Windows 2003服務(wù)器安全設置教程

1、系統盤(pán)和站點(diǎn)放置盤(pán)必須設置為NTFS格式，方便設置權限。

2、系統盤(pán)和站點(diǎn)放置盤(pán)除administrators 和system的用戶(hù)權限全部去除。

3、啟用windows自帶防火墻，只保留有用的端口，比如遠程和Web、Ftp(3389、80、21)等等，有郵件服務(wù)器的還要打開(kāi)25和130端口。

4、安裝好SQL后進(jìn)入目錄搜索 xplog70 然后將找到的三個(gè)文件改名或者刪除。

5、更改sa密碼為你都不知道的超長(cháng)密碼，在任何情況下都不要用sa這個(gè)帳戶(hù)。

6、改名系統默認帳戶(hù)名并新建一個(gè)Administrator帳戶(hù)作為陷阱帳戶(hù)，設置超長(cháng)密碼，并去掉所有用戶(hù)組。（就是在用戶(hù)組那里設置為空即可。讓這個(gè)帳號不屬于任何用戶(hù)組—樣）同樣改名禁用掉Guest用戶(hù)。

7、配置帳戶(hù)鎖定策略（在運行中輸入gpedit.msc回車(chē)，打開(kāi)組策略編輯器，選擇計算機配置-Windows設置-安全設置-賬戶(hù)策略-賬戶(hù)鎖定策略，將賬戶(hù)設為“三次登陸無(wú)效”，“鎖定時(shí)間30分鐘”，“復位鎖定計數設為30分鐘”。）

8、在安全設置里本地策略-安全選項將

網(wǎng)絡(luò )訪(fǎng)問(wèn)：可匿名訪(fǎng)問(wèn)的共享；

網(wǎng)絡(luò )訪(fǎng)問(wèn)：可匿名訪(fǎng)問(wèn)的命名管道；

網(wǎng)絡(luò )訪(fǎng)問(wèn)：可遠程訪(fǎng)問(wèn)的注冊表路徑；

網(wǎng)絡(luò )訪(fǎng)問(wèn)：可遠程訪(fǎng)問(wèn)的注冊表路徑和子路徑；

以上四項清空。

9、在安全設置里 本地策略-安全選項 通過(guò)終端服務(wù)拒絕登陸 加入

（****表示你的機器名,具體查找可以點(diǎn)擊 添加用戶(hù)或組  選  高級  選 立即查找 在底下列出的用戶(hù)列表里選擇. 注意不要添加進(jìn)user組和administrators組 添加進(jìn)去以后就沒(méi)有辦法遠程登陸了。）

10、去掉默認共享，將以下文件存為reg后綴，然后執行導入即可。

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]

"AutoShareServer"=dword:00000000

"AutoSharewks"=dword:00000000

11、 禁用不需要的和危險的服務(wù)，以下列出服務(wù)都需要禁用。

Alerter  發(fā)送管理警報和通知

Computer Browser:維護網(wǎng)絡(luò )計算機更新

Distributed File System: 局域網(wǎng)管理共享文件

Distributed linktracking client   用于局域網(wǎng)更新連接信息

Error reporting service   發(fā)送錯誤報告

Remote Procedure Call (RPC) Locator   RpcNs*遠程過(guò)程調用 (RPC)

Remote Registry  遠程修改注冊表

Removable storage  管理可移動(dòng)媒體、驅動(dòng)程序和庫

Remote Desktop Help Session Manager  遠程協(xié)助

Routing and Remote Access 在局域網(wǎng)以及廣域網(wǎng)環(huán)境中為企業(yè)提供路由服務(wù)

Messenger  消息文件傳輸服務(wù)

Net Logon   域控制器通道管理

NTLMSecuritysupportprovide  telnet服務(wù)和Microsoft Serch用的

PrintSpooler  打印服務(wù)

telnet   telnet服務(wù)

Workstation   泄漏系統用戶(hù)名列表

12、更改本地安全策略的審核策略

賬戶(hù)管理      成功 失敗

登錄事件      成功 失敗

對象訪(fǎng)問(wèn)      失敗

策略更改      成功 失敗

特權使用      失敗

系統事件      成功 失敗

目錄服務(wù)訪(fǎng)問(wèn)  失敗

賬戶(hù)登錄事件  成功 失敗

13、更改有可能會(huì )被提權利用的文件運行權限，找到以下文件，將其安全設置里除administrators用戶(hù)組全部刪除，重要的是連system也不要留。

net.exe

net1.exe

cmd.exe

tftp.exe

netstat.exe

regedit.exe

at.exe

attrib.exe

cacls.exe

format.com

c.exe 特殊文件 有可能在你的計算機上找不到此文件。

在搜索框里輸入

"net.exe","net1.exe","cmd.exe","tftp.exe","netstat.exe","regedit.exe","at.exe","attrib.exe","cacls.exe","format.com","c.exe"

點(diǎn)擊搜索 然后全選 右鍵 屬性 安全

以上這點(diǎn)是最最重要的一點(diǎn)了，也是最最方便減少被提權和被破壞的可能的防御方法了。

14、修改3389端口

更改遠程連接端口方法

開(kāi)始-->運行-->輸入regedit

查找3389：

請按以下步驟查找:

1、HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp下的PortNumber=3389改為自寶義的端口號

2、HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp下的PortNumber=3389改為自寶義的端口號

修改3389為你想要的數字(在十進(jìn)制下)----再點(diǎn)16進(jìn)制(系統會(huì )自動(dòng)轉換)----最后確定!這樣就ok了。

這樣3389端口已經(jīng)修改了，但還要重新啟動(dòng)主機，這樣3389端口才算修改成功!如果不重新啟動(dòng)3389還是修改不了的!重起后下次就可以用新端口進(jìn)入了!

15、禁用TCP/IP上的NETBIOS

本地連接--屬性--Internet協(xié)議(TCP/IP)--高級—WINS--禁用TCP/IP上的NETBIOS

關(guān)閉默認共享的空連接

首先編寫(xiě)如下內容的批處理文件：

@echo off
net share C$ /delete
net share D$ /delete
net share E$ /delete
net share F$ /delete
net share admin$ /delete

以上文件的內容用戶(hù)可以根據自己需要進(jìn)行修改。保存為delshare.bat，存放到系統所在文件夾下的system32\GroupPolicy\User\Scripts\Logon目錄下。然后在開(kāi)始菜單→運行中輸入gpedit.msc，回車(chē)即可打開(kāi)組策略編輯器。點(diǎn)擊用戶(hù)配置→Windows設置→腳本(登錄/注銷(xiāo))→登錄.

在出現的“登錄 屬性”窗口中單擊“添加”，會(huì )出現“添加腳本”對話(huà)框，在該窗口的“腳本名”欄中輸入delshare.bat，然后單擊“確定”按鈕即可。

重新啟動(dòng)計算機系統，就可以自動(dòng)將系統所有的隱藏共享文件夾全部取消了，這樣就能將系統安全隱患降低到最低限度。

16、后備工作，將當前服務(wù)器的進(jìn)程抓圖或記錄下來(lái)，將其保存，方便以后對照查看是否有不明的程序。將當前開(kāi)放的端口抓圖或記錄下來(lái)，保存，方便以后對照查看是否開(kāi)放了不明的端口。當然如果你能分辨每一個(gè)進(jìn)程，和端口這一步可以省略。