亚洲精品国产首次亮相,东京热av丶男人的天堂

您當(dāng)前所在位置：首頁(yè) → 服務(wù)器 → WEB服務(wù)器 → Windows Server2003 防木馬權(quán)限設(shè)置IIS服務(wù)器安全配置整理

Windows Server2003 防木馬權(quán)限設(shè)置IIS服務(wù)器安全配置整理 時(shí)間：2015-06-28 00:00:00 來(lái)源：IT貓撲網(wǎng) 作者：網(wǎng)管聯(lián)盟 我要評(píng)論(0): 參考了網(wǎng)絡(luò)上很多關(guān)于WIN2003的安全設(shè)置以及自己動(dòng)手做了一些實(shí)踐，綜合了這些安全設(shè)置文章整理而成，希望對(duì)大家有所幫助，另外里面有不足之處還請(qǐng)大家多多指點(diǎn)，然后給補(bǔ)上，謝謝！

一、系統(tǒng)的安裝　　
１、按照Windows2003安裝光盤的提示安裝，默認(rèn)情況下2003沒有把IIS6.0安裝在系統(tǒng)里面。
２、IIS6.0的安裝
　　開始菜單—>控制面板—>添加或刪除程序—>添加/刪除Windows組件
　　應(yīng)用程序 ———ASP.NET（可選）
　　　　　　　|——啟用網(wǎng)絡(luò) COM+ 訪問（必選）
　　　　　　　|——Internet 信息服務(wù)(IIS)———Internet 信息服務(wù)管理器（必選）　
　　　　　　　　　　　　　　　　　　　　　 |——公用文件（必選）
　　　　　　　　　　　　　　　　　　　　　 |——萬(wàn)維網(wǎng)服務(wù)———Active Server pages（必選）
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　|——Internet 數(shù)據(jù)連接器（可選）
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 |——WebDAV 發(fā)布（可選）
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 |——萬(wàn)維網(wǎng)服務(wù)（必選）
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 |——在服務(wù)器端的包含文件（可選）
　　然后點(diǎn)擊確定—>下一步安裝。（具體見本文附件1）

３、系統(tǒng)補(bǔ)丁的更新
　　點(diǎn)擊開始菜單—>所有程序—>Windows Update
　　按照提示進(jìn)行補(bǔ)丁的安裝。

４、備份系統(tǒng)
　　用GHOST備份系統(tǒng)。

５、安裝常用的軟件
　　例如：殺毒軟件、解壓縮軟件等；安裝完畢后,配置殺毒軟件,掃描系統(tǒng)漏洞,安裝之后用GHOST再次備份系統(tǒng)。

6、先關(guān)閉不需要的端口開啟防火墻導(dǎo)入IPSEC策略
在"網(wǎng)絡(luò)連接"里，把不需要的協(xié)議和服務(wù)都刪掉，這里只安裝了基本的Internet協(xié)議（TCP/IP），由于要控制帶寬流量服務(wù)，額外安裝了Qos數(shù)據(jù)包計(jì)劃程序。在高級(jí)tcp/ip設(shè)置里--"NetBIOS"設(shè)置"禁用tcp/IP上的NetBIOS（S）"。在高級(jí)選項(xiàng)里，使用"Internet連接防火墻"，這是windows 2003 自帶的防火墻，在2000系統(tǒng)里沒有的功能，雖然沒什么功能，但可以屏蔽端口，這樣已經(jīng)基本達(dá)到了一個(gè)IPSec的功能。

修改3389遠(yuǎn)程連接端口
修改注冊(cè)表.
開始--運(yùn)行--regedit
依次展開 HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/
TERMINAL SERVER/WDS/RDPWD/TDS/TCP
右邊鍵值中 PortNumber 改為你想用的端口號(hào).注意使用十進(jìn)制(例 10000 )

HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/
WINSTATIONS/RDP-TCP/
右邊鍵值中 PortNumber 改為你想用的端口號(hào).注意使用十進(jìn)制(例 10000 )
注意：別忘了在WINDOWS2003自帶的防火墻給+上10000端口
修改完畢.重新啟動(dòng)服務(wù)器.設(shè)置生效.

二、用戶安全設(shè)置
1、禁用Guest賬號(hào)
在計(jì)算機(jī)管理的用戶里面把Guest賬號(hào)禁用。為了保險(xiǎn)起見，最好給Guest加一個(gè)復(fù)雜的密碼。你可以打開記事本，在里面輸入一串包含特殊字符、數(shù)字、字母的長(zhǎng)字符串，然后把它作為Guest用戶的密碼拷進(jìn)去。
2、限制不必要的用戶
去掉所有的Duplicate User用戶、測(cè)試用戶、共享用戶等等。用戶組策略設(shè)置相應(yīng)權(quán)限，并且經(jīng)常檢查系統(tǒng)的用戶，刪除已經(jīng)不再使用的用戶。這些用戶很多時(shí)候都是黑客們?nèi)肭窒到y(tǒng)的突破口。
3、把系統(tǒng)Administrator賬號(hào)改名
大家都知道，Windows 2003 的Administrator用戶是不能被停用的，這意味著別人可以一遍又一遍地嘗試這個(gè)用戶的密碼。盡量把它偽裝成普通用戶，比如改成Guesycludx。
4、創(chuàng)建一個(gè)陷阱用戶
什么是陷阱用戶?即創(chuàng)建一個(gè)名為"Administrator"的本地用戶，把它的權(quán)限設(shè)置成最低，什么事也干不了的那種，并且加上一個(gè)超過10位的超級(jí)復(fù)雜密碼。這樣可以讓那些 Hacker們忙上一段時(shí)間，借此發(fā)現(xiàn)它們的入侵企圖。
5、把共享文件的權(quán)限從Everyone組改成授權(quán)用戶
任何時(shí)候都不要把共享文件的用戶設(shè)置成"Everyone"組，包括打印共享，默認(rèn)的屬性就是"Everyone"組的，一定不要忘了改。
6、開啟用戶策略
使用用戶策略，分別設(shè)置復(fù)位用戶鎖定計(jì)數(shù)器時(shí)間為20分鐘，用戶鎖定時(shí)間為20分鐘，用戶鎖定閾值為3次。（該項(xiàng)為可選）
7、不讓系統(tǒng)顯示上次登錄的用戶名
默認(rèn)情況下，登錄對(duì)話框中會(huì)顯示上次登錄的用戶名。這使得別人可以很容易地得到系統(tǒng)的一些用戶名，進(jìn)而做密碼猜測(cè)。修改注冊(cè)表可以不讓對(duì)話框里顯示上次登錄的用戶名。方法為：打開注冊(cè)表編輯器并找到注冊(cè)表"HKLM\Software\Microsoft\Windows T\CurrentVersion\Winlogon\Dont-DisplayLastUserName"，把REG_SZ的鍵值改成1。
密碼安全設(shè)置
1、使用安全密碼
一些公司的管理員創(chuàng)建賬號(hào)的時(shí)候往往用公司名、計(jì)算機(jī)名做用戶名，然后又把這些用戶的密碼設(shè)置得太簡(jiǎn)單，比如"welcome"等等。因此，要注意密碼的復(fù)雜性，還要記住經(jīng)常改密碼。
2、設(shè)置屏幕保護(hù)密碼
這是一個(gè)很簡(jiǎn)單也很有必要的操作。設(shè)置屏幕保護(hù)密碼也是防止內(nèi)部人員破壞服務(wù)器的一個(gè)屏障。
3、開啟密碼策略
注意應(yīng)用密碼策略，如啟用密碼復(fù)雜性要求，設(shè)置密碼長(zhǎng)度最小值為6位，設(shè)置強(qiáng)制密碼歷史為5次，時(shí)間為42天。
4、考慮使用智能卡來(lái)代替密碼
對(duì)于密碼，總是使安全管理員進(jìn)退兩難，密碼設(shè)置簡(jiǎn)單容易受到黑客的攻擊，密碼設(shè)置復(fù)雜又容易忘記。如果條件允許，用智能卡來(lái)代替復(fù)雜的密碼是一個(gè)很好的解決方法。
三、系統(tǒng)權(quán)限的設(shè)置
1、磁盤權(quán)限
　　系統(tǒng)盤及所有磁盤只給 Administrators 組和 SYSTEM 的完全控制權(quán)限
　　系統(tǒng)盤\Documents and Settings 目錄只給 Administrators 組和 SYSTEM 的完全控制權(quán)限
　　系統(tǒng)盤\Documents and Settings\All Users 目錄只給 Administrators 組和 SYSTEM 的完全控制權(quán)限
　　系統(tǒng)盤\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe、ftp.exe、tftp.exe、telnet.exe 、? ?? ? netstat.exe、regedit.exe、at.exe、attrib.exe、format.com、del文件只給 Administrators 組和SYSTEM 的完全??控制權(quán)限??
另將\System32\cmd.exe、format.com、ftp.exe轉(zhuǎn)移到其他目錄或更名
　　Documents and Settings下所有些目錄都設(shè)置只給adinistrators權(quán)限。并且要一個(gè)一個(gè)目錄查看，包括下面的所有子目錄。
刪除c:\inetpub目錄

2、本地安全策略設(shè)置
　　開始菜單—>管理工具—>本地安全策略
　　A、本地策略——>審核策略
　　審核策略更改　　　成功　失敗　　
　　審核登錄事件　　　成功　失敗
　　審核對(duì)象訪問　　　　　　失敗
　　審核過程跟蹤　　　無(wú)審核
　　審核目錄服務(wù)訪問　　　　失敗
　　審核特權(quán)使用　　　　　　失敗
　　審核系統(tǒng)事件　　　成功　失敗
　　審核賬戶登錄事件　成功　失敗
　　審核賬戶管理　　　成功　失敗

　　B、本地策略——>用戶權(quán)限分配
　　關(guān)閉系統(tǒng)：只有Administrators組、其它全部刪除。
　　通過終端服務(wù)允許登陸：只加入Administrators,Remote Desktop Users組，其他全部刪除

　　C、本地策略——>安全選項(xiàng)
　　交互式登陸：不顯示上次的用戶名　　　　　　　啟用
　　網(wǎng)絡(luò)訪問：不允許SAM帳戶和共享的匿名枚舉　啟用
　　網(wǎng)絡(luò)訪問：不允許為網(wǎng)絡(luò)身份驗(yàn)證儲(chǔ)存憑證　　　啟用
　　網(wǎng)絡(luò)訪問：可匿名訪問的共享　　　　　　　　　全部刪除
　　網(wǎng)絡(luò)訪問：可匿名訪問的命　　　　　　　　　　全部刪除
　　網(wǎng)絡(luò)訪問：可遠(yuǎn)程訪問的注冊(cè)表路徑　　　　　　全部刪除
　　網(wǎng)絡(luò)訪問：可遠(yuǎn)程訪問的注冊(cè)表路徑和子路徑　　全部刪除
　　帳戶：重命名來(lái)賓帳戶　　　　　　　　　　　　重命名一個(gè)帳戶
　　帳戶：重命名系統(tǒng)管理員帳戶　　　　　　　　　重命名一個(gè)帳戶

3、禁用不必要的服務(wù)??開始-運(yùn)行-services.msc
? ?? ?TCP/IPNetBIOS Helper提供 TCP/IP 服務(wù)上的 NetBIOS 和網(wǎng)絡(luò)上客戶端的 NetBIOS 名稱解析的支持而使用戶能夠共享
? ?? ?文件、打印和登錄到網(wǎng)絡(luò)
? ?? ?Server支持此計(jì)算機(jī)通過網(wǎng)絡(luò)的文件、打印、和命名管道共享
　　Computer Browser 維護(hù)網(wǎng)絡(luò)上計(jì)算機(jī)的最新列表以及提供這個(gè)列表
? ?? ?Task scheduler 允許程序在指定時(shí)間運(yùn)行
? ?? ?Messenger 傳輸客戶端和服務(wù)器之間的 NET SEND 和警報(bào)器服務(wù)消息
　　Distributed File System: 局域網(wǎng)管理共享文件，不需要可禁用
　　Distributed linktracking client：用于局域網(wǎng)更新連接信息，不需要可禁用
　　Error reporting service：禁止發(fā)送錯(cuò)誤報(bào)告
　　Microsoft Serch：提供快速的單詞搜索，不需要可禁用
　　NTLMSecuritysupportprovide：telnet服務(wù)和Microsoft Serch用的，不需要可禁用
　　PrintSpooler：如果沒有打印機(jī)可禁用
　　Remote Registry：禁止遠(yuǎn)程修改注冊(cè)表
關(guān)鍵詞標(biāo)簽：服務(wù)器,安全,配置,整理

相關(guān)閱讀

文章評(píng)論

查看所有0條評(píng)論>>