Windows 2003 Server安全配置指南

　　端口限制通常是网络管理的基本手段之一，具体端口的开放与关闭，需要根据实际情况来考虑。关闭端口操作：本地连接--属性--Internet协议(TCP/IP)--高级--选项--TCP/IP筛选--属性--把勾打上，然后添加你需要的端口，重新启动即可。

　　当然也可以更改远程连接端口方法：

　　我们可以写一个.REG文件，如下：

　　双击我们生成的文件，更改数据值，确认重启即可生效。

　　在2003系统里，用TCP/IP筛选里的端口过滤功能，使用FTP服务器的时候，只需开放21端口，在进行FTP传输的时候，FTP 特有的Port模式和Passive模式，在进行数据传输的时候，需要动态的打开高端口，所以在使用TCP/IP过滤的情况下，经常会出现连接上后无法列 出目录和数据传输的问题。所以2003系统上增加的Windows连接防火墙能很好的解决这个问题，笔者不推荐使用网卡的TCP/IP过滤功能。

　　如果要关闭不必要的端口，在\system32\drivers\etc\services用记事本打开修改。另外还有一中更简单的方法，启用WIN2003的自身带的网络防火墙，并进行端口的改变。

　　Internet 连接防火墙可以有效地拦截对Windows 2003服务器的非法入侵，防止非法远程主机对服务器的扫描，提高Windows 2003服务器的安全性。同时，也可以有效拦截利用操作系统漏洞进行端口攻击的病毒。合理配置利用Windows 2003的防火墙功能，能够对整个内部网络起到很好的保护作用。

　二.服务与审核策略管理

　　是系统就必然需要服务，然而不是每一个服务都适用于所有用户的，合理的关闭一些服务，可以减轻系统很多的负担。通常情况下，如下服务可以关闭：

　　在"网络连接"里，把不需要的协议和服务都删掉，这里只安装了基本的Internet协议(TCP/IP)，由于要控制带宽流量服务，额外安装 了Qos数据包计划程序。在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS(S)"。在高级选项里，使用 "Internet连接防火墙"，这是windows 2003 自带的防火墙，在2000系统里没有的功能，虽然没什么功能，但可以屏蔽端口，这样已经基本达到了一个IPSec的功能。

　　在运行中输入gpedit.msc回车，打开组策略编辑器，选择计算机配置-Windows设置-安全设置-审核策略在创建审核项目时需要注意 的是如果审核的项目过多，那么要想发现严重的事件也越难，当然如果审核的太少也会影响你发现严重的事件，你需要根据情况在这二者之间做出选择。

　　推荐的要审核的项目主要有：

　　三、关闭默认共享的空连接

　　这个就不必多说了，敞开门让别人拿，用户一定不会干！

　　四、磁盘权限设置

　　C盘只给administrators和system权限，其他的盘也可以这样设置。Windows目录要加上给users的默认权限，否则ASP和ASPX等应用程序就无法运行。以前有朋友单独设置Instsrv和temp等目录权限，其实没有这个必要的。

　　另外在c:/Documents and Settings/这里相当重要，后面的目录里的权限根本不会继承从前的设置，如果仅仅只是设置了C盘给administrators权限，而在All Users/Application Data目录下会 出现everyone用户有完全控制权限，这样入侵这可以跳转到这个目录，写入脚本或只文件，再结合其他漏洞来提升权限;譬如利用serv-u的本地溢出 提升权限，或系统遗漏有补丁，数据库的弱点，甚至社会工程学等等N多方法。曾经有牛人云："只要给我一个webshell，我就能拿到system"，防 微杜渐还是塌实些。在用做web/ftp服务器的系统里，建议是将这些目录都设置的锁死，每个盘都只给adimistrators权限。

　　另外，还需要将：

　　这些文件都设置只允许administrator访问。

　　五、防火墙、杀毒软件的安装

　　曾经还有人炫耀自己的裸机，但如今真的没多少人敢如此忽视杀毒软件的存在。由于对杀毒软件各方看法不一，这里就迎各位的喜好了!

　　六、SQL2000 SERV-U FTP安全设置

　　SQL安全方面

　　1、System Administrators 角色最好不要超过两个

　　2、如果是在本机最好将身份验证配置为Win登陆

　　3、不要使用Sa账户，或为其配置一个超级复杂的密码

　　4、删除以下的扩展存储过程格式为：

　　5、隐藏 SQL Server、更改默认的1433端口。

　　右击选属性-常规-网络配置中选择TCP/IP协议的属性，选择隐藏 SQL Server 实例，并改原默认的1433端口。

　　serv-u的几点常规安全需要设置下：

　　选中"Block "FTP_bounce"attack and FXP"。什么是FXP呢?通常，当使用FTP协议进行文件传输时，客户端首先向FTP服务器发出一个"PORT"命令，该命令中包含此用户的IP地址和 将被用来进行数据传输的端口号，服务器收到后，利用命令所提供的用户地址信息建立与用户的连接。大多数情况下，上述过程不会出现任何问题，但当客户端是一 名恶意用户时，可能会通过在PORT命令中加入特定的地址信息，使FTP服务器与其它非客户端的机器建立连接。虽然这名恶意用户可能本身无权直接访问某一 特定机器，但是如果FTP服务器有权访问该机器的话，那么恶意用户就可以通过FTP服务器作为中介，仍然能够最终实现与目标服务器的连接。这就是FXP， 也称跨服务器攻击。选中后就可以防止发生此种情况。

　七、IIS安全设置

　　IIS的安全：

　　1、不使用默认的Web站点，如果使用也要将IIS目录与系统磁盘分开。

　　2、删除IIS默认创建的Inetpub目录(在安装系统的盘上)。

　　3、删除系统盘下的虚拟目录，如：_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。

　　4、删除不必要的IIS扩展名映射。

　　右键单击“默认Web站点→属性→主目录→配置”，打开应用程序窗口，去掉不必要的应用程序映射。主要为.shtml、.shtm、 .stm。

　　5、更改IIS日志的路径

　　右键单击“默认Web站点→属性-网站-在启用日志记录下点击属性

　　6、如果使用的是2000可以使用iislockdown来保护IIS，在2003运行的IE6.0的版本不需要。

　　八、其它

　　1、系统升级、打操作系统补丁，尤其是IIS 6.0补丁、SQL SP3a补丁，甚至IE 6.0补丁也要打。同时及时跟踪最新漏洞补丁;

　　2、停掉Guest 帐号、并给guest 加一个异常复杂的密码，把Administrator改名或伪装!

　　3、隐藏重要文件/目录

　　可以修改注册表实现完全隐藏：

　　“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”，鼠标右击 “CheckedValue”，选择修改，把数值由1改为0。

　　4、启动系统自带的Internet连接防火墙，在设置服务选项中勾选Web服务器。

　　5、防止SYN洪水攻击。

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

　　新建DWORD值，名为SynAttackProtect，值为2

　　6. 禁止响应ICMP路由通告报文

　　HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet\ Services\Tcpip\Parameters\Interfaces\interface

　　新建DWORD值，名为PerformRouterDiscovery 值为0。

　　7. 防止ICMP重定向报文的攻击

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

　　将EnableICMPRedirects 值设为0

　　8. 不支持IGMP协议

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

　　新建DWORD值，名为IGMPLevel 值为0。

　　9、禁用DCOM：

　　运行中输入Dcomcnfg.exe。回车，单击“控制台根节点”下的“组件服务”。 打开“计算机”子文件夹。

　　对于本地计算机，请以右键单击“我的电脑”，然后选择“属性”。选择“默认属性”选项卡。

　　清除“在这台计算机上启用分布式 COM”复选框。

　　最后，建议用户在配置每一步时，需要进行相关的测试，避免意外的发生。