Windows Server 2003 安全配置

 

参考文献：
1. 《Windows Server 2003 安全配置实战》
    http://www.ttian.net/website/2005/1024/664.html
2. 《Windows 2003安全设置大全》
    http://zt.anqn.com/2003aq_0688/

///
网络连接部分
从网络连接上禁用功能，用最简单的方法加强系统安全

1. 关闭文件和打印机共享
     简单防止网络共享攻击
2. 禁用TCP/IP -> 高级 -> WINS -> TCP/IP上的NetBios
     防止局域网内攻击

 

 

///
服务部分

禁用不必要的服务，提高安全性和系统效率。
我觉得下面的Remote Registry Service和Server服务，如果不是必须的话，请改为手动。
停止Remote Registry Service能够防止依赖于远程注册表操作的黑客及木马病毒的攻击,
停止Server能直接关闭共享、打印、及命名管道，预防远程共享相关的攻击及病毒，
telnet服务没有必要的话，也应该关闭。

Computer Browser 维护网络上计算机的最新列表以及提供这个列表

Task scheduler 允许程序在指定时间运行

Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务

Removable storage 管理可移动媒体、驱动程序和库

Remote Registry Service 允许远程注册表操作

Print Spooler 将文件加载到内存中以便以后打印。要用打印机的朋友不能禁用这项

IPSEC Policy Agent 管理IP安全策略以及启动ISAKMP/OakleyIKE）和IP安全驱动程序

Distributed Link Tracking Client 当文件在网络域的NTFS卷中移动时发送通知

Com+ Event System 提供事件的自动发布到订阅COM组件

Alerter 通知选定的用户和计算机管理警报

Error Reporting Service 收集、存储和向 Microsoft 报告异常应用程序

Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息

Telnet 允许远程用户登录到此计算机并运行程序

Server 支持此计算机通过网络的文件、打印、和命名管道共享。如果服务停止，这些功能不可用。如果服务被禁用，任何直接依赖于此服务的服务将无法启动。

 

 

///
注册表部分

1. 删除默认共享：

有人问过我一开机就共享所有盘，改回来以后，重启又变成了共享是怎么回事，这是2K为管理而设置的默认共享，必须通过修改注册表的方式取消它：HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/LanmanServer/Parameters：AutoShareServer类型是REG_DWORD把值改为0即可

2. 禁止建立空连接：

默认情况下，任何用户通过通过空连接连上服务器，进而枚举出帐号，猜测密码。我们可以通过修改注册表来禁止建立空连接：

Local_Machine/System/CurrentControlSet/Control/LSA/RestrictAnonymous 的值改成”1”即可。

3. 关闭445 NetBios端口

HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/netBT/Parameters

新建 “DWORD值”值名为 “SMBDeviceEnabled” 数据为默认值“0”

4. 防止小规模DDOS攻击

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters

新建 “DWORD值”值名为 “SynAttackProtect” 数据值为“1”

 

 

///
安全策略部分

1. 本地安全策略 -> 用户权限分配 -> 从网络访问此计算机，
     删除Users,everyone,Power Users，能够预防上些权限提升的攻击

2. 本地安全策略 -> 安全选项 -> 重命名管理员帐号

3. 本地安全策略 -> 审核策略
     打开相应的审核，推荐的审核是：

     账户管理       成功 失败
     登录事件       成功 失败
     对象访问            失败
     策略更改       成功 失败
     特权使用            失败
     系统事件       成功 失败
     目录服务访问        失败
     账户登录事件 成功 失败

4. gpedit.msc 策略编辑器
     关闭自动播放 防止一些U盘病毒

 

///
帐号部分

1. 重命名管理员帐号，这在安全策略中已有说明

2. 采用强口令，不要建弱口令帐号，如密码和用户名相同，很容易被黑客枚举到

2. 平时使用一般帐号登录，必要时才使用管理员帐号

 

 

///
IIS配置

IIS6与IIS5有着很多不同之处，不一一列举，也不是我一个脑袋可以装下的东西。都在资料上！

IIS6有一个非常不方便的东西，就是他限制了在线上传不得大于200K，如何修改，请看：

首先停用IIS服务，> 服务 > iis admin service > 停用

C:/windows/system32/inetsrv/ metabase.xml 文件 用记事本打开它

找到 ASPMaxRequestEntityAllowed 处。默认为 204800 即 204800字节(200K)

修改为想要的数字如： 2048000 [2M] 保存，重启IIS服务即可！

设置基本参数

打开IIS管理器 > 网站 > 属性 >

网站 > 启动日志记录 > 关闭

      主目录 > 配置 > 应用程序扩展 > 只保留 asp,asa

      主目录 > 配置 > 选项 > 启用父目录

      主目录 > 配置 > 调试 > 向客户端发送文本错误消息

网站 > 自定义错误 > 全部改成默认值 [上一章已经删除IIS使用的错误信息页面]

IIS管理器 > WEB服务扩展 > 启用 Active Server Pages

注：停用IIS默认站点，切勿删除，有可能会造成IIS的不稳定。