemoteRegistry start= disabledtask schedule服务[禁止自动运行程序]命令:sc config Schedule start= disabledserver服务 [禁止默认共享]命令:sc config lanmanserver start= disabledTelnet服务 [禁止telnet远程登陆]命令:sc config TlntSvr start= disabledworkstation服务 [防止一些漏洞和系统敏感信息获取]命令:sc config lanmanworkstation start= disabledError Reporting Service服务[禁止收集、存储和向Microsoft 报告异常应用程序]命令:sc config ERSvc start= disabledMessenger服务[禁止传输客户端和服务器之间的NET SEND 和警报器服务消息]命令:sc config Messenger start= disabledHelp and Support服务[禁止在此计算机上运行帮助和支持中心]命令:sc config helpsvc start= disabledNetwork Location Awareness (NLA)服务[禁止收集并保存网络配置和位置信息]命令:sc config Nla start= disabledSERV-U FTP 服务器的设置1.选中“Block "FTP_bounce"attack and FXP”。

安全配置windows2003和IIS

安全配置windows2003和IIS

限制命令权限
操作目的 检查方法 加固方法 限制部分命令的权限 使用cacls命令或资源管理器查看以下文件权限 建议对以下命令做限制,只允许system、Administrator组访问 %systemroot%\system32\cmd.exe %systemroot%\system32\regsvr32.exe %systemroot%\system32\tftp.exe %systemroot%\system32\ftp.exe %systemroot%\system32\telnet.exe %systemroot%\system32\net.exe %systemroot%\system32\net1.exe %systemroot%\system32\cscript.exe %systemroot%\system32\wscript.exe %systemroot%\system32\regedit.exe %systemroot%\system32\regedt32.exe %systemroot%\system32\cacls.exe %systemroot%\system32\ %systemroot%\system32\at.exe 备注 可能会影响业务系统正常运行
安全配置windows2003和IIS

© 2011 绿盟科技
1 Windows Server 2003 安全加固 2 IIS 6.0 安全加固
Windows Server 2003安全加固
优化账号
操作目的 检查方法
减少系统无用账号, 减少系统无用账号,降低风险 开始->运行 开始 运行->compmgmt.msc(计算机管理)->本地用户和 运行 (计算机管理) 本地用户和 查看是否有不用的账号, 组,查看是否有不用的账号,系统账号所属组是否正确以及 guest账号是否锁定 账号是否锁定进行审核, 对系统事件进行审核,在日后出现故障时用于排查故障 开始->运行->secpol.msc ->安全设置->本地策略->审核策略 建议设置: 审核策略更改:成功 审核对象访问:成功,失败 审核系统事件:成功,失败 审核帐户登录事件:成功,失败 审核帐户管理:成功,失败

win2003安全设置

win2003安全设置
LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa ]分支,在右侧窗口中找到“restrictanonymous”子键,将其值改为“1”即可。
3.关闭自动播放功能
自动播放功能不仅对光驱起作用,而且对其它驱动器也起作用,这样很容易被黑客利用来执行黑客程序。
2.删除默认共享
单击“开始→运行”,输入“gpedit.msc”后回车,打开组策略编辑器。依次展开“用户配置→Windows设置→脚本(登录/注销)”,双击登录项,然后添加“delshare.bat”(参数不需要添加),从而删除Windows 2003默认的共享。
接下来再禁用IPC连接:打开注册表编辑器,依次展开[HKEY_
打开组策略编辑器,依次展开“计算机配置→Windows设置→安全设置→安全选项”,在右侧窗口中找到“网络访问:可远程访问的注册表路径”,然后在打开的如图所的窗口中,将可远程访问的注册表路径和子路径内容全部删除。
文章引用自:
打开组策略编辑器,依次展开“计算机配置→管理模板→系统”,在右侧窗口中找到“关闭自动播放”选项并双击,在打开的对话框中选择“已启用”,然后在“关闭自动播放”后面的下拉菜单中选择“所有驱动器”,按“确定”即可生效。
4.清空远程可访问的注册表ห้องสมุดไป่ตู้径
将远程可访问的注册表路径设置为空,这样可以有效防止黑客利用扫描器通过远程注册表读取计算机的系统信息及其它信息。
Windows2003安全设置
Windows 2003以其稳定的性能越来越受到用户的青睐,但面对层出不穷的新病毒,你仍然有必要再加强Windows 2003的安全性。
1.用户口令设置
设置一个键的密码,在很大程度上可以避免口令攻击。密码设置的字符长度应当在8个以上,最好是字母、数字、特殊字符的组合,如“psp53,@pq”、“skdfksadf10@”等,可以有效地防止暴力破解。最好不要用自己的生日、手机号码、电话号码等做口令。

WIN2003服务器安全加固方案

WIN2003服务器安全加固方案
维普资讯

强|
。 一
பைடு நூலகம்
实 指 l 务 ■ 战 南l i B [ ÷ ∞
导 安全加固方案

哄电局 ,广东 江门 5 9 0 ) 22 0
摘 要 : 当 Wn w ios d
其 他 应 用场 合 , 系 殊 文 件 的权 限设 置
系统 的安 全性 进 行
.,



o S r e 20 ws e v r 03
置 于 公 网之 中对 外提 供服 务 时 , 面临 的安 全威胁 要 远 大 于
不 的 服 几 面何 W 必 系务个 对增i 要 统 等 方 如 强d n
够 , 需要 人 为加 1 。该 文从 安 全 策略 、默 认共 享 的 清 除和 特 1 1
Ke w o d y r s: Wi n 200 3; S crt euiy; N t r Oprig y t m e Wok etn S se
本 文 主 要 探 讨 当 W id ws e v r 03服 务 器 被 用 作 n o S r e 2 0 W e 、DNS TP ma l b 、F 、E i 等服 务器 ,置 于 公 网之 中时 ,如 何 从 操 作 系统 设 置 方 面 来 增 强 其 安 全 性 。 系统 安 全是 一 个 系 统 工 程 ,需 要 方 方 面 面 的 密切 配 合 ,限 于 篇 幅 ,本 文 的 内 容
操作系统本身设置方面来讲 ,我们就 可以采用多种方法来增
强 W id ws e v r 0 3系统 的 安 全 性 。 本 文 将分 别从 安 n o S r e 2 0
全 策略、默认共 享的清除和特殊文件 的权 限设置 、注册表 的

Win 2003 Server 服务器安全设置(四),(五)服务器安全和性能配置

Win 2003 Server 服务器安全设置(四),(五)服务器安全和性能配置
"EnableICMPRedirects"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters]
"BacklogIncrement"=dword:00000005
"MaxConnBackLog"=dword:000007d0
Win 2003 Server服务器安全设置
(五、六)服务器安全和性能配置
5、 服务器安全设置之--服务器安全和性能配置
把下面文本保存为:windows2000-2003服务器安全和性能注册表自动配置文件.reg运行即可。
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"AutoShareServer"=dword:00000000
"AutoShareWks"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"EnableICMPRedirect"=dword:00000000
任何IP地址-任意端口
灰鸽子-1026
阻止
UDP
1027
我的IP地址-1027
任何IP地址-任意端口
灰鸽子-1027
阻止
UDP
1028
我的IP地址-1028

Windows 2003 Server 服务器安全设置完整版

Windows 2003 Server 服务器安全设置完整版

Windows 2003 Server 服务器安全设置完整版第一步:一、先关闭不需要的端口我比较小心,先关了端口。

只开了3389 21 80 1433(MYSQL)有些人一直说什么默认的3389不安全,对此我不否认,但是利用的途径也只能一个一个的穷举爆破,你把帐号改了密码设置为十五六位,我估计他要破上好几年,哈哈!办法:本地连接--属性--Internet协议(TCP/IP)--高级--选项--TCP/IP筛选--属性--把勾打上然后添加你需要的端口即可。

PS一句:设置完端口需要重新启动!当然大家也可以更改远程连接端口方法:Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]"PortNumber"=dword:00002683保存为.REG文件双击即可!更改为9859,当然大家也可以换别的端口,直接打开以上注册表的地址,把值改为十进制的输入你想要的端口即可!重启生效!还有一点,在2003系统里,用TCP/IP筛选里的端口过滤功能,使用FTP服务器的时候,只开放21端口,在进行FTP传输的时候,FTP 特有的Port模式和Passive模式,在进行数据传输的时候,需要动态的打开高端口,所以在使用TCP/IP过滤的情况下,经常会出现连接上后无法列出目录和数据传输的问题。

所以在2003系统上增加的windows连接防火墙能很好的解决这个问题,所以都不推荐使用网卡的TCP/IP过滤功能。

所做FTP下载的用户看仔细点,表怪俺说俺写文章是垃圾...如果要关闭不必要的端口,在\\system32\\drivers\\etc\\services中有列表,记事本就可以打开的。

如果懒惰的话,最简单的方法是启用WIN2003的自身带的网络防火墙,并进行端口的改变。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

Windows Server 2003安全加固设置
一、用户账户安全
1.Administrator账户的安全性
a)重命名adminstrator,并将其禁用。

右击“我的电脑”,在单击“管理”,选择“本地用户和组”,选择“用户”,右侧窗口的“administrator”右击“重命名”
“administrator”右击“属性”
b)创建一个用户账户并将其加入管理员组,日常管理工作使用这个账户完成。

操作步骤:在右侧窗口空白处右击鼠标,再单击“新用户”
a)即可以用创建的“test”用户名和密码,赋予“test”用户管理员的权限,日常
管理工作使用这个账户完成。

当我们再次登录时,administrator用户无法登陆
用“test”用户登录系统,才能成功,且“test”用户拥有管理员的权限。

思考:我们为什么要这么做??
2.启用账户锁定策略
开始——程序——管理工具——本地安全策略——账户策略——账户锁定策
略——设置“账户锁定阈值为3”
3.修改本地策略限制用户权限
开始——程序——管理工具——本地安全策略——本地策略——用户权限分配—
—设置“拒绝从网络访问这台计算机”,限制从网络访问该服务器的账户。

二、服务器性能优化,稳定性优化
1.“我的电脑”右键属性——高级——性能——设置——设置为“性能最佳”
2.“我的电脑”右键属性——高级——性能——设置——高级页面为如图设置
3.停止暂时未用到的服务
a)在开始“运行”中输入:services.msc
b)停止并禁用以下服务
puter Browser 计算机浏览
2.Distributed Link Tracking Client 如果此服务被停用,这台计算机上的链接
将不会维护或跟踪。

3.Print Spooler(如果没有打印需求可以停止该服务)
4.Remote Registry 远程注册表
5.Remote Registry(如果没有无线设备可以停止该服务)
6.TCP/IP NetBIOS Helper
三、系统安全及网络安全设置
1.开启自动更新
“我的电脑”右键“属性”——“自动更新”
Windows Server 2003会自动下载更新,无须人为打补丁。

2.关闭端口,减少受攻击面(此处以仅提供HTTP协议为例),尽量少安装不必要的
组件。

a)开始运行中输入cmd,运行命令提示符
b)在命令提示符中输入netstat -an命令察看当前打开端口
图片中开放了TCP 135,139,445,1026四个端口,可以通过禁用TCP/IP 上的NetBIOS 和禁用SMB来关闭它们。

c)禁用TCP/IP 上的NetBIOS
1.右键单击“我的电脑”,然后单击“属性”。

2.点选“硬件”选项卡后,单击“设备管理器”按钮。

3.右键单击“设备管理器”,指向“查看”,再选择“显示隐藏设备”。

4.展开“非即插即用驱动程序”。

5.右键单击“TCP/IP 上的NetBios”,然后单击“禁用”。

禁用后,再重启计算机,用命令查看只有135和1026端口开放了。

3.如何防止其他计算机对本地计算机进行ping测试
准备两台pc机,在配置windows server 2003计算机前,确认两台计算机可以ping
通。

操作步骤:使用IPSEC策略阻止ping测试。

第一步,点击“开始”菜单/设置/控制面板/管理工具,双击打开“本地安全策略”,选中“IP 安全策略,在本地计算机”在右边窗格的空白位置右击鼠标,弹出快捷菜单,选择“创建IP 安全策略”(如右图),于是弹出一个向导。

在向导中点击“下一步”按钮,为新的安全策略命名;。

再按“下一步”,则显示“安全通信请求”画面,在画面上把“激活默认相应规则”左边的钩去掉,点击“完成”按钮就创建了一个新的IP 安全策略取消下图红圈处的勾
1.添加第一个新IP安全规则,禁止ping测试。

取消红圈1处的勾,点击红
圈2处的添加
选择“所有ICMP通讯”单击”添加”
2.添加新的筛选规则
取消下图红圈的勾,在红圈处填写新规则的名称”ruping”后,单击红圈处“添
加”
在“地址”选项卡中,选择如下图所示:
在“协议”选项卡中,选择如下图所示后,点击确定
单击--确定“,选择---请求安全(可选),再单击-应用,单击-确定。

指派
指派后,再用另一台计算机ping本地计算机时
从而防止了其他计算机的ping测试。

相关文档
最新文档