Windows服务器最小的权限设置

Edison_zhuzq

于 2024-07-31 18:18:05 发布

阅读量1k

点赞数 29

文章标签： windows 服务器运维

本文链接：https://blog.csdn.net/Edison_zhuzq/article/details/140829490

版权

Windows服务器最小的权限设置

一、硬盘分区与操作系统的安装

硬盘分区

首先NTFS格式分区呢？根据不同的情况应该采取不同的方法：
1．在安装过程中，只要根据提示选择”用NTFS格式系统格式化磁盘分区”选项，安装程序就会自动对分区进行格式化并转换为NTFS格式。如果已经安装完成，那么我们可以右击需要转换的磁盘分区，选择”格式化”命令。在”文件系统”栏中选择”NTFS”格式并根据需要选择”分配单元大小”、是否使用快速格式化功能、以及是否采用压缩方式等选项，设置完毕之后单击”开始”按钮，系统就会对用户选择的驱动器进行格式化，并将其转换为NTFS格式(值得注意的是，在格式化之前一定要对数据进行备份，以免丢失)。
2．前面的方法需要对磁盘进行格式化，如果盘中有大量的数据信息，格式化不仅费时间还会造成数据丢失。所以可以采用另外一种方法，在开始菜单中打开”运行”对话框，输入”ConvertD:/fs:ntfs”(其中D为盘符，可以任意选择)，直接回车系统就会将相应盘符转换为NTFS格式，并不会影响原有数据。
3．如果要对系统盘符几格式转换就不能使用上面的方法了，我们可以借助分区魔术师这个软件来完成。它既可以完成磁盘分区，又可以实现分区格式的转换。使用是比较简单的，打开软件，右击需要转换为NTFS的磁盘，选择”转换”子菜单中执行”FAT到NTFS”或”FAT32到NTFS”命令就可以了。系统安装
安装系统我建议在安装路径上保持默认路径。在安装过程中就要选定需要的服务，如一些DNS、DHCP没特别需要也就不要装了。在安装过程中网卡属性中可以只保留TCP/IP这一项，禁用NETBIOS与自动发现功能。

二、系统权限与安全配置

1)NTFS系统权限设置

在使用之前将每个硬盘根加上Administrators用户为全部权限（可选加入SYSTEM用户）删除其它用户，进入系统盘
权限如下:
C:\WINDOWS目录保留Administrators与SYSTEM用户全部权限Users用户默认权限不作修改，其它目录删除Everyone用户。
C:\DocumentsandSettings\AllUsers\DefaultUser目录及其子目录与C:\DocumentsandSettings\AIIUsers\ApplicationData目录默认配置保留了Everyone用户权限。
C:\WINDOWS\PCHealth与C:\windows\Installer保留Everyone权限。
删除C:\WINDOWS\Web\printers，此目录的存在会造成IIS里加入一个.printers的扩展名，攻击溢出会利用此目录。
默认IIS错误页面已基本上没多少人使用了。建议删除C:\WINDOWS\Help\iisHelp目录
删除C:\WINDOWS\system32\inetsrv\iisadmpwd
此目录为管理IIS密码，如一些因密码不同步造成500错误的时候使用OWA或Iisadmpwd修改同步密码，可以删掉。
“net.exe;cmd.exe;tftp.exe;netstat.exe;regedit.exe;at.exe;attrib.exe;cacls.exe;format.com;regsvr32.exe;xcopy.exe;wscript.exe;cscript.exe;ftp.exe;telnet.exe;arp.exe;edlin.exe;ping.exe;route.exe;finger.exe;posix.exe;rsh.exe;atsvc.exe;qbasic.exe;runonce.exe;syskey.exe”
此为系统关键可执行文件，修改其权限，删除所有的用户只保存Administrators和SYSTEM为所有权限

2)关闭445端口

HKEYLOCALMACHINE\System\CurrentControlSet\Services\netBT\Parameters
新建”DWORD值”值名为”SMBDeviceEnabled”数据为默认值”0”
禁止建立空连接
HKEY\LOCALMACHINE\SYSTEM\CurrentControlSet\Control\Lsa
新建”DWORD值”，值名为”RestrictAnonymous”数据值为1
[2003默认为1]禁止系统自动启动服若器共享
HKEYLOCALMACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
新建”DWORD值”，值名为”AutoShareServer”数据值为”0
禁止系统自动启动管理共享
HKEYLOCALMACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
新建”DWORD值”值名为”AutoShareWks”数据值为”0”通过修改注册表防止小规模DDOS攻击
HKEYLOCALMACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建”DWORD值”值名为-SynAttackProtecf数据值为”1”禁止dumpfile的产生，dump文件在系统崩溃和蓝屏的时候是一份很有用的查找问题的资料。黑客也可以通过它获取一些敏感信息，比如一些应用程序的密码等。控制面板>系统属性>高级>启动和故障恢复把写入调试信息改成无。

3)本地安全策略配置

开始>程序>管理工具>本地安全策略
账户策略>密码策略>密码最短使用期限改成0天【即密码不过期，IIS密码不同步】
BKP策略>账户锁定策略>账户锁定阈值5次账户锁定时间10分钟［推荐配置】
本地策略>审核策略>账户管理失败登录事件成功失败对象访问失败使用失败
•系统事件成功失败
•目录服务访问失败
•账户登录事件失败
•本地策略＞安全选项＞关闭虚拟内存页面文件更改为”已启用”
＞不显示上次的用户名更改为”已启用”
＞不需要按CTRL+ALT+DEL更改为”已启用”
＞不允许SAM账户的匿名枚举更改为”已启用”
＞不允许SAM账户和共享的匿名枚举更改为”已启用”
＞重命名来宾账户更改成一个复杂的账户名
重命名系统管理员账号更改一个自己用的账号［同时可建立一个无用户组的Administrat账户］

4)组策略编辑器

运行gpedit.msc计算机配置＞管理模板＞系统提示”关闭事件跟踪程序”更改为已禁用
删除不安全组件
WScript.Shell、Shell.application这两个组件，一些ASP木马或一些恶意程序都会使用到。

方案一：

regsvr32/uwshom.ocx卸载WScript.Shell组件
regsvr32/ushell32.dll卸载Shell.application组件
如果按照上面汫到的设置，可不必删除这两个文件

方案二：

删除注册表
HKEY\CLASSES\ROOT\CLSID{72C24DD5-D70A-438B-8A42-98424B88AFB8}对应WScriptShell
删除注册表HKEY\CLASSES\ROOT\CLSID{13709620-C279-11CE-A49E-444553540000}对应Shell.application

5)用户管理

建立另一个备用管理员账号，防止特殊情况发生。
安装有终端服务与SQL服务的服务器停用TsIntemetUser，SQLDebugger这两个账号用户组说明

三、系统服务与安全配置

可调为手动模式的服务
Alerter
ApplicationExperienceLookupService
ApplicationLayerGatewayServiceApplicationManagement
AutomaticUpdates
BackgroundIntelligentTransferService
ClipBook
COM+EventSystem
COM+SystemApplication
ComputerBrowser
CryptographicServices
DCOMServerProcessLauncherDHCPClient
DistributedFileSystem
DistributedLinkTrackingClientDistributedLinkTrackingServer
DistributedTransactionCoordinator
DNSClient
ErrorReportingService
EventLog
FileReplication
HelpandSupport
HTTPSSL
HumanInterfaceDeviceAccess
IISAdminService
IMAPICD-BurningCOMService
IndexingService
IntersiteMessaging
IPSECServices
KerberosKeyDistributionCenter
LicenseLogging
LogicalDiskManager
LogicalDiskManagerAdministrativeService
Messenger
MicrosoftSearch
MicrosoftSoftwareShadowCopyProvider
MSSQLSERVER
MSSQLServerADHelper
NetLogon
NetMeetingRemoteDesktopSharing
NetworkConnections
NetworkDDE
NetworkDDEDSDM
NetworkLocationAwareness(NLA)
NetworkProvisioningService
NTLMSecuritySupportProvider
PerformanceLogsandAlerts
PlugandPlay
PortableMediaSerialNumberService
PrintSpooler
ProtectedStorage
RemoteAccessAutoConnectionManager
RemoteAccessConnectionManager
RemoteDesktopHelpSessionManager
RemoteProcedureCall(RPC)
RemoteProcedureCall(RPC)Locator
RemoteRegistry
RemovableStorage
ResultantSetofPolicyProvider
RoutingandRemoteAccess
SecondaryLogon
SecurityAccountsManager
Server
ShellHardwareDetection
SmartCard
SpecialAdministrationConsoleHelper
SQLSERVERAGENT
SystemEventNotification
TaskScheduler
TCP/IPNetBIOSHelper
Telephony
Telnet
TerminalServices
TerminalServicesSessionDirectory
Themes
UninterruptiblePowerSupply
UploadManager
VirtualDiskService
VolumeShadowCopy
WebClient
WindowsAudio
WindowsFirewall
InternetConnectionSharing(ICS)
WindowsImageAcquisition(WIA)
WindowsInstaller
WindowsManagementInstrumentation
WindowsManagementInstrumentationDriverExtensions
WindowsTime
WindowsUserModeDriverFramework
WinHTTPWebProxyAuto-DiscoveryService
WirelessConfiguration
WMIPerformanceAdapter
Workstation
WorldWideWebPublishingService