win2003服务器安全设置教程图文(系统+数据库)_win服务器

服务器安全设置

1、系统盘和站点放置盘必须设置为NTFS格式,方便设置权限。

2、系统盘和站点放置盘除administrators 和system的用户权限全部去除。

3、启用windows自带防火墙,只保留有用的端口,比如远程和Web、Ftp(3389、80、21)等等,有邮件服务器的还要打开25和130端口。

4、安装好SQL后进入目录搜索 xplog70 然后将找到的三个文件改名或者删除。

5、更改sa密码为你都不知道的超长密码,在任何情况下都不要用sa这个帐户。

6、改名系统默认帐户名并新建一个Administrator帐户作为陷阱帐户,设置超长密码,并去掉所有用户组。(就是在用户组那里设置为空即可。让这个帐号不属于任何用户组—样)同样改名禁用掉Guest用户。

7、配置帐户锁定策略(在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略,将账户设为“三次登陆无效”,“锁定时间30分钟”,“复位锁定计数设为30分钟”。)

8、在安全设置里本地策略-安全选项将

网络访问:可匿名访问的共享;

网络访问:可匿名访问的命名管道;

网络访问:可远程访问的注册表路径;

网络访问:可远程访问的注册表路径和子路径;

以上四项清空。

9、在安全设置里 本地策略-安全选项 通过终端服务拒绝登陆 加入

以下为引用的内容:
ASPNET
Guest
IUSR_*****
IWAM_*****
NETWORK SERVICE
SQLDebugger 

(****表示你的机器名,具体查找可以点击 添加用户或组  选  高级  选 立即查找 在底下列出的用户列表里选择. 注意不要添加进user组和administrators组 添加进去以后就没有办法远程登陆了。)

10、去掉默认共享,将以下文件存为reg后缀,然后执行导入即可。

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]

"AutoShareServer"=dword:00000000

"AutoSharewks"=dword:00000000

11、 禁用不需要的和危险的服务,以下列出服务都需要禁用。

Alerter  发送管理警报和通知

Computer Browser:维护网络计算机更新

Distributed File System: 局域网管理共享文件

Distributed linktracking client   用于局域网更新连接信息

Error reporting service   发送错误报告

Remote Procedure Call (RPC) Locator   RpcNs*远程过程调用 (RPC)

Remote Registry  远程修改注册表

Removable storage  管理可移动媒体、驱动程序和库

Remote Desktop Help Session Manager  远程协助

Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务

Messenger  消息文件传输服务

Net Logon   域控制器通道管理

NTLMSecuritysupportprovide  telnet服务和Microsoft Serch用的

PrintSpooler  打印服务

telnet   telnet服务

Workstation   泄漏系统用户名列表

12、更改本地安全策略的审核策略

账户管理      成功 失败

登录事件      成功 失败

对象访问      失败

策略更改      成功 失败

特权使用      失败

系统事件      成功 失败

目录服务访问  失败

账户登录事件  成功 失败

13、更改有可能会被提权利用的文件运行权限,找到以下文件,将其安全设置里除administrators用户组全部删除,重要的是连system也不要留。

net.exe

net1.exe

cmd.exe

tftp.exe

netstat.exe

regedit.exe

at.exe

attrib.exe

cacls.exe

format.com

c.exe 特殊文件 有可能在你的计算机上找不到此文件。

在搜索框里输入

"net.exe","net1.exe","cmd.exe","tftp.exe","netstat.exe","regedit.exe","at.exe","attrib.exe","cacls.exe","format.com","c.exe"

点击搜索 然后全选 右键 属性 安全

以上这点是最最重要的一点了,也是最最方便减少被提权和被破坏的可能的防御方法了。

14、后备工作,将当前服务器的进程抓图或记录下来,将其保存,方便以后对照查看是否有不明的程序。将当前开放的端口抓图或记录下来,保存,方便以后对照查看是否开放了不明的端口。当然如果你能分辨每一个进程,和端口这一步可以省略。

时间: 2024-09-20 10:51:22

win2003服务器安全设置教程图文(系统+数据库)_win服务器的相关文章

win2003服务器安全设置教程图文(系统+数据库)

这篇文章简单介绍了win2003的安全设置方法,但一些更安全与深入的设置,还需要参考脚本之家以前发布的文章   服务器安全设置 1.系统盘和站点放置盘必须设置为NTFS格式,方便设置权限. 2.系统盘和站点放置盘除administrators 和system的用户权限全部去除. 3.启用windows自带防火墙,只保留有用的端口,比如远程和Web.Ftp(3389.80.21)等等,有邮件服务器的还要打开25和130端口. 4.安装好SQL后进入目录搜索 xplog70 然后将找到的三个文件改名

远程分析win2003 IIS安全设置第1/2页_win服务器

提起微软公司IIS web服务器的安全问题,很多人立刻就会联想到那些为人们所称颂的致命漏洞: UNICODE , CGI 解析, .ida,idq, .Printer远程溢出等. 这些伟大的漏洞恐怕是我等scriptskidding的最爱了,利用他们可以很轻松的拿到较高的系统权限.但是这篇文章并非是讨论这些致命的漏洞的,只是比较详细的介绍了如何远程判断IIS 服务器的各种设置,如目录权限,认证方法等等,文中有些东西已经很老了,但是新的东西还是值得一看的. 希望本文能够起到一个抛砖引玉的作用.好了

华为RAID 1阵列卡设置教程图文详解_服务器其它

开机启动 当看到这个界面的时候,根据提示 按 Ctrl+C 进入阵列卡设置界面(6i卡也是这样) 直接按回车键(Enter)进入下一步操作 使用Tab键切换到 raid 下面是删除阵列的方法 开机启动

Windows Server 2008 架设 Web 服务器教程(图文详解)_win服务器

一.安装 IIS 7.0 : 虽然 Windows Server 2008 内置了I IS 7.0,但是默认情况下并没有安装.由于 Windows Server 2008 中安装 IIS 服务和以前操作相比有很大的不同,因此首先要首先需要参照下述步骤安装 IIS 7.0 组件. 后来笔者又在 windows server 2012 上试了 iis,版本是 8,本文中也有截图提及. 1:开始 - 服务器管理器 - 角色 - 添加角色 : 2:勾选 Web服务器(IIS),接着可以查看到对 Web

Win2008 r2服务器配置VPN服务器教程(图文详解)_win服务器

系统环境:WindowsServer2008R2Enterprise(完全安装) 1.配置准备工作 1.1.点击"开始"右边的"服务器管理器" 1.2.在"服务器管理器"里点击"角色" 1.3.在"角色"上点击右键选译"添加角色",点击"下一步" 1.4.在"角色"里选择"网络策略和访问服务",点击"下一步"

在Win2003中安装bind教程(部署智能DNS)_win服务器

前言: 搞LINUX的朋友都知道,bind是linux下的DNS服务软件,但很多人不清楚,它也可以运行在windows系统中,windows系统自带的dns,功能弱,是不能作智能DNS解析的,在windows 2008 R2版也没有解决这个问题,有些公司技术力量薄弱一些,一直在用windows系统,所以本文从windows出发,安装bind,利用它的view功能,做智能DNS,解决双线机房南北电信联通访问问题. 一.环境: 系统:Windows 2003 Enterprise Edition s

win2003 iis 404 设置方法与小技巧_win服务器

打开IIS管理器 =>点击要设置自定义404网站的属性=>点击"自定义错误"选项=>选中404页=>选中并打开编辑属性=>按浏览选择你要的404页=>按确定保存退出=>错误页面生效 正常这样是可以的,但有些2003系统的IIS设置就是不行,就可以用到下面的方法: 错误信息 设置成 URL 格式为 /404.htm 把 404.htm 放在网站跟目录下 或者 /文件夹/404.htm 把 404.htm 放在网站/文件夹/目录下

windows服务器安全设置之提权篇_win服务器

服务器的安全很重要,特别是被黑客提权,这里指的是用web进行提权,web提权一般会用到 NETWORK SERVICE 帐号,和注册表的改动,于是我们把注册表的部分改为只读即可,请看下图: 把注册表位置HKEY_USERS\S-1-5-20HKEY_USERS\S-1-5-20_Classes NETWORK SERVICE 帐号的完全权限,改为读取权限,就可以防范了 补充:为了安全考虑我们一般包括虚拟主机设置软件,都是各个网站都是独立用户的,这样才能更好的防止提取,而且有效的保护了各个网站之间

Win2003 服务器安装及设置教程 系统设置篇_win服务器

本安装及设置教程适用于使用Windows2003为操作系统的服务器,目的是让服务器支持常见网络编程语言包括ASP.PHP..Net1.1..Net2.0,支持常见数据库包括Access.MySQL.MSSQL,支持FTP,支持常见组件包括Aspjpeg.Jmail.LyfUpload.动易.ISAPI_ReWrite. 本教程共分八篇:系统安装与设置篇.软件安装与设置篇.文件及文件夹权限篇.系统服务篇.安全策略篇.系统组件篇.注册表篇.软件安全篇.本篇讨论的是第一篇:系统安装与设置 一.系统准备