关于WindowsServer2003安全配置再设置的探讨

1、【摘 要】Windows Server 2003 的最大特点是固若金汤的安全性, 但是 Windows Server 2003 安全配置是一项比较有难度的网络技术, 而且其默认的安全配置也不一定适合我们的需要, 可以通过正确划分文件系统格式、选择稳定的操作系统安装盘、正确设置磁盘的安全性、禁用不 必要的服务和修改注册表等方式, 对 Windows Server 2003 安全配置进行再设置。【关键词】Windows Server 2003; 特点; 安全配置的再设置The Discussion of Windows Ser ver 2003 Safe Dispositions Install

2、AgainSHI Chun(J iangsu Vocational College of Finance&Economics,huaian,J iangsu223001,China)【Abstr act 】Windows Server 2003 most major characteristics are the impregnable securities, but Windows Server 2003 safe dispositions are a comparison have the difficulty networking, moreover its default sa

3、fe disposition not necessarily suits our need, may through the correct division filing system form, the selective stability operating system mounting flange, establish the floppy disk correctly the security, is forbid nonessential ways andso on service and revision registry, Windows Server 2003 safe

4、 dispositions carries on to install again.【Key wor ds】Windows Server 2003 characteristic safe disposition install again一、Windows S e rve r 2003 的特点21 世纪初, 软件巨头微软公司推出的 Windows 2000 操作系统震 憾了 IT 业界, 制造了从业人员疯狂接受培训和重新认证的热潮。仅仅 三年以后, 另一个时代英雄也已闪亮登场它就是 Windows Server2003。如果你认为它只是 Windows 2000 的一个简单升级版本, 那就错

5、了。微软在 Windows 2000 推出后就对这个产品进行过多次彻底的修订。现在人们对 Windows Server 2003 的最大印象应该是它固若金汤 的安全性。这一次, 微软在安全性能上大作文章, 但却丝毫没有影响到系统的可操作性。可以这么说, Windows Server 2003 的可操作性比其 前辈的都高。1微软在 Windows Server 2003 中添加了许多全新的特性。比如, 类 似于 Novell 中的 “Salvage Bin”的 “卷影复制服务”( Volume Shadow Copy Service) 就是其中之一。管理人员一旦在驱动器中启用该项服务, 服务器就

6、会定期对驱动器进行快照记录。终端用户可以利用这一特性恢复已被删除的文件, 甚至在必要的情况下将系统还原到旧的版 本。如果有机会接触 Windows Server 2003, 该特性确实值得一试!asp>有 windows 2003 的企业可升 级版, 这个一个完全破解了的版本,可以直接网上升级, 我们安装时尽量只安装我们必须要用的组件, 安 装完后打上最新的补丁, 到网上升级到最新版本! 保证操作系统本身无漏洞。其次, 正确设置磁盘的安全性。具体如下(虚拟机的安全设置, 我们以 asp 程序为例子)重点:1.系统盘权限设置C:分区部分:c:administrators 全部(该文件夹,

7、子文件夹及文件) CREATOR OWNER 全部(只有子文件来及文件) system 全部(该文件夹, 子文件夹及文件)IIS_WPG 创建文件/写入数据(只有该文件夹) IIS_WPG(该文件夹, 子文件夹及文件)遍历文件夹/运行文件列出文件夹/读取数据 读取属性创建文件夹/附加数据 读取权限c:Documents and Settingsadministrators 全部(该文件夹, 子文件夹及文件) Power Users (该文件夹, 子文件夹及文件)读取和运行列出文件夹目录 读取SYSTEM 全部(该文件夹, 子文件夹及文件) C:Program Filesadministrato

8、rs 全部(该文件夹, 子文件夹及文件)CREATOR OWNER 全部(只有子文件来及文件) IIS_WPG (该文件夹, 子文件夹及文件)读取和运行列出文件夹目录 读取Power Users(该文件夹, 子文件夹及文件)修改权限SYSTEM 全部(该文件夹, 子文件夹及文件)TERMINAL SERVER USER (该文件夹, 子文件夹及文件)修改权限2.网站及虚拟机权限设置(比如网站在 E 盘)说明: 假设网站全部在 E 盘 wwwsite 目录下 , 并且为每一个虚拟 机创建了一个 guest 用户, 用户名为 vhost1.vhostn 并且创 建 了 一 个webuser 组,

9、把所有的 vhost 用户全部加入这个 webuser 组里面方便管安装 Windows Server 2003 与安装 Windows 2000 大同小异,都是一件轻而易举的事情。不同的是你在成功安装了 Windows Server 2003之后, 还必须激活系统。在此之前你有 60 天的期限。Windows Server2003 安装过程的另一个较大修改是,于“锁定”模式。操作系统在完成安装之后会处另外值得一提的是,在服务器上安装 Windows Server 2003 的过程中, 你可以在安装的文字部分选择在一个新的分区中执行“快速格式化”( Quick Format) 操作。该特性首先

10、是在 Windows XP 中引进的, 它 大大地提高了安装速度。2二、Windows S e rve r 2003 安全配置的再设置windows server 2003 应该是目前最为成熟的网络服务器平台 , 安 全性相对于 windows 2000 有大大的提高,但是 windows server 2003 默认的安全配置不一定适合我们的需要, 所以, 要根据实际情况来对win2003 进行全面安全配置。说实话, 安全配置是一项比较有难度的 网络技术 , 权限配置的太严格 , 好多程序又运行不起 , 权限 配 置 的 太 松, 又很容易被黑客入侵, 做为网络管理员, 真的很头痛, 因此,

11、 我结合 这几年的网络安全管理经验, 总结出以下一些方法来提高服务器的安 全性。首先, 正确划分文件系统格式, 选择稳定的操作系统安装盘为了提高安全性, 服务器的文件系统格式一定要划分成 NTFS( 新技术文件系统) 格式, 它比 FAT16、FAT32 的安全性、空间利用率都大大的提 高, 我们可以通过它来配置文件的安全性, 磁盘配额、EPS 文件加密等。如果你已经分成 FAT32 的格式了, 可以用 CONVERT 盘符 /FS:NTFS /V 来 把 FAT32 转 换 成 NTFS 格 式 。 正 确 安 装 windows 2003 server, 在 网 安 联 盟 理5.防止 I

12、CMP 重定向报文的攻击。HKEY_LOCAL_MACHINESYSTEMCurrentControlSetSer- vicesTcpipParameters。将 EnableICMPRedirects 值设为 0。6.不支持 IGMP 协议。HKEY_LOCAL_MACHINESYSTEMCurrentControlSetSer- vicesTcpipParameters。新建 DWORD 值, 名为 IGMPLevel 值为 0。7.修改终端服务端口。E:Administrators 全部(该文件夹, 子文件夹及文件) E:wwwsiteAdministrators 全部(该文件夹, 子文

13、件夹及文件)system 全部(该文件夹, 子文件夹及文件)service 全部(该文件夹, 子文件夹及文件) E:wwwsitevhost1Administrators 全部(该文件夹, 子文件夹及文件)system 全部(该文件夹, 子文件夹及文件)vhost1 全部(该文件夹, 子文件夹及文件)3.数据备份盘数据备份盘最好只指定一个特定的用户对它有完全操作的权限,比如 F 盘为数据备份盘, 只指定一个管理员对它有完全操作的权限。4.其它地方的权限设置请找到 c 盘的这些文件, 把安全性设置只有特定的管理员有完全 操作权限, 下列这些文件只允许 administrators 访问net.e

14、xenet1.exetcmd.exetftp.exenetstat.exeregedit.exeat.exeattrib.execacls.exe5.删除 c:inetpub 目录, 删除 iis 不必要的映射, 建立陷阱帐号, 更 改描述。3三、禁用不必要的服务, 提高安全性和系统效率Computer Browser 维护网络上计算机的最新列表以及提供这个列 表。Task scheduler 允许程序在指定时间运行。Routing and Remote Access 在局域网以及广域网环境中为企业提 供路由服务。Removable storage 管理可移动媒体、驱动程序和库。Remote

15、Registry Service 允许远程注册表操作。Print Spooler 将文件加载到内存中以便以后打印。要用打印机的 朋友不能禁用这项。IPSEC Policy Agent 管 理 IP 安 全 策 略 以 及 启 动 ISAKMP/ OakleyIKE)和 IP 安全驱动程序。Distributed Link Tracking Client 当文件在网络域的 NTFS 卷中移 动时发送通知。Com+ Event System 提供事件的自动发布到订阅 COM 组件。Alerter 通知选定的用户和计算机管理警报。Error Reporting Service 收集、存储和向 Mic

16、rosoft 报告异常应用程 序。Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服 务消息。Telnet 允许远程用户登录到此计算机并运行程序。4四、修改注册表, 让系统更强壮1. 隐 藏 重 要 文 件 /目 录 可 以 修 改 注 册 表 实 现 完 全 隐 藏 :运 行 regedit,找 到HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control Terminal Server Wds rdpwd Tds tcp, 看到右边的 PortNumber 了吗? 在十进制状态下改成你想要的端口号 吧, 比如 7126

17、之类的, 只要不与其它冲突即可。第二处 HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control Terminal Server WinStations RDP- Tcp, 方 法 同 上 , 记 得 改 的端口号和上面改的一样就行了。8.禁止 IPC 空连接:cracker 可以利用 net use 命令建立空连接 ,进而入侵 ,还有 netview, nbtstat 这些都是基于空连接的, 禁止空连接就好了。打开注册表 找 到,Local_MachineSystemCurrentControlSetControlLSA -RestrictAno

18、nymous 把这个值改成”1”即可。9.更改 TTL 值。cracker 可以根据 ping 回的 TTL 值来大致判断你的操作系统, 如:TTL=107(WINNT);TTL=108(win2000); TTL=127 或 128(win9x); TTL=240 或 241(linux);TTL=252(solaris);TTL=240(Irix);实 际 上 可 以 自 己 更 改 : HKEY_LOCAL_MACHINESYSTEM CurrentControlSet Services TcpipParameters: DefaultTTL REG_DWORD0- 0xff(0- 25

19、5 十进制,默认值 128)改成一个莫名其妙的数字如 258, 起 码让低级的黑客忙上半天半天, 就此放弃入侵也不一定。10.删除默认共享。 有的时候一开机就共享所有盘 , 改回来以 后, 重启又变成了共享, 这是 2K 为管理而设置的默认共享, 必须通过修 改 注 册 表 的 方 式 取 消 它 : HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters: AutoShareServer 类 型是 REG_DWORD 把值改为 0 即可。11. 禁止建立空连接。默认情况下, 任何用户通过通过空连接连上 服

20、务器, 进而枚举出帐号, 猜测密码。我们可以通过修改注册表来禁止建立空连接:Local_MachineSystemCurrentControlSetControlLSA RestrictAnonymous 的值改成”1”即可。4五、其它安全手段-1. 禁用 TCP/IP 上的 NetBIOS。网上邻居- 属性- 本地连接- 属性-Internet 协 议 ( TCP/IP) 属 性- 高 级- WINS 面 板- NetBIOS 设 置- 禁 用 TCP/IP 上的 NetBIOS。这样 cracker 就无法用 nbtstat 命令来读取你的 NetBIOS 信息和网卡 MAC 地址了。2.

21、 账户安全。首先禁止一切账户, 当然, 除了你自己。然后把Administrator 改名。同时顺手又建了个 Administrator 账户, 不过是什么 权限都没有的那种, 然后打开记事本, 一阵乱敲, 复制, 粘贴到“密码”里去, 等黑客了破密码才发现是个低级账户。创建 2 个管理员用帐号。虽然这点看上去和上面这点有些矛盾, 但事实上是服从上面的规 则的。 创建一个一般权限帐号用来收信以及处理一些 * 常事物 , 另一个拥有 Administrators 权限的帐户只在需要的时候使用。可以让管理员使用 “RunAS”命令来执行一些需要特权才能作的一些工作, 以 方便管理3. 更 改 C:

22、WINDOWSHelpiisHelpcommon404b.htm 内 容 改 为 < META HTTP- EQUIV=REFRESH CONTENT="0;URL=/;">这样, 出错了 自动转到首页。4.安全日志。经常会遇到过这样的情况, 一台主机被别人入侵了, 去追查凶手, 登录进去一看: 安全日志是空的。请记住: Win2000 的默 认安装是不开任何安全审核的! 那么请到本地安全( 下转第 418 页)HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrent-VersionExplorer AdvancedFo

23、lderHi - ddenSHOWALL”,“CheckedValue”, 选择修改, 把数值由 1 改为 0。鼠 标 右 击2. 启动系统自带的 Internet 连接 _blank" >防火墙 , 在设置 服 务 选项中勾选 Web 服务器。3.防止 SYN 洪水攻击。HKEY_LOCAL_MACHINESYSTEMCurrentControlSetSer- vicesTcpipParameters;新建 DWORD 值, 名为 SynAttackProtect, 值为 2;EnablePMTUDiscovery REG_DWORD 0 ; NoNameReleaseOnD

24、emand REG_DWORD 1; EnableDeadGWDetect REG_DWORD 0; KeepAliveTime REG_DWORD 300,000 ; PerformRouterDiscovery REG_DWORD 0; EnableICMPRedirects REG_DWORD 0;4.禁止响应 ICMP 路由通告报文 。HKEY_LOCAL_MACHINESYSTEMCurrentControlSetSer- vicesTcpipParametersInterfacesinterface。新建 DWORD 值, 名为 PerformRouterDiscovery 值为

25、0。功能: 销毁指定菜单。系统事件 成功 失败格式: InsertMenu(菜单句柄,插入位置号,1024,0 或 16 或 2048, 拟 插 入 菜 单 项 标 识 符 或 子 菜 单 句 柄, “名 称”)。功能 : 将指定菜单项(0)或子菜单(16)或分隔线(2048)插 入 到 指 定菜单的指定位置。格式: AppendMenu(菜单句柄,0 或 16 或 2048,菜单项标识符或子 菜单句柄,“名称”)。功能 : 将指定菜单项(0)或子菜单(16)或分隔线(2048)追 加 到 指 定菜单的末尾。格式: ModifyMenu(菜单句柄, 位置号,1024 或 1040, 新菜单项标

26、识 符或子菜单句柄,“名称”)。功能: 用指定新菜单项(1024)或子菜单(1040)替换指定菜单中、指 定菜单项或指定子菜单。格式: DrawMenuBar(WindowHandle)。功能: 刷新当前 Authorware 窗口的菜单栏。菜单栏被修改后, 必须 用此函数来刷新窗口。格式: CreateMenu()。功能: 申请一个菜单句柄。格式: SetMenu(WindowHandle,新菜单栏句柄)。功能: 用指定新菜单栏替换当前 Authorware 窗口的菜单栏 , 原菜 单栏被隐藏。例: 在例 1 中添加一个内容如下的计算图标, 同样可以得到菜单栏。a:=GetMenu(Wind

27、owHandle) b:=GetSubMenu(a,0) c:=GetSubMenu(a,1) ModifyMenu(b,0,1040,c," 打开") RemoveMenu(a,1,1024)DrawMenuBar(WindowHandle)此时, 菜单栏上的“打开”子菜单被隐藏, 其副本替换了“文件”子 菜单中原来的菜单项“打开”。计算图标的倒数第 2 行之前插入下述内容, 则窗口新的系统菜单 如图四所示。GetSystemMenu(WindowHandle,1) d:=GetSystemMenu(WindowHandle,0) DeleteMenu(d,6,1024)

28、 DeleteMenu(d,4,1024) DeleteMenu(d,2,1024) DeleteMenu(d,0,1024)AppendMenu(d,16,c," 打开")AppendMenu(d,2048,)f:=GetMenuItemID(b,3) AppendMenu(d,0,f," 退出") 四、结束语菜单是 windows 环境下应用软件常用的一种用户接口, 其优点是 易学易用, 它是由系统驱动的, 能大大减轻用户的记忆量, 用户可以借 助菜单界面搜索软件的功能, 很快掌握新系统的结构。本文实现了在 Authorware 软件中制作多种菜单的

29、方法。科目录服务访问 失败账户登录事件 成功 失败审核项目少的缺点是万一你发现没有记录那就一点办法都没有; 审核项目太多不仅会占用系统资源而且会导致你根本没空去看, 这样 就失去了审核的意义。5.运行防毒软件Win2000/Nt 服务器从来没有安装了防毒软件, 其实这一点非常重 要。一些好的杀毒软件不仅能杀掉一些著名的病毒, 还能查杀大量木马和后门程序。这样的话, “黑客”们使用的那些有名的木马就毫无用武之地了。不要忘了经常升级病毒库, 我们推荐 mcafree 杀毒软件+blackice_blank">防火墙。6.sqlserver 数据库服务器安全和 serv- u ftp

30、 服务器安全配置, 更改 默认端口, 和管理密码。7.设置 ip 筛选、用 blackice 禁止木马常用端口。 一般禁用以下端口:135 138 139 443 445 4000 4899 76268.本地安全策略和组策略的设置,如果你在设置本地安全策略时 设置错了, 可以这样恢复成它的默认值。打开 %SystemRoot%Security 文件夹,创建一个 "OldSecurity" 子目 录, 将%SystemRoot%Security 下所有的.log 文件移到这个新建的子文件夹中。在%SystemRoot%Securitydatabase 下找到"Secedit.sdb" 安全数据 库并将其改名,如改为"Secedit.old" 。启 动" 安 全 配 置 和 分 析"MMC 管 理 单 元:" 开 始" - >" 运 行" - >"