WIN2003服务器端安全配置的一点简单经验

如下的一些配置主要是 针对 WIN2003和NTFS格式的，而且是提供网络服务的，不是客户端电脑（客户端电脑自己去安装一些防木马间谍病毒或防火墙或其他，注意跟踪目前的较新的反弹式木马技术，简单的木马的隐蔽无非就是注册表、Win.ini、System.ini、Autoexec.bat、Congfig.sys、Winstart.bat、Wininit.ini、启动组等地方，仔细点一般可找出）。

（1） 系统升级、打操作系统补丁，尤其是IIS 6.0补丁、SQL SP3a补丁，甚至IE 6.0补丁也要打。到教科网计算机安全网上下载，也可以自己到微软升级网站或用瑞星的最新版扫描或其他，工具很多。要早点下载下来。其实，服务器端，把不要的东西删除，如Telnet、Wins等一般禁用或删除。不要直接在服务器端运行和访问其他网站（至少可以防止jpeg、vbs病毒等，当然也要打上JPEG漏洞补丁）。基本这些问题就不大了。运行 netstat –an 一目了然。漏洞的通知速度，我倒建议除了微软外，到瑞星网站看看：http://it.rising.com.cn/newSite/Channels/Safety/LatestHole/index.htm

（2） 将FSO、WSH、Ado..Stream、Ditction..、shell.application等禁止（如：Regsvr32 /u scrrun.dll）或修改注册表中名称（推荐后者！）。方法在后面会说明。地球人都知道。

（3） 停掉Guest 帐号、并给guest 加一个异常复杂的密码（反正不用，乱敲一通）。

（4） 把Adm…改名或伪装（比如改为guest6，那么最好同时创建10来个如guest1――guest10等不同的帐号，但权限都极低，密码超级复杂，在帐号安全策略中，甚至都不允许他们进行本极登录，干扰视线），创建陷阱帐号（假的Administrator帐号，实际权限非常低），并在试图尝试的login scripts上做点手脚。当然，真正的帐号密码必须设置特殊字符和足够强度。

（5） 关闭不必要的端口，在\\system32\\drivers\\etc\\services中有列表。网上邻居>属性>本地连接>属性>internet 协议(tcp/ip)>属性>高级>选项>tcp/ip筛选>属性 打开tcp/ip筛选，添加需要的tcp,udp,协议即可。

（6） 如果懒惰的话，最简单的方法是启用WIN2003的自身带的网络防火墙，并进行端口的改变。功能还可以！Internet 连接防火墙可以有效地拦截对Windows 2003服务器的非法入侵，防止非法远程主机对服务器的扫描，提高Windows 2003服务器的安全性。同时，也可以有效拦截利用操作系统漏洞进行端口攻击的病毒，如冲击波等蠕虫病毒。如果在用Windows 2003构造的虚拟路由器上启用此防火墙功能，能够对整个内部网络起到很好的保护作用。

网络->本地链接状态->高级->通过限制或阻止….来保护我的计算机，选中，并进行设置。剩下的就简单了。开必要的端口，如80、25、110等，要注意做安全日志。上面也有设置。但最好手工修改注册表。比如，把3389注册表中修改为××××端口，然后再通过防火墙映射为外部端口××××，内部端口××××。这样基本可以了。注册表中至少要修改4个地方，不过主要与PortNumber这个参数值有关，也方便找。我等会做个reg文件，运行一下就好了。

远程桌面端口：3389->××××->××××（这个肯定是要改变的）

SQL SERVER:1434->×××× 同时隐藏SQL 实例

FTP端口21->××××

（7） 打开审核策略！这个也非常重要，必须开启。当有人尝试入侵时，都会被安全审核记录下来。比如下表：

策略 设置

审核系统登陆事件 成功，失败

审核帐户管理 成功，失败

审核登陆事件 成功，失败

审核对象访问 成功

审核策略更改 成功，失败

审核特权使用 成功，失败

审核系统事件 成功，失败

（8）禁止建立空连接。可视化修改是这样：在管理工具->本地安全策略->选择本地策略->选择安全选项->网络访问：不允许SAM帐号和共享的匿名枚举（改成已启用）！

或者修改注册表来禁止建立空连接（等同上面）：

Local_Machine\\System\\CurrentControlSet\\Control\\LSA-RestrictAnonymous 的值改成”1”即

可。

另外，本地安全策略一定要仔细看，有些功能要开启。反正，服务器端只运行必要的就可以了。

（9）关闭默认共享，编写一个deletenetshare.bat文件（如下表）

net share ipc$ /delete

net share admin$ /delete

net share C$ /delete

net share D$ /delete

net share E$ /delete

net share F$ /delete

net share print$ /delete

编写一个deletenetshare.reg 文件，把上面的bat写入启动项：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices]

"deletenetshare"="c:\\\\deletenetshare.bat"

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run]

"deletenetshare"="c:\\\\deletenetshare.bat"

（10）设置system32/cmd.exe访问权限！这个比较容易，自己尝试一下吧。

（11）模糊服务器的Banner信息，如修改IIS的Banner实现操作系统版本的隐藏，一般把IIS->APACHE。这个也比较容易，但高手还是容易看出来的。方法如下：利用资源修改工具来修改DLL，如exescope、ultraedit等(另外一种方法更专业，我在下面会讲)。存放IIS BANNER 的DLL 文件都是放在C:\\WINDOWS\\SYSTEM32\\INETSRV\\ 目录里，在IIS 5.0中的对应关系如下：

WEB 是：C:\\WINNT\\SYSTEM32\\INETSRV\\W3SVC.DLL

FTP 是： C:\\WINNT\\SYSTEM32\\INETSRV\\FTPSVC2.DLL

SMTP 是：C:\\WINNT\\SYSTEM32\\INETSRV\\SMTPSVC.DLL

例如用UltraEdit打开，查找Microsoft-IIS/5.0，修改为：Apache/1.3.29(Unix)或其它。

注意的地方就是：

1 在修改的时候请停止IIS 的服务，可以用iisreset /stop （当然，iisreset /start是启动）。

2 由于2000 系统后台的文件保护机制的作用，当系统一旦发现重要的DLL 文件被修改后就会尝试用%SYSTEMROOT%\\system32\\dllcache 目录下的备份文件来进行恢复，所以在修改前我们还需要事先删除或改名：%SYSTEMROOT%\\system32\\dllcache 目录下的同名文件。完成后WINDOWS 会出来一个对话框：系统文件被更改需要安装光盘恢复，不用理会点取消就好了。不过，想要完全隐藏还是不太现实，因为IIS 和APACHE 返回的代码格式还是相差较大的。

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有