不一样的WIN2003服务器安全配置技巧

常规的如安全的安装系统,设置和管理帐户,关闭多余的服务,审核策略,修改终端管理端口, 以及配置MS-SQL,删除危险的存储过程,用最低权限的public帐户连接等等,都不说了!下面是windows根目录的一些权限设置。

具体配置如下:

windows下根目录的权限设置:

C:/WINDOWS/Application Compatibility Scripts 不用做任何修改,包括其下所有子目录

C:/WINDOWS/AppPatch AcWebSvc.dll已经有users组权限,其它文件加上users组权限

C:/WINDOWS/Connection Wizard 取消users组权限

C:/WINDOWS/Debug users组的默认不改

C:/WINDOWS/Debug/UserMode默认不修改有写入文件的权限,取消users组权限,给特别的权限,看演示

C:/WINDOWS/Debug/WPD不取消Authenticated Users组权限可以写入文件,创建目录.

C:/WINDOWS/Driver Cache取消users组权限,给i386文件夹下所有文件加上users组权限

C:/WINDOWS/Help取消users组权限

C:/WINDOWS/Help/iisHelp/common取消users组权限

C:/WINDOWS/IIS Temporary Compressed Files默认不修改

C:/WINDOWS/ime不用做任何修改,包括其下所有子目录

C:/WINDOWS/inf不用做任何修改,包括其下所有子目录

C:/WINDOWS/Installer 删除everyone组权限,给目录下的文件加上everyone组读取和运行的权限

C:/WINDOWS/java 取消users组权限,给子目录下的所有文件加上users组权限

C:/WINDOWS/MAGICSET 默认不变

C:/WINDOWS/Media 默认不变

C:/WINDOWS/Microsoft.NET不用做任何修改,包括其下所有子目录

C:/WINDOWS/msagent 取消users组权限,给子目录下的所有文件加上users组权限

C:/WINDOWS/msapps 不用做任何修改,包括其下所有子目录

C:/WINDOWS/mui取消users组权限

C:/WINDOWS/PCHEALTH 默认不改

C:/WINDOWS/PCHEALTH/ERRORREP/QHEADLES 取消everyone组的权限

C:/WINDOWS/PCHEALTH/ERRORREP/QSIGNOFF 取消everyone组的权限

C:/WINDOWS/PCHealth/UploadLB 删除everyone组的权限,其它下级目录不用管,没有user组和everyone组权限

C:/WINDOWS/PCHealth/HelpCtr 删除everyone组的权限,其它下级目录不用管,没有user组和everyone组权限(这个不用按照演示中的搜索那些文件了,不须添加users组权限就行)

C:/WINDOWS/PIF 默认不改

C:/WINDOWS/PolicyBackup默认不改,给子目录下的所有文件加上users组权限

C:/WINDOWS/Prefetch 默认不改

C:/WINDOWS/provisioning 默认不改,给子目录下的所有文件加上users组权限

C:/WINDOWS/pss默认不改,给子目录下的所有文件加上users组权限

C:/WINDOWS/RegisteredPackages默认不改,给子目录下的所有文件加上users组权限

C:/WINDOWS/Registration/CRMLog默认不改会有写入的权限,取消users组的权限

C:/WINDOWS/Registration取消everyone组权限.加NETWORK SERVICE 给子目录下的文件加everyone可读取的权限,

C:/WINDOWS/repair取消users组权限

C:/WINDOWS/Resources取消users组权限

C:/WINDOWS/security users组的默认不改,其下Database和logs目录默认不改.取消templates目录users组权限,给文件加上users组

C:/WINDOWS/ServicePackFiles 不用做任何修改,包括其下所有子目录

C:/WINDOWS/SoftwareDistribution不用做任何修改,包括其下所有子目录

C:/WINDOWS/srchasst 不用做任何修改,包括其下所有子目录

C:/WINDOWS/system 保持默认

C:/WINDOWS/TAPI取消users组权限,其下那个tsec.ini权限不要改

C:/WINDOWS/twain_32取消users组权限,给目录下的文件加users组权限

C:/WINDOWS/vnDrvBas 不用做任何修改,包括其下所有子目录

C:/WINDOWS/Web取消users组权限给其下的所有文件加上users组权限

C:/WINDOWS/WinSxS 取消users组权限,搜索*.tlb,*.policy,*.cat,*.manifest,*.dll,给这些文件加上everyone组和users权限

给目录加NETWORK SERVICE完全控制的权限

C:/WINDOWS/system32/wbem 这个目录有重要作用。如果不给users组权限,打开一些应用软件时会非常慢。并且事件查看器中有时会报出一堆错误。导致一些程序不能正常运行。但为了不让webshell有浏览系统所属目录的权限,给wbem目录下所有的*.dll文件users组和everyone组权限。

*.dll

users;everyone

我先暂停。你操作时挨个检查就行了

C:/WINDOWS/#$#%^$^@!#$%$^S#@/#$#$%$#@@@$%!!WERa (我用的temp文件夹路径)temp由于必须给写入的权限,所以修改了默认路径和名称。防止webshell往此目录中写入。修改路径后要重启生效。

至此,系统盘任何一个目录是不可浏览的,唯一一个可写入的C:/WINDOWS/temp,又修改了默认路径和名称变成C:/WINDOWS/#$#%^$^@!#$%$^S#@/#$#$%$#@@@$%!!WERa

这样配置应该相对安全了些。

我先去安装一下几款流行的网站程序,先暂停.几款常用的网站程序在这样的权限设置下完全正常。还没有装上sql2000数据库,无法测试动易2006SQL版了。肯定正常。大家可以试试。

服务设置:

1.设置win2k的屏幕保护,用pcanywhere的时候,有时候下线时忘记锁定计算机了,如果别人破解了你的pcanywhere密码,就直接可以进入你计算机,如果设置了屏保,当你几分钟不用后就自动锁定计算机,这样就防止了用pcanyhwerer直接进入你计算机的可能,也是防止内部人员破坏服务器的一个屏障

2.关闭光盘和磁盘的自动播放功能,在组策略里面设.这样可以防止入侵者编辑恶意的autorun.inf让你以管理员的身份运行他的木马,来达到提升权限的目的。可以用net share 查看默认共享。由于没开server服务,等于已经关闭默认共享了,最好还是禁用server服务。

附删除默认共享的命令:

net share c$Content$nbsp;/del

net share d$Content$nbsp;/del

net share e$Content$nbsp;/del

net share f$Content$nbsp;/del

net share ipc$Content$nbsp;/del

net share admin$Content$nbsp;/del

3.关闭不需要的端口和服务,在网络连接里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP),由于要控制带宽流量服务,额外安装了Qos数据包计划程序。在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS 。修改3389远程连接端口(也可以用工具修改更方便)

修改注册表.

开始--运行--regedit,依次展开 HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/WDS/RDPWD/TDS/TCP

右边键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 1989 )HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/WINSTATIONS/RDP-TCP/

右边键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 1989 )注意:别忘了在WINDOWS2003自带的防火墙给+上10000端口

修改完毕.重新启动服务器.设置生效.这里就不改了,你可以自己决定是否修改.权限设置的好后,个人感觉改不改无所谓

4.禁用Guest账号:在计算机管理的用户里面把Guest账号禁用。为了保险起见,最好给Guest加一个复杂的密码。你可以打开记事本,在里面输入一串包含特殊字符、数字、字母的长字符串,然后把它作为Guest用户的密码拷进去.我这里随便复制了一段文本内容进去.如果设置密码时提示:工作站服务没有启动 先去本地安全策略里把密码策略里启动密码复杂性给禁用后就可以修改了

5.创建一个陷阱用户:即创建一个名为“Administrator”的本地用户,把它的权限设置成最低,什么事也干不了的那种,并且加上一个超过10位的超级复杂密码。这样可以让那些 Hacker们忙上一段时间,借此发现它们的入侵企图。

6.本地安全策略设置

开始菜单—>管理工具—>本地安全策略

A、本地策略——>审核策略

审核策略更改成功失败

审核登录事件成功失败

审核对象访问失败

审核过程跟踪无审核

审核目录服务访问失败

审核特权使用失败

审核系统事件成功失败

审核账户登录事件成功失败

审核账户管理成功失败

B、本地策略——>用户权限分配

关闭系统:只有Administrators组、其它全部删除。

通过终端服务允许登陆:只加入Administrators,Remote Desktop Users组,其他全部删除

运行 gpedit.msc 计算机配置 > 管理模板 > 系统 显示“关闭事件跟踪程序” 更改为已禁用

用户管理,建立另一个备用管理员账号,防止特殊情况发生。安装有终端服务与SQL服务的服务器停用TsInternetUser, sQLDebugger这两 个账号

C、本地策略——>安全选项

交互式登陆:不显示上次的用户名启用

网络访问:不允许SAM帐户和共享的匿名枚举 启用

网络访问:不允许为网络身份验证储存凭证启用

网络访问:可匿名访问的共享全部删除

网络访问:可匿名访问的命全部删除

网络访问:可远程访问的注册表路径全部删除

网络访问:可远程访问的注册表路径和子路径全部删除

帐户:重命名来宾帐户重命名一个帐户

帐户:重命名系统管理员帐户重命名一个帐户

7.禁止dump file的产生

dump文件在系统崩溃和蓝屏的时候是一份很有用的查找问题的资料。然而,它也能够给黑客提供一些敏感

信息比如一些应用程序的密码等。控制面板>系统属性>高级>启动和故障恢复把 写入调试信息 改成无。

关闭华医生Dr.Watson

在开始-运行中输入“drwtsn32”,或者开始-程序-附件-系统工具-系统信息-工具-Dr Watson,调出系统

里的华医生Dr.Watson ,只保留“转储全部线程上下文”选项,否则一旦程序出错,硬盘会读很久,并占用大量空间。如果以前有此情况,请查找user.dmp文件,删除后可节省几十MB空间。在命令行运行drwtsn32 -i 可以直接关闭华医生,普通用户没什么用处 .

(0)

相关推荐

  • 七种维护服务器安全最佳技巧

    你的计算机上是否存在有至关重要的数据,并且不希望它们落入恶人之手呢?当然,它们完全有这种可能 .而且,近些年来,服务器遭受的风险也比以前更大了.越来越多的病毒,心怀不轨的黑客,以及那些商业间谍都将服务 ...

  • sendmail邮箱服务器的配置教程

    一、sendmail的简介 二、Sendmail的安装步骤1.安装需要的软件:sendmail m4 (自动转换工具)这两个已经默认安装,只需安装sendmail-cf 这个包即可,此包的作用是转换成 ...

  • UI设计师的ps配置技巧

    UI设计师的ps配置技巧,第一步Photoshop新建文档设置 操作:菜单 → 文件 → 新建 宽度:640像素 高度:1136像素(4英寸iPhone设备) 分辨率:72像素/英寸(ppi) 颜色模 ...

  • Firefox和IE浏览器提速配置技巧

    最近浏览器的战场又热闹了不少。谷歌开发了IE、Firefox专用提速插件(基于Chrome),当然这一举动并不被微软认可,于是一场口水战就此拉响。至于浏览器到底哪个快?哪个好用?我想见仁见智,不过如何 ...

  • sendmail邮箱服务器的配置

    一、sendmail的简介 二、Sendmail的安装步骤 1.安装需要的软件:sendmail m4 (自动转换工具)这两个已经默认安装,只需安装sendmail-cf 这个包即可,此包的作用是转换 ...

  • Apache服务器下配置URL 态化的Rewrite规则

    如何在Apache环境下配置Rewrite规则 Apache Rewrite 规则 环境 URL 静态化是一个利于搜索引擎的设置,通过 URL 静态化,达到原来是动态的 PHP 页面转换为静态化的 H ...

  • WSUS服务器客户端配置的具体操作步骤

    WSUS服务器客户端配置的具体操作步骤如下。 步骤1:win7执行【开始】I【运行】命令,在弹出的对话框中输入gpedit.msc.单击【确定】按钮,打开【组策略编辑器】窗口,如图1所示。 图1 【组 ...

  • 阿里云Linux下FTP服务器搭配配置

    阿里云服务器是国内目前 最好的一个云服务器了,不过价格方面也比较贵了,下面我们来给各位介绍在阿里云Linux下FTP服务器搭配配置了,大概方法 与linux下搭配ftp服务器区别不大,只是一些小细节了 ...

  • Sublime Text 3如何配置本地服务器? Sublime本地服务器的配置方法

    Sublime Text 3配置本地服务器主要是让html代码运行在本地服务器中,该怎么配置本地服务器呢?下面我们就来看看详细的教程. 1.同样的我们需要借助一款插件来实现.打开Sublime,使用快 ...