Windows server 2003服务器安全配置技巧（最新收集）

Win2003服务器安全配置技巧

Win2003服务器安全配置技巧【大收集】

我们配置的服务器需要提供支持的组件如下：（ASP、ASPX、CGI、PHP、FSO、JMAIL、MySql、SMTP、POP3、FTP、 3389终端服务、远程桌面Web连接管理服务等），这里前提是已经安装好了系统，IIS，包括FTP服务器，邮件服务器等，这些具体配置方法的就不再

重复了，现在我们着重主要阐述下关于安全方面的配置。

关于常规的如安全的安装系统，设置和管理帐户，关闭多余的服务，审核策略，修改终端管理端口， 以及配置MS-SQL，删除危险的存储过程，用最低权限的public帐户连接等

等，都不说了

先说关于系统的NTFS磁盘权限设置，大家可能看得都多了，但是2003服务器有些细节地

方需要注意的，我看很多文章都没写完全。

C盘只给administrators 和system权限，其他的权限不给，其他的盘也可以这样设置，这里给的system权限也不一定需要给，只是由于某些第三方应用程序是以服务形式启动

的，需要加上这个用户，否则造成启动不了。

第 1 页 共 92 页

Http://www.xiugoo.cn 美国服务器热销中

Win2003服务器安全配置技巧

Windows目录要加上给users的默认权限，否则ASP和ASPX等应用程序就无法运行。以前有朋友单独设置Instsrv和temp等目录权限，其实没有这个必要的。

另外在c:/Documents and Settings/这里相当重要，后面的目录里的权限根本不会继承从前的设置，如果仅仅只是设置了C盘给administrators权限，而在All

Users/Application Data目录下会出现everyone用户有完全控制权限，这样入侵这可以跳转到这个目录，写入脚本或只文件，再结合其他漏洞来提升权限；譬如利用serv-u的本地溢出提升权限，或系统遗漏有补丁，数据库的弱点，甚至社会工程学等等N多方法，从前不是有牛人发飑说：\只要给我一个webshell，我就能拿到 system\，这也的确是有可能的。在用做web/ftp服务器的系统里，建议是将这些目录都设置的锁死。其他每个盘的

第 2 页 共 92 页

Http://www.xiugoo.cn 美国服务器热销中

Win2003服务器安全配置技巧

目录都按照这样设置，没个盘都只给adinistrators权限。

另外，还将：net.exe，cmd.exe，tftp.exe，netstat.exe，regedit.exe，at.exe，attrib.exe，cacls.exe，这些文件都设置只允许administrators访问。

把不必要的服务都禁止掉，尽管这些不一定能被攻击者利用得上，但是按照安全规则和标准上来说，多余的东西就没必要开启，减少一份隐患。

在\网络连接\里，把不需要的协议和服务都删掉，这里只安装了基本的Internet协议（TCP/IP），由于要控制带宽流量服务，额外安装了 Qos数据包计划程序。在高级tcp/ip设置里--\设置\禁用tcp/IP上的NetBIOS（S）\。在高级选项里，使用 \连接防火墙\，这是windows 2003 自带的防火墙，在2000系统里没有的功能，

第 3 页 共 92 页

Http://www.xiugoo.cn 美国服务器热销中

Win2003服务器安全配置技巧

虽然没什么功能，但可以屏蔽端口，这样已经基本达到了一个IPSec的功能。

第 4 页 共 92 页

Http://www.xiugoo.cn 美国服务器热销中

Win2003服务器安全配置技巧

第 5 页 共 92 页

Http://www.xiugoo.cn 美国服务器热销中

Win2003服务器安全配置技巧

要支持ASPX，还需要给web根目录给上users用户的默认权限，才能使ASPX能执行。

另外在应用程序配置里，设置调试为向客户端发送自定义的文本信息，这样能对于有ASP

第 11 页 共 92 页

Http://www.xiugoo.cn 美国服务器热销中

Win2003服务器安全配置技巧

注入漏洞的站点，可以不反馈程序报错的信息，能够避免一定程度的攻击。

在自定义HTTP错误选项里，有必要定义下譬如404,500等错误，不过有有时候为了调试程序，好知道程序出错在什么地方，建议只设置404就可以了。

第 12 页 共 92 页

Http://www.xiugoo.cn 美国服务器热销中

Win2003服务器安全配置技巧

IIS6.0由于运行机制的不同，出现了应用程序池的概念。一般建议10个左右的站点共用

第 13 页 共 92 页

Http://www.xiugoo.cn 美国服务器热销中

Win2003服务器安全配置技巧

一个应用程序池，应用程序池对于一般站点可以采用默认设置，

第 14 页 共 92 页

Http://www.xiugoo.cn 美国服务器热销中

Win2003服务器安全配置技巧

可以在每天凌晨的时候回收一下工作进程。

新建立一个站，采用默认向导，在设置中注意以下在应用程序设置里：执行权限为默认的

纯脚本，应用程序池使用独立的名为：315safe的程序池。

第 15 页 共 92 页

Http://www.xiugoo.cn 美国服务器热销中

Win2003服务器安全配置技巧

第 16 页 共 92 页

Http://www.xiugoo.cn 美国服务器热销中

Win2003服务器安全配置技巧

名为315safe的应用程序池可以适当设置下\内存回收\：这里的最大虚拟内存为：1000M，

最大使用的物理内存为256M，这样的设置几乎是没限制这个站点的性能的。

第 17 页 共 92 页

Http://www.xiugoo.cn 美国服务器热销中

Win2003服务器安全配置技巧

在应用程序池里有个\标识\选项，可以选择应用程序池的安全性帐户，默认才用网络服务这个帐户，大家就不要动它，能尽量以最低权限去运行大，隐患也就更小些。在一个站点的某些目录里，譬如这个\目录，不需要在里面运行asp程序或其他脚本的，就去掉这个目录的执行脚本程序权限，在\应用程序设置\的\执行权限\这里，默认的是\纯脚本\，我们改成\无\，这样就只能使用静态页面了。依次类推，大凡是不需要asp运行的目录，譬如数据库目录，图片目录等等里都可以这样做，这样主要是能避免在站点应用程序脚本出现bug的时候，譬如出现从前流行的upfile漏洞，而能够在一定程度上对漏洞有

扼制的作用。

第 18 页 共 92 页

Http://www.xiugoo.cn 美国服务器热销中

Win2003服务器安全配置技巧

在默认情况下，我们一般给每个站点的web目录的权限为IIS用户的读取和写入，如图：

第 19 页 共 92 页

Http://www.xiugoo.cn 美国服务器热销中

Win2003服务器安全配置技巧

但是我们现在为了将SQL注入，上传漏洞全部都赶走，我们可以采取手动的方式进行细节

性的策略设置。

1． 给web根目录的IIS用户只给读权限。如图：

第 20 页 共 92 页

Http://www.xiugoo.cn 美国服务器热销中

Win2003服务器安全配置技巧

然后我们对响应的uploadfiles/或其他需要存在上传文件的目录额外给写的权限，并且在IIS里给这个目录无脚本运行权限，这样即使网站程序出现漏洞，入侵者也无法将asp木马写进目录里去，呵呵，不过没这么简单就防止住了攻击，还有很多工作要完成。如果是MS-SQL数据库的，就这样也就OK了，但是Access的数据库的话，其数据库所在的目录，或数据库文件也得给写权限，然后数据库文件没必要改成.asp的。这样的后果大家也都知道了把，一旦你的数据库路径被暴露了，这个数据库就是一个大木马，够可怕的。其实完全还是规矩点只用mdb后缀，这个目录在IIS里不给执行脚本权限。然后在IIS里加设置

一个映射规律，如图：

第 21 页 共 92 页

Http://www.xiugoo.cn 美国服务器热销中

Win2003服务器安全配置技巧

第 22 页 共 92 页

Http://www.xiugoo.cn 美国服务器热销中

Win2003服务器安全配置技巧

这里用任意一个dll文件来解析.mdb后缀名的映射，只要不用asp.dll来解析就可以了，这样别人即使获得了数据库路径也无法下载。这个方法可以说是防止数据库被下载的终极

解决办法了。

win2003server安全配置 批处理

//卸载不安全组件

regsvr32 /u C:\\WINDOWS\\System32\\wshom.ocx

regsvr32 /u C:\\WINDOWS\\System32\\\\shell32.dll

//磁盘权限...

cacls c:\\ /c /g administrators:f system:f

第 23 页 共 92 页

Http://www.xiugoo.cn 美国服务器热销中

Win2003服务器安全配置技巧

cacls d:\\ /c /g administrators:f system:f cacls e:\\ /c /g administrators:f system:f cacls f:\\ /c /g administrators:f system:f

cacls \cacls \

cacls \

cacls \cacls \cacls \cacls \cacls \cacls \cacls \cacls \cacls \cacls \cacls \cacls \cacls \

RD C:\\Inetpub /S /Q

cacls C:\\WINDOWS\\system32\\Cmd.exe /e /d guests cacls \cacls \cacls \cacls \cacls \cacls \cacls \cacls \cacls \cacls \cacls \

注册表操作：

第 24 页 共 92 页

Http://www.xiugoo.cn 美国服务器热销中

Win2003服务器安全配置技巧

//fso组件改名--------网上搜索..修改注册表中的2个地方

//shell.application改名...

// 禁止空连接,Local_Machine\\System\\

CurrentControlSet\\Control\\LSA RestrictAnonymous 把这个值改

成”1”

//删除默认共

享,HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\LanmanServer\\Parameters

AutoShareServer 类型 REG_DWORD 值0

SQL SERVER设置:

1,将master表中存储过程\的public和guest权限取消 2,删除win系统用户sqldebugger ---没用的帐号，还经常给黑客利用

3,用户去掉db_onwer权限 4,在 企业管理器 中运行以下脚本：

use master

EXEC sp_dropextendedproc 'xp_cmdshell' EXEC sp_dropextendedproc 'Sp_OACreate' EXEC sp_dropextendedproc 'Sp_OADestroy' EXEC sp_dropextendedproc 'Sp_OAGetErrorInfo' EXEC sp_dropextendedproc 'Sp_OAGetProperty' EXEC sp_dropextendedproc 'Sp_OAMethod' EXEC sp_dropextendedproc 'Sp_OASetProperty'

EXEC sp_dropextendedproc 'Sp_OAStop' EXEC sp_dropextendedproc 'Xp_regaddmultistring' EXEC sp_dropextendedproc 'Xp_regdeletekey' EXEC sp_dropextendedproc 'Xp_regdeletevalue' EXEC sp_dropextendedproc 'Xp_regenumvalues' EXEC sp_dropextendedproc 'Xp_regremovemultistring'

EXEC sp_dropextendedproc 'Xp_regwrite'

drop procedure sp_makewebtask

第 25 页 共 92 页

Http://www.xiugoo.cn 美国服务器热销中

Win2003服务器安全配置技巧

5，为网站建立一个非sa用户

6，SQL SERVER以某特殊用户运行，增加一个系统用户属于users 组，专门代替system来

运行mssql

禁用以下服务： Workstation TCP/IP NetBIOS Helper

Telnet Print Spooler Remote Registry Routing and Remote Access

Computer Browser

Server 帐户设置：

禁用 Guest 帐户，改为复杂密码

重命名 Administrator 帐户，并为它设置强密码

禁用\删除 sqldebugger

防火墙：

只开 80，3389（建议修改3389端口） 如果数据库在本地，1433 也不开

如果有serv-u就开21吧，建议修改为其它端口，还有serv-u要修改内建的默认密码，防止给提升权限，可以用xdowns提供的版本，密码已经修改为一堆破解不了的迷密码...黑

客怎么输入都是不对的。

IIS方面： 1，删除默认站点

2，删除不使用的脚本映射(如.htw,.idc等) 3，禁止\4，在\服务扩展\中禁止\

第 26 页 共 92 页

Http://www.xiugoo.cn 美国服务器热销中

Win2003服务器安全配置技巧

5，asp的站就删除剩下asp映射，php就删除剩下php映射

6，每个网站一个独立的系统用户，都属于自己建立的组，设置这个组在任何盘都拒绝，只

允许你的web目录

针对arp欺骗：

网关/路由 那绑定你的ip和mac 你的服务器那绑定真正的网关

arp -s %IP% %Mac%

最后，严格控制网站对应的用户各个目录的权限（这点如果是大站，比较重要的站建议做

做）：

图片的目录：只能读，需要上传的加个写入，千万不要给运行权限

不需要修改的东西都只有读的权限，asp或php就加个运行，后台改名字，登录加验证码，在你验证码的基础上，按照不同的日期，这个数字加上特定的数字，比如显示：1234

今天星期二，那么我规定，要写入 212342 才能正确

一切静态化，动态的只是搜索和评论（干脆不要），做好安全过滤，防止注入

win2003服务器安全配置清单

Windows2003下的IIS权限设置

前提：仅针对windows 2003 server SP1 Internet(IIS) 服务器

系统安装在C:\\盘

系统用户情况为：

administrators 超级管理员(组) system 系统用户(内置安全主体)

guests 来宾帐号(组) iusr_服务器名 匿名访问web用户

第 27 页 共 92 页

Http://www.xiugoo.cn 美国服务器热销中

Win2003服务器安全配置技巧

iwam_服务器名 启动iis进程用户

www_cnnsc_org 自己添加的用户、添加后删除Users(组)、删除后添加到guests来宾帐号

(组)

为加强系统安全、(guest)用户及(iusr_服务器名)用户均被禁用 将访问web目录的全部账户设为guests组、去除其他的组

■盘符 安全访问权限

△C:\\盘 administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限 △D:\\盘 (如果用户网站内容放置在这个分区中)、administrators(组) 完全控制权限 △E:\\盘 administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限 △f:\\盘 administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限

△如有其他盘符类推下去.

■禁止系统盘下的EXE文件：

net.exe、cmd.exe、tftp.exe、netstat.exe、regedit.exe、regedt32.exe、at.exe、

attrib.exe、cacls.exe

△些文件都设置成 administrators 完全控制权限

■禁止下载Access数据库

△Internet 信息服务(IIS)管理器→网站→属性→主目录→配置→添加

△可执行文件：C:\\WINDOWS\\twain_32.dll

△扩展名：.mdb

▲如果你还想禁止下载其它的东东

△Internet 信息服务(IIS)管理器→网站→属性→主目录→配置→添加

△可执行文件：C:\\WINDOWS\\twain_32.dll △扩展名：.(改成你要禁止的文件名) ▲然后删除扩展名：shtml stm shtm cdx idc cer

■防止列出用户组和系统进程: △开始→程序→管理工具→服务 △找到 Workstation 停止它、禁用它

■卸载最不安全的组件： △开始→运行→cmd→回车键

▲cmd里输入：

第 28 页 共 92 页

Http://www.xiugoo.cn 美国服务器热销中

Win2003服务器安全配置技巧

△regsvr32/u C:\\WINDOWS\\system32\\wshom.ocx

△del C:\\WINDOWS\\system32\\wshom.ocx △regsvr32/u C:\\WINDOWS\\system32\\shell32.dll

△del C:\\WINDOWS\\system32\\shell32.dll △也可以设置为禁止guests用户组访问

■解除FSO上传程序小于200k限制： △在服务里关闭IIS admin service服务 △打开 C:\\WINDOWS\\system32\\inetsrv\\MetaBase.xml

△找到ASPMaxRequestEntityAllowed

△将其修改为需要的值、默认为204800、即200K、把它修改为51200000(50M)、然后重启

IIS admin service服务

■禁用IPC连接 △开始→运行→regedit

△找到如下组建(HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Lsa)中的

(restrictanonymous)子键

△将其值改为1即

■清空远程可访问的注册表路径： △开始→运行→gpedit.msc

△依次展开“计算机配置→Windows 设置→安全设置→本地策略→安全选项”

△在右侧窗口中找到“网络访问：可远程访问的注册表路径”

△然后在打开的窗口中、将可远程访问的注册表路径和子路径内容全部设置为空即

■关闭不必要的服务 △开始→程序→管理工具→服务 △Telnet、TCP\\IP NetBIOS Helper

■解决终端服务许可证过期的办法

△如果你服务器上已经开着终端服务、那就在添加删除程序里删除终端服务和终端授权

服务

△我的电脑--右键属性--远程---远程桌面、打勾、应用

△重启服务器、OK了、再也不会提示过期了

第 29 页 共 92 页

Http://www.xiugoo.cn 美国服务器热销中

Win2003服务器安全配置技巧

■取消关机原因提示 △开始→运行→gpedit.msc △打开组策略编辑器、依次展开 △计算机配置→管理模板→系统

△双击右侧窗口出现的(显示“关闭事件跟踪程序”)

△将(未配置)改为(已禁用)即可

1终端服务默认端口号：3389。

更改原因：不想让非法用户连接到服务器进行登录实验。当这台服务器托管在外时更不希

望发生这种情况，呵呵，还没忘记2000的输入法漏洞吧？

更改方法：

(1)、第一处[HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Control \\ Terminal Server \\ Wds \\ rdpwd \\ Tds \\ tcp]，看到右边的PortNumber了吗？在十进制

状态下改成你想要的端口号吧，比如7126之类的，只要不与其它冲突即可。 (2)、第二处[HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Control \\ Terminal Server \\ WinStations \\ RDP-Tcp，方法同上，记得改的端口号和上面改的一样

就行了。

2系统盘\\Windows\\System32\\cacls.exe、cmd.exe、net.exe、net1.exe、telnet.exe、

ftp.exe 文件只给 Administrators 组和 SYSTEM 的完全控制权限

注册表删除 WScript.Shell、WScript.Shell.1、Wscript.Network、Wscript.Network.1、

Shell.application

注册表改名 adodb.stream、Scripting.Dictionary、Scripting.FileSystemObject

3启用防火墙和tcp/ip过滤,再serv-u开启一组端口映射 80 \\ 20 \\ 21 \\ 2121 \\ * 以及serv-u端口组

4关闭默认共享

在Windows 2000中，有一个“默认共享”，这是在安装服务器的时候，把系统安装分区自动进行共享，虽然对其访问还需要超级用户的密码，但这是潜在的安全隐患，从服务器的安全考虑，最好关闭这个“默认共享”，以保证系统安全。方法是：单击“开始/运

第 30 页 共 92 页

Http://www.xiugoo.cn 美国服务器热销中

Win2003服务器安全配置技巧

行”，在运行窗口中输入“Regedit”，打开注册表编辑器，展开

“HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\LanmanServer\\Parameters”项，添加键值AutoShareServer，类型为REG_DWORD，值为0。 这样就可以彻底关闭

“默认共享”。

[HKEY_LOCAL_MACHINE\\\\SOFTWARE\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run]

\

5防范拒绝服务攻击

禁止响应ICMP重定向报文。此类报文有可能用以攻击，所以系统应该拒绝接受ICMP重定

向报文。

\

6 iis部分的配置，mdb防止下载，添加数据库名的如MDB的扩展映射 iislog.dll

7 如何解除FSO上传程序小于200k限制？

先在服务里关闭IIS admin service服务，找到Windows＼System32＼Inesrv目录下的Metabase．xml并打开，找到ASPMaxRequestEntityAllowed，将其修改为需要的值。默认为204800，即200K，把它修改为51200000（50M），然后重启IIS admin service服务。

Win2003 安全配置技巧

windows server2003是目前最为成熟的网络服务器平台，安全性相对于windows 2000有大大的提高,但是2003默认的安全配置不一定适合我们的需要，所以，我们要根据实际情况来对win2003进行全面安全配置。说实话，安全配置是一项比较有难度的网络技术，权限配置的太严格，好多程序又运行不起，权限配置的太松，又很容易被黑客入侵，做为网络管理员，真的很头痛，因此，我结合这几年的网络安全管理经验，总结出以下一些方法

来提高我们服务器的安全性。

第一招：正确划分文件系统格式，选择稳定的操作系统安装盘

为了提高安全性，服务器的文件系统格式一定要划分成NTFS（新技术文件系统）格式，它比FAT16、FAT32的安全性、空间利用率都大大的提高，我们可以通过它来配置文件的安全性，磁盘配额、EPS文件加密等。如果你已经分成FAT32的格式了，可以用CONVERT 盘符 /FS：NTFS /V 来把FAT32转换成NTFS格式。正确安装windows 2003 server,在网安联盟http://cqhk.14023.com/Soft/yyrj/bigsoft/200504/502.asp>有 windows 2003的企业可升级版，这个一个完全破解了的版本，可以直接网上升级,我们安装时尽量只安装我

第 31 页 共 92 页

Http://www.xiugoo.cn 美国服务器热销中

Win2003服务器安全配置技巧

们必须要用的组件，安装完后打上最新的补丁，到网上升级到最新版本！保证操作系统本

身无漏洞。

第二招：正确设置磁盘的安全性,具体如下(虚拟机的安全设置，我们以asp程序为例子)重

点：

1、系统盘权限设置 C:分区部分：

c:\\

administrators 全部(该文件夹，子文件夹及文件) CREATOR OWNER 全部(只有子文件来及文件) system 全部(该文件夹，子文件夹及文件) IIS_WPG 创建文件/写入数据(只有该文件夹) IIS_WPG(该文件夹，子文件夹及文件)

遍历文件夹/运行文件 列出文件夹/读取数据

读取属性 创建文件夹/附加数据

读取权限

c:\\Documents and Settings

administrators 全部(该文件夹，子文件夹及文件)

Power Users (该文件夹，子文件夹及文件)

读取和运行 列出文件夹目录

读取

SYSTEM全部(该文件夹，子文件夹及文件)

C:\\Program Files

administrators 全部(该文件夹，子文件夹及文件)

CREATOR OWNER全部(只有子文件来及文件) IIS_WPG (该文件夹，子文件夹及文件)

读取和运行 列出文件夹目录

读取

Power Users(该文件夹，子文件夹及文件)

修改权限

SYSTEM全部(该文件夹，子文件夹及文件) TERMINAL SERVER USER (该文件夹，子文件夹及文件)

第 32 页 共 92 页

Http://www.xiugoo.cn 美国服务器热销中

Win2003服务器安全配置技巧

修改权限

2、网站及虚拟机权限设置(比如网站在E盘)

说明：我们假设网站全部在E盘wwwsite目录下，并且为每一个虚拟机创建了一个guest用户，用户名为vhost1...vhostn并且创建了一个webuser组，把所有的vhost用户全部

加入这个webuser组里面方便管理

E:\\

Administrators全部(该文件夹，子文件夹及文件)

E:\\wwwsite

Administrators全部(该文件夹，子文件夹及文件)

system全部(该文件夹，子文件夹及文件) service全部(该文件夹，子文件夹及文件)

E:\\wwwsite\\vhost1

Administrators全部(该文件夹，子文件夹及文件)

system全部(该文件夹，子文件夹及文件) vhost1全部(该文件夹，子文件夹及文件)

3、数据备份盘

数据备份盘最好只指定一个特定的用户对它有完全操作的权限 比如F盘为数据备份盘，我们只指定一个管理员对它有完全操作的权限

4、其它地方的权限设置

请找到c盘的这些文件，把安全性设置只有特定的管理员有完全操作权限

下列这些文件只允许administrators访问

net.exe net1.exet cmd.exe tftp.exe netstat.exe regedit.exe at.exe attrib.exe cacls.exe format.com

5.删除c:\\inetpub目录，删除iis不必要的映射，建立陷阱帐号，更改描述

第三招：禁用不必要的服务，提高安全性和系统效率

Computer Browser 维护网络上计算机的最新列表以及提供这个列表

Task scheduler 允许程序在指定时间运行

第 33 页 共 92 页

Http://www.xiugoo.cn 美国服务器热销中

Win2003服务器安全配置技巧

Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务

Removable storage 管理可移动媒体、驱动程序和库 Remote Registry Service 允许远程注册表操作

Print Spooler 将文件加载到内存中以便以后打印。要用打印机的朋友不能禁用这项 IPSEC Policy Agent 管理IP安全策略以及启动ISAKMP/OakleyIKE)和IP安全驱动程序 Distributed Link Tracking Client 当文件在网络域的NTFS卷中移动时发送通知

Com+ Event System 提供事件的自动发布到订阅COM组件

Alerter 通知选定的用户和计算机管理警报

Error Reporting Service 收集、存储和向 Microsoft 报告异常应用程序 Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息

Telnet 允许远程用户登录到此计算机并运行程序

第四招:修改注册表，让系统更强壮

1、隐藏重要文件/目录可以修改注册表实现完全隐藏：HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\ Windows\\ Current-Version\\Explorer\\Advanced\\Folder\\Hi-dden\\SHOWALL”，鼠标右击 “CheckedValue”，

选择修改，把数值由1改为0

2、启动系统自带的Internet连接_blank\防火墙，在设置服务选项中勾选Web服务器。

3、防止SYN洪水攻击

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Tcpip\\Parameters

新建DWORD值，名为SynAttackProtect，值为2

EnablePMTUDiscovery REG_DWORD 0 NoNameReleaseOnDemand REG_DWORD 1 EnableDeadGWDetect REG_DWORD 0 KeepAliveTime REG_DWORD 300,000 PerformRouterDiscovery REG_DWORD 0 EnableICMPRedirects REG_DWORD 0 4. 禁止响应ICMP路由通告报文

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Tcpip\\Parameters\\Interface

s\\interface

新建DWORD值，名为PerformRouterDiscovery 值为0

5. 防止ICMP重定向报文的攻击

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Tcpip\\Parameters

将EnableICMPRedirects 值设为0

6. 不支持IGMP协议

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Tcpip\\Parameters

第 34 页 共 92 页

Http://www.xiugoo.cn 美国服务器热销中

Win2003服务器安全配置技巧

新建DWORD值，名为IGMPLevel 值为0

7.修改终端服务端口

运行regedit，找到[HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Control \\ Terminal Server \\ Wds \\ rdpwd \\ Tds \\ tcp]，看到右边的PortNumber了吗？在十进制

状态下改成你想要的端口号吧，比如7126之类的，只要不与其它冲突即可。 2、第二处HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Control \\ Terminal Server \\ WinStations \\ RDP-Tcp，方法同上，记得改的端口号和上面改的一样就行了。

8、禁止IPC空连接：

cracker可以利用net use命令建立空连接，进而入侵，还有net view，nbtstat这些都是基于空连接的，禁止空连接就好了。打开注册表，找到Local_Machine\\System\\ CurrentControlSet\\Control\\LSA-RestrictAnonymous 把这个值改成”1”即可。

9、更改TTL值

cracker可以根据ping回的TTL值来大致判断你的操作系统，如：

TTL=107(WINNT); TTL=108(win2000); TTL=127或128(win9x); TTL=240或241(linux); TTL=252(solaris); TTL=240(Irix);

实际上你可以自己更改的：HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\ Tcpip\\Parameters：DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)改成一个莫名其妙的数字如258，起码让那些小菜鸟晕上半天，就此放弃入侵你也不一定哦

10. 删除默认共享

有人问过我一开机就共享所有盘，改回来以后，重启又变成了共享是怎么回事，这是2K

为管理而设置的默认共享，必须通过修改注册表的方式取消它：

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\LanmanServer\\Parameters：

AutoShareServer类型是REG_DWORD把值改为0即可

11. 禁止建立空连接

默认情况下，任何用户通过通过空连接连上服务器，进而枚举出帐号，猜测密码。我们可

以通过修改注册表来禁止建立空连接：

Local_Machine\\System\\CurrentControlSet\\Control\\LSA-RestrictAnonymous 的值改

成”1”即可。 第五招:其它安全手段 1.禁用TCP/IP上的NetBIOS

网上邻居-属性-本地连接-属性-Internet协议（TCP/IP）属性-高级-WINS面板-NetBIOS

第 35 页 共 92 页

Http://www.xiugoo.cn 美国服务器热销中

Win2003服务器安全配置技巧

·卸载最不安全的组件

运行\卸载最不安全的组件.bat\，重启后更名或删掉Windows\\System32\\里的

wshom.ocx和shell32.dll

----------------卸载最不安全的组件.bat-----------------

regsvr32/u %SystemRoot%\\System32\\wshom.ocx regsvr32/u %SystemRoot%\\System32\\shell32.dll regsvr32/u %SystemRoot%\\System32\\wshext.dll -------------------------------------------------------

·Windows日志的移动

打开\

Application 子项：应用程序日志

Security 子项：安全日志 System 子项：系统日志

分别更改子项的File键值，再把System32\\config目录下的AppEvent.Evt、

SecEvent.Evt、SysEvent.Evt复制到目标文件夹，重启。

·Windows日志的保护

1、移动日志后的文件夹→属性→安全→高级→去掉\允许父系的继承权限??\

制→确定

2、保留System账户和User组，System账户保留除完全控制和修改之外的权限，

User组仅保留只读权限

3、AppEvent.Evt、SysEvent.Evt保留Administrator、System账户和User组，Administrator、System账户保留除完全控制和修改之外的权 限，User组仅保留只读权

限；

DnsEvent.Evt、SecEvent.Evt保留System账户和User组，System账户保留除完全

控制和修改之外的权限，User组仅保留只读权限

·要手动停止/禁用的服务：Computer Browser、Error reporting service、

第 41 页 共 92 页

Http://www.xiugoo.cn 美国服务器热销中

Win2003服务器安全配置技巧

Microsoft Serch、Print Spooler、Remote Registry、Server 、TCP/IP NetBIOS

Helper、Workstation

·解决在 IIS 6.0 中，无法下载超过4M的附件（现改为10M）

停止IIS服务→打开WINDOWS\\system32\\inetsrv\\→记事本打开MetaBase.xml→找

到 AspBufferingLimit 项→值改为 10485760

·设置Web上传单个文件最大值为10 MB

停止IIS服务→打开WINDOWS\\system32\\inetsrv\\→记事本打开MetaBase.xml→找

到 AspMaxRequestEntityAllowed 项→值改为 10485760

·重新定位和设置 IIS 日志文件的权限

1、将 IIS 日志文件的位置移动到非系统分区：在非系统的NTFS分区新建一文件夹→打开 IIS 管理器→右键网站→属性→单击\启用日志 记录\框架中的\属性\

才创建的文件夹

2、设置 IIS 日志文件的权限：浏览至日志文件所在的文件夹→属性→安全→确保

Administrators和System的权限设置为\完全控制\

·配置 IIS 元数据库权限

打开 Windows\\System32\\Inetsrv\\MetaBase.xml 文件→属性→安全→确认只有 Administrators 组的成员和 LocalSystem 帐户拥有对元 数据库的完全控制访问权，删除

所有其他文件权限→确定

解释 Web 内容的权限

打开IIS管理器→右键想要配置的网站的文件夹、网站、目录、虚拟目录或文件

脚本源文件访问，用户可以访问源文件。如果选择\读\，则可以读源文件；如果选择\写\，则可以写源文件。脚本源访问包括脚本的源代码 。如果\读\或\写\均未选择，则

此选项不可用。

第 42 页 共 92 页

Http://www.xiugoo.cn 美国服务器热销中

Win2003服务器安全配置技巧

读（默认情况下选择）：用户可以查看目录或文件的内容和属性。

写：用户可以更改目录或文件的内容和属性。

目录浏览：用户可以查看文件列表和集合。

日志访问：对网站的每次访问创建日志项。

检索资源：允许检索服务检索此资源。这允许用户搜索资源。

·关闭自动播放

运行组策略编辑器（gpedit.msc）→计算机配置→管理模板→系统→关闭自动播放

→属性→已启用→所有驱动器

·禁用DCOM

运行Dcomcnfg.exe。控制台根节点→组件服务→计算机→右键单击“我的电脑”→属

性”→默认属性”选项卡→清除“在这台计算机上启用分布式 COM”复选框。

·启用父路径

IIS管理器→右键网站→属性→主目录→配置→选项→启用父路径

·IIS 6.0 系统无任何动作超时时间和脚本超时时间

IIS管理器→右键网站→属性→主目录→配置→选项→分别改为40分钟和180秒

·删除不必要的IIS扩展名映射

IIS管理器→右击Web站点→属性→主目录→配置→映射，去掉不必要的应用程序

映射，主要为.shtml, .shtm, .stm

·增加IIS对MIME文件类型的支持

第 43 页 共 92 页

Http://www.xiugoo.cn 美国服务器热销中

Win2003服务器安全配置技巧

IIS管理器→选择服务器→右键→属性→MIME类型（或者右键web站点→属性→HTTP头→MIME类型→新建）添加如下表内容，然后重启IIS，扩展名MIME类型

.iso application/octet-stream.rmvb application/vnd.rn-realmedia

·禁止dump file的产生

我的电脑→右键→属性→高级→启动和故障恢复→写入调试信息→无。

dump文件在系统崩溃和蓝屏的时候是一份很有用的查找问题的资料(不然我就照字面意思翻译成垃圾文件了)。然而，它也能够给黑客提供 一些敏感信息比如一些应用程序

的密码等。

三、Serv-U FTP服务的设置

·本地服务器→设置→拦截\攻击和FXP

对于60秒内连接超过10次的用户拦截5分钟

·本地服务器→域→用户→选中需要设置的账号→右边的\同一IP只允许2个登录\

·本地服务器→域→设置→高级→取消\允许MDTM命令来更改文件的日期/时间\

设置Serv-U程序所在的文件夹的权限，Administrator组完全控制，禁止Guests

组和IIS匿名用户有读取权限

服务器消息，自上而下分别改为：

服务器工作正常，现已准备就绪...错误！请与管理员联系！FTP服务器正在离线维护中，请稍后再试！FTP服务器故障，请稍后再试！当前账户达到最大用户访问数，请稍后再试！很抱歉，服务器不允许匿名访问！您上传的东西太少，请上传更多第 44 页 共 92 页

Http://www.xiugoo.cn 美国服务器热销中

Win2003服务器安全配置技巧

东西后再尝试下载！

四、SQL安全设置

审核指向SQL Server的连接

企业管理器→展开服务器组→右键→属性→安全性→失败

修改sa账户密码

企业管理器→展开服务器组→安全性→登录→双击sa账户

SQL查询分析器

use master exec sp_dropextendedproc xp_cmdshell exec sp_dropextendedproc xp_dirtreeexec sp_dropextendedproc xp_enumgroupsexec sp_dropextendedproc xp_fixeddrivesexec sp_dropextendedproc xp_loginconfigexec sp_dropextendedproc xp_enumerrorlogsexec sp_dropextendedproc xp_getfiledetailsexec sp_dropextendedproc Sp_OACreate exec sp_dropextendedproc Sp_OADestroy exec sp_dropextendedproc Sp_OAGetErrorInfo exec sp_dropextendedproc Sp_OAGetProperty exec sp_dropextendedproc Sp_OAMethod exec sp_dropextendedproc Sp_OASetProperty exec sp_dropextendedproc Sp_OAStop exec sp_dropextendedproc Xp_regaddmultistring exec sp_dropextendedproc Xp_regdeletekey exec sp_dropextendedproc Xp_regdeletevalue exec sp_dropextendedproc Xp_regenumvalues exec sp_dropextendedproc Xp_regread exec sp_dropextendedproc Xp_regremovemultistring exec sp_dropextendedproc Xp_regwrite drop procedure 第 45 页 共 92 页

Http://www.xiugoo.cn 美国服务器热销中

Win2003服务器安全配置技巧

sp_makewebtask 坚不可摧 Win2003 Server安全配置完整篇

一、先关闭不需要的端口 我比较小心，先关了端口。只开了3389、21、80、1433，有些人一直说什么默认的3389不安全，对此我不否认，但是利用的途径也只能一个一个的穷举爆破，你把帐号改了密码设置为十五六位，我估计他要破上好几年，哈哈！办法：本地连接--属性--Internet协议（TCP/IP）--高级--选项--TCP/IP筛选--属性--把勾

打上，然后添加你需要的端口即可。PS一句：设置完端口需要重新启动！

第 46 页 共 92 页

Http://www.xiugoo.cn 美国服务器热销中

Win2003服务器安全配置技巧

当然大家也可以更改远程连接端口方法： Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE \\ SYSTEM\\ Current ControlSet \\ Control \\ Terminal

Server\\WinStations\\RDP-Tcp] \

保存为.REG文件双击即可！更改为9859，当然大家也可以换别的端口，直接打开以上

注册表的地址，把值改为十进制的输入你想要的端口即可！重启生效！

还有一点，在2003系统里，用TCP/IP筛选里的端口过滤功能，使用FTP服务器的时候，只开放21端口，在进行FTP传输的时候，FTP 特有的Port模式和Passive模式，在进行数据传输的时候，需要动态的打开高端口，所以在使用TCP/IP过滤的情况下，经常会出现连接上后无法列出目录和数据传输的问题。所以在2003系统上增加的Windows连接防

第 47 页 共 92 页

Http://www.xiugoo.cn 美国服务器热销中

Win2003服务器安全配置技巧

火墙能很好的解决这个问题，不推荐使用网卡的TCP/IP过滤功能。

做FTP下载的用户看仔细，如果要关闭不必要的端口，在

\\system32\\drivers\\etc\\services中有列表，记事本就可以打开的。如果懒的话，最简单

的方法是启用WIN2003的自身带的网络防火墙，并进行端口的改变。功能还可以！ Internet 连接防火墙可以有效地拦截对Windows 2003服务器的非法入侵，防止非法远程主机对服务器的扫描，提高Windows 2003服务器的安全性。同时，也可以有效拦截利用操作系统漏洞进行端口攻击的病毒，如冲击波等蠕虫病毒。如果在用Windows 2003构造

的虚拟路由器上启用此防火墙功能，能够对整个内部网络起到很好的保护作用。

关闭不必要端口- 关闭不需要的服务- 磁盘权限设置- SQL2000安全设置- IIS安全设置-

二.关闭不需要的服务 打开相应的审核策略

我关闭了以下的服务

Computer Browser 维护网络上计算机的最新列表以及提供这个列表

Task scheduler 允许程序在指定时间运行

Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息 Distributed File System: 局域网管理共享文件，不需要禁用

第 48 页 共 92 页

Http://www.xiugoo.cn 美国服务器热销中

Win2003服务器安全配置技巧

Distributed linktracking client：用于局域网更新连接信息，不需要禁用

Error reporting service：禁止发送错误报告 Microsoft Serch：提供快速的单词搜索，不需要可禁用

NTLMSecuritysupportprovide：telnet服务和Microsoft Serch用的，不需要禁用

PrintSpooler：如果没有打印机可禁用 Remote Registry：禁止远程修改注册表

Remote Desktop Help Session Manager：禁止远程协助 Workstation关闭的话远程NET命令列不出用户组

把不必要的服务都禁止掉，尽管这些不一定能被攻击者利用得上，但是按照安全规则

和标准上来说，多余的东西就没必要开启，减少一份隐患。

在\网络连接\里，把不需要的协议和服务都删掉，这里只安装了基本的Internet协议（TCP/IP），由于要控制带宽流量服务，额外安装了Qos数据包计划程序。在高级tcp/ip

设置里--\设置\禁用tcp/IP上的NetBIOS（S）\。在高级选项里，使用\连接防火墙\，这是windows 2003 自带的防火墙，在2000系统里没有的功能，

第 49 页 共 92 页

Http://www.xiugoo.cn 美国服务器热销中

Win2003服务器安全配置技巧

虽然没什么功能，但可以屏蔽端口，这样已经基本达到了一个IPSec的功能。

在运行中输入gpedit.msc回车，打开组策略编辑器，选择计算机配置-Windows设置-安全设置-审核策略在创建审核项目时需要注意的是如果审核的项目太多，生成的事件也就越多，那么要想发现严重的事件也越难当然如果审核的太少也会影响你发现严重的事件，你需要根据情况在这二者之间做出选择。

推荐的要审核的项目是： 登录事件 账户登录事件 系统事件 策略更改 对象访问 目录服务访问 特权使用

三、关闭默认共享的空连接 地球人都知道，我就不多说了！ 四、磁盘权限设置

C盘只给administrators和system权限，其他的权限不给，其他的盘也可以这样设置，这里给的system权限也不一定需要给，只是由于某些第三方应用程序是以服务形式启动的，需要加上这个用户，否则造成启动不了。

Windows目录要加上给users的默认权限，否则ASP和ASPX等应用程序就无法运行。以前有朋友单独设置Instsrv和temp等目录权限，其实没有这个必要的。

第 50 页 共 92 页

Http://www.xiugoo.cn 美国服务器热销中

本文来源：https://www.bwwdw.com/article/f6so.html