win2003 服务器安全设置教程(权限与本地策略)
服务器安全设置
1、系统盘和站点放置盘必须设置为NTFS格式,方便设置权限。
2、系统盘和站点放置盘除administrators 和system的用户权限全部去除。
3、启用windows自带防火墙,只保留有用的端口,比如远程和Web、Ftp(3389、80、21)等等,有邮件服务器的还要打开25和130端口。
4、安装好SQL后进入目录搜索 xplog70 然后将找到的三个文件改名或者删除。
5、更改sa密码为你都不知道的超长密码,在任何情况下都不要用sa这个帐户。
6、改名系统默认帐户名并新建一个Administrator帐户作为陷阱帐户,设置超长密码,并去掉所有用户组。(就是在用户组那里设置为空即可。让这个帐号不属于任何用户组—样)同样改名禁用掉Guest用户。
7、配置帐户锁定策略(在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略,将账户设为“三次登陆无效”,“锁定时间30分钟”,“复位锁定计数设为30分钟”。)
8、在安全设置里本地策略-安全选项将
网络访问:可匿名访问的共享;
网络访问:可匿名访问的命名管道;
网络访问:可远程访问的注册表路径;
网络访问:可远程访问的注册表路径和子路径;
以上四项清空。
9、在安全设置里 本地策略-安全选项 通过终端服务拒绝登陆 加入
以下为引用的内容:
ASPNET
Guest
IUSR_*****
IWAM_*****
NETWORK SERVICE
SQLDebugger
(****表示你的机器名,具体查找可以点击 添加用户或组 选 高级 选 立即查找 在底下列出的用户列表里选择. 注意不要添加进user组和administrators组 添加进去以后就没有办法远程登陆了。)
10、去掉默认共享,将以下文件存为reg后缀,然后执行导入即可。
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"AutoShareServer"=dword:00000000
"AutoSharewks"=dword:00000000
11、 禁用不需要的和危险的服务,以下列出服务都需要禁用。
Alerter 发送管理警报和通知
Computer Browser:维护网络计算机更新
Distributed File System: 局域网管理共享文件
Distributed linktracking client 用于局域网更新连接信息
Error reporting service 发送错误报告
Remote Procedure Call (RPC) Locator RpcNs*远程过程调用 (RPC)
Remote Registry 远程修改注册表
Removable storage 管理可移动媒体、驱动程序和库
Remote Desktop Help Session Manager 远程协助
Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务
Messenger 消息文件传输服务
Net Logon 域控制器通道管理
NTLMSecuritysupportprovide telnet服务和Microsoft Serch用的
PrintSpooler 打印服务
telnet telnet服务
Workstation 泄漏系统用户名列表
12、更改本地安全策略的审核策略
账户管理 成功 失败
登录事件 成功 失败
对象访问 失败
策略更改 成功 失败
特权使用 失败
系统事件 成功 失败
目录服务访问 失败
账户登录事件 成功 失败
13、更改有可能会被提权利用的文件运行权限,找到以下文件,将其安全设置里除administrators用户组全部删除,重要的是连system也不要留。
net.exe
net1.exe
cmd.exe
tftp.exe
netstat.exe
regedit.exe
at.exe
attrib.exe
cacls.exe
format.com
c.exe 特殊文件 有可能在你的计算机上找不到此文件。
在搜索框里输入
"net.exe","net1.exe","cmd.exe","tftp.exe","netstat.exe","regedit.exe","at.exe","attrib.exe","cacls.exe","format.com","c.exe"
点击搜索 然后全选 右键 属性 安全
以上这点是最最重要的一点了,也是最最方便减少被提权和被破坏的可能的防御方法了。
14、后备工作,将当前服务器的进程抓图或记录下来,将其保存,方便以后对照查看是否有不明的程序。将当前开放的端口抓图或记录下来,保存,方便以后对照查看是否开放了不明的端口。当然如果你能分辨每一个进程,和端口这一步可以省略。
相关文章
- 这篇文章主要为大家详细介绍了uploader秒传图片到服务器的完整代码,具有一定的参考价值,感兴趣的小伙伴们可以参考一下...2017-04-27
- 这篇文章主要以图文结合的方式详细介绍了本地Windows 78上IIS服务器搭建教程,具有一定的参考价值,感兴趣的小伙伴们可以参考一下 ...2017-07-06
- 这篇文章主要介绍了win2003 开通VPN服务教程,需要的朋友可以参考下...2016-01-27
- 应一个朋友要求写了这个批处理程序,主要用途就是在win32系统中方便停止、开启、重启IIS、MySQL服务。 ...2016-01-27
- 你的网站是不是常常被黑,或者一不注意就成了黑客的“肉鸡”?对于Web网站服务器来说,如果不进行安全设置,很容易被黑客“盯上”,随时都有被入侵的危险。...2016-01-27
- Nginx ("engine x") 是一个高性能的 HTTP 和反向代理服务器,也是一个 IMAPPOP3SMTP 代理服务器。...2016-01-27
- Windows 2000系统中的远程终端服务是一项功能非常强大的服务,同时也成了入侵者长驻主机的通道,入侵者可以利用一些手段得到管理员账号和密码并入侵主机。...2016-01-27
win2003 服务器安全设置教程(权限+防火墙)第1/3页
win2003 服务器安全设置教程(权限+防火墙) ...2016-01-27- 有时候我们需要新增加一些用户,又怕被黑客利用,我们就可以设置禁止这些用户登录服务器...2016-01-27
- 安全配置和分析概述“安全配置和分析”是分析和配置本地系统安全性的一个工具。...2016-01-27
win2003 iis 不支持请求(iis iso)的解决方法分析
今天有网友说,本站提供的文件无法下载,我看了一下,是iso文件,访问时提示不支持请求,原来iis默认不支持一些格式的下载,下面是通用的解决思路。...2016-01-27关于Window Server2008 服务器上无法播放音频文件和FLV视频文件
这篇文章主要介绍了关于Window Server2008 服务器上无法播放音频文件和FLV视频文件的相关资料,需要的朋友可以参考下...2016-01-27- 最近有个客户反映他的服务器感觉受到暴力破解,网站中的数据怀疑被劫持了,怀疑服务器可能被黑客控制了,这里介绍下如何防止暴力破解...2016-01-27
- 众所周知,在windows下当Apache第 一次被安装为服务后,它会以用户“System”(本地系统账号)运行。...2016-01-27
- 检测AC是否放行成功,是否可以访问公网阿里云服务器。下面给大家分享JS检测是否可以访问公网服务器功能代码,需要的的朋友参考下吧...2017-06-24
- 对于win2003服务器的安全设置,对于新手一般是个问题,但下面的这篇文章对于服务器的设置的一些常见技巧处理的比较好。...2016-01-27
windows server 2008 服务器安全设置初级配置
这里为大家分享的是windows server 2008 服务器安全设置初级配置,基本上最基本上的东西都包括了,需要的朋友可以参考下...2017-07-06- 今天帮一客户配置他的64位windows 2003下的php运行环境的时候.发现的这个问题,通过以下方法解决,特分享下,方便需要的朋友...2016-01-27
- 但是Web服务器在配置方面很灵活,网关可以故意弄乱文件类型来隐藏关于所有技术方面的信息。识别服务器也是一门艺术,比如Java服务器所使用的服务页面(jsp)这种文件类...2016-01-27
win2003+IIS服务器下运行ASP+ACCESS非常慢的解决方法
win2003+IIS上运行ASP+ACCESS,非常缓慢,只要运行=now()都非常慢,同样的问题,有很多朋友遇到,下面与大家分享下正确的解决方法...2016-01-27