windows 2003 安全配置

一、开启防火墙先关闭不必要的端口

网上邻居--属性--本地连接--属性--高级--设置--启用防火墙

然后在例外那边添加所需要的端口。

常用端口号详解：

端口号21，说明：FTP服务所开放的端口，用于上传，下载。

端口号25，说明：SMTP服务所开放的端口，用于发送邮件。

端口号53，说明：DNS服务所开放的端口，入侵者可能是试图进行区域传递（TCP），欺骗DNS（UDP）或隐藏其他的通信。因此防火墙常常过滤或记录此端口。

端口号80，说明：HTTP服务所开放端口，用于网页浏览。

端口号3389，说明：默认远程客户端所用端口。

端口号1433，说明：MSSQL所用端口，用于数据传输。

端口号3306，说明：MYSQL所用端口，用于数据传输。

二、修改注册表 开始--运行--regedit

修改默认 3389 远程端口
依次展开  HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/
TERMINAL SERVER/WDS/RDPWD/TDS/TCP
右边键值中  PortNumber  改为你想用的端口号 . 注意使用十进制 ( 例  10000 )

HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/
WINSTATIONS/RDP-TCP/
右边键值中  PortNumber  改为你想用的端口号 . 注意使用十进制 ( 例  10000 )
注意：别忘了在 WINDOWS2003 自带的防火墙给 + 上 10000 端口
修改完毕 . 重新启动服务器 . 设置生效 .

隐藏重要文件 / 目录可以修改注册表实现完全隐藏
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-

Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL” ，鼠标右击  

“CheckedValue” ，选择修改，把数值由 1 改为 0

防止SYN洪水攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值，名为SynAttackProtect，值为2

三、关闭不必要的服务，打开相应的审核策略

以下是我个人觉得无需开启的服务，如果不确定的话可以选着手动。

     Automatic Updates 下载和安装Windows更新，盗版还是不开启的好。

    Computer Browser 维护网络上计算机的最新列表以及提供这个列表

　　Task scheduler 允许程序在指定时间运行

　　Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息

　　Distributed File System: 局域网管理共享文件，不需要禁用

　　Distributed linktracking client：用于局域网更新连接信息，不需要禁用

　　Error reporting service：禁止发送错误报告

　　Microsoft Serch：提供快速的单词搜索，不需要可禁用

　　NTLMSecuritysupportprovide：telnet服务和Microsoft Serch用的，不需要禁用

　　PrintSpooler：如果没有打印机可禁用

　　Remote Registry：禁止远程修改注册表

在本地连接属性里把不需要的协议和服务都删掉

在运行中输入gpedit.msc回车，打开组策略编辑器，选择计算机配置--Windows设置--安全设置--本地策略

A、审核策略；在创建审核项目时需要注意的是如果审核的项目太多，生成的事件也就越多，那么要想发现严重的事件也越难当然如果审核的太少也会影响你发现严重的事件，你需要根据情况在这二者之间做出选择。（以下提供我自己的设置）

B、用户权限分配；用户登录后，根据用户的信息来分配权限，管理员可以在此限制其他用户的权限。

C、安全选项，本地账户的加固，密码安全设置。

设置密码复杂度：

本地安全策略 ― 安全设置 ― 账户策略 ― 密码策略

四、使用IPSec安全策略

　　1、管理工具―本地安全策略―右击IP安全策略―管理IP筛选器表和筛选器操作―在管理IP筛选器表选项下点击

　　添加―名称设为Web筛选器―点击添加―在描述中输入Web服务器―将源地址设为任何IP地址――将目标地址设为我的IP地址――协议类型设为Tcp――IP协议端口第一项设为从任意端口，第二项到此端口80――点击完成――点击确定。

　　2、再在管理IP筛选器表选项下点击

　　添加―名称设为所有入站筛选器―点击添加―在描述中输入所有入站筛选―将源地址设为任何IP地址――将目标地址设为我的IP地址――协议类型设为任意――点击下一步――完成――点击确定。

　　3、在管理筛选器操作选项下点击添加――下一步――名称中输入阻止――下一步――选择阻止――下一步――完成――关闭管理IP筛选器表和筛选器操作窗口

　　4、右击IP安全策略――创建IP安全策略――下一步――名称输入数据包筛选器――下一步――取消默认激活响应原则――下一步――完成

　　5、在打开的新IP安全策略属性窗口选择添加――下一步――不指定隧道――下一步――所有网络连接――下一步――在IP筛选器列表中选择新建的 Web筛选器――下一步――在筛选器操作中选择许可――下一步――完成――在IP筛选器列表中选择新建的阻止筛选器――下一步――在筛选器操作中选择阻止 ――下一步――完成――确定

　　6、在IP安全策略的右边窗口中右击新建的数据包筛选器，点击指派，不需要重启，IPSec就可生效。

注：源地址与目的地址的辨析。

如果要封本地电脑的80端口，源地址为internet广域网地址，目的地址为本机IP地址，就是禁止外网访问本地80端口；
如果要封掉Internet广域网IP地址，源地址为本机IP地址，目的地址为广域网IP地址，就是把本地端口到外网80端口禁止掉。

五、磁盘权限

系统盘及所有磁盘只给  Administrators  组和  SYSTEM  的完全控制权限

系统盘 \Documents and Settings  目录只给  Administrators  组和  SYSTEM  的完全控制权限

系统盘 \Documents and Settings\All Users  目录只给  Administrators  组 和  SYSTEM  的完全控制权限

系统盘 \Windows\System32\cacls.exe 、 cmd.exe 、 net.exe 、 net1.exe 、 ftp.exe 、 tFTP.exe 、 Telnet.exe  、  netstat.exe 、 regedit.exe 、 at.exe 、 attrib.exe 、 format.com 、 del 文件只给  Administrators  组和 SYSTEM  的完全 控 制权限

另将 <systemroot>\System32\cmd.exe 、 format.com 、 FTP.exe 转移到其他目录或

更名 Documents and Settings 下所有些目录都设置只给 adinistrators 权限。并且 要一个一个目录查看，包括下面的所有子目录。

删除 c:\inetpub 目录

六、SQL2000 SERV-U FTP安全设置

　　SQL安全方面

　　1、System Administrators 角色最好不要超过两个

　　2、如果是在本机最好将身份验证配置为Win登陆

　　3、不要使用Sa账户，为其配置一个超级复杂的密码

　　4、删除以下的扩展存储过程格式为：

　　use master

　　sp_dropextendedproc '扩展存储过程名'

　　xp_cmdshell：是进入操作系统的最佳捷径，删除

　　访问注册表的存储过程，删除

　　Xp_regaddmultistringXp_regdeletekeyXp_regdeletevalueXp_regenumvalues
　　Xp_regread Xp_regwrite Xp_regremovemultistring

　　OLE自动存储过程，不需要，删除

　　Sp_OACreate Sp_OADestroySp_OAGetErrorInfoSp_OAGetProperty 
　　Sp_OAMethodSp_OASetPropertySp_OAStop

　　5、隐藏 SQL Server、更改默认的1433端口。

　　右击实例选属性-常规-网络配置中选择TCP/IP协议的属性，选择隐藏 SQL Server 实例，并改原默认的1433端口。

　　serv-u的几点常规安全需要设置下：

选中"Block "FTP_bounce"attack and FXP"。什么是FXP呢？通常，当使用FTP协议进行文件传输时，客户端首先向FTP服务器发出一个"PORT"命令，该命令中包含此用户的IP地址和将被用来进行数据传输的端口号，服务器收到后，利用命令所提供的用户地址信息建立与用户的连接。大多数情况下，上述过程不会出现任何问题，但当客户端是一名恶意用户时，可能会通过在PORT命令中加入特定的地址信息，使FTP服务器与其它非客户端的机器建立连接。虽然这名恶意用户可能本身无权直接访问某一特定机器，但是如果FTP服务器有权访问该机器的话，那么恶意用户就可以通过FTP服务器作为中介，仍然能够最终实现与目标服务器的连接。这就是FXP，也称跨服务器攻击。选中后就可以防止发生此种情况。

七、IIS安全设置

　　IIS的安全：

　　1、不使用默认的Web站点，如果使用也要将IIS目录与系统磁盘分开。

　　2、删除IIS默认创建的Inetpub目录（在安装系统的盘上）。

　　3、删除系统盘下的虚拟目录，如：_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。

　　4、删除不必要的IIS扩展名映射。

　　右键单击“默认Web站点→属性→主目录→配置”，打开应用程序窗口，去掉不必要的应用程序映射。主要为.shtml、.shtm、 .stm。

　　5、更改IIS日志的路径

　　右键单击“默认Web站点→属性-网站-在启用日志记录下点击属性

　　6、如果使用的是2000可以使用iislockdown来保护IIS，在2003运行的IE6.0的版本不需要。

八、其它

　　1、系统升级、打操作系统补丁，尤其是IIS 6.0补丁、SQL SP3a补丁，甚至IE 6.0补丁也要打。同时及时跟踪最新漏洞补丁；

    2、安装杀毒软件等，建议使用macfee，卡巴斯基等。

　　3、停掉Guest 帐号、并给guest 加一个异常复杂的密码，把Administrator改名或伪装！