完整windows2003系统安全配置教程

1、完整windows server 2003系统安全配置教程网上流传的很多关于 windows server 2003系统的安全配置，但是仔细分析下发现很多 都不全面，并且很多仍然配置的不够合理，并且有很大的安全隐患，今天我决定仔细做下极端BT的2003服务器的安全配置，让更多的网管朋友高枕无忧。我们配置的服务器需要提供支持的组件如下：（ASP ASPX CGI、PHR FSO JMAIL、MySql、SMTP POP3 FTP、3389终端服务、远程桌面 Web连接管理服务等），这里前提是 已经安装好了系统，IIS，包括FTP服务器，邮件服务器等，这些具体配置方法的就不再重 复了，现在我们着重

2、主要阐述下关于安全方面的配置。先说关于系统的 NTFS磁盘权限设置，大家可能看得都多了，但是2003服务器有些细节地方需要注意的，我看很多文章都没写完全。C 盘只给administrators 和system权限，其他的权限不给，其他的盘也可以这样 设置，这里给的system权限也不一定需要给，只是由于某些第三方应用程序是以服务形式 启动的，需要加上这个用户，否则造成启动不了。IWU0VS 展性常规安全 W.b共享|爼或用戶名称Adninistratcrs ffYIEC-TlCELVEWCVAiniriistratQrs)CREATOR QVHER強Fxer Users CTFII)C-71C

3、ELmCFo*er Users)SYSTEMf5Vsers CrmC-TlCELVEWCiUseri)Administrators 的权限()允许 拒绝- 26 - 口口口 回PIPIPI0IZI2d修改读取和运行列出立件夹目录 读取写入特别权限或高簸设置，谙单击高级”高级边确定ijj取消用应用QWindows目录要加上给users的默认权限，删除 everyone即可。否则ASP和 ASPX等应用程 序就无法运行。另外在c:/Documents and Settings/这里相当重要，后面的目录里的权限根本不会继承从前的设置，如果仅仅只是设置了C盘给 administrators权限，而在A

4、llUsers/Application Data目录下会 出现everyone用户有完全控制权限，这样入侵这可以跳转到这个目录，写入脚本或只文件，再结合其他漏洞来提升权限；譬如利用serv-u的本地溢出提升权限，或系统遗漏有补丁，数据库的弱点，甚至社会工程学等等N多方法，从前不是有牛人发飑说：只要给我一个 webshell ，我就能拿到system，这也的确是有可能的。在用做web/ftp服务器的系统里，建议是将这些目录都设置的锁死。其他每个盘的目录都按照这样设置，每个盘都只给adi ni strators 权限。 edi * Index 屋性常规 安至囱共亭自定交|廻或用户名称：添加删除思）

5、Adiinni strators的权限迅）允许 拒绝完全控制修改 读取和运行列岀文件夹目录读取 写入矗 | 取消 | 应用把不必要的服务都禁止掉，尽管这些不定能被攻击者利用得上，但是按照安全规.禁用 Remote Registry.禁用 task schedule 服务.禁用server服务.禁用Tel net服务.禁用workstation 服务则和标准上来说，多余的东西就没必要开启，减少一份隐患。服务说明：禁止远程连接注册表 说明：禁止自动运行程序说明：禁止默认共享说明：禁止telnet远程登陆 说明：防止一些漏洞和系统敏感信息获取.TCP/IP NetBIOS Helper Servic

6、e 服务器不需要开启共享 在“网络连接”里，把不需要的协议和服务都删掉，这里只安装了基本的In ternet协议（TCP/IP），由于要控制带宽流量服务，额外安装了 Qos数据包计划程序。在高级tcp/ip设置里-“NetBIOS”设置“禁用tcp/IP 上的NetBIOS（S） ”。在高级选项里，使用“Internet 连接防火墙”，这是 windows 2003自带的防火墙，在 2000系统里没有的功能，虽然没什 么功能，但可以屏蔽端口，这样已经基本达到了一个IPSec的功能。高级TCF/IF设置IP设置| DNSWIHSWIKS地址假使用顺序排列)轨:號加(k) . 輪辑电) 删除|如果

7、启用UJHOSTS查找，它将应用于所有启用TCF/IP的连搖肓启用UMKOSTS查找心导入 LMJWSTS 堪.NetBIOS 设盍C款认世：从BHCF服勞器使用NetBIOS设置如果使用静畫IF地 址或DHCF服餌器不提拱NetBIOS设置则启用TCF/IP 上的 UetBIOS.r J0用 TCP/IF 上的 NetBIOS禁用 TCF/IF 上的 NetBIOS确定 | 取消 |服务捲述：在燃的网鎔上主持此服务的计算机的名称或IF地址(例如，192 168.0.12)：0此服务的外部诵口号也)习肯 TCP (T) C UDPQJ)吐服务的內部喘口号：这里我们按照所

8、需要的服务开放响应的端口。在2003系统里，不推荐用TCP/IP筛选里的端口过滤功能，譬如在使用FTP服务器的时候，如果仅仅只开放21端口，由于FTP协议的特殊性，在进行 FTP传输的时候，由于 FTP特有的Port模式和Passive模式，在进 行数据传输的时候，需要动态的打开高端口，所以在使用TCP/IP过滤的情况下，经常会出现连接上后无法列出目录和数据传输的问题。所以在 墙能很好的解决这个问题，所以都不推荐使用网卡的TCF/IF篇选2003系统上增加的 windows连接防火TCP/IP过滤功能。冷全部允许 -C只允许-厂追凰慣恿藻匮逝査适駅黠動SERV-U FTP 服务器的设置：一般来

9、说，不推荐使用 srev-u做ftp服务器，主要是漏洞出现的太频繁了，但是 也正是因为其操作简单，功能强大，过于流行，关注的人也多，才被发掘出bug来，换做其他的ftp服务器软件也一样不见得安全到哪儿去。当然，这里也有款功能跟serv-u同样强大，比较安全的ftp软件：Ability FTPServer下载地址：/showarticle.asp7NewslDn4096设置也很简单，不过我们这里还是要迎合大众胃口，说说关于serv-u的安全设置。首先，6.0比从前5.x版本的多了个修改本地LocalAdministrtaor的密码功能，其实在5.x版本里

10、可以用ultraedit-32等编辑器修改serv-u程序体进行修改密码端口，6.0修补了这个隐患，单独拿出来方便了大家。不过修改了管理密码的serv-u是一样有安全隐患的，两个月前臭要饭的就写了新的采用本地sniff方法获取serv-u的管理密码的exploit ，正在网上火卖着，不过这种sniff的方法，同样是在获得 webshell的条件后还得 有个能在目录里有执行”的权限，并且需要管理员再次登陆运行serv-u admi ni strator的时候才能成功。所以我们的管理员要尽量避上以上几点因素，也是可以防护的。Sst or Chu 名色 Aditini str alar FassTf

11、lrd0 Id passwordHew passwordRepeat ri亡回 pa?ordWafning： Once ai$ it 矗 required to administerthe local server Thefe i$ no way to recower the password, please make sure to remember it-X Cancel I另外serv-u的几点常规安全需要设置下：选中“ Block FTP_bounceattack and FXP。什么是 FXP呢？通常，当使用 FTP协议 进行文件传输时，客户端首先向FTP服务器发出一个“ PORT命

12、令，该命令中包含此用户的IP地址和将被用来进行数据传输的端口号，服务器收到后，利用命令所提供的用户地址信 息建立与用户的连接。大多数情况下，上述过程不会出现任何问题，但当客户端是一名恶意 用户时，可能会通过在PORT命令中加入特定的地址信息，使FTP服务器与其它非客户端的机器建立连接。虽然这名恶意用户可能本身无权直接访问某一特定机器，但是如果FTP服务器有权访问该机器的话， 那么恶意用户就可以通过FTP服务器作为中介，仍然能够最终实现与目标服务器的连接。这就是FXR也称跨服务器攻击。选中后就可以防止发生此种情况。另外在“ Block anti time-out schemes也可以选中。其次，

13、在“Advaneed”选项卡中,检查 “ En able security”是否被选中，如果没有，选择它们。IIS 的安全:删掉c:/inetpub目录，删除iis不必要的映射首先是每一个web站点使用单独的IIS用户，譬如这里，新建立了一个名为 ，权限为 guest 的。在IIS里的站点属性里“目录安全性”-“身份验证和访问控制“里设置匿名访问使用下列 Windows用户帐户”的用户名密码都使用 这个用户的信息.在这个 站点相对应的web目录文件，默认的只给 IIS用户的读取和写入权限（后面有更BT的设置要介绍）。身檢若证方法对匿

14、名访问使用下列眦s用尸帐尸：用戶名 ：51药莎怎7嘉拆占 浏览 密码（）：阳*忙*啊用尸访问需经过身份验证悽用以下身份验证方法并在下列条件下，要求用尸名和密码: -禁用了匿名请问j或-雀用HTFS访问控制列表限制了访问飙限臣集成Witido#s身扮验证QD! W和域服翁器的摘要式身份验证（I 厂基本身馅验证（以明交飛式发送密码）厂,HT Tuspri身份髓证（I）默认域：|选搖领战:|选择址）|逾 | 取消秸助在“应用程序配置”里，我们给必要的几种脚本执行权限：ASP.ASPX,PHPASP ASPX默认都提供映射支持了的，对于PHP需要新添加响应的映射脚本，然后在web服务扩展将ASP, A

15、SPX都设置为允许，对于 php以及CGI的支持，需要新建 web服务扩 展，在扩展名（X）:下输入 php ，再在要求的文件（E）:里添加地址 C:/php/sapi/php4isapi.dll，并勾选设置状态为允许 （S）。然后点击确定，这样 IIS就支持PHP了。支持CGI同样也是如此。要支持ASPX还需要给web根目录给上users用户的默认权限，才能使 ASPX能执行。Internet信烏展务GETS）管理署1 甸牛如撫作迦宜晋辺窗口逍帮助O斗勺函宦陽齟星与TnttrMt /I息服务匸-,J 315SAFE（ifii+ 算机） 丑一应用程序池 申“网站J 屮小服雰扩展Teb贏务扩展选

16、择一于项目来查看它的播述./Web服务扩展1状呪/所宥菲知CGI扩恳禁止Z所有未知ISAPI扩展禁止-Fhp允许Active Strvrr Fasti允许JiSP.MET vl. 1.4322允许ASP.NET v2.0.4060T允许Internet数据连接盟允许Pri CGI Exltmiuk允许Perl ISAFI SEt ens ion允许i%IebDA禁止在服冬器鬧的赳含文件禁止另外在应用程序配置里，设置调试为向客户端发送自定义的文本信息，这样能对 于有ASP注入漏洞的站点，可以不反馈程序报错的信息，能够避免一定程度的攻击。Irf玄悴叩It KE （V 特 冑口册 W4PF： oat

17、 AC B %ip：vi常町* _.i应用觀序曲* J FW| 斗）iEE H）酹價二丨所有奉忆ra FW雾止rsjJiphp?tlJI上吐丄兰骨 F 九Alt空F KE1 *i 1电血tiTJSF FTT wff 0 WG7S，.“n“題读揍畀Jei*Prl CCS. irittuiwiPrl ISAFI.牡ST止在自定义HTTP错误选项里，有必要定义下譬如404,500等错误，不过有有时候为了调试程序，好知道程序出错在什么地方，建议只设置404就可以了。C :i SHelpc(jon403. hljJC AWIiID0WShlpiiHlpcOmnion403-. _/404/indeu.

18、htm403;194O3;2O404设为默认值HTTP错误 类型 肉容編辑|S妬如妬睁靖轴则蚌和4&4;2 404; 3 405 4C6407412414415Fnn网站1性能ISAPI筛选器丨主目录|文档目录安全性HTTP 头自定义错馍ASF.FET.315safe. co* 屋性HITT错饯消息自定义措俣消息可比是服务器上的绝对 呃 或指向某于文件的指针。C : miOOWShlpii sHLpcomnon404b. 1 C : mUDOWSlpSillpScomnioiib.C: IND0Sh41pi i EH41pcmcn405. MC : miOOWShLpii sHlpcomnon

19、V40&. hl C : ttlKOOWShelpi i sHeLpcorrimonVOT. hC: lIWDOWShelpii sHelpcofimon412. kfC : mJTOOWShlpi i sHlpc0mmonV414. hiC: mNDOWSltslpi i EHelpc&mm6nV415 k可以在每天凌晨的时候回收一下工作进程。新建立一个站，采用默认向导，在设置中注意以下几个地方：在应用程序设置里：执行权限为默认的纯脚本，应用程序池使用独立的名为:315safe的程序池。名为315safe的应用程序池可以适当设置下“内存回收”：这里的最大虚拟内存 为：1000M最大使用的物理

20、内存为256M,这样的设置几乎是没限制这个站点的性能的。在应用程序池里有个“标识”选项，可以选择应用程序池的安全性帐户，默认才 用网络服务这个帐户，大家就不要动它，能尽量以最低权限去运行大，隐患也就更小些。在一个站点的某些目录里，譬如这个“uploadfile目录，不需要在里面运行asp程序或其他脚本的，就去掉这个目录的执行脚本程序权限，在“应用程序设置”的“执行权限”这里， 默认的是“纯脚本”，我们改成“无”，这样就只能使用静态页面了。依次类推，大凡是不 需要asp运行的目录，譬如数据库目录，图片目录等等里都可以这样做，这样主要是能避免在站点应用程序脚本出现bug的时候，譬如出现从前流行的u

21、pfile 漏洞，而能够在一定程度上对漏洞有扼制的作用。在默认情况下，我们一般给每个站点的 web目录的权限为IIS用户的读取和写入, 如图：uplo&dfile 凰性目录|丈档|目录安全性I HTTP |自定爻馆误I ASP 1TOT I 此资源的内容来自：馬猾定的亘蔓r另一应屉机上的共享电）重定內到皿迪 确走_ | 取消 | 反用上| 帮助 |但是我们现在为了将 SQL注入，上传漏洞全部都赶走，我们可以采取手动的方式 进行细节性的策略设置。1. 给web根目录的IIS用户只给读权限。如图:然后我们对响应的 uploadfiles/ 或其他需要存在上传文件的目录额外给写的权限，并且在IIS里

22、给这个目录无脚本运行权限，这样即使网站程序出现漏洞，入侵者也无法将asp木马写进目录里去，呵呵，不过没这么简单就防止住了攻击，还有很多工作要完成。如果是MS-SQL数据库的，就这样也就0K了，但是Access的数据库的话，其数据库所在的目录， 或数据库文件也得给写权限，然后数据库文件没必要改成.asp的。这样的后果大家也都知道了把，一旦你的数据库路径被暴露了，这个数据库就是一个大木马，够可怕的。其实完全还是规矩点只用 mdb后缀，这个目录在IIS里不给执行脚本权限。 然后在IIS里加设置一个 映射规律，如图：cob 犀性常规安金组或用户名称蛙:inistrators G15SAFEAdmmis

23、trators)315zae. con C31 ESAFE315safe. com删除 I允许www. 315saf&. com 的权阴 g拒绝完全控制修改读取和运行 列出丈件夹目录 读取写入fctilVwhHHn PA*J_F 【 回口特别权限或高级设萱 诸单击“高级*确定 I 取港应包 应用程序配賈映射选顶|调试|缓存ISAPI扩展电）-应用程序扩展 护展名丽;融件虏痉I动作.as a C : XlWIlIIlOWSXsystemSEViMtsrvVa. .簪 pC： WlKDOSVsy? tem3Ziiitsr74.aspx C: ttIU101VS.Micr oioft. ITErKF

24、r am. .nitC：mHDOWStwaia 32. dll通配符应用程序映射孰行顺序）址）插入迈）.，|j编辑型| 删除血|11I上移辺）I下移辺 I确定 I 取消 I 帮肋 这里用任意一个dll文件来解析.mdb后缀名的映射，只要不用asp.dll来解析就可以 了，这样别人即使获得了数据库路径也无法下载。这个方法可以说是防止数据库被下载的终极解决办法了。ASP提供了强大的文件系统访问能力，可以对服务器硬盘上的任何文件进行读、写、复 制、删除、改名等操作，这给学校网站的安全带来巨大的威胁。现在很多校园主机都遭受过FSO木马的侵扰。但是禁用 FSO组件后，引起的后果就是所有利用这个组件的AS

25、P程序将无法运行，无法满足客户的需求。如何既允许FileSystemObject 组件，又不影响服务器的安全性呢（即：不同虚拟主机用户之间不能使用该组件读写别人的文件）？以下是笔者多年来摸索出来的经验：第一步是有别于 Windows 2000设置的关键：右击 C盘，点击“共享与安全”，在 出现在对话框中选择“安全”选项卡，将 Everyone、Users组删除，删除后如果你的网站连 ASP程序都不能运行，请添加 IIS WPG组（图1），并重启计算机。常规 I 工具硬件 I 共享安全卷黑副本 I 配霰Adm inis trat ors组或用尸名称雄）:QJAJJGU Administrator

26、 aCREATOR DWlRgJlIS WFG (UANGUIIS_WFG) fjSYSTEM忝加匹IM除 经过这样设计后，FSO木马就已经不能运行了。如果你要进行更安全级别的设置， 请分别对各个磁盘分区进行如上设置，并为各个站点设置不同匿名访问用户。下面以实例来介绍（假设你的主机上 E盘Abe文件夹下设 A站点）：1. 打开“计算机管理t本地用户和组t用户”，创建Abe用户，并设置密码，并将“用户下次登录时须更改密码”前的对号去掉，选中“用户不能更改密码”和“密码永不 过期”，并把用户设置为隶属于Guests组。2. 右击E:/Abc，选择“属性t安全”选项卡，此时可以看到该文件

27、夹的默认安全设置是“ Everyone ”完全控制（视不同情况显示的内容不完全一样），删除Everyone的完全控制（如果不能删除，请点击 高级按钮，将“允许父项的继承权限传播”前面的对号去 掉，并删除所有），添加Administrators及Abc用户对本网站目录的所有安全权限。3. 打开IIS管理器，右击 A主机名，在弹出的菜单中选择“属性t目录安全性”选项卡，点击身份验证和访问控制的 编辑，弹出图2所示对话框，匿名访问用户默 认的就是“ IUSR_机器名”，点击浏览，在“选择用户”对话框中找到前面创建的Abc账户，确定后重复输入密码。经过这样设置，访问网站的用户就以Abc账户

28、匿名身份访问 E:/Abc文件夹的站点，因为Abc账户只对此文件夹有安全权限，所以他只能在本文件夹下使用FSO常见问题：如何解除FSO上传程序小于200k限制？先在服务里关闭IIS admin service 服务，找到 WindowsSystem32 Inesrv目录 下的Metabase . xml并打开，找到 ASPMaxRequestEntityAllowed ，将其修改为需要的值。 默认为204800,即200K,把它修改为 51200000 （50M）,然后重启IIS admin service 服 务。ASP提供了强大的文件系统访问能力，可以对服务器硬盘上的任何文件进行读、写、复

29、制、 删除、改名等操作， 这给学校网站的安全带来巨大的威胁。现在很多校园主机都遭受 过FSO木马的侵扰。但是禁用FSO组件后，引起的后果就是所有利用这个组件的ASP程序将无法运行，无法满足客户的需求。如何既允许 FileSystemObject 组件，又不影响服务器的 安全性呢 （即：不同虚拟主机用户之间不能使用该组件读写别人的文件） ？以下是笔者多年 来摸索出来的经验：第一步是有别于 Windows 2000设置的关键：右击 C盘，点击“共享与安全”，在 出现在对话框中选择“安全”选项卡，将 Everyone 、 Users 组删除，删除后如果你的网站连 ASP程序都不能运行，请添加 IIS_WPG组（图1），并重