Windows 2003 服务器安全设置图文教程

建议设置

极限测试

在”网络连接”里，把不需要的协议和服务都删掉，这里只安装了基本的Internet协议（TCP/IP），由于要控制带宽流量服务，额外安装了Qos数据包计划程序。

在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS（S）"。

在2003系统里，不推荐用TCP/IP筛选里的端口过滤功能，譬如在使用FTP服务器的时候，如果仅仅只开放21端口，由于FTP协议的特殊性，在进行FTP传输的时候，由于FTP 特有的Port模式和Passive模式，在进行数据传输的时候，需要动态的打开高端口，所以在使用TCP/IP过滤的情况下，经常会出现连接上后无法列出目录和数据传输的问题。所以在2003系统上增加的windows连接防火墙能很好的解决这个问题，所以都不推荐使用网卡的TCP/IP过滤功能。

在高级选项里，使用”Internet连接防火墙”，这是windows 2003 自带的防火墙，在2000系统里没有的功能，虽然没什么功能，但可以屏蔽端口，这样已经基本达到了一个IPSec的功能。

放开使用到的端口，如果修改了远程桌面的端口，别忘记添加上。如果有邮件服务器的话还要放开SMTP服务器端口25 POP3服务器端口110。对外提供服务的端口都要加上，不然无法访问服务。

修改ICMP设置，建议全部启用，便于网络测试ping等

权限的设置所有磁盘分区的根目录只给Administrators组和SYSTEM 的完全控制权限，注意系统盘不要替换子目录的权限。windows目录和Program Files目录等一些目录并没有继承父目录权限，这些目录还需要其它一些权限才能运行。 C:Documents and Settings 目录只给 Administrators 组和 SYSTEM 的完全控制权限，并应用到子对象的项目替代所有子对象的权限项目。 系统盘Documents and SettingsAll Users 目录只给 Administrators 组和 SYSTEM 的完全控制权限。这里给的system权限也不一定需要给，只是由于某些第三方应用程序是以服务形式启动的，需要加上这个用户，否则造成启动不了。

c:/Documents and Settings/这里要注意，后面的目录里的权限根本不会继承从前的设置，如果仅仅只是设置了C盘给administrators权限，而在All Users/Application Data目录下会 出现everyone用户有完全控制权限，这样入侵这可以跳转到这个目录，写入脚本或只文件，再结合其他漏洞来提升权限；譬如利用serv-u的本地溢出提升权限，或系统遗漏有补丁，数据库的弱点等等。在用做web/ftp服务器的系统里，建议设置。

Windows目录要加上给users的默认权限，否则ASP和ASPX等应用程序就无法运行。如果修改的话，不要应用到子对象的项目替代所有子对象的权限项目。系统目录权限拿不准的话就不要动了，一般做好根目录和Documents and Settings就比较安全了，asp程序访问不了根目录就访问不了子目录。

另外Documents and Settings目录增加Users用户组的读取运行权限，可以避免出现LoadUserProfile失败,需要注意的是一但有users组读取权限，asp木马就能访问这个目录。为了安全需要接受一些错误日志。（2009年1月13日备注：貌似是没有system完全就出现LoadUserProfile，与users无关。）

系统盘
下 cacls.exe; cmd.exe; net.exe; net1.exe; ftp.exe; tftp.exe; telnet.exe; netstat.exe; regedit.exe; at.exe; attrib.exe; format.com 文件只给 Administrators 组和SYSTEM 的完全控制权限。可查找一下统一设置，或者编辑一份批处理，使用cacls命令处理。 

本地策略→审核策略

　　审核策略更改　　　成功　失败　　
　　审核登录事件　　　成功　失败
　　审核对象访问　　　　　　失败
　　审核过程跟踪　　　无审核
　　审核目录服务访问　　　　失败
　　审核特权使用　　　　　　失败
　　审核系统事件　　　成功　失败
　　审核账户登录事件　成功　失败
　　审核账户管理　　　成功　失败

　　本地策略→用户权限分配
　　关闭系统：只有Administrators组、其它全部删除。
　　通过终端服务允许登陆：只加入Administrators,Remote Desktop Users组，其他全部删除

　　本地策略→安全选项
　　交互式登陆：不显示上次的用户名　　　　　　　启用
　　网络访问：不允许SAM帐户和共享的匿名枚举　　启用
　　网络访问：不允许为网络身份验证储存凭证　　　启用
　　网络访问：可匿名访问的共享　　　　　　　　　全部删除
　　网络访问：可匿名访问的命　　　　　　　　　　全部删除
　　网络访问：可远程访问的注册表路径　　　　　　全部删除
　　网络访问：可远程访问的注册表路径和子路径　　全部删除
　　帐户：重命名来宾帐户　　　　　　　　　　　　重命名一个帐户
　　帐户：重命名系统管理员帐户　　　　　　　　　重命名一个帐户

【禁用不必要的服务 开始-运行-services.msc】

　　Computer Browser　：维护网络上计算机的最新列表以及提供这个列表
　　Distributed File System　：局域网管理共享文件，不需要可禁用
　　Distributed Link Tracking Client　：用于局域网更新连接信息，不需要可禁用
　　Error Reporting Service　：禁止发送错误报告
　　Messenger　：传输客户端和服务器之间的 NET SEND 和 警报器服务消息
　　Microsoft Serch　：提供快速的单词搜索，不需要可禁用
　　NT LM Security Support Provider　：telnet服务和Microsoft Serch用的，不需要可禁用
　　Print Spooler　：如果没有打印机可禁用
　　Remote Desktop Help Session Manager　：禁止远程协助
　　Remote Registry：禁止远程修改注册表
　　Server　：支持此计算机通过网络的文件、打印、和命名管道共享
　　Task scheduler　：允许程序在指定时间运行
　　TCP/IPNetBIOS Helper　：提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持而使用户能够共享文
　　Workstation　：关闭的话远程NET命令列不出用户组
　　以上是在Windows Server 2003 系统上面默认启动的服务中禁用的，默认禁用的服务如没特别需要的话不要启动。

【卸载最不安全的组件】

　　最简单的办法是直接卸载后删除相应的程序文件。

　　将下面的代码保存为一个.BAT文件，( 以下以win2003为例系统文件夹应该是 C:WINDOWS )



　　如果有可能删除这些组件
　　del C:WINDOWSsystem32shell32.dll
　　del C:WINDOWSsystem32wshom.ocx
　　del C:windowssystem32wshext.dll
　　然后运行一下，WScript.Shell, Shell.application, WScript.Network就会被卸载了。
　　去http://www.ajiang.net/products/aspcheck/下载阿江的探针查看相关安全设置情况。

　　可能会提示无法删除文件，不用管它，重启一下服务器，你会发现这三个都提示“×安全”了。

　　恢复的话，去掉/u就行了FSO(FileSystemObject)是微软ASP的一个对文件操作的控件，该控件可以对服务器进行读取、新建、修改、删除目录以及文件的操作。是ASP编程中非常有用的一个控件。但是因为权限控制的问题，很多虚拟主机服务器的FSO反而成为这台服务器的一个公开的后门，因为客户可以在自己的ASP网页里面直接就对该控件编程，从而控制该服务器甚至删除服务器上的文件。因此不少业界的虚拟主机提供商都干脆关掉了这个控件，让客户少了很多灵活性。我们公司的W2K虚拟主机服务器具有高安全性，可以让客户在自己的网站空间中任意使用却有没有办法危害系统或者妨碍其他客户网站的正常运行。

FSO的添加

1、首先在系统盘中查找scrrun.dll，如果存在这个文件，请跳到第三步，如果没有，请执行第二步。
2、在安装文件目录i386中找到scrrun.dl_，用winrar解压缩后scrrun.dll复制到系统盘:windowssystem32目录。
3、运行regsvr32 scrrun.dll即可。

FSO删除
regsvr32 /u scrrun.dll
建议保留

卸载stream对象

在cmd下运行：
regsvr32 /s /u "C:Program FilesCommon FilesSystemadomsado15.dll"
恢复的话，去掉/u就行了，建议保留修改远程桌面连接的3389端口为9874，十六进制2692等于十进制9874，根据需要修改成合适的端口。将下面的内容保存为.reg文件，导入注册表即可。（非必需）


杀毒

这里介绍MCAFEE 8.5i 中文企业版(s.jb51.net有的下载)
因为这个版本对于国内的许多恶意代码和木马都能够及时的更新.
比如已经能够检测到海阳顶端2006
而且能够杀除IMAIL等SMTP软件使用的队列中MIME编码的病毒文件
而很多人喜欢安装诺顿企业版.而诺顿企业版,对于WEBSHELL.基本都是没有反应的.
而且无法对于MIME编码的文件进行杀毒.
在MCAFEE中.
我们还能够加入规则.阻止在windows目录建立和修改EXE.DLL文件等
我们在软件中加入对WEB目录的杀毒计划.
每天执行一次
并且打开实时监控.
注意：安装一些杀毒软件会影响ASP地执行，是因为禁用了jscript.dll和vbscript.dll组件
在dos方式下运行 regsvr32 jscript.dll, regsvr32 vbscript.dll解除限制即可
比如出现 请求的资源在使用中

regsvr32 %windir%system32jscript.dll
regsvr32 %windir%system32vbscript.dll