Windows Server 优化及安全配置.docx

Windows Server 优化及安全配置.docx

《Windows Server 优化及安全配置.docx》由会员分享，可在线阅读，更多相关《Windows Server 优化及安全配置.docx（16页珍藏版）》请在冰豆网上搜索。

WindowsServer优化及安全配置

WindowsServer2003优化及安全配置

一、操作系统基础配置优化

稳定的服务源于强健的操作系统，强健的操作系统基于合理的基础配置

1.1跳过磁盘检修等待时间

一旦计算机因意外原因，例如突然停电或者死机的话，那么计算机下次重新启动的话，系统就会花10秒钟的时间，来运行磁盘扫描程序，检查磁盘是否有错误出现。

对于服务器来说，越短的启动时间代表越少的服务中断，所以我们可以进行以下配置：

A、在开始菜单中选择“运行”，键入“cmd”命令，将界面切换到DOS命令行状态下；

B、直接输入“CHKNTFS/T:

0”命令，单击回车键后，系统就能自动将检查磁盘的等待时间修改为0了；

下次遇到异常情况，重新启动计算机后，系统再调用磁盘扫描程序时，就不需要等待了。

1.2取消对网站的安全检查

WindowsServer2003操作系统自带了InternetExplorer增强的安全配置，当打开浏览器来查询网上信息时，发现IE总是“不厌其烦”地提示我们，是否需要将当前访问的网站添加到自己信任的站点中去；要是不信任的话，就无法打开指定网页；倘若信任的话，就必须单击“添加”按钮，将该网页添加到信任网站的列表中去。

这种配置虽然增强了系统安全性，但是无疑也给我们日常维护增加了麻烦。

我们可以通过下面的方法来让IE取消对网站安全性的检查：

A、依次执行“开始”/“设置”/“控制面板”命令，在打开的控制面板窗口中，用鼠标双击“添加和删除程序”图标，将界面切换到“添加和删除Windows组件”页面中；

B、用鼠标选中“InternetExplorer增强的安全配置”选项，继续单击下一步按钮，就能将该选项从系统中删除了；

C、再单击一下“完成”按钮，退出组件删除提示窗口。

1.3自动登录WindowsServer2003系统

每次开机运行WindowsServer2003系统时，都需要同时按住Ctrl+Alt+Delete复合键，再输入登录密码，才能进入到系统中。

大家在实际应用中，可能会遇到某些并不是以服务的形式启动服务软件，这类软件必需要求用户登录后才能启动（如金华科数理平台的服务器端），大家可以按照下面的步骤，来让系统自动完成登录操作：

开启自动登录功能会给服务器带来安全隐患！

A、在运行对话框中，输入注册表编辑命令regedit，来打开注册表编辑窗口；

B、在该窗口中，依次展开：

HKEY_LOCAL_MACHINES\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\WinLogon键值；

C、在对应右边的子窗口中，用鼠标右键单击空白处，从弹出的快捷菜单中，依次执行“新建”/“字符串”命令，来创建一个字符串类型的键名，并将键名设置为“AutoAdminLogon”，并将该键名的数值设置为“1”；

D、找到“DefaultDomainName”键名，并用鼠标双击之，在随后出现的窗口中，输入要登录的域名，例如Department；

E、双击“DefaultUserName”键名，在随后打开的窗口中，直接输入要登录到此域的用户名，例如“test”；

F、在WinLogon右边的子窗口中，用鼠标右键单击空白处，从弹出的快捷菜单中，依次执行“新建”/“字符串”命令，来创建一个字符串类型的键名，并将键名设置为“DefaultPassword”，并将该键名的数值设置为用户登录系统的密码，例如用户test的登录密码为“123456”；

G、完成设置后，重新启动计算机时，我们会发现不需要再登录，就能自动进入到WindowsServer2003系统中了。

以后要取消自动登录功能的话，可以将“AutoAdminLogon”键值设置为“0”就可以了。

1.4取消关机原因的提示

在关闭WindowsServer2003操作系统时，系统会弹出一个提示窗口，要求大家选择关闭计算机的原因选项；尽管这种方法可以记录每次重启的原因以供分析，但在实际应用中作用不大，而且大家会发现这件工作“很烦很碍事”。

为了进快地关闭计算机，大家可以按下面步骤来取消关机原因的提示：

打开开始菜单->运行->输入gpedit.msc，在出现的窗口的左边部分，选择计算机配置->管理模板->系统,在右边窗口双击“显示关闭事件跟踪程序”在出现的对话框中选择“禁止”，点击然后“确定”保存后退出

1.5禁用自动播放功能

近来许多病毒及木马程序利用Windows操作系统的自动播放功能进行传播，从安全的角度考虑，最好的选择是关闭Windows自动播放功能

打开开始菜单->运行->输入gpedit.msc，在出现的窗口的左边部分，选择计算机配置->管理模板->系统,在右边窗口双击“关闭自动播放”在出现的对话框中选择“禁止”，并选择“所有驱动器”，点击然后“确定”保存后退出

1.6工具软件的选择

服务器上只可以安装少量用于系统维护的工具软件，严禁安装任何娱乐、聊天及大型应用软件，慎用系统优化软件，并严格控制软件对外网的访问。

推荐安装：

WinRAR

UltraEdit（文本/16进制编辑软件）

Diskeeper（磁盘碎片整理软件）

反病毒软件（自行选择）

防火墙（自行选择）

二、操作系统权限与安全配置

配置格言：

1、最小的权限+最少的服务=最大的安全。

2、没有绝对的安全，只有相对完善的配置！

2.1最小的权限如何实现？

NTFS系统权限设置

在使用之前将每个硬盘根加上Administrators用户为全部权限（可选加入SYSTEM用户）

删除其它用户，进入系统盘:

权限如下

∙C:

\WINDOWSAdministratorsSYSTEM用户全部权限Users用户默认权限不作修改

∙其它目录删除Everyone用户，切记C:

\DocumentsandSettings下AllUsers\DefaultUser目录及其子目录

如C:

\DocumentsandSettings\AllUsers\ApplicationData目录默认配置保留了Everyone用户权限

C:

\WINDOWS目录下面的权限也得注意,如C:

\WINDOWS\PCHealth、C:

\windows\Installer也是保留了Everyone权限.

∙删除C:

\WINDOWS\Web\printers目录，此目录的存在会造成IIS里加入一个.printers的扩展名，可溢出攻击

∙默认IIS错误页面已基本上没多少人使用了。

建议删除C:

\WINDOWS\Help\iisHelp目录

∙打开C:

\Windows搜索

net.exe

cmd.exe

tftp.exe

netstat.exe

regedit.exe

at.exe

attrib.exe

cacls.exe

regsvr32.exe

xcopy.exe

wscript.exe

cscript.exe

ftp.exe

telnet.exe

arp.exe

edlin.exe

ping.exe

route.exe

finger.exe

posix.exe

rsh.exe

atsvc.exe

qbasic.exe

runonce.exe

syskey.exe

修改权限，删除所有的用户只保存Administrators和SYSTEM为所有权限。

关闭139、445端口

TCP139、445端口对应的是NetBios服务，简单的说就是“网上邻居”功能，也是最常受攻击的端口，推荐在服务器上关闭此端口：

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\netBT\Parameters

新建"DWORD值"值名为"SMBDeviceEnabled"数据为默认值"0"

同时推荐以下操作：

打开本地连接属性，卸载“Microsoft网络的文件与打印机共享”

禁止建立空连接

空连接和ipc$（internetprocessconnection）是不同的概念。

空连接是在没有信任的情况下与服务器建立的会话，换句话说，它是一个到服务器的匿名访问。

ipc$是为了让进程间通信而开放的命名管道，可以通过验证用户名和密码获得相应的权限，通过它黑客可以采用暴力法、穷举法进行密码破解。

默认共享是为了方便远程管理而开放的共享，包含了所有的逻辑盘（c$,d$,e$……）和系统目录winnt或windows（admin$）。

相信大家不难看出这些共享的危险性，应对些威胁，我们可以进行以下配置：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

新建"DWORD值"值名为"RestrictAnonymous"数据值为"1"[2003默认为1]

禁止系统自动启动服务器共享

理由同上

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

新建"DWORD值"值名为"AutoShareServer"数据值为"0"

禁止系统自动启动管理共享

理由同上

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

新建"DWORD值"值名为"AutoShareWks"数据值为"0"

通过修改注册表防止小规模DDOS攻击

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

新建"DWORD值"值名为"SynAttackProtect"数据值为"1"

应对DDOS攻击的最好方法是安装应用层防火墙。

禁止dumpfile的产生

dump文件在系统崩溃和蓝屏的时候是一份很有用的查找问题的资料。

然而，它也能够给黑客提供一些敏感信息比如一些应用程序的密码等。

控制面板>系统属性>高级>启动和故障恢复把写入调试信息改成无。

关闭“华生医生”Dr.Watson

在开始-运行中输入"drwtsn32"，或者开始-程序-附件-系统工具-系统信息-工具-DrWatson，调出系统里的华医生Dr.Watson，只保留"转储全部线程上下文"选项，否则一旦程序出错，硬盘会读很久，并占用大量空间。

如果以前有此情况，请查找user.dmp文件，删除后可节省几十MB空间。

本地安全策略配置

开始>程序>管理工具>本地安全策略

∙账户策略>密码策略>密码最短使用期限改成0天（即密码不过期，上面我讲到不会造成IIS密码不同步）

∙账户策略>账户锁定策略>账户锁定阈值5次账户锁定时间10分钟（个人推荐配置）

∙本地策略>审核策略>

∙账户管理成功失败

∙登录事件成功失败

∙对象访问失败

∙策略更改成功失败

∙特权使用失败

∙系统事件成功失败

∙目录服务访问失败

∙账户登录事件成功失败

∙本地策略>安全选项>

o清除虚拟内存页面文件更改为"已启用"

o不显示上次的用户名更改为"已启用"

o不需要按CTRL+ALT+DEL更改为"已启用"

o不允许SAM账户的匿名枚举更改为"已启用"

o不允许SAM账户和共享的匿名枚举更改为"已启用"

o重命名来宾账户更改成一个复杂的账户名

o重命名系统管理员账号更改一个自己用的账号（同时可建立一个无用户组的Administrator账户作为诱饵）

组策略编辑器

运行gpedit.msc计算机配置>管理模板>系统显示"关闭事件跟踪程序"更改为已禁用

删除不安全组件

WScript.Shell、Shell.application这两个组件一般一些ASP木马或一些恶意程序都会使用到。

1.方案一：

regsvr32/uwshom.ocx卸载WScript.Shell组件

regsvr32/ushell32.dll卸载Shell.application组件

2.方案二：

删除注册表HKEY_CLASSES_ROOT\CLSID\{72C24DD5-D70A-438B-8A42-98424B88AFB8}对应WScript.Shell

删除注册表HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540000}对应Shell.application

用户管理

建立另一个备用管理员账号，防止特殊情况发生。

安装有终端服务与SQL服务的服务器停用TsInternetUser,SQLDebugger这两个账号

用户组说明

在将来要使用到的IIS中，IIS用户一般使用Guests组，也可以再重新建立一个独立的专供IIS使用的组，但要将这个组赋予C:

\Windows目录为读取权限[单一读取]

二、系统权限与安全配置

2.2最少的服务如果实现

黑色为自动绿色为手动红色为禁用

∙Alerter

∙ApplicationExperienceLookupService

∙ApplicationLayerGatewayService

∙ApplicationManagement

∙AutomaticUpdates（Windows自动更新,可选项）

∙BackgroundIntelligentTransferService

∙ClipBook

∙COM+EventSystem

∙COM+SystemApplication

∙ComputerBrowser

∙CryptographicServices

∙DCOMServerProcessLauncher

∙DHCPClient

∙DistributedFileSystem

∙DistributedLinkTrackingClient

∙DistributedLinkTrackingServer

∙DistributedTransactionCoordinator

∙DNSClient

∙ErrorReportingService

∙EventLog

∙FileReplication

∙HelpandSupport

∙HTTPSSL

∙HumanInterfaceDeviceAccess

∙IISAdminService

∙IMAPICD-BurningCOMService

∙IndexingService

∙IntersiteMessaging

∙IPSECServices（如果使用了IP安全策略则自动，如无则禁用，可选操作）

∙KerberosKeyDistributionCenter

∙LicenseLogging

∙LogicalDiskManager（可选，多硬盘建议自动）

∙LogicalDiskManagerAdministrativeService

∙Messenger

∙MicrosoftSearch

∙MicrosoftSoftwareShadowCopyProvider

∙MSSQLSERVER

∙MSSQLServerADHelper

∙NetLogon

∙NetMeetingRemoteDesktopSharing

∙NetworkConnections

∙NetworkDDE

∙NetworkDDEDSDM

∙NetworkLocationAwareness（NLA）

∙NetworkProvisioningService

∙NTLMSecuritySupportProvider

∙PerformanceLogsandAlerts

∙PlugandPlay

∙PortableMediaSerialNumberService（微软反盗版工具，目前只针对移动多媒体设备）

∙PrintSpooler

∙ProtectedStorage

∙RemoteAccessAutoConnectionManager

∙RemoteAccessConnectionManager

∙RemoteDesktopHelpSessionManager

∙RemoteProcedureCall（RPC）

∙RemoteProcedureCall（RPC）Locator

∙RemoteRegistry

∙RemovableStorage

∙ResultantSetofPolicyProvider

∙RoutingandRemoteAccess

∙SecondaryLogon

∙SecurityAccountsManager

∙Server

∙ShellHardwareDetection

∙SmartCard

∙SpecialAdministrationConsoleHelper

∙SQLSERVERAGENT

∙SystemEventNotification

∙TaskScheduler

∙TCP/IPNetBIOSHelper

∙Telephony

∙Telnet

∙TerminalServices

∙TerminalServicesSessionDirectory

∙Themes

∙UninterruptiblePowerSupply

∙UploadManager

∙VirtualDiskService

∙VolumeShadowCopy

∙WebClient

∙WindowsAudio（服务器没必要使用声音）

∙WindowsFirewall/InternetConnectionSharing（ICS）

∙WindowsImageAcquisition（WIA）

∙WindowsInstaller

∙WindowsManagementInstrumentation

∙WindowsManagementInstrumentationDriverExtensions

∙WindowsTime

∙WindowsUserModeDriverFramework

∙WinHTTPWebProxyAuto-DiscoveryService

∙WirelessConfiguration

∙WMIPerformanceAdapter

∙Workstation

∙WorldWideWebPublishingService

以上操作完成以后是否就"最小的权限+最少的服务=最大的安全"呢？

其实不然，任何事物都是相对的。

三、IIS、终端服务、FTP、SQL的配置

3.1IIS配置

　　很多网管在用IIS6架网站的时候遇到不少问题，因为IIS6在IIS5的基础上做了不小的改动，现就我自己配置的经验列出以下几个常见问题，希望对大家有所帮助！

　　问题1：

未启用父路径

　　症状举例：

ActiveServerPages错误'ASP0131'

不允许的父路径

/exam/admin/login.asp，行1

包含文件'../include/conn.asp'不能用'..'表示父目录。

　　原因分析：

　　许多Web页面里要用到诸如../格式的语句（即回到上一层的页面，也就是父路径），而IIS6.0出于安全考虑，这一选项默认是关闭的。

　　解决方法：

　　在IIS中属性->主目录->配置->选项中。

把”启用父路径“前面打上勾。

确认刷新。

　　问题2：

ASP的Web扩展配置不当（同样适用于ASP.NET、CGI）

　　症状举例：

　　HTTP错误404-文件或目录未找到。

　　原因分析：

　　在IIS6.0中新增了web程序扩展这一选项，你可以在其中对ASP、ASP.NET、CGI、IDC等程序进行允许或禁止，默认情况下ASP等程序是禁止的。

　　解决方法：

在IIS中的Web服务扩展中选中ActiveServerPages，点击“允许”。

症状举例：

上传文件到Windows2003server+IIS6.0服务器的时候遇到下列错误:

请求对象错误'ASP0104:

80004005'

操作被禁止

/Upload.asp,line40

原因分析:

IIS6.0禁止上传超过200kB的文件.因此你需要修改IIS的默认设置.

解决方法

1、运行：

Iisreset/stop

2、找到c:

\windows\system32\inetsrv\metabase.xml，去掉它的只读属性

3、用记事本编辑其中的ASPMaxRequestEntityAllowed把他修改为需要的值，默认为204800，即200K，把它改成你需要的值后保存。

4、运行：

iisreset/start

注意！

不要用Word或写字板修改否则会出现错误，并导致IIS服务不能启动!

推荐使用EditPlus或UltraEdit。

IIS基本参数配置实例

打开IIS管理器>网站>属性>

网站>启动日志记录>关闭

主目录>配置>应用程序扩展>只保留asp,asa

主目录>配置>选项>启用父目录

主目录>配置>调试>向客户端发送文本错误消息

网站>自定义错误>全部改成默认值

IIS管理器>WEB服务扩展>启用ActiveServerPages

注：

停用IIS默认站点，切勿删除，有可能会造成IIS的不稳定。

站点的建立将在第四节中详细介绍。

3.2终端服务配置

建议使用NetOPRemoteControl实现服务器远程控制，如必需使用终端服务，请进行以下配置：

开始>程序>管理工具>终端服务配置>连接

选择右侧列出的连接属性>权限

删除所有用户组添加单一的允许使用的管理员账户,这样即使服务器被创建了其它的管理员.也无法使用终端服务。

另外在会话设置中可以进一步设置断开、注销等一些参数。

3.3FTP的配置

目前大多数服务器使用Serv-UServer为FTP服务。

我们建议使用此软件的最新版本以降低遭受攻击的可能性。

安装原版至D:

\