win2003服务器安全配置清单 - 新闻中心 - 资讯频道 - 德州电脑服务网-德州电脑组装资讯-德州服务器资讯-德州电脑报价资讯-德州二手电脑资讯-德州二手笔记本资讯

TOP

win2003服务器安全配置清单

[ 编辑:qiraosky | 时间:2012-03-23 19:23:57 | 浏览:329次 | 来源:德州电脑服务网 | 作者:德州电脑服务网 ]

Web服务器安全配置的内容

1终端服务默认端口号：3389。
更改原因：不想让非法用户连接到服务器进行登录实验。当这台服务器托管在外时更不希望发生这种情况，呵呵，还没忘记2000的输入法漏洞吧？
更改方法：
　　(1)、第一处[HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control Terminal Server Wds rdpwd Tds tcp]，看到右边的PortNumber了吗？在十进制状态下改成你想要的端口号吧，比如7126之类的，只要不与其它冲突即可。
　　(2)、第二处[HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control Terminal Server WinStations RDP-Tcp，方法同上，记得改的端口号和上面改的一样就行了。

2系统盘WindowsSystem32cacls.exe、cmd.exe、net.exe、net1.exe、telnet.exe、ftp.exe 文件只给 Administrators 组和 SYSTEM 的完全控制权限

注册表删除 WScript.Shell、WScript.Shell.1、Wscript.Network、Wscript.Network.1、Shell.application
注册表改名 adodb.stream、Scripting.Dictionary、Scripting.FileSystemObject

3启用防火墙和tcp/ip过滤,再serv-u开启一组端口映射
　　80 20 21 2121 * 以及serv-u端口组
　　

4关闭默认共享
　　
　　在Windows 2000中，有一个“默认共享”，这是在安装服务器的时候，把系统安装分区自动进行共享，虽然对其访问还需要超级用户的密码，但这是潜在的安全隐患，从服务器的安全考虑，最好关闭这个“默认共享”，以保证系统安全。方法是：单击“开始/运行”，在运行窗口中输入“Regedit”，打开注册表编辑器，展开“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters”项，添加键值AutoShareServer，类型为REG_DWORD，值为0。这样就可以彻底关闭“默认共享”。

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
"deletenetshare"="c:\deletenetshare.bat"

5防范拒绝服务攻击
禁止响应ICMP重定向报文。此类报文有可能用以攻击，所以系统应该拒绝接受ICMP重定向报文。
"EnableICMPRedirects"=dword:00000000

6 iis部分的配置，mdb防止下载，添加数据库名的如MDB的扩展映射 iislog.dll

7 如何解除FSO上传程序小于200k限制？
　先在服务里关闭IIS admin service服务，找到Windows＼System32＼Inesrv目录下的Metabase．xml并打开，找到ASPMaxRequestEntityAllowed，将其修改为需要的值。默认为204800，即200K，把它修改为51200000（50M），然后重启IIS admin service服务。

Windows2003下的IIS权限设置
前提：仅针对windows 2003 server SP1 Internet(IIS) 服务器

系统安装在C:盘

系统用户情况为：
administrators 超级管理员(组)
system 系统用户(内置安全主体)
guests 来宾帐号(组)
iusr_服务器名匿名访问web用户
iwam_服务器名启动iis进程用户
www_cnnsc_org 自己添加的用户、添加后删除Users(组)、删除后添加到guests来宾帐号(组)
为加强系统安全、(guest)用户及(iusr_服务器名)用户均被禁用
将访问web目录的全部账户设为guests组、去除其他的组

■盘符安全访问权限
△C:盘 administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限
△D:盘 (如果用户网站内容放置在这个分区中)、administrators(组) 完全控制权限
△E:盘 administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限
△f:盘 administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限
△如有其他盘符类推下去.

■禁止系统盘下的EXE文件：
net.exe、cmd.exe、tftp.exe、netstat.exe、regedit.exe、regedt32.exe、at.exe、attrib.exe、cacls.exe
△些文件都设置成 administrators 完全控制权限

■禁止下载Access数据库
△Internet 信息服务(IIS)管理器→网站→属性→主目录→配置→添加
△可执行文件：C:WINDOWS wain_32.dll
△扩展名：.mdb
▲如果你还想禁止下载其它的东东
△Internet 信息服务(IIS)管理器→网站→属性→主目录→配置→添加
△可执行文件：C:WINDOWS wain_32.dll
△扩展名：.(改成你要禁止的文件名)
▲然后删除扩展名：shtml stm shtm cdx idc cer

■防止列出用户组和系统进程:
△开始→程序→管理工具→服务
△找到 Workstation 停止它、禁用它

■卸载最不安全的组件：
△开始→运行→cmd→回车键
▲cmd里输入：
△regsvr32/u C:WINDOWSsystem32wshom.ocx
△del C:WINDOWSsystem32wshom.ocx
△regsvr32/u C:WINDOWSsystem32shell32.dll
△del C:WINDOWSsystem32shell32.dll
△也可以设置为禁止guests用户组访问

■解除FSO上传程序小于200k限制：
△在服务里关闭IIS admin service服务
△打开 C:WINDOWSsystem32inetsrvMetaBase.xml
△找到ASPMaxRequestEntityAllowed
△将其修改为需要的值、默认为204800、即200K、把它修改为51200000(50M)、然后重启
IIS admin service服务

■禁用IPC连接
△开始→运行→regedit
△找到如下组建(HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa)中的
(restrictanonymous)子键
△将其值改为1即

■清空远程可访问的注册表路径：
△开始→运行→gpedit.msc
△依次展开“计算机配置→Windows 设置→安全设置→本地策略→安全选项”
△在右侧窗口中找到“网络访问：可远程访问的注册表路径”
△然后在打开的窗口中、将可远程访问的注册表路径和子路径内容全部设置为空即

■关闭不必要的服务
△开始→程序→管理工具→服务
△Telnet、TCPIP NetBIOS Helper

■解决终端服务许可证过期的办法
△如果你服务器上已经开着终端服务、那就在添加删除程序里删除终端服务和终端授权
服务
△我的电脑--右键属性--远程---远程桌面、打勾、应用
△重启服务器、OK了、再也不会提示过期了

■取消关机原因提示
△开始→运行→gpedit.msc
△打开组策略编辑器、依次展开
△计算机配置→管理模板→系统
△双击右侧窗口出现的(显示“关闭事件跟踪程序”)
△将(未配置)改为(已禁用)即可

【大中小】【打印】【繁体】【投稿】【关闭】【评论】【返回顶部】

[上一篇]敬天下美工:防止被骗,小心被诬赖..

[下一篇]告别SB的网站编辑生涯做个业余个..