Windows Server 优化及安全配置.docx

1、Windows Server 优化及安全配置Windows Server 2003优化及安全配置一、操作系统基础配置优化稳定的服务源于强健的操作系统，强健的操作系统基于合理的基础配置1.1 跳过磁盘检修等待时间 一旦计算机因意外原因，例如突然停电或者死机的话，那么计算机下次重新启动的话，系统就会花10秒钟的时间，来运行磁盘扫描程序，检查磁盘是否有错误出现。对于服务器来说，越短的启动时间代表越少的服务中断，所以我们可以进行以下配置： A、在开始菜单中选择“运行”，键入“cmd”命令，将界面切换到DOS命令行状态下； B、直接输入“CHKNTFS /T:0”命令，单击回车键后，系统就能自动将检查磁

2、盘的等待时间修改为0了； 下次遇到异常情况，重新启动计算机后，系统再调用磁盘扫描程序时，就不需要等待了。1.2 取消对网站的安全检查 Windows Server 2003操作系统自带了Internet Explorer增强的安全配置，当打开浏览器来查询网上信息时，发现IE总是“不厌其烦”地提示我们，是否需要将当前访问的网站添加到自己信任的站点中去；要是不信任的话，就无法打开指定网页；倘若信任的话，就必须单击“添加”按钮，将该网页添加到信任网站的列表中去。这种配置虽然增强了系统安全性，但是无疑也给我们日常维护增加了麻烦。我们可以通过下面的方法来让IE取消对网站安全性的检查： A、依次执行“开始

3、”/“设置”/“控制面板”命令，在打开的控制面板窗口中，用鼠标双击“添加和删除程序”图标，将界面切换到“添加和删除Windows组件”页面中； B、用鼠标选中“Internet Explorer增强的安全配置”选项，继续单击下一步按钮，就能将该选项从系统中删除了； C、再单击一下“完成”按钮，退出组件删除提示窗口。 1.3 自动登录Windows Server 2003系统 每次开机运行Windows Server 2003系统时，都需要同时按住Ctrl+Alt+Delete复合键，再输入登录密码，才能进入到系统中。大家在实际应用中，可能会遇到某些并不是以服务的形式启动服务软件，这类软件必需要

4、求用户登录后才能启动（如金华科数理平台的服务器端），大家可以按照下面的步骤，来让系统自动完成登录操作： 开启自动登录功能会给服务器带来安全隐患！ A、在运行对话框中，输入注册表编辑命令regedit，来打开注册表编辑窗口； B、在该窗口中，依次展开：HKEY_LOCAL_MACHINESSOFTWAREMicrosoftWindowsNTCurrent VersionWinLogon键值； C、在对应右边的子窗口中，用鼠标右键单击空白处，从弹出的快捷菜单中，依次执行“新建”/“字符串”命令，来创建一个字符串类型的键名，并将键名设置为“AutoAdminLogon”，并将该键名的数值设置为“1”

5、； D、找到“DefaultDomainName”键名，并用鼠标双击之，在随后出现的窗口中，输入要登录的域名，例如Department； E、双击“DefaultUserName”键名，在随后打开的窗口中，直接输入要登录到此域的用户名，例如“test”； F、在WinLogon右边的子窗口中，用鼠标右键单击空白处，从弹出的快捷菜单中，依次执行“新建”/“字符串”命令，来创建一个字符串类型的键名，并将键名设置为“DefaultPassword”，并将该键名的数值设置为用户登录系统的密码，例如用户test的登录密码为“123456”； G、完成设置后，重新启动计算机时，我们会发现不需要再登录，就能

6、自动进入到Windows Server 2003系统中了。以后要取消自动登录功能的话，可以将“AutoAdminLogon”键值设置为“0”就可以了。 1.4 取消关机原因的提示 在关闭Windows Server 2003操作系统时，系统会弹出一个提示窗口，要求大家选择关闭计算机的原因选项；尽管这种方法可以记录每次重启的原因以供分析，但在实际应用中作用不大，而且大家会发现这件工作“很烦很碍事”。为了进快地关闭计算机，大家可以按下面步骤来取消关机原因的提示： 打开开始菜单 -运行 -输入gpedit.msc ，在出现的窗口的左边部分，选择 计算机配置- 管理模板- 系统,在右边窗口双击“显示关

7、闭事件跟踪程序” 在出现的对话框中选择“禁止”，点击然后“确定”保存后退出1.5 禁用自动播放功能 近来许多病毒及木马程序利用Windows操作系统的自动播放功能进行传播，从安全的角度考虑，最好的选择是关闭Windows自动播放功能打开开始菜单 -运行 -输入gpedit.msc ，在出现的窗口的左边部分，选择 计算机配置- 管理模板- 系统,在右边窗口双击“关闭自动播放” 在出现的对话框中选择“禁止”，并选择“所有驱动器”，点击然后“确定”保存后退出1.6 工具软件的选择服务器上只可以安装少量用于系统维护的工具软件，严禁安装任何娱乐、聊天及大型应用软件，慎用系统优化软件，并严格控制软件对外网

8、的访问。推荐安装：WinRARUltraEdit（文本/16进制编辑软件）Diskeeper（磁盘碎片整理软件）反病毒软件（自行选择）防火墙（自行选择）二、操作系统权限与安全配置配置格言：1、最小的权限+最少的服务=最大的安全。2、没有绝对的安全，只有相对完善的配置！2.1 最小的权限如何实现？NTFS系统权限设置 在使用之前将每个硬盘根加上 Administrators 用户为全部权限(可选加入SYSTEM用户) 删除其它用户，进入系统盘:权限如下 C:WINDOWS Administrators SYSTEM用户全部权限 Users 用户默认权限不作修改 其它目录删除Everyone用户，

9、切记C:Documents and Settings下All UsersDefault User目录及其子目录 如C:Documents and SettingsAll UsersApplication Data 目录默认配置保留了Everyone用户权限 C:WINDOWS 目录下面的权限也得注意,如 C:WINDOWSPCHealth、C:windowsInstaller也是保留了Everyone权限. 删除C:WINDOWSWebprinters目录，此目录的存在会造成IIS里加入一个.printers的扩展名，可溢出攻击 默认IIS错误页面已基本上没多少人使用了。建议删除C:WINDO

10、WSHelpiisHelp目录 打开C:Windows 搜索net.execmd.exetftp.exenetstat.exeregedit.exeat.exeattrib.execacls.exe regsvr32.exexcopy.exewscript.execscript.exeftp.exetelnet.exearp.exeedlin.exe ping.exeroute.exefinger.exeposix.exersh.exeatsvc.exeqbasic.exerunonce.exesyskey.exe修改权限，删除所有的用户只保存Administrators 和SYSTEM为所有

11、权限。关闭139、445端口TCP139、445端口对应的是NetBios服务，简单的说就是“网上邻居”功能，也是最常受攻击的端口，推荐在服务器上关闭此端口：HKEY_LOCAL_MACHINESystemCurrentControlSetServicesnetBTParameters 新建 DWORD值值名为 SMBDeviceEnabled 数据为默认值0同时推荐以下操作：打开本地连接属性，卸载“Microsoft网络的文件与打印机共享”禁止建立空连接空连接和ipc$（internet process connection）是不同的概念。空连接是在没有信任的情况下与服务器建立的会话，换句话

12、说，它是一个到服务器的匿名访问。ipc$是为了让进程间通信而开放的命名管道，可以通过验证用户名和密码获得相应的权限，通过它黑客可以采用暴力法、穷举法进行密码破解。默认共享是为了方便远程管理而开放的共享，包含了所有的逻辑盘（c$,d$,e$）和系统目录winnt或windows（admin$）。相信大家不难看出这些共享的危险性，应对些威胁，我们可以进行以下配置：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa 新建 DWORD值值名为 RestrictAnonymous 数据值为1 2003默认为1禁止系统自动启动服务器共享理由同上HKEY_

13、LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters 新建 DWORD值值名为 AutoShareServer 数据值为0禁止系统自动启动管理共享理由同上HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters 新建 DWORD值值名为 AutoShareWks 数据值为0通过修改注册表防止小规模DDOS攻击HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParamete

14、rs 新建 DWORD值值名为 SynAttackProtect 数据值为1应对DDOS攻击的最好方法是安装应用层防火墙。禁止dump file的产生 dump文件在系统崩溃和蓝屏的时候是一份很有用的查找问题的资料。然而，它也能够给黑客提供一些敏感信息比如一些应用程序的密码等。控制面板系统属性高级启动和故障恢复把写入调试信息 改成无。关闭“华生医生”Dr.Watson 在开始-运行中输入drwtsn32，或者开始-程序-附件-系统工具-系统信息-工具-Dr Watson，调出系统里的华医生Dr.Watson ，只保留转储全部线程上下文选项，否则一旦程序出错，硬盘会读很久，并占用大量空间。如果以

15、前有此情况，请查找user.dmp文件，删除后可节省几十MB空间。本地安全策略配置 开始 程序 管理工具 本地安全策略 账户策略 密码策略 密码最短使用期限 改成0天（即密码不过期，上面我讲到不会造成IIS密码不同步） 账户策略 账户锁定策略 账户锁定阈值 5 次 账户锁定时间 10分钟 （个人推荐配置） 本地策略 审核策略 账户管理 成功 失败 登录事件 成功 失败 对象访问 失败 策略更改 成功 失败 特权使用 失败 系统事件 成功 失败 目录服务访问 失败 账户登录事件 成功 失败 本地策略 安全选项 o 清除虚拟内存页面文件 更改为已启用 o 不显示上次的用户名 更改为已启用 o 不需

16、要按CTRL+ALT+DEL 更改为已启用 o 不允许 SAM 账户的匿名枚举 更改为已启用 o 不允许 SAM 账户和共享的匿名枚举 更改为已启用 o 重命名来宾账户 更改成一个复杂的账户名 o 重命名系统管理员账号 更改一个自己用的账号 （同时可建立一个无用户组的Administrator账户作为诱饵）组策略编辑器 运行 gpedit.msc 计算机配置 管理模板 系统 显示关闭事件跟踪程序 更改为已禁用删除不安全组件 WScript.Shell 、Shell.application 这两个组件一般一些ASP木马或一些恶意程序都会使用到。1. 方案一： regsvr32 /u wshom.

17、ocx 卸载WScript.Shell 组件 regsvr32 /u shell32.dll 卸载Shell.application 组件2. 方案二： 删除注册表 HKEY_CLASSES_ROOTCLSID72C24DD5-D70A-438B-8A42-98424B88AFB8 对应 WScript.Shell 删除注册表 HKEY_CLASSES_ROOTCLSID13709620-C279-11CE-A49E-444553540000 对应 Shell.application用户管理 建立另一个备用管理员账号，防止特殊情况发生。 安装有终端服务与SQL服务的服务器停用TsInterne

18、tUser, SQLDebugger这两个账号用户组说明 在将来要使用到的IIS中，IIS用户一般使用Guests组，也可以再重新建立一个独立的专供IIS使用的组，但要将这个组赋予C:Windows 目录为读取权限单一读取 二、系统权限与安全配置2.2最少的服务如果实现黑色为自动 绿色为手动 红色为禁用 Alerter Application Experience Lookup Service Application Layer Gateway Service Application Management Automatic Updates （Windows自动更新,可选项） Backgrou

19、nd Intelligent Transfer Service ClipBook COM+ Event System COM+ System Application Computer Browser Cryptographic Services DCOM Server Process Launcher DHCP Client Distributed File System Distributed Link Tracking Client Distributed Link Tracking Server Distributed Transaction Coordinator DNS Client

20、 Error Reporting Service Event Log File Replication Help and Support HTTP SSL Human Interface Device Access IIS Admin Service IMAPI CD-Burning COM Service Indexing Service Intersite Messaging IPSEC Services （如果使用了IP安全策略则自动，如无则禁用，可选操作） Kerberos Key Distribution Center License Logging Logical Disk Man

21、ager （可选，多硬盘建议自动） Logical Disk Manager Administrative Service Messenger Microsoft Search Microsoft Software Shadow Copy Provider MSSQLSERVER MSSQLServerADHelper Net Logon NetMeeting Remote Desktop Sharing Network Connections Network DDE Network DDE DSDM Network Location Awareness (NLA) Network Provi

22、sioning Service NT LM Security Support Provider Performance Logs and Alerts Plug and Play Portable Media Serial Number Service （微软反盗版工具，目前只针对移动多媒体设备） Print Spooler Protected Storage Remote Access Auto Connection Manager Remote Access Connection Manager Remote Desktop Help Session Manager Remote Proc

23、edure Call (RPC) Remote Procedure Call (RPC) Locator Remote Registry Removable Storage Resultant Set of Policy Provider Routing and Remote Access Secondary Logon Security Accounts Manager Server Shell Hardware Detection Smart Card Special Administration Console Helper SQLSERVERAGENT System Event Not

24、ification Task Scheduler TCP/IP NetBIOS Helper Telephony Telnet Terminal Services Terminal Services Session Directory Themes Uninterruptible Power Supply Upload Manager Virtual Disk Service Volume Shadow Copy WebClient Windows Audio （服务器没必要使用声音） Windows Firewall/Internet Connection Sharing (ICS) Win

25、dows Image Acquisition (WIA) Windows Installer Windows Management Instrumentation Windows Management Instrumentation Driver Extensions Windows Time Windows User Mode Driver Framework WinHTTP Web Proxy Auto-Discovery Service Wireless Configuration WMI Performance Adapter Workstation World Wide Web Pu

26、blishing Service 以上操作完成以后是否就最小的权限+最少的服务=最大的安全呢？其实不然，任何事物都是相对的。三、IIS、终端服务、FTP、SQL的配置3.1 IIS配置很多网管在用IIS6架网站的时候遇到不少问题，因为IIS6在IIS5的基础上做了不小的改动，现就我自己配置的经验列出以下几个常见问题，希望对大家有所帮助！问题1：未启用父路径 症状举例： Active Server Pages 错误 ASP 0131不允许的父路径/exam/admin/login.asp，行 1包含文件 ./include/conn.asp 不能用 . 表示父目录。 原因分析： 许多Web页面里

27、要用到诸如./格式的语句（即回到上一层的页面，也就是父路径），而IIS6.0出于安全考虑，这一选项默认是关闭的。 解决方法： 在IIS中属性-主目录-配置-选项中。把”启用父路径“前面打上勾。确认刷新。 问题2：ASP的Web扩展配置不当（同样适用于ASP.NET、CGI） 症状举例： HTTP 错误 404 - 文件或目录未找到。 原因分析： 在IIS6.0中新增了web程序扩展这一选项，你可以在其中对ASP、ASP.NET、CGI、IDC等程序进行允许或禁止，默认情况下ASP等程序是禁止的。 解决方法： 在IIS中的Web服务扩展中选中Active Server Pages，点击“允许”。

28、症状举例：上传文件到 Windows 2003 server + IIS 6.0 服务器的时候遇到下列错误:请求对象错误 ASP 0104 : 80004005 操作被禁止/Upload.asp, line 40原因分析:IIS6.0 禁止上传超过 200kB 的文件. 因此你需要修改 IIS 的默认设置.解决方法1、运行：Iisreset /stop2、找到c:windowssystem32inetsrvmetabase.xml，去掉它的只读属性3、用记事本编辑其中的ASPMaxRequestEntityAllowed 把他修改为需要的值，默认为204800，即200K，把它改成你需要的值后

29、保存。 4、运行：iisreset /start注意！不要用Word或写字板修改否则会出现错误，并导致IIS服务不能启动!推荐使用Edit Plus或UltraEdit。IIS基本参数配置实例打开IIS管理器 网站 属性 网站 启动日志记录 关闭主目录 配置 应用程序扩展 只保留 asp,asa主目录 配置 选项 启用父目录主目录 配置 调试 向客户端发送文本错误消息网站 自定义错误 全部改成默认值IIS管理器 WEB服务扩展 启用 Active Server Pages注：停用IIS默认站点，切勿删除，有可能会造成IIS的不稳定。站点的建立将在第四节中详细介绍。3.2 终端服务配置建议使用NetOP Remote Control实现服务器远程控制，如必需使用终端服务，请进行以下配置：开始 程序 管理工具 终端服务配置 连接选择右侧列出的连接 属性 权限 删除所有用户组 添加单一的允许使用的管理员账户,这样即使服务器被创建了其它的管理员.也无法使用终端服务。另外在会话设置中可以进一步设置断开、注销等一些参数。3.3 FTP的配置目前大多数服务器使用Serv-U Server 为FTP服务。我们建议使用此软件的最新版本以降低遭受攻击的可能性。安装原版至D: