win2k3新系統的比較全面安全設置超詳細版
2020-07-10 20:44:46
供稿:網友
首先從以下幾個方面入手
1����、新系統安裝后���,先進行全面的windows updata 打全所有官方公布的補丁程序。(很關鍵的步驟���,不能省略)
2、系統服務中的各項服務進行優化和篩選��。(看操作把�,我已經設置過了,我會告訴的)
Computer Browser此服務最好關閉��,防止局域網之間的瀏覽
Messenger沒用的服務���,自然是停止了
Print Spooler沒用的服務���,自然是停止了
Remote Procedure Call (RPC) 此服務可不能停�����,要把恢復項中的失敗全部設置為不操作
Remote Registry此項服務可以遠程操作本地注冊表���,自然僅用了
Server此項沒有��,自然禁用了
TCP/IP NetBIOS Helper此項服務也是沒用了,禁用�����。
Telnet 終端����,不用說了禁用���。
Terminal Services 遠程訪問控制(3389端口)����,根據情況開啟
Windows Firewall/Internet Connection Sharing (ICS)此項為系統自帶的防火墻�����,根據情況最好開啟
Windows Time此項沒有,自然禁用了
Windows User Mode Driver Framework此項沒有���,自然禁用了
WinHTTP Web Proxy Auto-Discovery Service 此項沒有,自然禁用了
Wireless Configuration此項沒有�����,自然禁用了
Workstation此項最好關閉
主要項關閉后�����,系統的常規共享�、IPC$等等都關閉了��,還有網卡的設置���,看wins中選擇禁用�,這是最好了同時也關閉了137/138端口
3���、本地安全策略進行端口和ICMP設置(關閉常用端口及防止PING攻擊)操作此項根據個人的習慣��,最好進行處理
重新設置一下�����,首先禁用ICMP,即PING
這樣就設置好了icmp�����,如果希望通過指定IP地址來登陸3389如何設置那����,看操作���,這里以本機IP地址為例192.168.210.252這樣就設置好了
還可以關閉常用的端口��,操作例關閉1000-1080端口這樣就好了�����,最后選擇指派,就生效了
4���、TCP/IP 篩選(這個也是對網卡進行操作,可以選擇)
5��、IIS設置(略�,如果希望講解,TCP端口可以設置常用的開放端口����,UDP可以全部不開放�,如果提供DNS服務���,開放53端口就行了)�����,還要對本地計算機的組策略進行設置 gpedit.msc��,計算機配置中的帳戶策略,密碼策略�����,密碼最小長度最好超過8位以上��,以后就算被入侵了�����,不知道密碼的最小長度,也沒有辦法添加用戶��,帳戶鎖定策略 鎖定闞值必須設置��,最好2次不要超過3次�����,鎖定時間自定,本地策略����,根據自己本身情況設置���,其他的根據自己的情況酌量而行
下面的內容還是要酌量而行�,如果權限設置的過于BT有可能要出問題�,所以看情況
6、常用命令及控件的權限分配(CMD.EXE/NET.EXE/NET1.EXE/SHELL32.DLL/wshom.ocx/ftp.EXE/tftp.EXE/cacls.EXE/NETSTAT.EXE/wshext.dll/scrrun.DLL)
這些命令或組件都是危險的東西���,根據自己的實際環境,不必要刪除或卸載���,可以把它們的users組權限取消,同時對C盤的主要目錄進行權限分配
下面以CMD.EXE為例�,大家看到了沒有users組����,我已經刪掉了��,下面是常用的反注冊危險組件的方法
卸載Wscript.Network對象,在cmd下或直接運行:regsvr32 /u c:/windows/system32/WSHom.ocx
WScript.Shell: regsvr32/u wshext.dll
Shell.Application: regsvr32.exe/u shell32.dll
卸載FSO對象,在cmd下或直接運行:regsvr32.exe /u c:/windows/system32/scrrun.dll
卸載stream對象,在cmd下或直接運行: regsvr32 /s /u "C:/Program Files/Common Files/System/ado/msado15.dll"
下面是對硬盤的安全設置
�,我就不操作了����,權限都有了���,也可以根據情況對 windows/program files/serv-u目錄進行設置也可以��。
Windows 2003 硬盤安全設置
c:/
administrators 全部
system 全部
iis_wpg 只有該文件夾
列出文件夾/讀數據
讀屬性
讀擴展屬性
讀取權限
c:/inetpub/mailroot
administrators 全部
system 全部
service 全部
c:/inetpub/ftproot
everyone 只讀和運行
c:/windows
administrators 全部
Creator owner
不是繼承的
只有子文件夾及文件
完全
Power Users
修改�,讀取和運行���,列出文件夾目錄�����,讀取���,寫入
system 全部
IIS_WPG 讀取和運行���,列出文件夾目錄�,讀取
Users 讀取和運行(此權限最后調整完成后可以取消)
C:/WINDOWS/Microsoft.Net
administrators 全部
Creator owner
不是繼承的
只有子文件夾及文件
完全
Power Users
修改��,讀取和運行����,列出文件夾目錄����,讀取,寫入
system 全部
Users 讀取和運行��,列出文件夾目錄����,讀取
'www.knowsky.com
C:/WINDOWS/Microsoft.Net
administrators 全部
Creator owner
不是繼承的
只有子文件夾及文件
完全
Power Users
修改�,讀取和運行,列出文件夾目錄�,讀取��,寫入
system 全部
Users 讀取和運行��,列出文件夾目錄,讀取
C:/WINDOWS/Microsoft.Net/temporary ASP.NET Files
administrators 全部
Creator owner
不是繼承的
只有子文件夾及文件
完全
Power Users
修改,讀取和運行�,列出文件夾目錄�,讀取�����,寫入
system 全部
Users 全部
c:/Program Files
Everyone 只有該文件夾
不是繼承的
列出文件夾/讀數據
administrators 全部
iis_wpg 只有該文件夾
列出文件/讀數據
讀屬性
讀擴展屬性
讀取權限
c:/windows/temp
Administrator 全部權限
System全部權限
users 全部權限
c:/Program Files/Common Files
administrators 全部
Creator owner
不是繼承的
只有子文件夾及文件
完全
Power Users
修改�,讀取和運行���,列出文件夾目錄�����,讀取����,寫入
system 全部
TERMINAL SERVER Users(如果有這個用戶)
修改�,讀取和運行,列出文件夾目錄,讀取,寫入
Users 讀取和運行�,列出文件夾目錄�����,讀取
c:/Program Files/Dimac(如果有這個目錄)
Everyone 讀取和運行,列出文件夾目錄,讀取
administrators 全部
c:/Program Files/ComPlus Applications (如果有)
administrators 全部
c:/Program Files/GflSDK (如果有)
administrators 全部
Creator owner
不是繼承的
只有子文件夾及文件
完全
Power Users
修改�����,讀取和運行�,列出文件夾目錄�,讀取,寫入
system 全部
TERMINAL SERVER Users
修改��,讀取和運行��,列出文件夾目錄��,讀取,寫入
Users 讀取和運行,列出文件夾目錄�����,讀取
Everyone 讀取和運行��,列出文件夾目錄�����,讀取
c:/Program Files/InstallShield Installation Information (如果有)
c:/Program Files/Internet Explorer (如果有)
c:/Program Files/NetMeeting (如果有)
administrators 全部
c:/Program Files/WindowsUpdate
Creator owner
不是繼承的
只有子文件夾及文件
完全
administrators 全部
Power Users
修改,讀取和運行��,列出文件夾目錄���,讀取�����,寫入
system 全部
c:/Program Files/Microsoft SQL(如果SQL安裝在這個目錄)
administrators 全部
Service 全部
system 全部
d:/ (如果用戶網站內容放置在這個分區中)
administrators 全部權限
d:/FreeHost (如果此目錄用來放置用戶網站內容)
administrators 全部權限
SERVICE 讀取與運行
經過以上的設置后�����,我相信服務器的安全會很大的提高了,就算有漏洞服務器上傳了ASP或其他的木馬����,也沒有運行的機會了。好了��,
希望本教學會對大家有所幫助�,謝謝了。
這里不能上傳附件�,需要全程錄像可以聯系我���,不知道發我的論壇地址會不會被算做AD���,我的QQ:908166
