WindowsServer2003防木马权限设置.doc

1、Windows Server 2003 防木马权限设置2007-11-18 00:00 作者：佚名出处：网络世界责任编辑：原野Windows 200 作为服务器操作系统，你知道他的安全性能如何保护吗？下面请看防木马权限设置 IIS 服务器安全配置。 一、 系统的安装 、按照 Windows2003 安装光盘的提示安装，默认情况下 2003 没有把 IIS6.0 安装在系统里面。 、IIS6.0 的安装 开始菜单控制面板 添加或删除程序 添加/删除 Windows 组件 应用程序 ASP.NET（可选） | 启用网络 COM+ 访问（必选） | Internet 信息服务(IIS)Interne

2、t 信息服务管理器（必选） | 公用文件（必选） | 万维网服务Active Server pages（必选） | Internet 数据连接器（可选） | WebDAV 发布（可选） | 万维网服务（必选） | 在服务器端的包含文件（可选） 然后点击确定下一步安装。（具体见本文附件 1） 、系统补丁的更新 点击开始菜单所有程序Windows Update 按照提示进行补丁的安装。 、备份系统 用 GHOST 备份系统。 、安装常用的软件 例如：杀毒软件、解压缩软件等；安装完毕后,配置杀毒软件,扫描系统漏洞,安装之后用 GHOST 再次备份系统。 6 、先关闭不需要的端口 开启防火墙 导入 I

3、PSEC 策略 在” 网络连接”里，把不需要的协议和服务都删掉，这里只安装了基本的 Internet 协议（TCP/IP），由于要控制带宽流量服务，额外安装了 Qos 数据包计划程序。在高级 tcp/ip 设置里-“NetBIOS“设置“禁用 tcp/IP 上的 NetBIOS（S）“。在高级选项里，使用“Internet 连接防火墙“，这是 windows 2003 自带的防火墙，在 2000 系统里没有的功能，虽然没什么功能，但可以屏蔽端口，这样已经基本达到了一个 IPSec 的功能。 修改 3389 远程连接端口 修改注册表. 开始-运行-regedit 依次展开 HKEY_LOCAL_

4、MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/ TERMINAL SERVER/WDS/RDPWD/TDS/TCP 右边键值中 PortNumber 改为你想用的端口号 .注意使用十进制(例 10000 ) HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/ WINSTATIONS/RDP-TCP/ 右边键值中 PortNumber 改为你想用的端口号 .注意使用十进制(例 10000 ) 注意：别忘了在 WINDOWS2003 自带的防火墙给+上 10000 端口 修改完

5、毕.重新启动服务器.设置生效. 二、用户安全设置 1 、禁用 Guest 账号 在计算机管理的用户里面把 Guest 账号禁用。为了保险起见，最好给 Guest 加一个复杂的密码。你可以打开记事本，在里面输入一串包含特殊字符、数字、字母的长字符串，然后把它作为 Guest 用户的密码拷进去。 2 、限制不必要的用户 去掉所有的 Duplicate User 用户、测试用户、共享用户等等。用户组策略设置相应权限，并且经常检查系统的用户，删除已经不再使用的用户。这些用户很多时候都是黑客们入侵系统的突破口。 3 、把系统 Administrator 账号改名 大家都知道，Windows 2003 的

6、 Administrator 用户是不能被停用的，这意味着别人可以一遍又一遍地尝试这个用户的密码。尽量把它伪装成普通用户，比如改成 Guesycludx。 4 、创建一个陷阱用户 什么是陷阱用户?即创建一个名为“Administrator”的本地用户，把它的权限设置成最低，什么事也干不了的那种，并且加上一个超过 10 位的超级复杂密码。这样可以让那些 Hacker 们忙上一段时间，借此发现它们的入侵企图。 如下图Administrator 已经不是管理员，是陷阱用户。 5 、把共享文件的权限从 Everyone 组改成授权用户 任何时候都不要把共享文件的用户设置成“Everyone” 组，包括

7、打印共享，默认的属性就是“Everyone” 组的，一定不要忘了改。 6 、开启用户策略 使用用户策略，分别设置复位用户锁定计数器时间为 20 分钟，用户锁定时间为 20 分钟，用户锁定阈值为 3 次。 （该项为可选） 7 、不让系统显示上次登录的用户名 默认情况下，登录对话框中会显示上次登录的用户名。这使得别人可以很容易地得到系统的一些用户名，进而做密码猜测。修改注册表可以不让对话框里显示上次登录的用户名。方法为：打开注册表编辑器并找到注册表“HKLMSoftwareMicrosoftWindows TCurrentVersionWinlogonDont-DisplayLastUserNam

8、e”，把 REG_SZ 的键值改成 1。 密码安全设置 1 、使用安全密码 一些公司的管理员创建账号的时候往往用公司名、计算机名做用户名，然后又把这些用户的密码设置得太简单，比如“welcome”等等。因此，要注意密码的复杂性，还要记住经常改密码。 2 、设置屏幕保护密码 这是一个很简单也很有必要的操作。设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。 3 、开启密码策略 注意应用密码策略，如启用密码复杂性要求，设置密码长度最小值为 6 位 ，设置强制密码历史为 5 次，时间为 42 天。 4 、考虑使用智能卡来代替密码 对于密码，总是使安全管理员进退两难，密码设置简单容易受到黑客的攻击

9、，密码设置复杂又容易忘记。如果条件允许，用智能卡来代替复杂的密码是一个很好的解决方法。 三、系统权限的设置 、磁盘权限 (如下设置，我们已经写一个 CMD 脚本，按要求复制运行即可以取代如下手工设定 ) 系统盘及所有磁盘只给 Administrators 组和 SYSTEM 的完全控制权限 系统盘Documents and Settings 目录只给 Administrators 组和 SYSTEM 的完全控制权限 系统盘Documents and SettingsAll Users 目录只给 Administrators 组和 SYSTEM 的完全控制权限 系统盘WindowsSystem3

10、2cacls.exe、cmd.exe 、net.exe、 net1.exe、ftp.exe、tftp.exe、 telnet.exe 、netstat.exe、regedit.exe、at.exe、attrib.exe、、del 文件只给 Administrators 组和 SYSTEM 的完全 控制权限 另将System32cmd.exe、、ftp.exe 转移到其他目录或更名 Documents and Settings 下所有些目录都设置只给 adinistrators 权限。并且要一个一个目录查看，包括下面的所有子目录。 删除 c:inetpub 目录 、本地安全策略设置 开始菜单管理工具 本地安全策略 A、本地策略 审核策略 审核策略更改 成功 失败 审核登录事件 成功 失败 审核对象访问失败 审核过程跟踪 无审核 审核目录服务访问失败 审核特权使用失败 审核系统事件 成功 失败 审核账户登录事件 成功 失败 审核账户管理 成功 失败