windows2003的安全设置

 

一 设置和管理账户 
1、系统管理员账户最好少建，更改默认的管理员帐户名（Administrator）和描述，
密码最好采用数字加大小写字母加数字的上档键组合，长度最好不少于14位。 
2、新建一个名为Administrator的陷阱帐号，为其设置最小的权限，然后随便输入
组合的最好不低于20位的密码。
3、将Guest账户禁用并更改名称和描述，然后输入一个复杂的密码，然后禁用。 
4、开始-程序-管理工具-本地安全策略，选择
计算机配置-Windows设置-安全设置-账户策略-账户锁定策略，
将账户设为“三次登陆无效”，“锁定时间为30分钟”，“复位锁定计数设为10分钟”。
5、在安全设置-本地策略-安全选项中将“不显示上次的用户名”设为启用 。
6. 本地策略-安全选项-对匿名连接的额外限制.选择(不允许枚举 SAM 帐号和共享)

二 网络服务安全管理

1、禁止C$、D$、ADMIN$一类的缺省共享
打开注册表，HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/lanmanserver/parameters，
在右边的窗口中新建Dword值，名称设为AutoShareServer值设为0. 注册表不了解.不要随便更改.
2、 解除NetBios与TCP/IP协议的绑定 
　　右击网上邻居-属性-右击本地连接-属性-双击Internet协议-高级-Wins-禁用TCP/IP上的NETBIOS 
3、关闭不需要的服务，以下为建议选项 
开始-所有程序-管理工具-服务
　　 Computer Browser:维护网络计算机更新，禁用 
　　 Distributed File System: 局域网管理共享文件，不需要禁用 
　　 Distributed linktracking client：用于局域网更新连接信息，不需要禁用 
　　 Error reporting service：禁止发送错误报告 
　　 Microsoft Serch：提供快速的单词搜索，不需要可禁用 
　　 NTLMSecuritysupportprovide：telnet服务和Microsoft Serch用的，不需要禁用 
　　 PrintSpooler：如果没有打印机可禁用 
　　 Remote Registry：禁止远程修改注册表 
　　 Remote Desktop Help Session Manager：禁止远程协助
　　 Messenger:信使服务(windows2000)
　　 Task Scheduler: 允许程序在指定时间运行(不用计划任务就禁用掉)
　　 TCP/IP NetBIOS Helper Service: NetBIOS (NetBT)”服务以及 NetBIOS 名称解析的支持
注：新上架的服务器已经做过其他安全设置只开以下端口，需要开其他端口可以在。
右击网上邻居-属性-Internet协议（TCP/IP）属性-高级-选项-TCP/IP筛选－属性-TCP端口－添加
你想要开的端口.
　 　 默认开启的端口列表：
　 　FTP:20.21
　　 mail:25.110
　　 Web:80
　　 pcanywhere:5631
　　 远程桌面：3389 (3389不要关闭，否则将无法远程连接)
 

三 系统安全管理 
　　1.对于系统的NTFS磁盘权限设置,C盘只给administrators 和system权限，其他的权限不给，
其他的盘也可以这样设置，这里给的system权限也不一定需要给，
只是由于某些第三方应用程序是以服务形式启动的，需要加上这个用户，否则造成启动不了。
　　2. Windows目录要加上给users的默认权限，否则ASP和ASPX等应用程序就无法运行。
　　3. 另外在c:/Documents and Settings/这里相当重要，
后面的目录里的权限根本不会继承从前的设置，如果仅仅只是设置了C盘给administrators权限，
而在All Users/Application Data目录下会 出现everyone用户有完全控制权限，
这样入侵这可以跳转到这个目录，写入脚本或只文件，再结合其他漏洞来提升权限.
　　4. net.exe，cmd.exe，tftp.exe，netstat.exe，regedit.exe，at.exe，attrib.exe，cacls.exe
这些文件都设置只允许administrators.system访问.guests禁止访问

四 打开相应的审核策略

　　开始-程序-管理工具-本地安全策略-安全设置-本地策略-审核策略
　　注:windows2003已经开启部分.windows2000没有开启.可以根据实际情况来设置.
　　推荐的要审核的项目是： 
　　登录事件 成功 失败 
　　账户登录事件 成功 失败 
　　系统事件 成功 失败 
　　策略更改 成功 失败 
　　对象访问 失败 
　　目录服务访问 失败 
　　特权使用 失败 

 

btw：

查看端口被哪个进程占用：

C:/>netstat -aon|findstr "80"
TCP     127.0.0.1:80         0.0.0.0:0               LISTENING       2448
看到了吗，端口被进程号为2448的进程占用，继续执行下面命令：
C:/>tasklist|findstr "2448"
thread.exe                     2016 Console                 0     16,064 K
很清楚吧，thread占用了你的端口,Kill it