中国投资网 百科 windows 2003 服务器安全攻略

windows 2003 服务器安全攻略

一、Windows Server2003的安装

1.安装系统至少需要两个分区,分区格式为NTFS格式。

2.网络断开时安装2003系统。

3.安装iis,只安装必要的IIS组件(禁用不必要的服务,如FTP和SMTP)。默认情况下,不安装iis服务。在“添加/删除Win组件”中选择“应用程序服务器”,然后单击“详细信息”,双击Internet信息服务(IIS),并检查下列选项:

互联网服务经理;

公共文件;

后台智能传送服务(BITS)服务器扩展;

万维网服务。

如果您使用frontpage扩展的网站,请再次检查:frontpage 2002服务器扩展。

4.安装MSSQL和其他必需的软件,然后更新。

5.使用Microsoft提供的mbsa(Microsoft Baseline Security Analyzer)工具来分析计算机的安全配置,并确定缺少的修补程序和更新。下载地址:见页末链接。

二。设置和管理帐户

1.最好少建系统账号,更改默认账号名称(管理员)和描述,密码应该是数字、小写字母和数字的组合,长度至少14位。

2.创建一个名为Administrator的新陷阱帐户,为其设置最小权限,然后随意输入一个不小于20位的组合密码。

3.禁用来宾帐户,更改其名称和描述,然后输入复杂的密码。当然现在也有DelGuest的工具。也许你也可以用它来删除来宾帐户,但我没有尝试过。

4.输入gpedit.msc并回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-帐户策略-帐户锁定策略,将帐户设置为‘三次登录无效’和‘锁定时’。0分钟''将锁计数重置为30分钟'

5.在安全设置-本地策略-安全选项中,将“不显示最后一个用户名”设置为启用。

6.在“安全设置-本地策略-用户权利分配”中,只有Internet来宾帐户和启动IIS进程的帐户会保留在“从网络访问这台计算机”中。如果您使用Aspnet,您应该保留您的Aspnet帐户。

7.创建一个用户帐户并运行系统。如果要运行特权命令,请使用Runas命令。

三。网络服务安全管理

1.禁止C$、D$和ADMIN$的默认共享。

打开注册表,HKEY _本地_ machinesystemcurrentcontrolsetserviceslanmanserver参数,在右侧窗口创建一个新的Dword值,名称设置为AutoShareServer,值设置为0。

2.解除NetBios与TCP/IP协议的绑定

右键单击网上邻居-属性-右键单击本地连接-属性-双击Internet协议-高级-Wins-禁用TCP/IP上的NETBIOS

3.关闭不必要的服务。以下是建议的选项

浏览器:维护网络计算机更新,禁用

分布式文件系统:局域网管理共享文件,所以不需要禁用。

分布式linktracking客户端:用于更新局域网的连接信息,不需要禁用。

错误报告服务:禁止发送错误报告

Microsoft Serch:提供快速单词搜索,无需任何帮助即可禁用。

LMSecuritySupportProvider:由Telnet服务和Microsoft Serch使用,不需要禁用。

如果没有要禁用的打印机。

远程注册表:禁止远程修改注册表。

远程桌面帮助会话管理器:禁止远程协助。

第四,打开相应的审计策略。

输入gpedit.msc并回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-审计策略。在创建审计项目时,需要注意的是,如果审计项目太多,生成的事件就越多,因此发现严重事件的难度就越大。当然,如果审核太少会影响你发现严重事件,你需要根据情况在两者之间进行选择。

建议审查的项目有:

登录事件成功但失败。

帐户登录事件成功和失败。

系统事件成功和失败。

策略更改成功但失败。

对象访问失败目录服务访问失败。

权限使用失败。

动词(verb的缩写)其他安全相关设置

1.隐藏重要文件/目录

可以修改注册表实现完全隐藏:' HKEY _本地_机器软件microftowwscurrent-versionexploreravandfolderhi-dden showall '右键单击' CheckedValue '选择修改,将值从1改为0。

2.启动系统自带的互联网连接防火墙,在设置服务选项中检查web服务器。

3.防止SYN flood攻击

HKEY _本地_机器系统当前控制设置服务sTcpipParameters

创建一个名为SynAttackProtect的新DWORD值,值为2

4.禁止响应ICMP路由通告消息。

HKEY _本地_机器系统当前控制设置服务stcpipparametersintinterfaces接口

创建一个名为PerformRouterDiscovery的新DWORD值,其值为0

5.防止ICMP重定向消息的攻击

HKEY _本地_机器系统当前控制设置服务sTcpipParameters

将EnableICMPRedirects值设置为0。

6.不支持IGMP协议。

HKEY _本地_机器系统当前控制设置服务sTcpipParameters

创建一个新的DWORD值,名为IGMPLevel,值为0

7.禁用DCOM:

运行输入Dcomcnfg.exe。进入并单击“控制台根节点”下的“组件服务”。打开“计算机”子文件夹。

对于本地计算机,请右键单击“我的电脑”并选择“属性”。选择默认属性选项卡。

清除“在这台计算机上启用分布式COM”复选框。

注意:我在第3-6项中使用了Server2000设置,但是我还没有测试它是否适用于2003。但有一点可以肯定,我花了一段时间才发现没有其他副作用。

不及物动词配置IIS服务:

1.不要使用默认网站。如果这样做,应该将IIS目录与系统盘分开。

2.删除IIS默认创建的Inetpub目录(在安装系统的磁盘上)。

3.删除系统盘下的虚拟目录,比如:_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。

4.删除不必要的IIS扩展映射。

右键单击“默认网站属性主目录配置”以打开应用程序窗口并删除不必要的应用程序映射。主要是。shtml,shtm,stm。

5.更改IIS日志的路径。

右键单击“默认网站属性-网站”,然后单击“启用日志记录”下的属性。

6.如果您使用的是2000,可以使用iislockdown来保护IIS,但不要求运行2003的IE6.0版本。

7.使用UrlScan

UrlScan是一个IsapI过滤器,它分析传入的HTTP数据包,并可以拒绝任何可疑的流量。最新版本是2.5。如果是2000Server,需要先安装1.0或2.0版本。请参见页面末尾的链接获取下载地址。

如果没有特殊要求,UrlScan默认配置就足够了。

但是如果你在服务器上运行ASP.NET程序并想调试它,你需要打开% windir % system32inetsrvrlscan。

文件夹,然后在UserAllowVerbs部分添加调试谓词。请注意,此部分区分大小写。

如果您的网页是一个。asp网页,需要删除。DenyExtensions中的asp相关内容。

如果您的网页使用非ASCII代码,您需要在选项部分将AllowHighBitCharacters的值设置为1。

对URLScan.ini文件进行更改后,需要重新启动IIS服务才能生效。在快速方法运行中输入iisreset。

如果配置后有任何问题,可以通过添加/删除程序来删除UrlScan。

8.使用WIS (Web Injection Scanner)工具扫描整个网站的SQL注入漏洞。

下载地址:VB.NET情侣

七。配置Sql Server

1.系统管理员的角色最好不要超过两个。

2.如果在这台机器上,最好将身份验证配置为Win登录。

3.不要使用Sa帐户,并配置一个超级复杂的密码。

4.删除以下扩展存储过程格式:使用master

Sp_dropextendedproc '扩展存储过程名称'

Xp_cmdshell:是进入操作系统的最佳捷径。删除它。

访问注册表的存储过程,删除

XP _ regaddmultistringXp _ regdeletekeyXp _ regdeletevalueXp _ regenumvalues

Xp _ regread Xp _ regwrite Xp _ regremovemultistring

OLE自动存储过程,不需要删除

Sp _ OACreate Sp _ OADestroySp _ OAGetErrorInfoSp _ OAGetProperty

sp _ OAMethodSp _ OASetPropertySp _ OAStop

5.隐藏sql server并更改默认端口1433

右键选择实例选择属性-常规-网络配置,选择TCP/IP协议属性,选择隐藏SQL Server实例,更改原来的默认端口1433。

八、如果只做服务器,不做其他*,使用IPSec。

1.管理工具-本地安全策略-右键单击IP安全策略-管理IP筛选器表和筛选器* do-在管理IP筛选器表选项下单击。

添加—将名称设置为Web filter—点击添加—在描述中输入Web server将源地址设置为任意IP地址3354,将目的地址设置为我的IP地址3354,将协议类型设置为Tcp——IP协议端口,将第一项设置为来自任意端口,将第二项设置为此端口803354,点击完成3354,点击确定。

2.单击管理IP过滤器表选项下的。

添加—命名为所有入站筛选器—单击添加—在描述中输入所有入站筛选器—将源地址设置为任何IP地址——将目标地址设置为我的IP地址3354将协议类型设置为任何3354单击下一步3354完成3354单击确定。

3.单击管理过滤器*选项下的添加——,在下一个3354名称中输入块3354,下一个3354选择块3354下一个md

本文来自网络,不代表本站立场,转载请注明出处:https:

windows,2003,服务器安全攻略

中国投资网后续将为您提供丰富、全面的关于windows,2003,服务器安全攻略内容,让您第一时间了解到关于windows,2003,服务器安全攻略的热门信息。小编将持续从百度新闻、搜狗百科、微博热搜、知乎热门问答以及部分合作站点渠道收集和补充完善信息。