windows server 2003安全知识

最近服务器老不稳定，被人攻击。最近在网上找了好多资料。以下做了调整和整合。

Windows Server 2003

1、修改管理员帐号名称与来宾帐号名称

　　此步骤主要是为了防止入侵者使用默认的系统用户名或者来宾帐号马上进行暴利特别(合法性请自查)，在更改完后，不要忘记修改强悍的密码。

　　控制面板――管理工具――本地安全策略――本地策略――安全选项

　　在右边栏的最下方，如图所示：

2、修改远程桌面连接端口

　　运行 Regedt32 并转到此项:

　　HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminalServerWinStationsRDP-Tcp

　　找到“PortNumber”子项，您会看到值 00000D3D，它是 3389 的十六进制表示形式。使用十六进制数值修改此端口号，并保存新值。

　　小巧门：各位，别一看到是十六进制就头疼，在修改键值的时候也同样支持十进制

3、禁止不常用服务

　　禁用不必要的服务不但可以降低服务器的资源占用减轻负担，而且可以增强安全性。下面列出了可以禁用的服务:

Application Experience Lookup Service

　　Automatic Updates

　　BITS

　　Computer Browser

　　DHCP Client

　　Error Reporting Service

　　Help and Support

　　Network Location Awareness

　　Print Spooler

　　Remote Registry

　　Secondary Logon

　　Server

　　Smartcard

　　TCP/IP NetBIOS Helper

　　Workstation

　　Windows Audio

　　Windows Time

　　WirelessConfiguration

4、设置组策略，加强系统安全策略

 设置帐号锁定阀值为5次无效登录，锁定时间为30分钟;n　　

 从通过网络访问此计算机中删除Everyone组;n　　

 在用户权利指派下，从通过网络访问此计算机中删除Power Users和Backup Operators;n　　

 为交互登录启动消息文本。n　　

 启用不允许匿名访问SAM帐号和共享;n　　

 启用不允许为网络验证存储凭据或Passport;n　　

 启用在下一次密码变更时不存储LANMAN哈希值;n　　

 启用清除虚拟内存页面文件;n　　

 禁止IIS匿名用户在本地登录;n　　

 启用交互登录:不显示上次的用户名;n　　

 从文件共享中删除允许匿名登录的DFS$和COMCFG;n　　

 禁用活动桌面。

5、防ping处理

　　防ping处理建意大家用防火墙一类的软件，这样可以大大降低服务器被攻击的可能性，为什么这样说呢？主要是现在大部份的入侵者都是利用软件扫一个网段存活的主机，一般判断主机是否存活就是看ping的通与不通了

6、禁止（更改）常用DOS命令

　　找到%windir%/system32下找到cmd.exe、cmd32.exe net.exe net1.exeipconfig.exe tftp.exe ftp.exe user.exe reg.exe regedit.exe regedt32.exeregsvr32.exe 这些黑客常用的文件，在“属性”→“安全”中对他们进行访问的ACLs用户进 行定义，诸如只给administrator有权访问，如果需要防范一些溢出攻击、以及溢出成功后对这些文件的非法利用;那么我们只需要将system用户 在ACLs中进行拒绝访问即可。

7、修改Server_U默认端口

8、服务器授权

如何激活终端服务？

一、第一种方法：

Win2K的终端服务有90天的限制，如果这90天内不激活它的话，过期之后就不能连接到Win2K终 端了（不影响无盘DOS站的使用）。要激活它首先得拥有一个七位数的注册号码（4954438、6565792、6879321或者5296992 中任意一个均可），利用它再经过如下操作即可完成终端的激活：

　　（1）首先进入"我的电脑→控制面板→添加/删除程序，选"添加/删除 Windows 组件"，然后确保已选中其中的"终端服务"和"终端服务授权"两项。

　　（2）当安装了"终端服务"和"终端服务授权"之后，在"开始→程序→管理工具"中就有"终端服务授权"一项，打开它，即可得到一个四段共20位数的"产品ID"，抄下它。

　 　（3）接入Internet，打开浏览器，进入https://activate.microsoft.com/（注意是"https"而不 是"http"，这里千万不要少了那个"s"）这个地址，此时是英文界面。在左上角的下拉框中选中"Chinese(Simplified)"（简体中文）项，再按"GO"图标。

　　（4）现在便得到的是中文网页了。确保已选中"启用许可证服务器"项，再单击"下一步"按钮。

（5）在随后要求提供的信息界面中，"产品ID"处输入刚才抄下的那个20位数字；"购买方式"为"Selector Enterprise Agreetment"；再填入自己的其他基本资料，然后再选"下一步"继续。

　　（6）此时系统会显示你方才输入的个人信息，确信无误之后再 "下一步"。

　　（7）你便可以得到"已成功处理您的许可证服务器启动申请。你的许可证ID是：…"，又是一个需要抄下的分为七段的35位数，里面包含有数字也有大写的英文字母；并且还会问你"需要此时获取客户机许可证吗？"，你当然应该选择“是”。

　 　（8）在接下来的界面中，"产品类型"一项应为"Windows2000终端服务客户机访问许可证"；"数量"为你欲连接的最大用户数（比如为"100"）；在"注册号码"中输入你从微软获得的那个七位数 （4954438、6565792、6879321或者5296992 任意一个均可），再"下一步"。

　　（9）此时又是让你确认你的操作，无误后按"下一步"。

　 　（10）现在应该是"谢谢您激活终端服务许可证"的时候了！你的收获包括两个东东，一个是刚才已经得到的那个35位数的"许可证服务器ID"，一个是现在才取得的另一个七段共35位数的"许可证密钥包ID"。恭喜你！ （11）现在该重新回到"开始→程序→管理工?quot;的"终端服务授权"中，用"下一步"大胆地前进吧！

（12）当要求你指定注册时的"连接方法"时选"万维网"，再"下一步"。

（13）根据提示逐字认真输入所获得的那个"许可证服务器ID"。

　　（14）现在便完成了授权向导，还需要"立即安装许可证"，"下一步"继续。

　　（15）根据提示逐字认真输入所获得的那个"许可证密钥包ID"。

　　（16）长出了一口气：现在就再也没有90天的后顾之忧了！

　　（17）等等！还有一步呢！再选中"终端服务授权"中的"SERVER"（服务器名），单击右键，启用即可。

　　另外，windows 2003的终端服务也可以激活

二、第二种方法：（推荐）

　　设置终端登陆数先决条件:

　　在你刚开始装系统的时候就会提示你最大连接用户的数目!要有“终端服务器授权”!

　　设置终端最大登陆数:

　　控制面板-终端服务配置-选择“连接”中的“RDP-TCP”,[网卡]中选中你的网卡适配器,设置为无限连接数。

　　破解win2003“终端服务器授权”激活许可证:

　 　用过windowsserver 2003做服务器的人都知道,windows2003的性能安全性比以前的windows版本高出很多,但是也带来很多麻烦。其中服务器最重要的远程管理 “终端服务”居然要求授权,要许可证,否则120天过期。其实这个问题很好解决按照一下方法就可以。

　　操作步骤:

　　1、如果你服务器上已经开着终端服务,控制面板→添加删除程序→添加/删除windows组件→删除终端服务和终端授权服务。

　　这个时候回提示你重新启动计算机,请千万记住一定要点“否”,否则就麻烦了。

　　2、点我的电脑属性→远程→远程桌面→在启用这台计算机的远程桌面上打对勾→之后会得到提示,点确定就行→应用。

　　3、重新启动计算机大功搞成,不用任何破解软件,轻松加愉快。

三、第三种方法：

　　Terminal Client Service License过期再延续方法

　 　Terminal Client Service License只提供三个月期限，超过三个月便不能再使用TerminalClient Service，现修改Registry可再延续三个月使用，注意有两个地方需要修改：一个是其license，另一个便是其Hardware ID，方法如下：

　　启动Regedit，到路径HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/MSLicensing/Store/

　　将Store 之下的记录刪除(右边的记录)。

　　再于 HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/MSLicensing/HardwareID/

　　将HardwareID 之下的记录刪除(右边的记录)。

　　或直接删除客户端的注册项HKEY_LOCAL_MACHINE\software\Microsoft\MSLicensing可重新生成临时许可证

四、最终解决办法

步骤一：
单击“开始→运行”，输入“gpedit.msc”打开组策略编辑器窗口，依次定位到“计算机配置→管理模板→Windows 组件→终端服务”，再双击右侧的“限制连接数量”，将其TS允许的最大连接数设置大一些即可，如10个或者20个。
步骤二：
点击”开始”->”程序”->”管理工具”->”终端服务器授权”,选择未激活的服务器名称,选择”属性”, 请记下对话框中出现的产品ID(69813-640-1150304-45309),我们要用这20位的ID号到网上注册。
2)打开Internet Explorer浏览器,在地址栏中输入 https://activate.microsoft.com(http也可)这个地址,此时是英文界面。在左上角的下拉框中选中"Chinese(Simplified)"(简体中文)项,再按"GO"图标。
3)现在便得到的是中文网页了。确保已选中"启用许可证服务器"项,再单击"下一步"按钮。
4)在随后要求提供的信息界面中,"产品ID"处输入刚才抄下的那个20位数字,再填入自己的其他基本资料,然后再选"下一步"继续。
5)此时系统会显示你方才输入的个人信息,确信无误之后再 "下一步";
6)你便可以得到"已成功处理您的许可证服务器启动申请。你的许可证ID是:…",又是一个需要抄下的分为七段的35位数,里面包含有数字也有大写的英文字母;并且还会问你"需要此时获取客户机许可证吗？",你当然应该回答”是”;
已成功处理您的许可证服务器激活请求。您应该立即打印这个页面。
您需要在“终端服务器许可证服务器激活向导”中输入的许可证服务器 ID 是:
FFM2R - 7KWGM - C6J3C -HWCGB - Y42DV - V674K - R244W  
产品 ID 如下的许可证服务器: 69813-640-1150304-45309
希望此时安装许可证令牌吗?
7)如果没有许可证,那么许可证程序选择“Enterprise Agreement”,确定您的信息后,便可继续”下一步”;
8)在接下来的界面中(在此是以选择“Enterprise Agreement”,如果选择其他的许可证程序,可能略有不同),"产品类型"一项应为"Windows 2003终端服务客户端访问许可证";"数量"为你欲连接的最大用户数(比如为"100");在"注册号码"中输入你从微软获得的那个七位数(如果自己没有许可证,那么就输入6565792,4954438,6879321或者5296992),再"下一步";
9)又是确认您的设置;
10)现在应该是"谢谢您激活终端服务许可证"的时候了!你的收获包括两个东东,一个是刚才已经得到的那个35位数的"许可证服务器ID",一个是现在才取得的另一个七段共35位数的"许可证密钥包ID"。恭喜你!
11)现在请到”开始”->”程序”->”管理工具”->”终端服务器授权”中完成最后的激活操作吧,选择服务器名称后点击右键,将”属性”中的”安装方法”设为”Web浏览器”;
12)再选择服务器,点击右键,选择”安装许可证”;
13)现在就可以将您在Web上得到的许可证密钥ID输入到以下的输入框中了;
14)大功告成,现在终于没有120天的后顾之忧了;
15)最后我们又返回到终端服务器的授权中,点击服务器名称,右键选择”激活”,那么就完成任务了;
(1)MH9MK-8HRFB-F3MXJ-HPHR7-TDR4G-Q3FCY-98YC2
(2)QH2D9-QXX26-DCTJV-9FYKV-TX2Q9-X8CJP-3RXWJ  
(1)W22VR-RQTC2-VG9P6-TKWQF-C2MDP-XTRVH-BMFXC
(3)Y2RYH-PR6W7-66BG8-DM6MX-D69MR-3JG4P-HCJY8
ID:69713-640-9371627-45623
已成功处理您的客户端许可证令牌请求。您应该立即打印这个页面
您需要在“终端服务器 CAL 安装向导”中输入的许可证密钥包 ID 是:
DB72P - PWH23 - 3KCX7 - 7P43C -HWJBG - QTBRB - H3TTF  
许可证服务器 ID 如下的许可证服务器: FFM2R-7KWGM-C6J3C-HWCGB-Y42DV-V674K-R244W
谢谢您激活终端服务许可证!
步骤三：
单击“开始”，指向“设置”，单击“控制面板”，然后双击“添加/删除程序”。单击“添加/删除 Windows 组件”，启动“Windows 组件向导”。在“组件”列表中，若要添加或删除组件，请通过单击选中相应的复选框。带阴影的框表示只可以安装该组件的一部分。选中“终端服务器”、“终端服务器授权”复选框，然后单击“下一步”。

此三个步骤过后大功告成。