最详细的windows 2003 server安全配置
网上流传的很多关于windows server 2003系统的安全配置,但是仔细分析下发现很多都不全面,并且很多仍然配置的不够合理,并且有很大的安全隐患,今天我决定仔细做下极端BT2003服务器的安全配置,让更多的网管朋友高枕无忧。
      我们配置的服务器需要提供支持的组件如下:(ASPASPXCGIPHPFSOJMAILMySqlSMTPPOP3FTP3389终端服务、远程桌面Web连接管理服务等),这里前提是已经安装好了系统,IIS,包括FTP服务器,邮件服务器等,这些具体配置方法的就不再重复了,现在我们着重主要阐述下关于安全方面的配置。
      硬盘目录权限设置
      先说关于系统的NTFS磁盘权限设置,大家可能看得都多了,但是2003服务器有些细节地方需要注意的,我看很多文章都没写完全。
      C盘只给administrators system权限,其他的权限不给,其他的盘也可以这样设置,这里给的system权限也不一定需要给,只是由于某些第三方应用程序是以服务形式启动的,需要加上这个用户,否则造成启动不了。

图片1
      Windows目录要加上给users的默认权限,删除everyone即可。否则ASPASPX高晓松背景等应用程序就无法运行。
     另外在c:/Documents and Settings/这里相当重要,后面的目录里的权限根本不会继承从前的设置,如果仅仅只是设置了C盘给administrators权限,而在All Users/Application Data目录下会 出现everyone用户有完全控制权限,这样入侵这可以跳转到这个目录,写入脚本或只文件,再结合其他漏洞来提升权限;譬如利用serv-u的本地溢出提升权限,或系统遗漏有补丁,数据库的弱点,甚至社会工程学等等N多方法,从前不是有牛人发飑说:只要给我一个webshell,我就能拿到system",这也的确是有可能的。在用做web/ftp服务器的系统里,建议是将这些目录都设置的锁死。其他每个盘的目录都按照这样设置,每个盘都只给adinistrators权限。

图片2

      禁用不必要的服务


      把不必要的服务都禁止掉,尽管这些不一定能被攻击者利用得上,但是按照安全规则和标准上来说,多余的东西就没必要开启,减少一份隐患。
      .禁用中国餐饮Remote Registry服务 [说明:禁止远程连接注册表]
      .禁用task schedule服务    [说明:禁止自动运行程序]
      .禁用server服务           [说明:禁止默认共享]
      .禁用Telnet服务           [说明:禁止telnet远程登陆]
      .禁用workstation服务     [说明:防止一些漏洞和系统敏感信息获取]
      .TCP/IP NetBIOS Helper Service  [服务器不需要开启共享]从来就没有什么救世主

      网络属性用不必要的服务
      网络连接里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP),由于要控制带宽流量服务,额外安装了Qos数据包计划程序。在高级tcp/ip设置里搞笑的表白短信--“NetBIOS”设置禁用tcp/IP上的NetBIOSS。在高级选项里,使用“Internet连接防火墙,这是windows 2003 自带的防火墙,在2000系统里没有的功能,虽然没什么功能,
但可以屏蔽端口,这样已经基本达到了一个上穷碧落下黄泉两处茫茫皆不见IPSec的功能。


图片3

图片5
    这里我们按照所需要的服务开放响应的端口。在2003系统里,不推荐用TCP/IP筛选里的端口过滤功能,譬如在使用FTP服务器的时候,如果仅仅只开放21端口,由于FTP协议的特殊性,在进行FTP传输的时候,由于FTP 特有的Port模式和Passive模式,在进行数据传输的时候,需要动态的打开高端口,所以在使用TCP/IP过滤的情况下,经常会出现连接上后无法列出目录和数据传输的问题。所以在2003系统上增加的windows自动化就业方向连接防火墙能很好
的解决这个问题,所以都不推荐使用网卡的TCP/IP过滤功能。


图片6

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。