最新消息:

Windows 2000 Server 系统安装后的简单安全配置

网管普通技能 eben 563浏览 0评论
2006-1-21 3:04:00

一、系统的安装

正常情况下Internet 信息服务(IIS)只需要选择三项:
Internet服务管理器 + Word Wide Web服务器 + 公用文件
附件和工具可以全部勾除(平常是用不到的),再加上终端服务即可,其它统统勾除!

关于磁盘分区: 正常情况下,C盘分10G已经非常足够使用,其它的应用软件均安装到D盘,如提供FTP服务的SERV-U,以免系统崩溃后要全新安装系统 的时间需要备份C盘数据。

二、安装硬件的驱动程序

    经常安装驱程后重启会自动加载一些程序,可用超级兔子之类软件清理一下启动项。其它的如声卡的驱动找不到,可以不用安装,因为平常用不到声卡,不需要把时间浪费在这里。有碰到系统能默认认出来的显卡也无需再另装驱动程序。

二、补丁安装

装完系统后,如果安装的系统是没有打过SP4的,请先安装WINDOWS 2000 sp4,然后进入Windows Update在线更新所有补丁。也可以下载补丁集(chinaz.com提供 的下载)直接安时间排序打上,以免浪费时间,微软的网站有时候非常慢的。

复制一些必要的软件到D盘

如,WIN2K安装目录I386,可放置一份到D盘,以方便以后使用(如重装IIS的时候)。
D盘新建一个SOFT目录,用于存放常用软件,如PHP,MYSQL,DUM,SERV-U,SQL SERVER等的安装文件

三、系统安全设置

1,用户管理
删除TsInternetUser用户,并且将Guest用户改名禁用并且更改一个复杂的密码!
更改Administrator的用户名以及密码

    2,不让系统显示上次登录的用户名,具体操作如下:
修改注册表“HKLM\Software\Microsoft\WindowsNT\Current Version\Winlogon\Dont Display
Last User Name”的键值,把REG_SZ 的键值改成1。

    3,禁止建立空连接
默认情况下,任何用户可通过空连接连上服务器,枚举账号并猜测密码。可以通过以下两种方法禁止
建立空连接。
(1)修改注册表
Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成1。
(2)修改Win 2000的本地安全策略
设置“本地安全策略→本地策略→选项”中的RestrictAnonymous(匿名连接的额外限制)为“不容
许枚举SAM账号和共享”。

4,打开安全审核
管理工具–本地安全策略–本地策略–审核策略,正常情况下一共是9项

推荐设置为:
审核策略更改:成功 失败
审核登录事件:成功 失败
审核对象访问:失败
审核特权使用:失败
审核系统事件:成功 失败
审核目录服务访问:失败
审核账户登录事件:成功 失败
审核账户管理:成功 失败
审核策略不需要全部打开,如对象访问的成功项。否则将会占用过多的系统资源。

5,IP安全策略的配置。
可下载现成的策略直接导入(详细配置方法可见网上文章),如http://afei.blog.chinaz.com/UploadFiles/2006-1/128918890.rar ,下载后在管理工具–本地安全策略–IP安全策略 点右键选择-所有任务–导入策略,导入后,指派为新IP安全策略,然后在管理工具–本地安全策略–安全设置 点右键选择重新加载

    6,关闭不必要和危险的系统服务

一个新安装好的windows 2000 server系统,默认应该是存在以下服务,设置为以下状态:

Alerter  –    禁用      Application Management –    禁用

Automatic Updates –    可禁用 

     Background Intelligent Transfer Service   –    禁用 

ClipBook –    禁用 

COM+ Event System –    手动 

Computer Browser  –    禁用 

DHCP Client   –    禁用 

Distributed File System     –    禁用 

Distributed Link Tracking Client –    自动 

Distributed Link Tracking Server –    禁用 

Distributed Transaction Coordinator  –    自动 

DNS Client    –    自动 

Event Log     –    自动 

Fax Service   –    禁用 

File Replication  –    禁用 

IIS Admin Service    –  自动 

Indexing Service   –  手动 

Internet Connection Sharing   –  手动 

Intersite Messaging     禁用 

IPSEC Policy Agent  – 自动 

Kerberos Key Distribution Center – 禁用 

License Logging Service   –  禁用 

Logical Disk Manager –  自动 

Logical Disk Manager Administrative Service – 手动 

Messenger   –  禁用 

Microsoft Search – 禁用 (本服务在装了SQLSERVER2000 SP3后出现) 

Net Logon – 手动 

NetMeeting Remote Desktop Sharing – 手动 

Network Connections – 自动 

Network DDE – 手动 

Network DDE DSDM – 手动 

NT LM Security Support Provider  – 手动 

Performance Logs and Alerts  – 手动 

Plug and Play 自动 

Print Spooler 禁用 

Protected Storage 自动 

QoS RSVP   – 手动 

Remote Access Auto Connection Manager   – 手动 

Remote Access Connection Manager   – 手动 

Remote Procedure Call (RPC) – 自动 

Remote Procedure Call (RPC) Locator  – 手动 

Remote Registry Service         必须禁用 

Removable Storage       –    自动 

Routing and Remote Access  – 禁用 

RunAs Service   – 禁用 

Security Accounts Manager       自动 

Smart Card   – 手动 

Smart Card Helper   – 手动 

System Event Notification       自动 

Task Scheduler              必须禁用 

TCP/IP NetBIOS Helper Service   必须禁用 

Telephony       – 手动 

Telnet   禁用 

Terminal Services        – 自动 

Uninterruptible Power Supply   – 手动 

Utility Manager   – 手动 

Windows Installer   – 手动 

Windows Management Instrumentation                 自动 

Windows Management Instrumentation Driver Extensions    自动 

Windows Time   – 手动 

Wireless Configuration   – 手动 

Workstation       自动 

World Wide Web Publishing Service    自动 

做为一个管理员,应该知道各种服务都是做什么用的,例如有人入侵后须及时发现是否运行了一些入侵者留下的服务。 

7,修改注册表

删除如下目录的任何键:
HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\OS/2 Subsystem for NT

删除以下键:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment\Os2LibPath

删除以下键:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\OptionalHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\Posix

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\Os2

8,修改终端服务的默认端口(如有必要才需要此操作,默认为3389,可随意修改为1-65535的端口)
打开注册表,在“HKLM\SYSTEM\Current ControlSet\Control\Terminal Server\Win Stations”处
找到类似RDP-TCP的子键,修改PortNumber值。

9,网卡的端口筛选(看具体情况配置,正常情况不需要做此配置,此项配置需重启才能生效)

网卡属性里的tcp/ip协议属性—>高级–>选项–>tcp/ip筛选属性–>

第一项:TCP端口:
只允许: —(看具体这台服务器提供什么服务添加)
80   (www服务)
21   (一般的ftp默认)
53   (DNS服务)
110   (MAIL的SMTP服务)
25   (MAIL的POP3服务)
还有例如你的远程终端的端口(默认为3389,也有可能你改为别的端口,如6666,则加上6666)

第二项UDP端口:
此项可不添加,因为限制了以后,服务器则不能打开网页等操作(当然,也安全多了)

第三项IP协议:
ip协议:只允许6


10,IIS安全配置
    开始–>程序–>管理工具–>Internet 服务管理器
默认的设置是有一个叫“默认站点”的站点,删除。
在IIS管理器中右击主机,进入属性,会出来一个叫 “*机器名属性”的窗口,在主属性下选择”WWW服务”,进入编辑
到主目录选项卡,进入应用程序设置下的配置,在应用程序映射里,你可以看到有htw, htr, idq, ida等扩展名的映射,
除了asp,asa,shtml,sthm,stm外,其它的统统删除,因为其余的映射几乎每个都有安全方面的漏洞。(这是在未装cgi之类服务的情况下,像cgi,安装后也会在这里自动添加映射,没有映射可就运行不了cgi程序了,同理,php或asp.net也一样)
默认的iis发布目录为c:\Inetpub,将这个目录删除。在d盘或e盘新建一个目录(目录名随意,如WWW),然后新建一个站点,将主目录指向你新建的目录。
这样做的目的是为了将站点和系统分开。不至于站点的安全设置出问题时危及到系统安全。

11,其它

网卡属性里的tcp/ip协议属性—>高级–>WINS–>选择 “禁用TCP/IP 上的NetBIOS”

删除C:\WINNT\Web下的两个子目录(一个是桌面图片目录,一个是打印目录,打印目录存在的话好像IIS的默认站点一直会多一个Printer的目录出来)

四、系统相关目录及文件的权限设置

C、D、E等盘全部设置为仅Administrator组有完全控制权限(必须)

C:\Program Files
这个目录,像连接数据库这些都是要读取的,是C盘下比较重要的权限设置。

设置为:
administrators组 — 完全控制
SYSTEM  –  完全控制
CREATOR GROUP  – 全空的权限。(你可以先默认的加上,然后应用。再重新设置权限,会发现权限变成空的,而另外多出来一个none的用户,把那个none删了,测试过运行ASP+ACCESS的程序这样才会比较安全)
。。除了以上这三个以外,其它的统统删掉。

C:\Documents and Settings
这个目录设置为Administrator,SYSTEM拥有所有控制权限。

C:\WINNT
这个目录设置为Administrator,SYSTEM拥有所有控制权限。IIS来宾帐户设置为仅读取权限(如有建立了专门的IIS用户组,则这里设置为IIS的用户组)。

C:\WINNT目录内 除 TEMP,system32目录以外,所有目录均设置为Administrator,SYSTEM拥有所有控制权限

C:\Winnt\system32目录下的
xcopy.exe, wscript.exe, cscript.exe, net.exe, ftp.exe, telnet.exe,arp.exe,
edlin.exe,ping.exe,route.exe,at.exe,finger.exe,posix.exe,rsh.exe,atsvc.exe,
qbasic.exe,runonce.exe,syskey.exe
这些常用的程序也要设置为仅Administrator,SYSTEM有所有控制权限。

五、防止虚拟主机用户利用FSO及其它权限

———————–
我们以建立一个 123.com站点的为例吧。设置目录权限。
1,新建一个用户组。例如 WebUser
2,新建一个站点用户,如 web_123.com (密码自定),并设置为属于WebUser组(不要再属于其它的组了)
3,新建一个该站点的目录,设置该目录权限为 administrator 组为所有权限,以及Web_123.com用户为所有权限(即完全控制)
4,设置IIS站点。正常建立新站点后,站点属性的站点安全性里面也相应做设置…(站点属性–目录安全性–身份验证和访问控制–编辑)

发现了挺早以前我写的这篇文章。win系统是国内用的最多的,希望对新手有点用。

转载请注明:落伍老站长 » Windows 2000 Server 系统安装后的简单安全配置

发表我的评论
取消评论

表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址