windows server2003是目前最為成熟的網絡服務器平臺，安全性相對于windows 2000有大大的提高,但是2003默認的安全配置不一定適合我們的需要，所以，我們要根據實際情況來對win2003進行全面安全配置。說實話，安全配置是一項比較有難度的網絡技術，權限配置的太嚴格，好多程序又運行不起，權限配置的太松，又很容易被黑客入侵，做為網絡管理員，真的很頭痛，因此，我結合這幾年的網絡安全管理經驗，總結出以下一些方法來提高我們服務器的安全性。 

第一招：正確劃分文件系統(tǒng)格式，選擇穩(wěn)定的操作系統(tǒng)安裝盤 

為了提高安全性，服務器的文件系統(tǒng)格式一定要劃分成NTFS（新技術文件系統(tǒng)）格式，它比FAT16、FAT32的安全性、空間利用率都大大的提高，我們可以通過它來配置文件的安全性，磁盤配額、EPS文件加密等。如果你已經分成FAT32的格式了，可以用CONVERT 盤符 /FS：NTFS /V 來把FAT32轉換成NTFS格式。正確安裝windows 2003 server,在網安聯盟http://cqhk.14023.com/Soft/yyrj/bigsoft/200504/502.asp>有windows 2003的企業(yè)可升級版，這個一個完全破解了的版本，可以直接網上升級,我們安裝時盡量只安裝我們必須要用的組件，安裝完后打上最新的補丁，到網上升級到最新版本！保證操作系統(tǒng)本身無漏洞。 

第二招：正確設置磁盤的安全性,具體如下(虛擬機的安全設置，我們以asp程序為例子)重點： 

1、系統(tǒng)盤權限設置 

C:分區(qū)部分： 

c:\ 

administrators 全部(該文件夾，子文件夾及文件) 

CREATOR OWNER 全部(只有子文件來及文件) 

system 全部(該文件夾，子文件夾及文件) 

IIS_WPG 創(chuàng)建文件/寫入數據(只有該文件夾) 

IIS_WPG(該文件夾，子文件夾及文件) 

遍歷文件夾/運行文件 

列出文件夾/讀取數據 

讀取屬性 

創(chuàng)建文件夾/附加數據 

讀取權限 



c:\Documents and Settings 

administrators 全部(該文件夾，子文件夾及文件) 

Power Users (該文件夾，子文件夾及文件) 

讀取和運行 

列出文件夾目錄 

讀取 

SYSTEM全部(該文件夾，子文件夾及文件) 



C:\Program Files 

administrators 全部(該文件夾，子文件夾及文件) 

CREATOR OWNER全部(只有子文件來及文件) 

IIS_WPG (該文件夾，子文件夾及文件) 

讀取和運行 

列出文件夾目錄 

讀取 

Power Users(該文件夾，子文件夾及文件) 

修改權限 

SYSTEM全部(該文件夾，子文件夾及文件) 

TERMINAL SERVER USER (該文件夾，子文件夾及文件) 

修改權限 



2、網站及虛擬機權限設置(比如網站在E盤) 

說明：我們假設網站全部在E盤wwwsite目錄下，并且為每一個虛擬機創(chuàng)建了一個guest用戶，用戶名為vhost1...vhostn并且創(chuàng)建了一個webuser組，把所有的vhost用戶全部加入這個webuser組里面方便管理 

E:\ 

Administrators全部(該文件夾，子文件夾及文件) 

E:\wwwsite 



Administrators全部(該文件夾，子文件夾及文件) 

system全部(該文件夾，子文件夾及文件) 

service全部(該文件夾，子文件夾及文件) 



E:\wwwsite\vhost1 

Administrators全部(該文件夾，子文件夾及文件) 

system全部(該文件夾，子文件夾及文件) 

vhost1全部(該文件夾，子文件夾及文件) 



3、數據備份盤 

數據備份盤最好只指定一個特定的用戶對它有完全操作的權限 

比如F盤為數據備份盤，我們只指定一個管理員對它有完全操作的權限 



4、其它地方的權限設置 

請找到c盤的這些文件，把安全性設置只有特定的管理員有完全操作權限 

下列這些文件只允許administrators訪問 

net.exe 

net1.exet 

cmd.exe 

tftp.exe 

netstat.exe 

regedit.exe 

at.exe 

attrib.exe 

cacls.exe 

format.com 

5.刪除c:\inetpub目錄，刪除iis不必要的映射，建立陷阱帳號，更改描述 

第三招：禁用不必要的服務，提高安全性和系統(tǒng)效率 

Computer Browser 維護網絡上計算機的最新列表以及提供這個列表 

�牐燭ask scheduler 允許程序在指定時間運行 

�牐燫outing and Remote Access 在局域網以及廣域網環(huán)境中為企業(yè)提供路由服務 

�牐燫emovable storage 管理可移動媒體、驅動程序和庫 

�牐燫emote Registry Service 允許遠程注冊表操作 

�牐燩rint Spooler 將文件加載到內存中以便以后打印。要用打印機的朋友不能禁用這項 

�牐營PSEC Policy Agent 管理IP安全策略以及啟動ISAKMP/OakleyIKE)和IP安全驅動程序 

�牐燚istributed Link Tracking Client 當文件在網絡域的NTFS卷中移動時發(fā)送通知 

�牐燙om+ Event System 提供事件的自動發(fā)布到訂閱COM組件 

Alerter 通知選定的用戶和計算機管理警報 

Error Reporting Service 收集、存儲和向 Microsoft 報告異常應用程序 

Messenger 傳輸客戶端和服務器之間的 NET SEND 和 警報器服務消息 

Telnet 允許遠程用戶登錄到此計算機并運行程序 

第四招:修改注冊表，讓系統(tǒng)更強壯 

1、隱藏重要文件/目錄可以修改注冊表實現完全隱藏：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”，鼠標右擊 “CheckedValue”，選擇修改，把數值由1改為0 

2、啟動系統(tǒng)自帶的Internet連接_blank">防火墻，在設置服務選項中勾選Web服務器。 

3、防止SYN洪水攻擊 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 

新建DWORD值，名為SynAttackProtect，值為2 

EnablePMTUDiscovery REG_DWORD 0 

NoNameReleaseOnDemand REG_DWORD 1 

EnableDeadGWDetect REG_DWORD 0 

KeepAliveTime REG_DWORD 300,000 

PerformRouterDiscovery REG_DWORD 0 

EnableICMPRedirects REG_DWORD 0 

4. 禁止響應ICMP路由通告報文 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface 

新建DWORD值，名為PerformRouterDiscovery 值為0 

5. 防止ICMP重定向報文的攻擊 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 

將EnableICMPRedirects 值設為0 

6. 不支持IGMP協議 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 

新建DWORD值，名為IGMPLevel 值為0 

7.修改終端服務端口 

運行regedit，找到[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ Wds \ rdpwd \ Tds \ tcp]，看到右邊的PortNumber了嗎？在十進制狀態(tài)下改成你想要的端口號吧，比如7126之類的，只要不與其它沖突即可。 

2、第二處HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp，方法同上，記得改的端口號和上面改的一樣就行了。 

8、禁止IPC空連接： 

cracker可以利用net use命令建立空連接，進而入侵，還有net view，nbtstat這些都是基于空連接的，禁止空連接就好了。打開注冊表，找到Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 把這個值改成”1”即可。 

9、更改TTL值 

cracker可以根據ping回的TTL值來大致判斷你的操作系統(tǒng)，如： 

TTL=107(WINNT); 

TTL=108(win2000); 

TTL=127或128(win9x); 

TTL=240或241(linux); 

TTL=252(solaris); 

TTL=240(Irix); 

實際上你可以自己更改的：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters：DefaultTTL REG_DWORD 0-0xff(0-255 十進制,默認值128)改成一個莫名其妙的數字如258，起碼讓那些小菜鳥暈上半天，就此放棄入侵你也不一定哦 

10. 刪除默認共享 
有人問過我一開機就共享所有盤，改回來以后，重啟又變成了共享是怎么回事，這是2K為管理而設置的默認共享，必須通過修改注冊表的方式取消它：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters：AutoShareServer類型是REG_DWORD把值改為0即可 

11. 禁止建立空連接 

默認情況下，任何用戶通過通過空連接連上服務器，進而枚舉出帳號，猜測密碼。我們可以通過修改注冊表來禁止建立空連接： 

Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成”1”即可。 

第五招:其它安全手段 

1.禁用TCP/IP上的NetBIOS 
網上鄰居-屬性-本地連接-屬性-Internet協議（TCP/IP）屬性-高級-WINS面板-NetBIOS設置-禁用TCP/IP上的NetBIOS。這樣cracker就無法用nbtstat命令來讀取你的NetBIOS信息和網卡MAC地址了。 

2. 賬戶安全 
首先禁止一切賬戶，除了你自己，呵呵。然后把Administrator改名。我呢就順手又建了個Administrator賬戶，不過是什么權限都沒有的那種，然后打開記事本，一陣亂敲，復制，粘貼到“密碼”里去，呵呵，來破密碼吧~！破完了才發(fā)現是個低級賬戶，看你崩潰不？ 

創(chuàng)建2個管理員用帳號 

雖然這點看上去和上面這點有些矛盾，但事實上是服從上面的規(guī)則的。 創(chuàng)建一個一般權限帳號用來收信以及處理一些*常事物，另一個擁有Administrators 權限的帳戶只在需要的時候使用。可以讓管理員使用 “ RunAS” 命令來執(zhí)行一些需要特權才能作的一些工作，以方便管理 

3.更改C:\WINDOWS\Help\iisHelp\common\404b.htm內容改為<META HTTP-EQUIV=REFRESH CONTENT="0;URL=/;">這樣，出錯了自動轉到首頁 

4. 安全日志 

我遇到過這樣的情況，一臺主機被別人入侵了，系統(tǒng)管理員請我去追查兇手，我登錄進去一看：安全日志是空的，倒，請記�。篧in2000的默認安裝是不開任何安全審核的！那么請你到本地安全策略->審核策略中打開相應的審核，推薦的審核是： 

賬戶管理 成功 失敗 

登錄事件 成功 失敗 

對象訪問 失敗 

策略更改 成功 失敗 

特權使用 失敗 

系統(tǒng)事件 成功 失敗 

目錄服務訪問 失敗 

賬戶登錄事件 成功 失敗 

審核項目少的缺點是萬一你想看發(fā)現沒有記錄那就一點都沒轍；審核項目太多不僅會占用系統(tǒng)資源而且會導致你根本沒空去看，這樣就失去了審核的意義 

5. 運行防毒軟件 

我見過的Win2000/Nt服務器從來沒有見到有安裝了防毒軟件的，其實這一點非常重要。一些好的殺毒軟件不僅能殺掉一些著名的病毒，還能查殺大量木馬和后門程序。這樣的話，“黑客”們使用的那些有名的木馬就毫無用武之地了。不要忘了經常升級病毒庫,我們推薦mcafree殺毒軟件+blackice_blank">防火墻 

6.sqlserver數據庫服務器安全和serv-u ftp服務器安全配置，更改默認端口，和管理密碼 

7.設置ip篩選、用blackice禁止木馬常用端口 

一般禁用以下端口 

135 138 139 443 445 4000 4899 7626 

8.本地安全策略和組策略的設置,如果你在設置本地安全策略時設置錯了，可以這樣恢復成它的默認值. 

打開 %SystemRoot%\Security文件夾,創(chuàng)建一個 "OldSecurity"子目錄,將%SystemRoot%\Security下所有的.log文件移到這個新建的子文件夾中. 



在%SystemRoot%\Security\database\下找到"Secedit.sdb"安全數據庫并將其改名,如改為"Secedit.old". 



啟動"安全配置和分析"MMC管理單元:"開始"->"運行"->"MMC",啟動管理控制臺,"添加/刪除管理單元",將"安全配置和分析"管理單元添加上. 



右擊"安全配置和分析"->"打開數據庫",瀏覽"C:\WINNT\security\Database"文件夾,輸入文件名"secedit.sdb",單擊"打開". 



當系統(tǒng)提示輸入一個模板時,選擇"Setup Security.inf",單擊"打開". 



如果系統(tǒng)提示"拒絕訪問數據庫",不管他. 



你會發(fā)現在"C:\WINNT\security\Database"子文件夾中重新生成了新的安全數據庫,在"C:\WINNT\security"子文件夾下重新生成了log文件.安全數據庫重建成功. 


上一條： 什么是SEO 做網站SEO對網站有什么好處
下一條： 淺談影響博百優(yōu)優(yōu)化的百度因素