布史 发表于 2024-10-7 16:29:36

win2003服务器安全配置清单

Web服务器安全配置的内容
    1终端服务默认端口号:3389。更改原因:不想让非法用户连接到服务器进行登录实验。当这台服务器托管在外时更不希望发生这种情况,呵呵,还没忘记2000的输入法漏洞吧?更改方法:
    (1)、第一处,看到右边的PortNumber了吗?在十进制状态下改成你想要的端口号吧,比如7126之类的,只要不与其它冲突即可。
    (2)、第二处deletenetshare=c:\\\\
    5防范拒绝服务攻击禁止响应ICMP重定向报文。此类报文有可能用以攻击,所以系统应该拒绝接受ICMP重定向报文。 EnableICMPRedirects=dword:00000000
    6 iis部分的配置,mdb防止下载,添加数据库名的如MDB的扩展映射
    7 如何解除FSO上传程序小于200k限制?  先在服务里关闭IIS admin service服务,找到Windows\System32\Inesrv目录下的Metabase.xml并打开,找到ASPMaxRequestEntityAllowed,将其修改为需要的值。默认为,即200K,把它修改为(50M),然后重启IIS admin service服务。
    Windows2003下的IIS权限设置前提:仅针对windows 2003 server SP1 Internet(IIS) 服务器
    系统安装在C:\盘
    系统用户情况为:administrators 超级管理员(组)system 系统用户(内置安全主体)guests 来宾帐号(组)iusr_服务器名 匿名访问web用户iwam_服务器名 启动iis进程用户 自己添加的用户、添加后删除Users(组)、删除后添加到guests来宾帐号(组)为加强系统安全、(guest)用户及(iusr_服务器名)用户均被禁用将访问web目录的全部账户设为guests组、去除其他的组
    ■盘符 安全访问权限 △C:\盘 administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限△D:\盘 (如果用户网站内容放置在这个分区中)、administrators(组) 完全控制权限△E:\盘 administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限△f:\盘 administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限△如有其他盘符类推下去.
    ■禁止系统盘下的EXE文件:net.exe、cmd.exe、tftp.exe、netstat.exe、regedit.exe、regedt32.exe、at.exe、attrib.exe、cacls.exe△些文件都设置成 administrators 完全控制权限
    ■禁止下载Access数据库△Internet 信息服务(IIS)管理器→网站→属性→主目录→配置→添加△可执行文件:C:\WINDOWS\twain_32.dll△扩展名:.mdb▲如果你还想禁止下载其它的东东△Internet 信息服务(IIS)管理器→网站→属性→主目录→配置→添加△可执行文件:C:\WINDOWS\twain_32.dll△扩展名:.(改成你要禁止的文件名)▲然后删除扩展名:shtml stm shtm cdx idc cer
    ■防止列出用户组和系统进程:△开始→程序→管理工具→服务△找到 Workstation 停止它、禁用它
    ■卸载最不安全的组件:△开始→运行→cmd→回车键▲cmd里输入:△regsvr32/u C:\WINDOWS\system32\wshom.ocx△del C:\WINDOWS\system32\wshom.ocx△regsvr32/u C:\WINDOWS\system32\shell32.dll△del C:\WINDOWS\system32\shell32.dll△也可以设置为禁止guests用户组访问
    ■解除FSO上传程序小于200k限制:△在服务里关闭IIS admin service服务△打开 C:\WINDOWS\system32\inetsrv\MetaBase.xml△找到ASPMaxRequestEntityAllowed△将其修改为需要的值、默认为、即200K、把它修改为(50M)、然后重启IIS admin service服务
    ■禁用IPC连接△开始→运行→regedit△找到如下组建(HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa)中的(restrictanonymous)子键△将其值改为1即
    ■清空远程可访问的注册表路径:△开始→运行→gpedit.msc△依次展开计算机配置→Windows 设置→安全设置→本地策略→安全选项△在右侧窗口中找到网络访问:可远程访问的注册表路径△然后在打开的窗口中、将可远程访问的注册表路径和子路径内容全部设置为空即
    ■关闭不必要的服务△开始→程序→管理工具→服务△Telnet、TCP\IP NetBIOS Helper
    ■解决终端服务许可证过期的办法△如果你服务器上已经开着终端服务、那就在添加删除程序里删除终端服务和终端授权服务△我的电脑--右键属性--远程---远程桌面、打勾、应用△重启服务器、OK了、再也不会提示过期了
    ■取消关机原因提示△开始→运行→gpedit.msc△打开组策略编辑器、依次展开△计算机配置→管理模板→系统△双击右侧窗口出现的(显示关闭事件跟踪程序)△将(未配置)改为(已禁用)即可
页: [1]
查看完整版本: win2003服务器安全配置清单