Windowsserver 安全设置.docx

1、Windowsserver 安全设置Windows2003server 安全设置二、设置和管理账户 1、系统管理员账户最好少建，更改默认的管理员帐户名（Administrator）和描述，密码最好采用数字加大小写字母加数字的上档键组合，长度最好不少于14位。 2、新建一个名为Administrator的陷阱帐号，为其设置最小的权限，然后随便输入组合的最好不低于20位的密码 3、将Guest账户禁用并更改名称和描述，然后输入一个复杂的密码，当然现在也有一个DelGuest的工具，也许你也可以利用它来删除Guest账户，但我没有过。 4、在运行中输入gpedit.msc回车，打开组策略编辑器，选择

2、计算机配置-Windows设置-安全设置-账户策略-账户锁定策略，将账户设为“三次登陆无效”，“锁定时间为30分钟”，“复位锁定计数设为30分钟”。 5、在安全设置-本地策略-安全选项中将“不显示上次的用户名”设为启用 6、在安全设置-本地策略-用户权利分配中将“从网络访问此计算机”中只保留Internet来宾账户、启动IIS进程账户。如果你使用了A还要保留Aspnet账户。 7、创建一个User账户，运行系统，如果要运行特权命令使用Runas命令。 三、网络服务安全管理 1、禁止C$、D$、ADMIN$一类的缺省共享 打开注册表，HKEY_LOCAL_MACHINESYSTEMCurrent

3、ControlSetServiceslanmanserverparameters，在右边的窗口中新建Dword值，名称设为AutoShareServer值设为0 2、 解除NetBios与TCP/IP协议的绑定 右击网上邻居-属性-右击本地连接-属性-双击Internet协议-高级-Wins-禁TCP/IP上的NETBIOS 3、关闭不需要的服务，以下为建议选项 Computer Browser:维护网络计算机更新，禁用 Distributed File System: 局域网管理共享文件，不需要禁用 Distributed linktracking client：用于局域网更新连接信息，不需

4、要禁用 Error reporting service：禁止发送错误报告 Microsoft Serch：提供快速的单词搜索，不需要可禁用 NTLMSecuritysupportprovide：telnet服务和Microsoft Serch用的，不需要禁用 PrintSpooler：如果没有打印机可禁用 Remote Registry：禁止远程修改注册表 Remote Desktop Help Session Manager：禁止远程协助 四、打开相应的审核策略 在运行中输入gpedit.msc回车，打开组策略编辑器，选择计算机配置-Windows设置-安全设置-审核策略在创建审核项目时需要

5、注意的是如果审核的项目太多，生成的事件也就越多，那么要想发现严重的事件也越难当然如果审核的太少也会影你发现严重的事件，你需要根据情况在这二者之间做出选择。 推荐的要审核的项目是： 登录事件 成功 失败 账户登录事件 成功 失败 系统事件 成功 失败 策略更改 成功 失败 对象访问 失败 目录服务访问 失败 特权使用 失败 五、其它安全相关设置 1、隐藏重要文件/目录 可以修改注册表实现完全隐藏：“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows Current-VersionExplorerAdvancedFolderHi-ddenSHOWALL”，鼠标右击

6、 “CheckedValue”，选择修改，把数值由1改为0 2、启动系统自带的Internet连接防火墙，在设置服务选项中勾选Web服务器。 3、防止SYN洪水攻击 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 新建DWORD值，名为SynAttackProtect，值为2 4. 禁止响应ICMP路由通告报文 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfacesinterface 新建DWORD值，名为Perform

7、RouterDiscovery 值为0 5. 防止ICMP重定向报文的攻击 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 将EnableICMPRedirects 值设为0 6. 不支持IGMP协议 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 新建DWORD值，名为IGMPLevel 值为0 7、禁用DCOM： 运行中输入 Dcomcnfg.exe。 回车， 单击“控制台根节点”下的“组件服务”。 打开“计算机”子文件夹。 对

8、于本地计算机，请以右键单击“我的电脑”，然后选择“属性”。选择“默认属性”选项卡。 清除“在这台计算机上启用分布式 COM”复选框。 注：3-6项内容我采用的是Server2000设置，没有测试过对2003是否起作用。但有一点可以肯定我用了一段的时间没有发现其它副面的影响。 六、配置 IIS 服务： 1、不使用默认的Web站点，如果使用也要将 将IIS目录与系统磁盘分开。 2、删除IIS默认创建的Inetpub目录（在安装系统的盘上）。 3、删除系统盘下的虚拟目录，如：_vti_bin、IISSamples、scripts、IIShelp、IISAdmin、IIShelp、MSADC。 4、删

9、除不必要的IIS扩展名映射。 右键单击“默认Web站点属性主目录配置”，打开应用程序窗口，去掉不必要的应用程序映射。主要为.shtml, .shtm, .stm 5、更改IIS日志的路径 右键单击“默认Web站点属性-网站-在启用日志记录下点击属性 6、如果使用的是2000可以使用iislockdown来保护IIS，在2003运行的IE6.0的版本不需要。 7、使用UrlScan UrlScan是一个ISAPI筛选器，它对传入的HTTP数据包进行分析并可以拒绝任何可疑的通信量。目前最新的版本是2.5，如果是2000Server需要先安装1.0或2.0的版本。下载地址见页未的链接 如果没有特殊的

10、要求采用UrlScan默认配置就可以了。 但如果你在服务器运行ASP.NET程序，并要进行调试你需打开要%WINDIR%System32InetsrvURLscan 文件夹中的URLScan.ini 文件，然后在UserAllowVerbs节添加debug谓词，注意此节是区分大小写的。 如果你的网页是.asp网页你需要在DenyExtensions删除.asp相关的内容。 如果你的网页使用了非ASCII代码，你需要在Option节中将AllowHighBitCharacters的值设为1 在对URLScan.ini 文件做了更改后，你需要重启IIS服务才能生效，快速方法运行中输入iisrese

11、t 如果你在配置后出现什么问题，你可以通过添加/删除程序删除UrlScan。 8、利用WIS (Web Injection Scanner)工具对整个网站进行SQL Injection 脆弱性扫描. 七、配置Sql服务器 1、System Administrators 角色最好不要超过两个 2、如果是在本机最好将身份验证配置为Win登陆 3、不要使用Sa账户，为其配置一个超级复杂的密码 4、删除以下的扩展存储过程格式为： use master sp_dropextendedproc 扩展存储过程名 xp_cmdshell：是进入操作系统的最佳捷径，删除 访问注册表的存储过程，删除 Xp_reg

12、addmultistringXp_regdeletekeyXp_regdeletevalueXp_regenumvalues Xp_regread Xp_regwriteXp_regremovemultistring OLE自动存储过程，不需要删除 Sp_OACreate Sp_OADestroySp_OAGetErrorInfoSp_OAGetProperty Sp_OAMethodSp_OASetPropertySp_OAStop 5、隐藏 SQL Server、更改默认的1433端口 右击实例选属性-常规-网络配置中选择TCP/IP协议的属性，选择隐藏 SQL Server 实例，并改原

13、默认的1433端口。 八、如果只做服务器，不进行其它操作，使用IPSec 1、管理工具本地安全策略右击IP安全策略管理IP筛选器表和筛选器操作在管理IP筛选器表选项下点击 添加名称设为Web筛选器点击添加在描述中输入Web服务器将源地址设为任何IP地址将目标地址设为我的IP地址协议类型设为TcpIP协议端口第一项设为从任意端口，第二项到此端口80点击完成点击确定。 2、再在管理IP筛选器表选项下点击 添加名称设为所有入站筛选器点击添加在描述中输入所有入站筛选将源地址设为任何IP地址将目标地址设为我的IP地址协议类型设为任意点击下一步完成点击确定。 3、在管理筛选器操作选项下点击添加下一步名称中

14、输入阻止下一步选择阻止下一步完成关闭管理IP筛选器表和筛选器操作窗口 4、右击IP安全策略创建IP安全策略下一步名称输入数据包筛选器下一步取消默认激活响应原则下一步完成 5、在打开的新IP安全策略属性窗口选择添加下一步不指定隧道下一步所有网络连接下一步在IP筛选器列表中选择新建的 Web筛选器下一步在筛选器操作中选择许可下一步完成在IP筛选器列表中选择新建的阻止筛选器下一步在筛选器操作中选择阻止 下一步完成确定 6、在IP安全策略的右边窗口中右击新建的数据包筛选器，点击指派，不需要重启，IPSec就可生效. 九、建议 如果你按本文去操作，建议每做一项更改就测试一下服务器，如果有问题可以马上撤消

15、更改。而如果更改的项数多，才发现出问题，那就很难判断问题是出在哪一步上了。 十、运行服务器记录当前的程序和开放的端口 1、将当前服务器的进程抓图或记录下来，将其保存，方便以后对照查看是否有不明的程序。 2、将当前开放的端口抓图或记录下来，保存，方便以后对照查看是否开放了不明的端口。当然如果你能分辨每一个进程，和端口这一步可以省略。对于Windows 2003系统管理员来说，最关心的事情莫过于Windows 2003系统的安全了。为了提高系统的安全程度，我们可能对系统进行了多方面的安全设置，但是这些安全设置是否能够全面提升系统的安全级别、系统是否还存在着一些不安全的因素、系统的总体安全等级处于什

16、么水平，对于这些，我们需要有一个整体的了解和掌握。一、安全配置和分析以及安全模板的基础知识1. 安全配置和分析安全配置和分析概述“安全配置和分析”是分析和配置本地系统安全性的一个工具。包括:安全分析计算机上的操作系统和应用程序的状态是动态的。例如，为了能立刻解决管理或网络问题，您可能需要临时性地更改安全级别。然而，经常无法恢复这种更改。这意味着计算机不能再满足企业安全的要求。常规分析作为企业风险管理程序的一部分，允许管理员跟踪并确保在每台计算机上有足够高的安全级别。管理员可以调整安全级别，最重要的是，检测在系统长期运行过程中出现的任何安全故障。“安全配置和分析”使您能够快速查阅安全分析结果。在

17、当前系统设置的旁边提出建议，用可视化的标记或注释突出显示当前设置与建议的安全级别不匹配的区域。“安全配置和分析”也提供了解决分析显示的任何矛盾的功能。安全配置“安全配置和分析”还可以用于直接配置本地系统的安全性。利用个人数据库，可以导入由“安全模板”创建的安全模板，并将这些模板应用于本地计算机。这将立即使用模板中指定的级别配置系统安全性。2、安全模板安全模板使用 Microsoft 管理控制台的安全模板管理单元，您可以创建计算机或网络的安全策略。它是考虑整个系统范围内安全的单点入口点。安全模板管理单元并不引入新的安全参数，它只是将所有的现有安全属性组织在一起以便于安全管理。将安全模板导入到“组

18、策略”对象中可以通过立即配置域或部门的安全性来简化域管理。要将安全模板应用于本地计算机，可以使用“安全配置和分析”或 Secedit 命令行工具。安全模板可用于定义以下内容:帐户策略密码策略帐户锁定策略Kerberos 策略本地策略审核策略用户权限分配安全选项事件日志:应用程序、系统和安全的事件日志设置受限制的组:安全敏感组的成员资格系统服务:系统服务的启动和权限 注册表:注册表项的权限文件系统:文件夹和文件的权限将每个模板都另存为基于文本的 .inf 文件。这允许您复制、粘贴、导入或导出某些或所有模板属性。在安全模板中可以包含除“Internet 协议”安全和公用密钥策略之外的所有安全属性。

19、3、配置本地计算机安全有两种方法 配置本地计算机安全有两种方法使用命令行和Windows 图形界面。这里主要介绍前者。Windows命令行最大的一个特点就是对网络管理的便宜性，管理员只需在命令行窗口输入几个命令，就可以完成诸多繁杂的操作，达到预期的目的。而且可以通过一些命令工具判断网络内部的物理故障以及网络安全问题，实现网络管理的自动化和批量化。Windows 9X 下的DOS 与Windows NT/2000/XP/2003 下的命令行，虽然提供的都是黑白分明的字符界面，但其本质还是有所区别的。原因在于Windows NT/2000/XP/2003 已经彻底脱离了DOS 的桎梏，DOS 只是

20、作为操作系统所提供的虚拟机而存在，换句说，命令行已经不再是基础，而成为了一种工具。然而，我们却不能因此而小觑了这些貌似简单的命令行工具。原因很简单，命令行仍然是我们解决棘手的问题的首先。命令行格式:/secedit /analyze /db FileName.sdb /cfg FileName /overwrite /log FileName /quiet主要参数:/db FileName :指定用于执行此次分析的数据库。/cfg FileName :指定在执行分析前要导入到数据库中的安全模板。安全模板是使用安全模板管理单元创建的。/log FileName :指定一个文件，用于记录配置过程所

21、处的状态。如果未指定，配置数据将被记录在 %windir%securitylogs 文件夹的 Scesrv.log 中。/quiet :指定在执行分析过程时不作更多参与。/log logpath : 指定一个文件，该文件用于记录配置过程所处的状态。如未指定，配置数据将被记录在 %windir%SecurityLogs 文件夹的 scesrv.log 文件中。/quiet :指定应该在不提示用户的情况下进行配置。使用Secedit 命令行工具建立模板。通过在批处理文件或自动任务计划程序的命令提示符下调用 Secedit.exe 工具，可以自动创建和应用模板，以及分析系统的安全性。也可以从命令提示

22、符下动态运行该命令。当必须分析或配置多台计算机的安全性，并且需要在非工作时间执行任务时，Secedit.exe 很有用。要查看该命令的完整语法，请在命令提示符下输入:secedit /? ，见图1 。图1 secedit命令的完整语法下面简单介绍以下子命令:l secedit /analyze :可通过将其与数据库中的基本设置相比较，分析一台计算机上的安全设置。l secedit /configure :通过应用存储在数据库中的设置配置本地计算机的安全性设置。l secedit /export :可将存储在数据库中的安全性设置导出。l secedit /import :可将安全性模板导入到数据

23、库以便模板中指定的设置可应用到系统或作为分析系统的依据。l secedit /validate :验证要导入到分析数据库或系统应用程序的安全模板的语法。l secedit /GenerateRollback: 可根据配置模板生成一个回滚模板。在将配置模板应用到计算机上时，可以选择创建回滚模板，该模板在应用时会将安全性设置重置为应用配置模板前的值。默认情况下几个安全模板文件如下: 默认安全设置 模板(Setup security.inf)Setup security.inf 模板是在安装期间针对每台计算机创建的。取决于所进行的安装是完整安装还是升级，该模板在不同的计算机中可能不同。Setup s

24、ecurity.inf 代表了在安装操作系统期间所应用的默认安全设置，其中包括对系统驱动器的根目录的文件权限。它可以用在服务器或客户端计算机上，但不能应用于域控制器。此模板的某些部分可应用于故障恢复。请不要通过使用“组策略”来应用 Setup security.inf。此模板含有大量数据，如果通过组策略来应用它，可能会严重降低性能(因为策略是定期刷新的，这样做将导致在域中移 动大量数据)。因此，建议在局部应用 Setup security.inf 模板。由于 Secedit 命令行工具支持该功能，因此建议使用该工具。域控制器默认安全设置模板 (DC security.inf)该模板是在服务器被

25、升级为域控制器时创建的。它反映了文件、注册表以及系统服务的默认安全设置。重新应用它后，上述范围的安全设置将被重新设置为默认值。它可能覆盖由其他应用程序创建的新文件、注册表和系统服务的权限。使用“安全配置和分析”管理单元或 Secedit 命令行工具可以应用它。兼容模板 (compatws.inf)工作站和服务器的默认权限主要授予三个本地组:Administrators、Power Users 和 Users。Administrators 享有最高的特权，而 Users 的特权最低。正因为如此，可以通过以下方式极大地提高系统所有权的安全性、可靠性，并降低其总成本:确保最终用户都是 Users 成

26、员。 部署可由 Users 组的成员成功运行的应用程序。具有 User 权限的人可以成功运行已加入在 Windows Logo Program for Software 中的应用程序。但是，User 可能无法运行不符合该计划要求的应用程序。高级安全模板 (hisec*.inf)高级安全模板是对加密和签名作进一步限制的安全模板的扩展集，这些加密和签名是进行身份认证和保证数据通过安全通道以及在 SMB 客户端和服务器之间进行安全传输所必需的。例如，安全模板可以使服务器拒绝 LAN Manager 的响应，而高级安全模板则可导致同时对 LAN Manager 和 NTLM 响应的拒绝。安全模板可以启

27、用服务器端的 SMB 信息包签名，而高级安全模板则要求这种签名。此外，高级安全模板还要求对形成域到成员以及域到域的信任关系的安全通道数据进行强力加密和签名。Hisecdc和Hisecws:高级安全模板。在安全模板的基础上对加密和签名作进一步的限制。这些加密和签名是进行身份认证和保证数据在安全的通道中进行传输所必需的，要求对安全通道数据进行强力的加密和签名，从而形成域到成员和成员到域的信任关系。系统根目录安全 模板(Rootsec.inf)Rootsec.inf 可指定根目录权限。默认情况下，Rootsec.inf 为系统驱动器根目录定义这些权限。如果不小心更改了根目录权限，则可利用该模板重新应

28、用根目录权限，或者通过修改模板对其他卷应用相同的根目录权限。正如所说明的那样，该模板并不覆盖已明确定义在子对象上的权限，它只是传递由子对象继承的权限。无终端服务器用户 SID 模板(Notssid.inf)服务器上的默认文件系统和注册表访问控制列表可将权限授予终端服务器的安全标识符 (SID)。仅当“终端服务器 SID”以应用程序兼容模式运行时，它才能被使用。如果当前没有使用“终端服务器 SID”，则可以应用该模板从文件系统和注册表位置删除不需要的“终端服务器 SID”。然而，从这些默认的文件系统和注册表位置删除“终端服务器 SID”的访问控制项并不会增加系统的安全性。因此请不要删除“终端服务

29、器 SID”，而直接以“完整安全”模式运行终端服务器。当以“完整安全”模式运行时，则不使用“终端服务器 SID”。上面我们介绍了配置本地计算机安全的命令行方法，下面介绍在Windows 图形界面如何完成。二、使用用安全配置和分析工具 下面是图形界面下使用安全配置和分析工具提升windows 2003系统安全详细步骤:1、使用管理员权限登录首先必须以系统管理员或administrators组成员的账户身份登录系统才能完成管理单元的加载以及系统安全性分析和配置操作;注意 :要执行该过程，您必须是本地计算机Administrators 组的成员，或者您必须被委派适当的权限。如果将计算机加入域，Dom

30、ain Admins 组的成员可能也可以执行这个过程。作为安全性的最佳操作，可以考虑使用运行方式来执行这个过程。2、打开“安全配置和分析”要打开“安全配置和分析”，请先单击“开始”，接着单击“运行”，然后输入 mmc，最后单击“确定”。在“文件”菜单上，单击“打开”，单击要打开的控制台，然后单击“打开”。然后，在控制台树中，使用Ctrl+M 快捷键打开“添加/删除管理单元” 如图2。图2使用Ctrl+M 快捷键打开“添加/删除管理单元”3、添加“安全配置和分析”管理单元在“添加/删除管理单元”对话框中，点击选项页的“添加”，在弹出的“添加独立管理单元”对话框中，选择列表中的“安全配置和分析”项，点击“添加”，如图3所示;图3 添加“安全配置和分析”管理单元4、完成添加点击“关闭”，返回“添加/删除管理单元”对话框，此时在列表中可以看到新增加了“安全配置和分析”项;点击“确定”，完成“安全配置和分析”管理单元的加载。说明:执行安全性分析是根据系统提供的安全模板来实现的，这个过程中，需要用户打开或新建一个包含安全信息的数据库，并选择合适的安全模板。