如何让Windows 2003系统更加安全

原创 2004年12月29日 06:56:00
Windows Server 2003作为Microsoft 最新推出的服务器操作系统,相比Windows 2000/XP系统来说,各方面的功能确实得到了增强,尤其在安全方面,总体感觉做的还算不错。但“金无足赤”任何事物也没有十全十美的,微软Windows 2003也是如此,照样存在着系统漏洞、存在着不少安全隐患!无论你用计算机欣赏音乐、上网冲浪、运行游戏,还是编写文档都要不可避免地遭受新病毒泛滥时的威胁,如何让Windows Server 2003更加安全,成为广大用户十分关注的问题。

  一、 取消IE安全提示对话框

  面对黑客组织恶意程序的攻击,微软公司一直都在努力致力于降低产品的安全隐患,这是有目共睹的。微软新一代的Windows Server 2003操作系统在安全性能方面就得到了加强。比如在使用Windows Server 2003自带的IE浏览器浏览网页时,每次都会弹出一个安全提示框,“不厌其烦”地提示我们,是否需要将当前访问的网站添加到自己信任的站点中去;如果表示不信任的话,只能单击“关闭”按钮;而要是想浏览该站点的话,就必须单击“添加”按钮,将该网页添加到信任网站的列表中去。不过每次访问网页,都要经过这样的步骤,实在是太烦琐了。其实我们可以通过下面的方法来让IE取消对网站安全性的检查:

  1.一旦系统打开安全提示页面时,你可以用鼠标将其中的“当网站的内容被堵塞时继续提示”复选项选中;

  2.在浏览界面中,用鼠标单击“工具”菜单项,从打开的下拉菜单中执行“Internet选项”命令;

  3.在弹出的选项设置界面中,你可以将系统默认状态下的最高安全级别设置为中等级别;

  4.设置时,只要在“安全”标签页面中,拖动其中的安全滑块到“中”位置处就可以了;

  5.完成设置后,单击“确定”按钮,就可以将浏览器的安全自动提示页面取消了。

  经过修改IE的默认安全级别的设置,再上网的时候,IE就不会自动去检查网站的安全性了,麻烦解决了吧!

  二、重新支持ASP脚本

  提起ASP(ActiveServerPage)大家都会联想到Windows,它以其强大的功能,简单易学的特点而受到广大WEB开发人员的喜欢。但为了将系统安全隐患降到最低限度,Windows Server 2003操作系统在默认状态下,是不支持ASP脚本运行的——系统将不会再对网站中的ASP代码进行任何的操作;但现在许多网页的服务功能多是通过ASP脚本来实现的,怎么办?其实我们完全可以在系统安全得到保障的前提下,让系统重新支持ASP脚本。具体实现的方法为:

  1.在系统的开始菜单中,依次单击“管理工具”/“Internet信息服务管理器”命令(如图1)。

safety040928a01.bmp
图1


  2.在随后出现的Internet信息服务属性设置窗口中,用鼠标选中左侧区域中的“Web服务器扩展”选项;

  3.接着在对应该选项右侧的区域中,用鼠标双击“Actives server pages”选项,然后将“任务栏”设置项处的“允许”按钮单击一下,系统中的IIS6就可以重新支持ASP脚本了(如图2)。

safety040928a02.bmp
图2

  用户最关心的问题大概就是原有的ASP组件是否还可以继续使用?我可以告诉大家,经这番修改设置,系统中的IIS6重新支持ASP脚本了,一切的操作是不是很简单啊!

  三、清除默认共享隐患

  使用Windows Server 2003的用户都会碰到一个问题,就是系统在默认安装时,都会产生默认的共享文件夹。虽然用户并没有设置共享,但每个盘符都被Windows自动设置了共享,其共享名为盘符

  后面加一个符号$(共享名称分别为c$、d$、ipc$以及admin$)。也就是说,只要攻击者知道了该系统的管理员密码,就有可能通过“//工作站名/共享名称”的方法,来打开系统的指定文件夹,如此一来,用户精心设置的安全防范岂不成了摆设?还有安全嘛!为此,我们很有必要将Windows Server 2003系统默认的共享隐患,立即从系统中清除掉。

  1、删除Windows Server 2003默认共享

  首先编写如下内容的批处理文件:

  @echo off

  net share C$ /del

  net share D$ /del

  net share E$ /del

  net share F$ /del

  net share admin$ /del

  以上文件的内容用户可以根据自己需要进行修改。保存为delshare.bat,存放到系统所在文件夹下的system32/GroupPolicy/User/Scripts/Logon目录下。然后在开始菜单→运行中输入gpedit.msc,

  回车即可打开组策略编辑器。点击用户配置→Windows设置→脚本(登录/注销)→登录(如图3)。

safety040928a03.bmp
图3

  在出现的“登录 属性”窗口中单击“添加”,会出现“添加脚本”对话框,在该窗口的“脚本名”栏中输入delshare.bat,然后单击“确定”按钮即可(如图4)。 

safety040928a04.bmp
图4

  重新启动计算机系统,就可以自动将系统所有的隐藏共享文件夹全部取消了,这样就能将系统安全隐患降低到最低限度。

  2、禁用IPC连接

  IPC$(Internet Process Connection)是共享“命名管道”的资源,它是为了让进程间通信而开放的命名管道,通过提供可信任的用户名和口令,连接双方计算机即可以建立安全的通道并以此通道进行加密数据的交换,从而实现对远程计算机的访问。它是Windows NT/2000/XP/2003特有的功能,但它有一个特点,即在同一时间内,两个IP之间只允许建立一个连接。NT/2000/XP/2003在提供了ipc$功能的同时,在初次安装系统时还打开了默认共享,即所有的逻辑共享(c$,d$,e$……)和系统目录winnt或windows(admin$)共享。所有的这些,微软的初衷都是为了方便管理员的管理,但也为简称为IPC入侵者有意或无意的提供了方便条件,导致了系统安全性能的降低。在建立IPC的连接中不需要任何黑客工具,在命令行里键入相应的命令就可以了,不过有个前提条件,那就是你需要知道远程主机的用户名和密码。打开CMD后输入如下命令即可进行连接:net use//ip/ipc$ "password" /user:"usernqme"。我们可以通过修改注册表来禁用IPC连接。打开注册表编辑器。找到如下组建HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Lsa中的restrictanonymous子键,将其值改为1即可禁用IPC连接(如图5)。

safety040928a05.bmp
图5

  四、清空远程可访问的注册表路径

  大家都知道,Windows 2003操作系统提供了注册表的远程访问功能,只有将远程可访问的注册表路径设置为空,这样才能有效的防止黑客利用扫描器通过远程注册表读取计算机的系统信息及其它信息(如图6)。

safety040928a06.bmp
图6


  打开组策略编辑器,依次展开“计算机配置→Windows 设置→安全设置→本地策略→安全选项”,在右侧窗口中找到“网络访问:可远程访问的注册表路径”,然后在打开的窗口中,将可远程访问的注册表路径和子路径内容全部设置为空即可(如图7)。

safety040928a07.bmp
图7

  五、关闭不必要的端口

  对于个人用户来说安装中默认的有些端口确实是没有什么必要的,关掉端口也就是关闭无用的服务。139端口是NetBIOS协议所使用的端口,在安装了TCP/IP 协议的同时,NetBIOS 也会被作为默认设置安装到系统中。139端口的开放意味着硬盘可能会在网络中共享;网上黑客也可通过NetBIOS知道你的电脑中的一切!在以前的Windows版本中,只要不安装Microsoft网络的文件和打印共享协议,就可关闭139端口。但在Windows Server 2003中,只这样做是不行的。如果想彻底关闭139端口,具体步骤如下:

   鼠标右键单击“网络邻居”,选择“属性”,进入“网络和拨号连接”,再用鼠标右键单击“本地连接”,选择“属性”,打开“本地连接 属性”页(如图8),

safety040928a08.bmp
图8

  然后去掉“Microsoft网络的文件和打印共享”前面的“√”(如图9),

safety040928a09.bmp
图9


  接下来选中“Internet协议(TCP/IP)”,单击“属性”→“高级”→“WINS”,把“禁用TCP/IP上的NetBIOS”选中,即任务完成(如图10)!

safety040928a10.bmp
图10


  对于个人用户来说,可以在各项服务属性设置中设为“禁用”,以免下次重启服务也重新启动,端口也开放了。

  假如你的电脑中还装了IIS,你最好重新设置一下端口过滤。步骤如下:选择网卡属性,然后双击“Internet协议(TCP/IP)”,在出现的窗口中单击“高级”按钮,会进入“高级TCP/IP设置”窗口,接下来选择“选项”标签下的“TCP/IP 筛选”项,点“属性”按钮,会来到“TCP/IP 筛选”的窗口,在该窗口的“启用TCP/IP筛选(所有适配器)”前面打上“√”,然后根据需要配置就可以了。如果你只打算浏览网页,则只开放TCP端口80即可,所以可以在“TCP端口”上方选择“只允许”,然后单击“添加”按钮,输入80再单击“确定”即可(如图11)

safety040928a11.bmp
图11

  六、杜绝非法访问应用程序

  Windows Server 2003是一种服务器操作系统,为了防止登陆到其中的用户,随意启动服务器中的应用程序,给服务器的正常运行带来不必要的麻烦,我们很有必要根据不同用户的访问权限,来限制。

  他们去调用应用程序。实际上我们只要使用组策略编辑器作进一步的设置,即可实现这一目的,具体步骤如下:

  打开“组策略编辑器”的方法为:依次点击“开始→运行”,在“运行”对话框中键入“gpedit.msc”命令并回车,即可打开“组策略编辑器”窗口。然后依次打开“组策略控制台→用户配置→管理模

  板→系统”中的“只运行许可的Windows应用程序”并启用此策略(如图12)。

safety040928a12.bmp
图12

  然后点击下面的“允许的应用程序列表”边的“显示”按钮,弹出一个“显示内容”对话框,在此单击“添加”按钮来添加允许运行的应用程序即可(如图13)。   

safety040928a13.bmp
图13

以后一般用户只能运行“允许的应用程序列表”中的程序。

如何让Windows 2003 服务器系统更加安全

Server 2003作为Microsoft 最新推出的,相比/XP系统来说,各方面的功能确实得到了增强,尤其在安全方面,总体感觉做的还算不错。但“金无足赤”任何事物也没有十全十美的,微软也是如此,照...
  • tangdc88
  • tangdc88
  • 2011年05月23日 22:48
  • 1040

如何让WINDOWS操作系统更快速更稳定的十大定律!

   严格说来从用第一台计算机开始装的WINDOWS 3.1来说,我已经使用了15年的WINDOWS操作系统,但是我的操作系统一般2-3年也不会重装一次,而且好多人用的我电脑,总说比他们的电脑要快,(...
  • wwwlh
  • wwwlh
  • 2010年05月11日 13:02
  • 1514

让Windows 2003更加亲切

针对服务器的需求,Windows 2003对声卡、显卡等硬件的默认设置做了处理,个人用户在使用时经常会碰到一些“故障”。   1.播放电影时画面粗糙   很多朋友都有这样的“遭遇”:自己的电脑配置相当...
  • blogremover
  • blogremover
  • 2006年06月26日 14:56
  • 286

网站服务器Win2003系统网络安全设置全攻略

本篇文章主要讲述架设网站服务器——IIS6.0,网站架构:ASP+ACCESS——的安全设置,是结合网上相关教程和自己经验总结整理的服务器安全设置笔记,在此仅做为参考以飨网友。 Windows Se...
  • zm2714
  • zm2714
  • 2012年09月10日 11:24
  • 7441

如何让服务器更加安全

服务器安全向来都是一个很敏感也很重要的问题但互联网似乎也没有什么是绝对的安全,只是看对谁来说 当然,我们可以通过一些优化设置或方法,让我们的服务器相对安全或更安全 这里,也谈谈我的观点 我认为,...
  • h270768095
  • h270768095
  • 2013年05月25日 11:03
  • 526

Windows Server2003系统安全设置

一、 系统的安装 1、按照Windows2003安装光盘的提示安装,默认情况下2003没有把IIS6.0安装在系统里面。 2、IIS6.0的安装 开始菜单—>控制面板—>添加或删除程序—>添加/...
  • hgjsoft
  • hgjsoft
  • 2016年09月30日 09:49
  • 175

Windows Server 2003 添加/应用 MSMQ

以下是应用经过,愿对想了解的朋友们能够有所帮助!步骤一:打开控制面板,进而打开添加或删除程序 步骤二:在添加或删除 Windows 的组件向导窗口中选择“应用程序服务器”选项,再点右下角的“详细信息”...
  • YZGJTSJT
  • YZGJTSJT
  • 2010年08月27日 16:16
  • 438

Windows WEB服务器配置安全规范

目   录一、安装 Win 200x 安全概览1.硬盘分区的文件系统选择2.组件的定制3.接入网络时间4.账户安全管理5.安全审核6.卸载无用的组件模块二、基本系统设置1.安装各种补丁2.分区内容规划...
  • CPU6502
  • CPU6502
  • 2005年11月18日 10:58
  • 3931

Windows Server2003 IIS 6.0 安全配置

Windows Server2003 IIS 6.0安全配置 草     稿 目  录 1.     安装IIS6.0. 2 1.1          安装Internet 信息服...
  • oBuDaoWeng
  • oBuDaoWeng
  • 2012年12月21日 20:05
  • 1859

一个修改Windows2003 SID的工具

 你是否有这样的困惑?当使用Ghost系统的时候不能够加入AD域,使用虚拟机的一个系统不能加入AD域。需要改变SID吗?使用一个NewSID的工具,google一下。...
  • daywolf
  • daywolf
  • 2006年12月27日 17:00
  • 1991
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:如何让Windows 2003系统更加安全
举报原因:
原因补充:

(最多只允许输入30个字)