WIN2003服务器安全配置终极技巧图[整理].pdf

网上流传的很多关于 windows server 2003 系统的安全配置，但是仔细分析下发现很多都不 全面，并且很多仍然配置的不够合理，并且有很大的安全隐患，今天我决定仔细做下极端 BT 的 2003 服务器的安全配置，让更多的网管朋友高枕无忧 我们配置的服务器需要提供支持的组件如下： （ASP、ASPX、CGI、PHP、FSO、JMAIL、 MySql、SMTP、POP3、FTP、3389 终端服务、远程桌面 Web连接管理服务等），这里前提是 已经安装好了系统， IIS ，包括 FTP服务器，邮件服务器等，这些具体配置方法的就不再重 复了，现在我们着重主要阐述下关于安全方面的配置。 关于常规的如安全的安装系统， 设置和管理帐户，关闭多余的服务，审核策略，修改终 端管理端口， 以及配置 MS-SQL，删除危险的存储过程，用最低权限的 public 帐户连接等 等，都不说了 先说关于系统的 NTFS磁盘权限设置， 大家可能看得都多了， 但是 2003 服务器有些细节 地方需要注意的，我看很多文章都没写完全。 C盘只给 administrators 和 system 权限，其他的权限不给， 其他的盘也可以这样设置， 这里给的 system 权限也不一定需要给， 只是由于某些第三方应用程序是以服务形式启动的， 需要加上这个用户，否则造成启动不了。 Windows 目录要加上给 users 的默认权限，否则 ASP和 ASPX等应用程序就无法运行。 以前有朋友单独设置 Instsrv 和 temp 等目录权限，其实没有这个必要的。 另外在 c:/Documents and Settings/ 这里相当重要，后面的目录里的权限根本不会继 承从前的设置，如果仅仅只是设置了 C 盘给 administrators 权限，而在 All Users/Application Data 目录下会 出现 everyone 用户有完全控制权限，这样入侵这可以 跳转到这个目录，写入脚本或只文件，再结合其他漏洞来提升权限；譬如利用 serv-u 的本 地溢出提升权限，或系统遗漏有补丁，数据库的弱点，甚至社会工程学等等 N 多方法， 从前 不是有牛人发飑说： 只要给我一个 webshell ，我就能拿到 system ，这也的确是有可能的。 在用做 web/ftp 服务器的系统里， 建议是将这些目录都设置的锁死。 其他每个盘的目录都按 照这样设置，没个盘都只给 adinistrators 权限。 另外，还将：net.exe ，cmd.exe ，tftp.exe ，netstat.exe ，regedit.exe ，at.exe ，attrib.exe ， cacls.exe ，这些文件都设置只允许 administrators 访问。 把不必要的服务都禁止掉， 尽管这些不一定能被攻击者利用得上， 但是按照安全规则和 标准上来说，多余的东西就没必要开启，减少一份隐患。 在 网络连接 里，把不需要的协议和服务都删掉，这里只安装了基本的 Internet 协议 （TCP/IP ），由于要控制带宽流量服务，额外安装了 Qos 数据包计划程序。在高级 tcp/ip 设置里 --NetBIOS 设置 禁用 tcp/IP 上的 NetBIOS （S） 。在高级选项里，使用 Internet 连接防火墙 ，这是 windows 2003 自带的防火墙，在 2000 系统里没有的功能，虽然没什么 功能，但可以屏蔽端口，这样已经基本达到了一个 IPSec 的功能。 这里我们按照所需要的服务开放响应的端口。